DMVPN技术在企业网中的应用研究
中图分类号:TP393 文献标志码:A 文章编号:1006-8228(2014)10-32-03
Application research of DMVPN technology in enterprise network
Huang Hongjie
(Fujian Vocational College of Agriculture Information Technology Department, Fuzhou, Fujian 350119, China)
Abstract: The current corporate security communication of headquarters and branch mainly use IPSec or SSL VPN for data transmission on the Internet. The development process of DMVPN technology is introduced, from traditional IPSEC VPN technology evolved into IPSEC VPN network of GRE-based technology, to the development DMVPN network of the mGRE-based technology. The basic principle and topology design which takes NHRP as the core of the DMVPN technology are discussed. The application of DMVPN technology in the enterprise network is elaborated, using DMVPN technology based on single or double center, static and dynamic IP address planning. It provides dynamic routing protocol support.
Key words: IPSEC; DMVPN; mGRE; NHRP
0 引言
企业希望通过公网安全地将各地的分支与中心联系起来,构成星型拓扑结构网络,并通过IPSec隧道来保证内部通讯的安全。但大多数企业的数据集中在中心,如果两个分支通信,则要通过中心,这样就造成了较大的网络时延。尤其在视频、语音通信中,这种时延影响了企业网络的正常运行[1]。DMVPN技术的出现,为企业解决了这方面的难题,DMVPN是一种基于mGRE的集高速高扩展性的IPSec VPN技术。
1 DMVPN技术的发展过程
1.1 基于传统的IPSEC VPN网络
传统的IPSec VPN网络一般通过共享密钥在通信两端进行数据加密,其隧道是点到点的加密集合,该网络的组织形式可以是星形结构或网状结构[2]。星形拓扑的IPSec VPN是一种安全可靠的网络,但不适合在有大量分支的网络中部署;网状结构的所有分支之间都要直接连接,但客户端需要维护的IPSEC SA过多,IPSEC VPN配置过于复杂,需要每一个分支拥有固定IP地址。
1.2 基于GRE的IPSec VPN网络
通用路由封装(GRE)与IPSec绑定,使GRE隧道一旦建立,将立刻触发IPSec加密。基于GRE的IPSec VPN隧道配置包括了对端的地址,即IPSec隧道的对端地址,则不用为IPSec定义匹配的访问控制列表。这样,可利用动态路由协议在加密隧道两端的路由器上更新路由表,隧道任何一端的网络发生变化,另外一端都会动态地学习到这个变化,并保持网络的连通性而无需改变路由器的配置。
1.3 DMVPN技术网络的诞生
为了解决IPSec VPN的高扩展性难题,思科提出了动态多点虚拟专网技术,即Dynamic Multipoint VPN(DMVPN)。DMVPN是一种基于mGRE的IPSEC VPN技术, IPSec是对mGRE流量进行加密,根据NHRP和动态路由协议建立起来的保护网络间的临时隧道。DMVPN技术的关键组件和特点包括:①多点GRE隧道接口,使得单一的GRE接口可以支持多个IPsec隧道且简化配置;②NHRP允许分支采用动态IP地址,中心用于维护每个分支公网地址的NHRP数据库。
2 DMVPN技术的基本原理
2.1 多点mGRE隧道
GRE技术是点对点的隧道技术。mGRE是DMVPN重要的组成部分,是点对多点的GRE隧道技术,只需要指定源,并不需要指定目的。mGRE隧道技术中的每个分支只需配置一个mGRE隧道接口,这样,任何一个分支都能够和其他分支建立隧道连接,如有新的分支需要加入,其他分支都不需要再增加新的配置。
2.2 下一跳解析协议NHRP
DMVPN的核心是NHRP,NHRP即下一跳解析协议,由IETF在RFC 2332中定义,提供了非广播多路访问网络上的源分支获取到达目标分支的“下一跳”的互联网络层地址和NBMA子网地址的方法。NHRP实现了网络层隧道接口地址和公网IP地址之间的映射。NHRP基于客户/服务器的结构,中心作为NHRP服务器,利用NHRP解决分支的动态地址问题,它维护着NHRP数据库,为分支提供注册和查询服务。 2.3 分支到中心的动态隧道建立
DMVPN网络中,在中心路由器上不必配置分支的GRE或IPSec的信息,可通过NHRP自动获取有关信息,而在分支路由器上则必须依据中心路由器的外网公共IP地址和NHRP协议来配置GRE隧道,分支上需要静态配置中心的隧道接口地址和公网IP之间的映射,当分支路由器加电启动时,由运营商通过DHCP获取IP地址,并自动建立IPSec加密的GRE隧道,通过NHRP向中心路由器注册自己的外网端口IP地址,分支到中心的隧道一旦建立便持续存在。
2.4 分支到分支的动态隧道建立
中心路由器设置mGRE隧道端口的“下一跳”地址是目的分支隧道的端口地址。当源分支需要向目的分支传递数据包时,它利用NHRP来动态获取目的分支IP地址。在这一过程中,中心路由器充当NHRP服务器的角色,响应分支路由器作为NHRP客户端的请求,向源分支分配目标分支公网地址,可直接发起隧道连接访问目标分支。这样,两个分支之间可以通过mGRE端口建立IPSec动态隧道,该隧道在预定义的时间内将自动拆除。
3 DMVPN技术的拓扑设计
3.1 DMVPN技术星形结构拓扑设计
DMVPN技术的原理可行,需要有相应的拓扑连接来支撑。DMVPN起初采用星形拓扑设计,除了中心为多点GRE 隧道外,所有分支均为普通点对点GRE隧道。分支间的流量都必须经过中心转发,但该DMVPN技术的优势就在于,增加分支不增加中心的配置,并且分支支持动态获取IP地址。
3.2 DMVPN技术虚拟网状拓扑设计
DMVPN 发展到第二阶段,所有分支都采用mGRE 配置,功能大大提升,支持分支和分支间直接建立隧道,实现了虚拟网状拓扑,真正实现了DMVPN的高扩展性。
3.3 DMVPN技术层次结构拓扑设计
本文主要讨论单区域的DMVPN网络拓扑结构设计。现在的DMVPN技术已实现层次化结构拓扑设计,主要运用于DMVPN技术的超大范围部署,并且能够实现不同区域的分支间直接建立隧道,使DMVPN技术实现了层次化部署,不同 DMVPN区域的分支必须经过本区域的中心才能建立连接。
4 DMVPN技术的应用研究
4.1 DMVPN构建企业网的主要优势
基于DMVPN技术用于构建可扩展性的企业VPN网络,支持分布式的应用程序,具备主要的优势[3]有:①只允许创建一个多点GRE隧道接口,一个单独的IPSEC PROFILE,不需要CRYPTO MAP来处理分支的路由器,增加一个分支路由器不需要变化中心配置;②IPSEC封装的自动初始化;③mGRE对等体原地址和目的地址用NHRP来解析;④支持分支路由器动态地址;⑤动态创建分支与分支之间的隧道,当分支需要发送信息给另一个分支时,会用NHRP协议到中心的NHRP数据库查询分支的真实IP地址,而后建立IPSEC隧道。
4.2 基于单中心的DMVPN网络拓扑
对于单中心的DMVPN网络架构来说,所有的分支都在一个DMVPN网络内,在分支上只需要建立一个永久隧道和一个临时隧道接口,分支路由器可通过静态设置与中心通信,配置相对简单,如图1所示。
图1 基于单中心的DMVPN网络拓扑结构
4.3 基于双中心的DMVPN网络拓扑
双中心的DMVPN网络架构内有两个中心,其中以一个中心为主,另一个中心为辅,构成一个区域的DMVPN技术的网络。在每个分支上建立两个隧道接口,与一个中心建立永久的IPSec隧道,也同时和另一个中心建立临时的IPSec隧道。当分支访问中心内部网络时,可以利用两个中心实现网络带宽的负载均衡,分支通过动态路由协议选择与中心进行通信。当其中一个中心出现问题的时候,另外一个中心能够接管所有流量,实现 DMVPN 的高可用性,如图2所示。
图2 基于双中心的DMVPN网络拓扑结构
4.4 静态和动态IP地址规划
在DMVPN解决方案中,利用NHRP解决分支动态地址问题。DMVPN要求中心必须申请静态的公共IP地址。对于中心和所有分支,需要设置支持mGRE隧道接口,所有隧道接口IP地址需要在同一网络平面内。对于双中心的DMVPN网络,在中心上配置另外一台中心的隧道接口地址和公网IP地址。在所有分支上需要配置中心的隧道接口地址和公网IP地址。中心之间、分支与中心之间建立起永久隧道连接,分支与分支之间可以根据需要建立起动态隧道连接。
4.5 动态路由协议的支持和实现
4.5.1 动态路由协议的支持
DMVPN是一个标准的mGRE OVER IPSEC VPN技术,支持在IPSec和mGRE隧道之上运行动态路由协议[4]。动态路由协议的主要目的是宣告隧道接口网络和分支私有网络。目前,DMVPN技术支持的路由协议有RIP、EIGRP、OSPF和BGP等。
4.5.2 动态路由协议的实现
DMVPN网络上运行RIP或EIGRP协议,必须关闭水平分割(split horizon)功能,否则,分支将无法学习到通往其他分支子网的路由。OSPF是链路状态型路由协议,其本身就不存在水平分割(split horizon)问题,但必须把DMVPN的中心配置为OSPF的指定路由器(DR),这可通过指定中心路由器有更高的OSPF优先权来实现。
4.6 DMVPN技术的适用场合
DMVPN可以和防火墙、IDS、IPS等技术结合使用。DMVPN技术适用于以下场合[5]:①中大型企业;②企业网的远程备份;③VPN主要业务等。
5 结束语
DMVPN是一种以NHRP为核心的基于mGRE的IPSec VPN技术,具有高速高扩展性的特点,组网有简易性、可靠性和低费用等优点,成为构建现代高速安全企业网优选的技术解决方案。DMVPN技术可进一步与MPLS VPN等技术融合,引领IP化趋势的高效、高速、高可靠的新型“多网合一”[6]。相信DMVPN技术必将在未来的多网融合技术中得到更广泛应用。
