DMVPN技術(shù)在企業(yè)網(wǎng)中的應(yīng)用研究

黃宏杰

摘 要： 目前企業(yè)中心與分支的安全通信主要利用IPSec或SSL VPN在因特網(wǎng)上進(jìn)行數(shù)據(jù)傳輸。介紹了DMVPN技術(shù)的發(fā)展過程，從傳統(tǒng)的IPSEC VPN技術(shù)演變?yōu)榛贕RE技術(shù)的IPSEC VPN網(wǎng)絡(luò)，發(fā)展到基于mGRE技術(shù)的DMVPN網(wǎng)絡(luò)；深入探討了以NHRP為核心的DMVPN技術(shù)的基本原理和拓?fù)湓O(shè)計的實現(xiàn)；論述了DMVPN技術(shù)在企業(yè)網(wǎng)中的應(yīng)用。采用基于單或雙中心的DMVPN技術(shù)進(jìn)行了靜態(tài)和動態(tài)IP地址規(guī)劃，并提供動態(tài)路由協(xié)議支持。

關(guān)鍵詞： 互聯(lián)網(wǎng)安全協(xié)議； 動態(tài)多點虛擬專網(wǎng)； 多點通用路由封裝； 下一跳解析協(xié)議

中圖分類號：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2014）10-32-03

Application research of DMVPN technology in enterprise network

Huang Hongjie

（Fujian Vocational College of Agriculture Information Technology Department， Fuzhou， Fujian 350119， China）

Abstract： The current corporate security communication of headquarters and branch mainly use IPSec or SSL VPN for data transmission on the Internet. The development process of DMVPN technology is introduced， from traditional IPSEC VPN technology evolved into IPSEC VPN network of GRE-based technology， to the development DMVPN network of the mGRE-based technology. The basic principle and topology design which takes NHRP as the core of the DMVPN technology are discussed. The application of DMVPN technology in the enterprise network is elaborated， using DMVPN technology based on single or double center， static and dynamic IP address planning. It provides dynamic routing protocol support.

Key words： IPSEC； DMVPN； mGRE； NHRP

0 引言

企業(yè)希望通過公網(wǎng)安全地將各地的分支與中心聯(lián)系起來，構(gòu)成星型拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)，并通過IPSec隧道來保證內(nèi)部通訊的安全。但大多數(shù)企業(yè)的數(shù)據(jù)集中在中心，如果兩個分支通信，則要通過中心，這樣就造成了較大的網(wǎng)絡(luò)時延。尤其在視頻、語音通信中，這種時延影響了企業(yè)網(wǎng)絡(luò)的正常運(yùn)行[1]。DMVPN技術(shù)的出現(xiàn)，為企業(yè)解決了這方面的難題，DMVPN是一種基于mGRE的集高速高擴(kuò)展性的IPSec VPN技術(shù)。

1 DMVPN技術(shù)的發(fā)展過程

1.1 基于傳統(tǒng)的IPSEC VPN網(wǎng)絡(luò)

傳統(tǒng)的IPSec VPN網(wǎng)絡(luò)一般通過共享密鑰在通信兩端進(jìn)行數(shù)據(jù)加密，其隧道是點到點的加密集合，該網(wǎng)絡(luò)的組織形式可以是星形結(jié)構(gòu)或網(wǎng)狀結(jié)構(gòu)[2]。星形拓?fù)涞腎PSec VPN是一種安全可靠的網(wǎng)絡(luò)，但不適合在有大量分支的網(wǎng)絡(luò)中部署；網(wǎng)狀結(jié)構(gòu)的所有分支之間都要直接連接，但客戶端需要維護(hù)的IPSEC SA過多，IPSEC VPN配置過于復(fù)雜，需要每一個分支擁有固定IP地址。

1.2 基于GRE的IPSec VPN網(wǎng)絡(luò)

通用路由封裝（GRE）與IPSec綁定，使GRE隧道一旦建立，將立刻觸發(fā)IPSec加密。基于GRE的IPSec VPN隧道配置包括了對端的地址，即IPSec隧道的對端地址，則不用為IPSec定義匹配的訪問控制列表。這樣，可利用動態(tài)路由協(xié)議在加密隧道兩端的路由器上更新路由表，隧道任何一端的網(wǎng)絡(luò)發(fā)生變化，另外一端都會動態(tài)地學(xué)習(xí)到這個變化，并保持網(wǎng)絡(luò)的連通性而無需改變路由器的配置。

1.3 DMVPN技術(shù)網(wǎng)絡(luò)的誕生

為了解決IPSec VPN的高擴(kuò)展性難題，思科提出了動態(tài)多點虛擬專網(wǎng)技術(shù)，即Dynamic Multipoint VPN（DMVPN）。DMVPN是一種基于mGRE的IPSEC VPN技術(shù)， IPSec是對mGRE流量進(jìn)行加密，根據(jù)NHRP和動態(tài)路由協(xié)議建立起來的保護(hù)網(wǎng)絡(luò)間的臨時隧道。DMVPN技術(shù)的關(guān)鍵組件和特點包括：①多點GRE隧道接口，使得單一的GRE接口可以支持多個IPsec隧道且簡化配置；②NHRP允許分支采用動態(tài)IP地址，中心用于維護(hù)每個分支公網(wǎng)地址的NHRP數(shù)據(jù)庫。

2 DMVPN技術(shù)的基本原理

2.1 多點mGRE隧道

GRE技術(shù)是點對點的隧道技術(shù)。mGRE是DMVPN重要的組成部分，是點對多點的GRE隧道技術(shù)，只需要指定源，并不需要指定目的。mGRE隧道技術(shù)中的每個分支只需配置一個mGRE隧道接口，這樣，任何一個分支都能夠和其他分支建立隧道連接，如有新的分支需要加入，其他分支都不需要再增加新的配置。

2.2 下一跳解析協(xié)議NHRP

DMVPN的核心是NHRP，NHRP即下一跳解析協(xié)議，由IETF在RFC 2332中定義，提供了非廣播多路訪問網(wǎng)絡(luò)上的源分支獲取到達(dá)目標(biāo)分支的“下一跳”的互聯(lián)網(wǎng)絡(luò)層地址和NBMA子網(wǎng)地址的方法。NHRP實現(xiàn)了網(wǎng)絡(luò)層隧道接口地址和公網(wǎng)IP地址之間的映射。NHRP基于客戶/服務(wù)器的結(jié)構(gòu)，中心作為NHRP服務(wù)器，利用NHRP解決分支的動態(tài)地址問題，它維護(hù)著NHRP數(shù)據(jù)庫，為分支提供注冊和查詢服務(wù)。

2.3 分支到中心的動態(tài)隧道建立

DMVPN網(wǎng)絡(luò)中，在中心路由器上不必配置分支的GRE或IPSec的信息，可通過NHRP自動獲取有關(guān)信息，而在分支路由器上則必須依據(jù)中心路由器的外網(wǎng)公共IP地址和NHRP協(xié)議來配置GRE隧道，分支上需要靜態(tài)配置中心的隧道接口地址和公網(wǎng)IP之間的映射，當(dāng)分支路由器加電啟動時，由運(yùn)營商通過DHCP獲取IP地址，并自動建立IPSec加密的GRE隧道，通過NHRP向中心路由器注冊自己的外網(wǎng)端口IP地址，分支到中心的隧道一旦建立便持續(xù)存在。

2.4 分支到分支的動態(tài)隧道建立

中心路由器設(shè)置mGRE隧道端口的“下一跳”地址是目的分支隧道的端口地址。當(dāng)源分支需要向目的分支傳遞數(shù)據(jù)包時，它利用NHRP來動態(tài)獲取目的分支IP地址。在這一過程中，中心路由器充當(dāng)NHRP服務(wù)器的角色，響應(yīng)分支路由器作為NHRP客戶端的請求，向源分支分配目標(biāo)分支公網(wǎng)地址，可直接發(fā)起隧道連接訪問目標(biāo)分支。這樣，兩個分支之間可以通過mGRE端口建立IPSec動態(tài)隧道，該隧道在預(yù)定義的時間內(nèi)將自動拆除。

3 DMVPN技術(shù)的拓?fù)湓O(shè)計

3.1 DMVPN技術(shù)星形結(jié)構(gòu)拓?fù)湓O(shè)計

DMVPN技術(shù)的原理可行，需要有相應(yīng)的拓?fù)溥B接來支撐。DMVPN起初采用星形拓?fù)湓O(shè)計，除了中心為多點GRE 隧道外，所有分支均為普通點對點GRE隧道。分支間的流量都必須經(jīng)過中心轉(zhuǎn)發(fā)，但該DMVPN技術(shù)的優(yōu)勢就在于，增加分支不增加中心的配置，并且分支支持動態(tài)獲取IP地址。

3.2 DMVPN技術(shù)虛擬網(wǎng)狀拓?fù)湓O(shè)計

DMVPN 發(fā)展到第二階段，所有分支都采用mGRE 配置，功能大大提升，支持分支和分支間直接建立隧道，實現(xiàn)了虛擬網(wǎng)狀拓?fù)洌嬲龑崿F(xiàn)了DMVPN的高擴(kuò)展性。

3.3 DMVPN技術(shù)層次結(jié)構(gòu)拓?fù)湓O(shè)計

本文主要討論單區(qū)域的DMVPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計。現(xiàn)在的DMVPN技術(shù)已實現(xiàn)層次化結(jié)構(gòu)拓?fù)湓O(shè)計，主要運(yùn)用于DMVPN技術(shù)的超大范圍部署，并且能夠?qū)崿F(xiàn)不同區(qū)域的分支間直接建立隧道，使DMVPN技術(shù)實現(xiàn)了層次化部署，不同 DMVPN區(qū)域的分支必須經(jīng)過本區(qū)域的中心才能建立連接。

4 DMVPN技術(shù)的應(yīng)用研究

4.1 DMVPN構(gòu)建企業(yè)網(wǎng)的主要優(yōu)勢

基于DMVPN技術(shù)用于構(gòu)建可擴(kuò)展性的企業(yè)VPN網(wǎng)絡(luò)，支持分布式的應(yīng)用程序，具備主要的優(yōu)勢[3]有：①只允許創(chuàng)建一個多點GRE隧道接口，一個單獨(dú)的IPSEC PROFILE，不需要CRYPTO MAP來處理分支的路由器，增加一個分支路由器不需要變化中心配置；②IPSEC封裝的自動初始化；③mGRE對等體原地址和目的地址用NHRP來解析；④支持分支路由器動態(tài)地址；⑤動態(tài)創(chuàng)建分支與分支之間的隧道，當(dāng)分支需要發(fā)送信息給另一個分支時，會用NHRP協(xié)議到中心的NHRP數(shù)據(jù)庫查詢分支的真實IP地址，而后建立IPSEC隧道。

4.2 基于單中心的DMVPN網(wǎng)絡(luò)拓?fù)?/p>

對于單中心的DMVPN網(wǎng)絡(luò)架構(gòu)來說，所有的分支都在一個DMVPN網(wǎng)絡(luò)內(nèi)，在分支上只需要建立一個永久隧道和一個臨時隧道接口，分支路由器可通過靜態(tài)設(shè)置與中心通信，配置相對簡單，如圖1所示。

圖1 基于單中心的DMVPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

4.3 基于雙中心的DMVPN網(wǎng)絡(luò)拓?fù)?/p>

雙中心的DMVPN網(wǎng)絡(luò)架構(gòu)內(nèi)有兩個中心，其中以一個中心為主，另一個中心為輔，構(gòu)成一個區(qū)域的DMVPN技術(shù)的網(wǎng)絡(luò)。在每個分支上建立兩個隧道接口，與一個中心建立永久的IPSec隧道，也同時和另一個中心建立臨時的IPSec隧道。當(dāng)分支訪問中心內(nèi)部網(wǎng)絡(luò)時，可以利用兩個中心實現(xiàn)網(wǎng)絡(luò)帶寬的負(fù)載均衡，分支通過動態(tài)路由協(xié)議選擇與中心進(jìn)行通信。當(dāng)其中一個中心出現(xiàn)問題的時候，另外一個中心能夠接管所有流量，實現(xiàn) DMVPN 的高可用性，如圖2所示。

圖2 基于雙中心的DMVPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

4.4 靜態(tài)和動態(tài)IP地址規(guī)劃

在DMVPN解決方案中，利用NHRP解決分支動態(tài)地址問題。DMVPN要求中心必須申請靜態(tài)的公共IP地址。對于中心和所有分支，需要設(shè)置支持mGRE隧道接口，所有隧道接口IP地址需要在同一網(wǎng)絡(luò)平面內(nèi)。對于雙中心的DMVPN網(wǎng)絡(luò)，在中心上配置另外一臺中心的隧道接口地址和公網(wǎng)IP地址。在所有分支上需要配置中心的隧道接口地址和公網(wǎng)IP地址。中心之間、分支與中心之間建立起永久隧道連接，分支與分支之間可以根據(jù)需要建立起動態(tài)隧道連接。

4.5 動態(tài)路由協(xié)議的支持和實現(xiàn)

4.5.1 動態(tài)路由協(xié)議的支持

DMVPN是一個標(biāo)準(zhǔn)的mGRE OVER IPSEC VPN技術(shù)，支持在IPSec和mGRE隧道之上運(yùn)行動態(tài)路由協(xié)議[4]。動態(tài)路由協(xié)議的主要目的是宣告隧道接口網(wǎng)絡(luò)和分支私有網(wǎng)絡(luò)。目前，DMVPN技術(shù)支持的路由協(xié)議有RIP、EIGRP、OSPF和BGP等。

4.5.2 動態(tài)路由協(xié)議的實現(xiàn)

DMVPN網(wǎng)絡(luò)上運(yùn)行RIP或EIGRP協(xié)議，必須關(guān)閉水平分割（split horizon）功能，否則，分支將無法學(xué)習(xí)到通往其他分支子網(wǎng)的路由。OSPF是鏈路狀態(tài)型路由協(xié)議，其本身就不存在水平分割（split horizon）問題，但必須把DMVPN的中心配置為OSPF的指定路由器（DR），這可通過指定中心路由器有更高的OSPF優(yōu)先權(quán)來實現(xiàn)。

4.6 DMVPN技術(shù)的適用場合

DMVPN可以和防火墻、IDS、IPS等技術(shù)結(jié)合使用。DMVPN技術(shù)適用于以下場合[5]：①中大型企業(yè)；②企業(yè)網(wǎng)的遠(yuǎn)程備份；③VPN主要業(yè)務(wù)等。

5 結(jié)束語

DMVPN是一種以NHRP為核心的基于mGRE的IPSec VPN技術(shù)，具有高速高擴(kuò)展性的特點，組網(wǎng)有簡易性、可靠性和低費(fèi)用等優(yōu)點，成為構(gòu)建現(xiàn)代高速安全企業(yè)網(wǎng)優(yōu)選的技術(shù)解決方案。DMVPN技術(shù)可進(jìn)一步與MPLS VPN等技術(shù)融合，引領(lǐng)IP化趨勢的高效、高速、高可靠的新型“多網(wǎng)合一”[6]。相信DMVPN技術(shù)必將在未來的多網(wǎng)融合技術(shù)中得到更廣泛應(yīng)用。

參考文獻(xiàn)：

[1] [美]Sean Convery.王迎春，謝琳，江魁譯.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].人民

郵電出版社，2005.

[2] 張恒軍.SSL VPN和IPSec VPN綜合分析[J].信息系統(tǒng)工程，

2009.11.

[3] Cisco. Dynamic Multipoint VPN （DMVPN） Design Guide

（Versionl.l） [R]，2008.10.

[4] Russ White，CCIE#2635，Don Slice， CCIE#1929，Alvaro Retana，

CCIE#1609著.夏俊杰譯.路由設(shè)計的優(yōu)化[M].人民郵電出版社，2013.

[5] 梁玉柱.基于DMVPN技術(shù)的廣域網(wǎng)設(shè)計和實現(xiàn)[J].信息系統(tǒng)工程，

2012.2.

[6] 鄭星宇.MPLS VPN與DMVPN技術(shù)的融合應(yīng)用[J].中國有線電視，

2011.5.