DMVPN技術在企業(yè)網(wǎng)中的應用研究

黃宏杰

摘 要： 目前企業(yè)中心與分支的安全通信主要利用IPSec或SSL VPN在因特網(wǎng)上進行數(shù)據(jù)傳輸。介紹了DMVPN技術的發(fā)展過程，從傳統(tǒng)的IPSEC VPN技術演變?yōu)榛贕RE技術的IPSEC VPN網(wǎng)絡，發(fā)展到基于mGRE技術的DMVPN網(wǎng)絡；深入探討了以NHRP為核心的DMVPN技術的基本原理和拓撲設計的實現(xiàn)；論述了DMVPN技術在企業(yè)網(wǎng)中的應用。采用基于單或雙中心的DMVPN技術進行了靜態(tài)和動態(tài)IP地址規(guī)劃，并提供動態(tài)路由協(xié)議支持。

關鍵詞： 互聯(lián)網(wǎng)安全協(xié)議； 動態(tài)多點虛擬專網(wǎng)； 多點通用路由封裝； 下一跳解析協(xié)議

中圖分類號：TP393 文獻標志碼：A 文章編號：1006-8228（2014）10-32-03

Application research of DMVPN technology in enterprise network

Huang Hongjie

（Fujian Vocational College of Agriculture Information Technology Department， Fuzhou， Fujian 350119， China）

Abstract： The current corporate security communication of headquarters and branch mainly use IPSec or SSL VPN for data transmission on the Internet. The development process of DMVPN technology is introduced， from traditional IPSEC VPN technology evolved into IPSEC VPN network of GRE-based technology， to the development DMVPN network of the mGRE-based technology. The basic principle and topology design which takes NHRP as the core of the DMVPN technology are discussed. The application of DMVPN technology in the enterprise network is elaborated， using DMVPN technology based on single or double center， static and dynamic IP address planning. It provides dynamic routing protocol support.

Key words： IPSEC； DMVPN； mGRE； NHRP

0 引言

企業(yè)希望通過公網(wǎng)安全地將各地的分支與中心聯(lián)系起來，構成星型拓撲結構網(wǎng)絡，并通過IPSec隧道來保證內部通訊的安全。但大多數(shù)企業(yè)的數(shù)據(jù)集中在中心，如果兩個分支通信，則要通過中心，這樣就造成了較大的網(wǎng)絡時延。尤其在視頻、語音通信中，這種時延影響了企業(yè)網(wǎng)絡的正常運行[1]。DMVPN技術的出現(xiàn)，為企業(yè)解決了這方面的難題，DMVPN是一種基于mGRE的集高速高擴展性的IPSec VPN技術。

1 DMVPN技術的發(fā)展過程

1.1 基于傳統(tǒng)的IPSEC VPN網(wǎng)絡

傳統(tǒng)的IPSec VPN網(wǎng)絡一般通過共享密鑰在通信兩端進行數(shù)據(jù)加密，其隧道是點到點的加密集合，該網(wǎng)絡的組織形式可以是星形結構或網(wǎng)狀結構[2]。星形拓撲的IPSec VPN是一種安全可靠的網(wǎng)絡，但不適合在有大量分支的網(wǎng)絡中部署；網(wǎng)狀結構的所有分支之間都要直接連接，但客戶端需要維護的IPSEC SA過多，IPSEC VPN配置過于復雜，需要每一個分支擁有固定IP地址。

1.2 基于GRE的IPSec VPN網(wǎng)絡

通用路由封裝（GRE）與IPSec綁定，使GRE隧道一旦建立，將立刻觸發(fā)IPSec加密。基于GRE的IPSec VPN隧道配置包括了對端的地址，即IPSec隧道的對端地址，則不用為IPSec定義匹配的訪問控制列表。這樣，可利用動態(tài)路由協(xié)議在加密隧道兩端的路由器上更新路由表，隧道任何一端的網(wǎng)絡發(fā)生變化，另外一端都會動態(tài)地學習到這個變化，并保持網(wǎng)絡的連通性而無需改變路由器的配置。

1.3 DMVPN技術網(wǎng)絡的誕生

為了解決IPSec VPN的高擴展性難題，思科提出了動態(tài)多點虛擬專網(wǎng)技術，即Dynamic Multipoint VPN（DMVPN）。DMVPN是一種基于mGRE的IPSEC VPN技術， IPSec是對mGRE流量進行加密，根據(jù)NHRP和動態(tài)路由協(xié)議建立起來的保護網(wǎng)絡間的臨時隧道。DMVPN技術的關鍵組件和特點包括：①多點GRE隧道接口，使得單一的GRE接口可以支持多個IPsec隧道且簡化配置；②NHRP允許分支采用動態(tài)IP地址，中心用于維護每個分支公網(wǎng)地址的NHRP數(shù)據(jù)庫。

2 DMVPN技術的基本原理

2.1 多點mGRE隧道

GRE技術是點對點的隧道技術。mGRE是DMVPN重要的組成部分，是點對多點的GRE隧道技術，只需要指定源，并不需要指定目的。mGRE隧道技術中的每個分支只需配置一個mGRE隧道接口，這樣，任何一個分支都能夠和其他分支建立隧道連接，如有新的分支需要加入，其他分支都不需要再增加新的配置。

2.2 下一跳解析協(xié)議NHRP

DMVPN的核心是NHRP，NHRP即下一跳解析協(xié)議，由IETF在RFC 2332中定義，提供了非廣播多路訪問網(wǎng)絡上的源分支獲取到達目標分支的“下一跳”的互聯(lián)網(wǎng)絡層地址和NBMA子網(wǎng)地址的方法。NHRP實現(xiàn)了網(wǎng)絡層隧道接口地址和公網(wǎng)IP地址之間的映射。NHRP基于客戶/服務器的結構，中心作為NHRP服務器，利用NHRP解決分支的動態(tài)地址問題，它維護著NHRP數(shù)據(jù)庫，為分支提供注冊和查詢服務。

2.3 分支到中心的動態(tài)隧道建立

DMVPN網(wǎng)絡中，在中心路由器上不必配置分支的GRE或IPSec的信息，可通過NHRP自動獲取有關信息，而在分支路由器上則必須依據(jù)中心路由器的外網(wǎng)公共IP地址和NHRP協(xié)議來配置GRE隧道，分支上需要靜態(tài)配置中心的隧道接口地址和公網(wǎng)IP之間的映射，當分支路由器加電啟動時，由運營商通過DHCP獲取IP地址，并自動建立IPSec加密的GRE隧道，通過NHRP向中心路由器注冊自己的外網(wǎng)端口IP地址，分支到中心的隧道一旦建立便持續(xù)存在。

2.4 分支到分支的動態(tài)隧道建立

中心路由器設置mGRE隧道端口的“下一跳”地址是目的分支隧道的端口地址。當源分支需要向目的分支傳遞數(shù)據(jù)包時，它利用NHRP來動態(tài)獲取目的分支IP地址。在這一過程中，中心路由器充當NHRP服務器的角色，響應分支路由器作為NHRP客戶端的請求，向源分支分配目標分支公網(wǎng)地址，可直接發(fā)起隧道連接訪問目標分支。這樣，兩個分支之間可以通過mGRE端口建立IPSec動態(tài)隧道，該隧道在預定義的時間內將自動拆除。

3 DMVPN技術的拓撲設計

3.1 DMVPN技術星形結構拓撲設計

DMVPN技術的原理可行，需要有相應的拓撲連接來支撐。DMVPN起初采用星形拓撲設計，除了中心為多點GRE 隧道外，所有分支均為普通點對點GRE隧道。分支間的流量都必須經(jīng)過中心轉發(fā)，但該DMVPN技術的優(yōu)勢就在于，增加分支不增加中心的配置，并且分支支持動態(tài)獲取IP地址。

3.2 DMVPN技術虛擬網(wǎng)狀拓撲設計

DMVPN 發(fā)展到第二階段，所有分支都采用mGRE 配置，功能大大提升，支持分支和分支間直接建立隧道，實現(xiàn)了虛擬網(wǎng)狀拓撲，真正實現(xiàn)了DMVPN的高擴展性。

3.3 DMVPN技術層次結構拓撲設計

本文主要討論單區(qū)域的DMVPN網(wǎng)絡拓撲結構設計。現(xiàn)在的DMVPN技術已實現(xiàn)層次化結構拓撲設計，主要運用于DMVPN技術的超大范圍部署，并且能夠實現(xiàn)不同區(qū)域的分支間直接建立隧道，使DMVPN技術實現(xiàn)了層次化部署，不同 DMVPN區(qū)域的分支必須經(jīng)過本區(qū)域的中心才能建立連接。

4 DMVPN技術的應用研究

4.1 DMVPN構建企業(yè)網(wǎng)的主要優(yōu)勢

基于DMVPN技術用于構建可擴展性的企業(yè)VPN網(wǎng)絡，支持分布式的應用程序，具備主要的優(yōu)勢[3]有：①只允許創(chuàng)建一個多點GRE隧道接口，一個單獨的IPSEC PROFILE，不需要CRYPTO MAP來處理分支的路由器，增加一個分支路由器不需要變化中心配置；②IPSEC封裝的自動初始化；③mGRE對等體原地址和目的地址用NHRP來解析；④支持分支路由器動態(tài)地址；⑤動態(tài)創(chuàng)建分支與分支之間的隧道，當分支需要發(fā)送信息給另一個分支時，會用NHRP協(xié)議到中心的NHRP數(shù)據(jù)庫查詢分支的真實IP地址，而后建立IPSEC隧道。

4.2 基于單中心的DMVPN網(wǎng)絡拓撲

對于單中心的DMVPN網(wǎng)絡架構來說，所有的分支都在一個DMVPN網(wǎng)絡內，在分支上只需要建立一個永久隧道和一個臨時隧道接口，分支路由器可通過靜態(tài)設置與中心通信，配置相對簡單，如圖1所示。

圖1 基于單中心的DMVPN網(wǎng)絡拓撲結構

4.3 基于雙中心的DMVPN網(wǎng)絡拓撲

雙中心的DMVPN網(wǎng)絡架構內有兩個中心，其中以一個中心為主，另一個中心為輔，構成一個區(qū)域的DMVPN技術的網(wǎng)絡。在每個分支上建立兩個隧道接口，與一個中心建立永久的IPSec隧道，也同時和另一個中心建立臨時的IPSec隧道。當分支訪問中心內部網(wǎng)絡時，可以利用兩個中心實現(xiàn)網(wǎng)絡帶寬的負載均衡，分支通過動態(tài)路由協(xié)議選擇與中心進行通信。當其中一個中心出現(xiàn)問題的時候，另外一個中心能夠接管所有流量，實現(xiàn) DMVPN 的高可用性，如圖2所示。

圖2 基于雙中心的DMVPN網(wǎng)絡拓撲結構

4.4 靜態(tài)和動態(tài)IP地址規(guī)劃

在DMVPN解決方案中，利用NHRP解決分支動態(tài)地址問題。DMVPN要求中心必須申請靜態(tài)的公共IP地址。對于中心和所有分支，需要設置支持mGRE隧道接口，所有隧道接口IP地址需要在同一網(wǎng)絡平面內。對于雙中心的DMVPN網(wǎng)絡，在中心上配置另外一臺中心的隧道接口地址和公網(wǎng)IP地址。在所有分支上需要配置中心的隧道接口地址和公網(wǎng)IP地址。中心之間、分支與中心之間建立起永久隧道連接，分支與分支之間可以根據(jù)需要建立起動態(tài)隧道連接。

4.5 動態(tài)路由協(xié)議的支持和實現(xiàn)

4.5.1 動態(tài)路由協(xié)議的支持

DMVPN是一個標準的mGRE OVER IPSEC VPN技術，支持在IPSec和mGRE隧道之上運行動態(tài)路由協(xié)議[4]。動態(tài)路由協(xié)議的主要目的是宣告隧道接口網(wǎng)絡和分支私有網(wǎng)絡。目前，DMVPN技術支持的路由協(xié)議有RIP、EIGRP、OSPF和BGP等。

4.5.2 動態(tài)路由協(xié)議的實現(xiàn)

DMVPN網(wǎng)絡上運行RIP或EIGRP協(xié)議，必須關閉水平分割（split horizon）功能，否則，分支將無法學習到通往其他分支子網(wǎng)的路由。OSPF是鏈路狀態(tài)型路由協(xié)議，其本身就不存在水平分割（split horizon）問題，但必須把DMVPN的中心配置為OSPF的指定路由器（DR），這可通過指定中心路由器有更高的OSPF優(yōu)先權來實現(xiàn)。

4.6 DMVPN技術的適用場合

DMVPN可以和防火墻、IDS、IPS等技術結合使用。DMVPN技術適用于以下場合[5]：①中大型企業(yè)；②企業(yè)網(wǎng)的遠程備份；③VPN主要業(yè)務等。

5 結束語

DMVPN是一種以NHRP為核心的基于mGRE的IPSec VPN技術，具有高速高擴展性的特點，組網(wǎng)有簡易性、可靠性和低費用等優(yōu)點，成為構建現(xiàn)代高速安全企業(yè)網(wǎng)優(yōu)選的技術解決方案。DMVPN技術可進一步與MPLS VPN等技術融合，引領IP化趨勢的高效、高速、高可靠的新型“多網(wǎng)合一”[6]。相信DMVPN技術必將在未來的多網(wǎng)融合技術中得到更廣泛應用。

參考文獻：

[1] [美]Sean Convery.王迎春，謝琳，江魁譯.網(wǎng)絡安全體系結構[M].人民

郵電出版社，2005.

[2] 張恒軍.SSL VPN和IPSec VPN綜合分析[J].信息系統(tǒng)工程，

2009.11.

[3] Cisco. Dynamic Multipoint VPN （DMVPN） Design Guide

（Versionl.l） [R]，2008.10.

[4] Russ White，CCIE#2635，Don Slice， CCIE#1929，Alvaro Retana，

CCIE#1609著.夏俊杰譯.路由設計的優(yōu)化[M].人民郵電出版社，2013.

[5] 梁玉柱.基于DMVPN技術的廣域網(wǎng)設計和實現(xiàn)[J].信息系統(tǒng)工程，

2012.2.

[6] 鄭星宇.MPLS VPN與DMVPN技術的融合應用[J].中國有線電視，

2011.5.