基于分層DMVPN的雙核心架構企業網方案分析

楊柳

(上海行健職業學院，信息技術與機電工程系，上海 200072)

0 引言

隨著互聯網+的飛速發展，為超大型企業管理規模提供了有利的條件，公司的分支機構遍布全國乃至全球，各國分公司又有各地區子公司，隨著合作伙伴和客戶的不斷增加，企業、客戶、員工對數據安全傳輸和網絡高可用性的要求不斷提高。VPN(虛擬專用網)是企業用來構建跨區域安全網絡的常用技術[1]。IPSec VPN是使用最廣泛并且是最經典的保證VPN數據安全傳輸的技術方案，但它不支持動態路由，不適合企業級大規模部署架構。這里引入DMVPN，可以在物理上使用星型拓撲結構，實現虛擬的Full-mesh網狀連通性[2]，中心站點的一次配置可以應對分支站點的動態改變，適合超大型企業部署架構。本文設計了如圖1所示的企業網絡，模擬分層模式，基于第三階段DMVPN[2]的雙核心架構可實現公司內網間數據安全傳輸，同時在總公司內部采用HSRP技術實現出口網關冗余。分析并對比單個隧道云和分層隧道云的實現方法，提出當前主流企業網絡架構下最優的局域網安全傳輸方案。

1 雙核心架構設計

圖1為模擬超大型企業的網絡拓撲，HUB1、HUB11和Inside12構成公司總部，R2、R5和R6模擬互聯網，Spoke3和Spoke4模擬兩個分公司站點，Spoke3-7和Spoke3-8為Spoke3的兩個分公司站點，Spoke4-9和Spoke4-10為Spoke4的兩個分公司站點，因此形成分層模式，其中HUB1和HUB11為總公司雙核心站點，具體IP地址規劃如表1所示。

圖1 企業網絡拓撲圖

表1 IP地址規劃表

單個隧道云方案下隧道網絡為172.16.1.0/24，各出口站點的具體隧道地址與設備編號一致，如Spoke3的隧道地址為172.16.1.3/24,分層隧道云方案下總公司站點(HUB1、HUB11)與分公司站點(Spoke3、Spoke4)間的隧道網絡為172.16.1.0/24，分公司站點(Spoke3、Spoke4)與其各自分公司間的網絡隧道為172.16.2.0/24，同樣，具體隧道地址與設備編號一致，如Spoke4-9的隧道地址為172.16.2.9/24。

2 分層DMVPN技術

動態多點VPN(DMVPN)是為了應對傳統站點到站點IPSec VPN無法適合企業級大規模部署而提出的高擴展性解決方案。主要由mGRE、NHRP、動態路由協議和IPSec VPN四大關鍵技術結合而實現[3]，圖2為DMVPN的典型配置流程圖。DMVPN有3個發展階段，本文模擬的企業網絡符合第三階段DMVPN的層次化架構特征，但嚴格意義上并不屬于樹形架構。從目前互聯網應用實際來分析，總公司與各分公司間均會通過互聯網連通，所以拓撲中模擬出的各站點均連接到中間R2、R5和R6構成的互聯網中，符合當前主流企業網互聯方案。在此方案中可以選擇單個隧道云或者分層隧道云實現公司局域網間的數據安全傳輸，以下將分析兩種實現方法間的優劣，提出最優方案[4]。

圖2 DMVPN配置流程圖

2.1 公網暢通

實現局域網互聯的首要前提是公網暢通，因公網連通不屬于本文的關鍵性技術，故不做詳述。

2.2 mGRE隧道建立

mGRE是一種特殊的GRE技術，這種技術類似于多點幀中繼技術。處于同一個隧道云中的站點接口，處于同一個網段，通過隧道云可以實現站點間虛擬網狀連通性[2]。圖1所模擬的網絡在公網暢通的前提下可以使用單個云或者分層云的方法來建立隧道，單個隧道云的情況下，網絡可以簡化為如圖3(a)所示，總公司及各分公司出口站點均通過同一個隧道網絡連接。分層隧道云的情況下，網絡簡化如圖3(b)所示，總公司站點與分公司(Spoke3、Spoke4)之間建立mGRE1隧道，分公司(Spoke3、Spoke4)與其各自分公司間建立mGRE2隧道。

(a)單個隧道云拓撲圖

2.3 NHRP分析及配置

在各出口站點建立了隧道后，并不能立即實現隧道之間的連通，因為各站點的隧道地址尚未和公網地址進行一一對應，NHRP協議就是為了實現兩者的對應關系而設計的。第三階段DMVPN的NHRP處理流程參見文獻[2]。

2.3.1 雙核心站點NHRP分析

本文設計的企業網絡屬于層次化拓撲，需要實現不同分公司與分公司站點間直接建立隧道，且符合DMVPN第三階段特性，同時雙核心架構要求總公司兩個核心站點除了動態接受分公司的組播映射注冊外，還需要互相配置靜態映射。

2.3.2 分公司站點NHRP分析

Spoke3和Spoke4作為總公司雙核心站點的分公司，同時又作為其各自分公司的上級公司，NHRP配置不僅要設置總公司雙核心站點的靜態映射，還要接受其各自分公司的動態組播映射注冊，圖4為單個隧道云情況下分公司站點Spoke3的NHRP關鍵性配置。

圖4 Spoke3的NHRP關鍵配置

2.3.3 分公司的分公司站點NHRP分析

Spoke3和Spoke4的分公司，需要向其各自的上級公司站點注冊信息，為典型的第三階段DMVPN分支站點NHRP配置。

2.4 動態路由協議

通過2.3，分層模式的雙核心架構已實現隧道互通，接下來可使用動態路由協議通過mGRE隧道云來貫通總公司及各分公司的局域網[5]，在此選擇EIGRP協議，通告網絡時注意只能通告隧道網絡和局域網網絡，不能通告公網地址。由于第三階段DMVPN支持路由匯總，需要總公司站點向分公司發送匯總路由[6]，配置為ip summary-address eigrp 1 192.168.0.0/16。

2.5 IPSec實現

DMVPN也可以叫做mGRE over IPSec VPN，通過mGRE隧道和動態路由協議實現局域網互通后，最為關鍵的是使用IPSec保護數據流的安全。在此方案中，由于每個站點都需永久或動態的與其他站點建立VPN連接，所以IPSec VPN第一階段認證標識配置中VPN對等體采用通配符0.0.0.0 0.0.0.0，IPSec VPN采用傳輸模式。IPsec VPN的第二階段采用IPSec Profile的配置方式，只需設置轉換集，無需指定對等體和定義感興趣流[7-9]。

3 仿真測試

3.1 測試NHRP

各公司站點的NHRP初始映射信息在單個隧道云和多級隧道云情況下基本沒有區別，單個隧道云情況下分公司Spoke3的NHRP初始注冊信息如圖5所示，有HUB1和HUB11的靜態映射，同時Spoke3動態接收到其兩個分公司的注冊信息。分公司Spoke3-7的NHRP初始注冊信息只有Spoke3的靜態映射，當有通信需求時，通信發起端會向目標端動態注冊信息，最終每個站點都會學習到所有站的注冊信息，此時所有站點的隧道暢通。

圖5 Spoke3的NHRP初始注冊信息

3.2 局域網通信測試

通過動態路由協議配置將屬性調整完成后可實現所有站點局域網暢通[10]，但此時單個隧道云和分層隧道云情況下，通信過程卻有所區別，具體如下。

單個隧道云情況下具有NHRP初始注冊信息的站點間能夠直接通信，但NHRP服務器地址不同的站點間(如Spoke3-8與Spoke4-9間)不能直接連通，雙方均需要首先向對方所屬上級公司Spoke3和Spoke4站點發起通信需求，上級公司掌握到各自的NHRP信息后，各子公司間才能夠實現隧道完全暢通。

分層隧道云情況下所有站點局域網之間均可以直接通信。分層隧道云測試可知總公司核心站點能夠學習到所有分公司站點的明細路由。圖6為跟蹤分公司Spoke3-7與Spoke4-9的通信路徑，可以看到在分層隧道云的情況下，配置完成后各分公司局域網間便可以實現完全暢通，并且初始通信是通過總公司核心站點轉發，后續通信為雙方直接通信。圖7跟蹤分公司Spoke3與總公司內部局域網的通信路徑，可以看到流量分別通過HUB1和HUB11到達目標，實現了負載均衡,當其中一個站點出現故障時，另一個站點可以獨自承擔所有通信流量，不影響正常通信。

圖6 分公司間局域網連通性測試

圖7 跟蹤Spoke3到Inside12的通信路徑

3.3 DMVPN狀態測試

根據2.5節分析，所有經過隧道的通信流量都會被加密傳輸，圖8為部分第二階段安全關聯情況。

圖8 Spoke4-9 IPSec VPN的IPSec SA

4 總結

本文根據目前行業現狀和互聯網實際應用模擬出大規模企業分層網絡架構，通過仿真對比分析了使用DMVPN技術不同規劃方法實施局域網連通的優劣，分析本方案主要有以下幾方面特點。

4.1 符合主流互聯網架構

此網絡架構屬于第三階段DMVPN的層次化結構，但嚴格意義上不屬于樹形結構，互聯網的飛速發展使得大型企業的總部和各分公司之間都會通過互聯網連通[11]，所以本文模擬的網絡架構更符合主流應用實際。

4.2 對比2種mGRE規劃方法

對模擬企業網分別進行單個隧道云和分層隧道云規劃，對比其配置和驗證結果可知，單個隧道云結構和配置相對簡單，易于理解，但不同區域的分公司局域網之間的通信需要經過上層公司站點傳遞。分層隧道云雖然結構和配置相對復雜，但各分公司間能夠直接通信，更有利于超大型企業多級分公司架構部署。

4.3 簡化的配置和維護工作

此方案不僅解決了分層模式下的局域網絡通信問題，并將總公司核心站點的壓力分解給各分公司，進行區域化管理，實現了總公司核心站點的一次配置即可應對各分公司及其子公司變化的目的。

4.4 避免單點故障

雙核心架構實現了總公司出口站點互相備份，對總公司內部可采用HSRP技術實現網關冗余[12]。如果兩核心站點同時正常工作，可實現各站點局域網傳輸流量負載均衡，當有任何一個站點出現故障，另一個站點負責承載所有流量，不影響正常的網絡通信，所以此雙核心架構不僅是對于總公司內部向分公司還是分公司向總公司的通信都避免了單點故障。