基于DMVPN技术的广域网设计和实现.doc

基于DMVPN技术的广域网设计和实现摘要：本文首先介绍了传统的IPSEC VPN技术，剖析了传统IPSEC VPN 存在的问题和不足之处，由此引入并深入探讨了DMVPN 技术原理以及它在构建广域网络方面的优势，结合作者在某跨国公司的实践，采用DMVPN技术设计并实现了一个双中心星形拓扑结构的广域网。关键词：广域网，IPSEC VPN，DMVPN，设计和实现引言 IPSec VPN 是一种以公共网络如因特网为基础，通过IPSec数据加密和认证等技术，在位于不同区域的两个局域网之间建立的安全通信网络。作为一种业界流行的企业广域网解决方案，与使用MPLS VPN或者帧中继专线构建的广域网相比，IPSec VPN可为企业节约大量的通讯费用。传统的IPSec 技术适合建立点到点的VPN网络，多个具有相同站点的点对点IPSec VPN网络，可构成以总部为中心的星型拓扑结构网络。大部分企业的IT服务器和数据库资源都集中在总部的数据中心，所以星形拓扑结构网络可满足多数企业应用的需要。当然，星形拓扑结构网络也有一定的缺陷，如果两个分支站点之间相互通信，则要通过中心站点，这样就造成了较大的网络时延，对中心站点的网络带宽资源也造成了不必要的浪费，一个极端的例子是位于同一个城市的两个分支站点，需要绕道通过异地的中心站点来进行通信，尤其是对于语音通信来说，分支站点之间的网络时延往往变得不可忍受。DMVPN技术的出现，使得我们可以构建一种具有全连接拓扑结构的网络，在分支站点之间可直接进行IPSEC 通信。1 传统的IPSec VPN 网络1.1 IPSec 安全协议框架IPSec工作在OSI参考模型的第三层：网络层。IPSec是一个安全协议框架，它的功能是进行数据源认证、保护数据的完整性和私密性，确保数据不是来源于第三方攻击者，确保数据不会被攻击者截获、读取和更改。IPSec协议总共有三个：因特网密钥交换协议IKE、安全封装协议ESP和认证头协议AH。 其中IKE用于IPSec 通信对等体安全联盟SA之间的认证和协商，确定对等体之间数据通信所采用的加密算法（DES或3DES）、Hash算法（SHA-1或MD5）和密钥算法等，用来保证密钥和数据的安全传送和交换。ESP和AH 提供数据源认证、数据完整性校验和报文防重放功能，但AH仅支持明文传送，不支持对IP 报文的加密操作，所以较少被采用；而ESP可支持对数据报文进行加密，防止数据在传送过程中被拦截和被破解。IPSec 本身具有隧道功能来构建VPN，也可与GRE隧道协议结合来构建VPN 网络。1.2 传统的IPSEC VPN 网络传统的IPSec VPN网络的特点是（1）利用访问控制列表ACL来定义哪些数据是需要被IPSec所保护的数据流，只有当数据报文与所定义的访问控制列表ACL相匹配时，才会建立IPSec加密隧道，每增加一个分支站点网络连接，都必须在中心站点上配置数据源地址、目的地址等信息，当网络规模越大，中心站点设备的管理和维护变得非常困难。（2）在建立IPSec VPN之前，需要知道对端的公网IP 地址，目前很多分支站点使用DSL 接入因特网，采用DHCP 动态获得IP地址，每次上线时所获得的IP 地址不是固定不变的，所以中心路由器无法根据该地址信息进行配置，从而限制了IPSec 的使用。（3）由于OSPF、RIP、EIGRP动态路由协议都通过组播或广播报文进行路由表的更新，而IPSec 不支持对组播和广播数据报文进行加密操作，这样就无法使用动态路由协议。1.3 基于GRE的IPSec VPN 网络通用路由封装协议GRE是一种位于网络层的协议，它提供了将一种协议例如IP或IPX的报文封装在另一种协议例如IP报文中的机制，使报文能够在异种协议网络中传输，而异种报文传输的通道称为隧道。IPSec不支持IP多播和广播，但我们可以把多播/广播报文封装在GRE报文中，然后采用IPSec进行加密，这样动态路由协议的路由更新报文就可以在IPSec VPN 网络上进行传送。与传统的IPSec 相比，基于GRE 的IPSec VPN可以使用EIGRP或OSPF 等动态路由协议进行路由更新，因此配置较为简单方便，但是由于点对点GRE隧道需要在通信双方设备上静态指定隧道源地址和目标地址，当增加新的站点时，仍需要在中心站点上增加相应的配置，由此带来的网络维护工作量仍然很大。2. DMVPN 技术原理为了解决传统IPSec VPN不利于大规模部署和维护的缺陷，CISCO公司提出了动态多点虚拟专网DMVPN技术，与传统IPSec VPN 一样，DMVPN采用IPSec 协议进行数据加密和认证，它的创新之处在于引入了多点通用路由封装协议mGRE和下一跳解析协议NHRP，成功消除了传统IPSec VPN的缺陷。这样做的好处是：（1）中心路由器不必配置任何分支站点的IP地址信息，大大简化了中心路由器的配置。（2)当DMVPN网络扩展时，无须改动中心路由器和其它分支路由器的配置。（3）对于分支站点来说，没有必要采用固定的IP地址，这样分支站点可采用DSL接入因特网。（4）分支站点和分支站点之间的通信可按照需要动态建立网络连接，无需通过中心站点，可以有效地支持语音等全连接的网络服务。2.1 多点mGR隧道多点mGRE隧道是对点对点GRE隧道的一种扩展，对于典型的NBMA非广播多路访问网络来说，如果使用点对点GRE隧道技术实现n个站点之间的通信，如果有每个站点必须手动建立n-1个点对点GRE隧道，如有新的分支站点需要加入，则必须对所有站点进行配置。而采用mGRE隧道技术，网络中的每个站点只需配置一个mGRE隧道接口，这样任何一个站点都能够和其他站点建立隧道连接，如有新的分支站点需要加入，其他站点都不需要再增加新的配置。2.2下一跳解析协议NHRPNHRP提供了NBMA网络上源站点获取目标站点“下一跳”IP地址的方法。我们知道，使用ARP 协议可以实现二层的MAC 物理地址和三层IP网络地址之间的映射，与ARP协议类似，NHRP实现了网络层隧道接口地址和公网IP地址之间的映射。NHRP基于客户/服务器的结构，中心站点作为NHRP服务器，它维护着NHRP数据库，为分支站点提供注册和查询服务。2.3分支站点到中心站点的隧道建立中心站点必须拥有固定IP地址，在所有分支站点上都需要静态配置中心站点的隧道接口地址和公网IP之间的映射，当分支站点路由器加电启动时，通过DHCP获取自身的公网IP地址，由于分支站点配置了中心站点的公网IP地址和隧道地址，因此分支站点能够和中心站点之间自动建立IPSec加密的GRE隧道，而中心站点根据分支站点发来的数据报文，就能发现分支站点的公网IP地址，所以在中心站点上无需配置任何分支站点的信息。分支站点到中心站点的隧道一旦建立便持续存在。2.4 分支站点到另一分支站点的动态隧道建立由于中心站点保留所有已注册分支站点的隧道接口地址和公网IP地址，当一个分支站点向另外一个分支站点传递数据报文时，源分支站点使用NHRP协议向中心站点查询目标分支站点的IP地址。在这一过程中，中心站点路由器充当NHRP服务器的角色，响应发起方分支站点的NHRP请求，查找目标分支站点隧道接口地址所对应的公网IP地址，并向发起方分支站点提供。发起方有了目标站点的公网IP地址后，就能够直接发起隧道连接访问目标站点，这样两个分支站点之间可以通过mGRE接口建立动态隧道，该隧道在一定的时间之后将自动拆除。两个分支站点数据通信因为不需要通过中心站点，因此并不占用中心站点的网络带宽资源。3. DMVPN 广域网设计和实现某公司是世界知名的跨国企业，该公司在世界各地建有分公司或办事处，为了实现电子商务应用，该公司在上海建立了数据中心，并构建了以上海为中心连接各地分公司的广域网。通过对各个站点的规模、业务量和通信费用等因素进行综合评估，选择不同的网络接入手段例如MPLS VPN、帧中继、SDH 和IPSEC VPN 等，实现了分公司与总部之间的通信连接。对于关键的分公司网络采用帧中继作为主要通信线路，同时采用IPSEC VPN 进行备份。对于规模较小并且因特网性能较好的站点，采用IPSEC VPN 与总部进行通信连接。随着网络规模的扩大，基于传统IPSEC VPN 的网络维护和管理越来越困难，增加和减少网点都需要改动总部路由器上的配置，这对于网络的稳定运行来说是一个极大的风险，因此，我们采用DMVPN 技术对现有网络进行优化设计，构建了一个维护简单、拓展方便的广域网。3.1基于双中心的DMVPN网络拓扑结构在星形拓扑结构中，中心站点的可靠性至关重要，Cisco提供了两种DMVPN网络架构可供选择：双HUB 单DMVPN、双HUB双DMVPN 网络架构。双HUB 双DMVPN网络架构分别以两个HUB 为中心构成两个独立的DMVPN 网络，在每个分支站点路由器上建立两个隧道接口，分支路由器上的两个隧道接口分别位于两个不同的DMVPN 网络内，分支站点通过动态路由协议选择采用哪个DMVPN网络与中心站点进行通信；对于双HUB 单DMVPN网络架构来说，所有的分支站点和两个HUB路由器都在一个DMVPN 网络内，在分支站点上只需要建立一个隧道接口，分支路由器可通过静态设置选择主用或者备用中心站点路由器，配置相对简单，因此我们采用双HUB 单DMVPN网络架构做为广域网的网络拓扑结构。在中心站点部署两台路由器，并分别采用不同供应商的通信线路接入互联网，构成双中心DMVPN 星形拓扑结构网络。使用一台Cisco 7204 和一台Cisco 3845做为DMVPN的两个核心路由器，其中 Cisco7204路由器通过中国电信网络接入互联网，Cisco3845 路由器通过中国联通网络接入互联网。所有分支站点路由器上都配置两台中心站点路由器做为NHRP 服务器，一旦某台中心站点路由器或者与其相连接的通信线路出现故障，分支站点可采用另外一台路由器与中心站点进行通信，确保了分支站点与中心站点的通信畅通。为了获得较好的网络性能，可以根据分支站点到中心站点网络时延的测试结果，选择时间延迟较小的中心路由器做为主用路由器，这样所有分支站点可根据时延情况，分别与中心站点上两个路由器建立起隧道连接，对中心路由器来说，也实现了网络带宽的负载均衡。3.2 IP 地址设计两台中心路由器必须具有固定的公网IP地址，在中心路由器上无需配置分支站点路由器的IP地址。对于所有分支站点路由器上来说，可以通过DSL 接入与因特网，在路由器上配置PPPOE 拨号网络获得公网IP地址，当然，分支站点也可以通过固定IP 地址接入因特网。对于两台中心站点和所有分支站点路由器，需要设置支持多点MGRE 隧道接口，所有隧道接口IP地址需要在同一网络平面内。在两台中心路由器上分别配置另外一台中心路由器的隧道接口地址和公网IP 地址。在所有分支站点路由器上需要配置两台HUB 路由器的隧道接口地址和公网IP地址。两个中心站点之间、分支站点与中心站点之间建立起永久隧道连接，分支站点与分支站点之间可以根据需要建立起动态隧道连接。3.3 OSPF 动态路由设计在DMVPN 上启用动态路由协议OSPF实现路由的更新，需要为DMVPN 定义一个AREA 号，确保所有的分支站点和中心站点路由器都工作在这个AREA 内，并与帧中继网络的AREA号区别开来。由于DMVPN 网络是NBMA非广播多路访问网络，通过ip ospf priority命令设置主用中心路由器为OSPF 的DR, 设置备份中心路由器为BDR。对于那些同时使用帧中继网络和DMVPN 网络的分支站点，需要使用ip ospf cost命令设置DMVPN网络的cost 值大于帧中继网络cost值 ，这样正常情况下分支站点通过帧中继网络访问上海中心，一旦帧中继网络出现故障，数据流会自动切换到DMVPN 网络上来，实现对帧中继网络的动态热备份，确保了重要的远程分支站点与中心之间的网络连接不会中断。4. 结束语 基于因特网和DMVPN 技术构建的网络以其组网简单、安全可靠和费用低廉等优点，成为企业构建广域网优选的解决方案，DMVPN经常作为远程分支机构与中心网络连接专线网络的备份手段，用于提高分支网络的可靠性；DMVPN 技术也可以建立在MPLS VPN