基于DMVPN接入地震行業(yè)網(wǎng)絡(luò)設(shè)計(jì)

金 鵬 孫慶文 李永紅 楊玉永 李希亮

（中國濟(jì)南 250014 山東省地震局）

0 引言

山東省內(nèi)郯廬、聊考兩大地震帶縱貫?zāi)媳保嗌健澈嗔褞г诎雿u北部沿海通過，南黃海地震帶分布于半島東南近海海域，具有發(fā)生中強(qiáng)以上地震的地質(zhì)構(gòu)造背景。因此，山東省地震局著力于地震監(jiān)測手段的提升完善，不斷加強(qiáng)地震群測群防活動的開展，穩(wěn)步推進(jìn)地震行業(yè)網(wǎng)絡(luò)的全面建設(shè)（劉敏，2012）。

在地震行業(yè)網(wǎng)絡(luò)運(yùn)行經(jīng)費(fèi)有限的情況下，縣級地震臺網(wǎng)采取多種地震行業(yè)網(wǎng)絡(luò)接入方式：基于SDH專線接入、基于MPLSVPN接入、基于聯(lián)通3G無線網(wǎng)絡(luò)接入、基于DMVPN接入。其中基于DMVPN接入方式部署范圍最廣，目前已有37個(gè)縣級臺網(wǎng) （金鵬，2011，2012）采用。

1 DMVPN簡介

動態(tài)多點(diǎn)VPN（DMVPN），使用IPSec加密的多點(diǎn)GRE（mGRE）隧道和下一跳解析協(xié)議（NHRP）來實(shí)現(xiàn)一個(gè)具有擴(kuò)展功能的L2L網(wǎng)絡(luò)。其中，主要涉及3個(gè)網(wǎng)絡(luò)協(xié)議：IPSec協(xié)議、GRE協(xié)議、NHRP協(xié)議。

在DMVPN中，利用IPSec實(shí)現(xiàn)加密功能，利用GRE或mGRE建立隧道，利用NHRP解決分支節(jié)點(diǎn)的動態(tài)地址問題。DMVPN只要求中心節(jié)點(diǎn)必須申請靜態(tài)的公共IP地址 （Wei Luo, Carlos Pignataro，2006） 。

1.1 IPSec協(xié)議

IPSec（Internet Protocol Security）基于端對端的安全模式，在源IP地址和目標(biāo)IP地址之間建立信任和安全。IPSec協(xié)議不是一個(gè)單獨(dú)的協(xié)議，給出應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，規(guī)定如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供訪問控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。

1.2 GRE協(xié)議

GRE（Generic Routing Encapsulation） 定義了在任意一種網(wǎng)絡(luò)層協(xié)議上封裝其他網(wǎng)絡(luò)層協(xié)議的協(xié)議。GRE采用Tunnel（隧道）技術(shù)，是VPN（Virtual Private Network）的第3層隧道協(xié)議。Tunnel 是一個(gè)虛擬的點(diǎn)對點(diǎn)連接，提供一條通路使封裝的數(shù)據(jù)報(bào)文能夠在此通路上傳輸，并且在一個(gè)Tunnel 的兩端分別對數(shù)據(jù)報(bào)進(jìn)行封裝及解封裝。

1.3 NHRP協(xié)議

NHRP（Next Hop Resolution Protocol） 用于連接到非廣播多路訪問 （NBMA）式子網(wǎng)絡(luò)源站，決定到達(dá)目標(biāo)站間的NBMA下一跳的互聯(lián)網(wǎng)絡(luò)層地址和NBMA子網(wǎng)地址。如果目的地與NBMA子網(wǎng)連接，NBMA下一跳就是目標(biāo)站；否則，NBMA下一跳是從NBMA子網(wǎng)到目標(biāo)站最近的出口路由器。

2 DMVPN的主要優(yōu)勢

實(shí)現(xiàn)VPN的方式有很多，如PPTP（Point to Point Tunneling Protocol點(diǎn)對點(diǎn)隧道協(xié)議）、L2TP（Layer 2 Tunneling Protocol第 2 層 隧 道 協(xié) 議 ）、DVPN（Dynamic Virtual Private Network“華為/H3C”動態(tài)VPN）等，相較于其他方式，DMVPN的主要優(yōu)勢有以下4點(diǎn)。

2.1 中心路由器配置減少

在DMVPN中，中心站點(diǎn)路由器（HUB_R）配置單個(gè)mGRE隧道接口、單個(gè)IPSec配置文件，而無需加密訪問列表來處理所有分支站點(diǎn)路由器（SPOKE_R）。這樣，即使有新的分支站點(diǎn)路由器添加到網(wǎng)絡(luò)中，在中心路由器上的配置也可以保持相對穩(wěn)定。

2.2 自動IPSec加密啟動

IPSec為點(diǎn)對點(diǎn)GRE隧道，或者通過mGRE隧道中的NHRP協(xié)議得到的GRE隧道Peer地址立即啟動IPSec自動加密。

2.3 分支站點(diǎn)路由器支持動態(tài)地址

在DMVPN中，中心站點(diǎn)路由器可以動態(tài)識別分支站點(diǎn)路由器的接口地址，允許分支站點(diǎn)路由器使用動態(tài)物理接口地址。而其他方式的VPN，路由器的接口地址一般是靜態(tài)的。

2.4 分支到分支（Spoke-to-Spoke）隧道的動態(tài)建立

源分支站點(diǎn)路由器可以使用NHRP協(xié)議動態(tài)確定目標(biāo)分支路由器的地址，在兩個(gè)分支站點(diǎn)路由器之間動態(tài)建立一個(gè)IPSec隧道，直接傳輸數(shù)據(jù)。

3 地震行業(yè)網(wǎng)絡(luò)設(shè)計(jì)

DMVPN使用星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)，流過兩臺DMVPN路由器之間的流量通過GRE隧道發(fā)送，IPSec用于保護(hù)IPSec對等設(shè)備之間的GRE數(shù)據(jù)包，對于一臺分支站點(diǎn)的設(shè)備，如果目標(biāo)位于另一分支站點(diǎn)，通過NHRP，可以學(xué)習(xí)該條路由信息，直接和遠(yuǎn)程分支站點(diǎn)建立連接 （Richard Deal et al，2007） 。網(wǎng)絡(luò)拓?fù)湟妶D 1。

圖1 基于DMVPN接入地震行業(yè)網(wǎng)Fig.1 Seismic network based on DMVPN

3.1 DMVPN中心站點(diǎn)配置

DMVPN在中心站點(diǎn)路由器上需要配置以下命令

HUB_R（config）#crypto ipsec profile profile_name

HUB_R（ipsec-profile）#set transform-set transform_set_name

HUB_R（config）#interface tunnel tunnel_#

HUB_R（config-if）#ip address 10.37.X.Y 255.255.255.0

HUB_R（config-if）#ip mtu 1436

HUB_R（config-if）#tunnel source 123.232.X.Y 255.255.255.224

HUB_R（config-if）#tunnel mode gre multipoint

HUB_R（config-if）#tunnel key key

HUB_R（config-if）#tunnel protection ipsec profile profile_name

HUB_R（config-if）#ip nhrp network-id network_identifier

HUB_R（config-if）#ip nhrp authentication string

HUB_R（config-if）#ip nhrp map multicast dynamic

HUB_R（config-if）#ip nhrp holdtime seconds

使用crypto ipsec profile命令建立一個(gè)IPSec配置文件來保護(hù)GRE隧道的流量，并在隧道接口上使用tunnel protection ipsec profile命令激活；為了防止碎片產(chǎn)生，使用ip mtu命令，將GRE接口的MTU設(shè)置為1 436字節(jié)；使用tunnel mode gre multipoint命令，將連接模式指定為多點(diǎn)；使用ip nhrp命令組獲得分支站點(diǎn)的動態(tài)地址。

3.2 DMVPN分支站點(diǎn)的配置

DMVPN在分支站點(diǎn)路由器上需要配置以下命令。

SPOKE_R（config）#crypto ipsec profile profile_name

SPOKE_R（ipsec-profile）#set transform-set transform_set_name

SPOKE_R（config）#interface tunnel tunnel_#

SPOKE_R（config-if）#ip address 10.37.X.Y 255.255.255.0

SPOKE_R（config-if）#ip mtu 1436

SPOKE_R（config-if）#tunnel source source

SPOKE_R（config-if）#tunnel mode gre multipoint

SPOKE_R（config-if）#tunnel key key

SPOKE_R（config-if）#tunnel protection ipsec profile profile_name

SPOKE_R（config-if）#ip nhrp network-id network_identifier

SPOKE_R（config-if）#ip nhrp authentication string

SPOKE_R（config-if）#ip nhrp map 10.37.X.Y 123.232.X.Y

SPOKE_R（config-if）#ip nhrp map multicast 123.232.X.Y

SPOKE_R（config-if）#ip nhrp nhs 10.37.X.Y

SPOKE_R（config-if）#ip nhrp holdtime seconds

分支站點(diǎn)的配置類似于中心站點(diǎn)配置。使用tunnel mode gre multipoint命令，建立到其他分支站點(diǎn)設(shè)備的連接；在隧道接口上，使用ip nhrp map命令，映射中心站點(diǎn)外部接口地址，其中10.37.X.Y為中心站點(diǎn)隧道的接口地址，123.232.X.Y為中心站點(diǎn)的公網(wǎng)接口地址；使用ip nhrp nhs命令宣告分支站點(diǎn)下一跳服務(wù)器。

4 結(jié)束語

利用DMVPN，已在山東省部署37個(gè)縣級地震臺網(wǎng)。作為一種向市縣拓展延伸地震行業(yè)網(wǎng)絡(luò)的手段，DMVPN是一種經(jīng)濟(jì)的互聯(lián)方式。SDH專線、MPLSVPN、3G、DMVPN之間靈活合理的配合使用，將為地震行業(yè)網(wǎng)絡(luò)的發(fā)展和應(yīng)用提供經(jīng)濟(jì)、有效的互聯(lián)基礎(chǔ)。

金鵬. 淺析3G技術(shù)在地震行業(yè)網(wǎng)絡(luò)中的應(yīng)用[J]. 地震地磁觀測與研究，2011，32：112-115.

金鵬. 基于MPLS VPN技術(shù)的地震行業(yè)網(wǎng)[J]. 地震地磁觀測與研究，2012，34：265-268.

劉敏. 山東省地震群測群防體系建立及發(fā)展[J]. 國際地震動態(tài)，2012，3：22-27.

Richard Deal， 姚軍玲. Cisco VPN完全配置指南[M]. 北京： 人民郵電出版社， 2007.

Wei Luo， Carlos Pignataro et al. 第二層VPN體系結(jié)構(gòu)[M]. 北京：人民郵電出版社， 2006.