DMVPN技术在企业网中的应用研究
中图分类号:TP393文献标志码:A文章编号:1006-8228(2014)10-32-03
ApplicationresearchofDMVPNtechnologyinenterprisenetwork
(FujianVocationalCollegeofAgricultureInformationTechnologyDepartment,Fuzhou,Fujian350119,China)
Abstract:ThecurrentcorporatesecuritycommunicationofheadquartersandbranchmainlyuseIPSecorSSLVPNfordatatransmissionontheInternet。ThedevelopmentprocessofDMVPNtechnologyisintroduced,fromtraditionalIPSECVPNtechnologyevolvedintoIPSECVPNnetworkofGRE-basedtechnology,tothedevelopmentDMVPNnetworkofthemGRE-basedtechnology。ThebasicprincipleandtopologydesignwhichtakesNHRPasthecoreoftheDMVPNtechnologyarediscussed。TheapplicationofDMVPNtechnologyintheenterprisenetworkiselaborated,usingDMVPNtechnologybasedonsingleordoublecenter,staticanddynamicIPaddressplanning。Itprovidesdynamicroutingprotocolsupport。
Keywords:IPSEC;DMVPN;mGRE;NHRP
0引言
企业希望通过公网安全地将各地的分支与中心联系起来,构成星型拓扑结构网络,并通过IPSec隧道来保证内部通讯的安全。但大多数企业的数据集中在中心,如果两个分支通信,则要通过中心,这样就造成了较大的网络时延。尤其在视频。语音通信中,这种时延影响了企业网络的正常运行[1]。DMVPN技术的出现,为企业解决了这方面的难题,DMVPN是一种mGRE的集高速高扩展性的IPSecVPN技术。
1DMVPN技术的发展过程
1。1传统的IPSECVPN网络
传统的IPSecVPN网络一般通过共享密钥在通信两端进行数据加密,其隧道是点到点的加密集合,该网络的组织形式可以是星形结构或网状结构[2]。星形拓扑的IPSecVPN是一种安全可靠的网络,但不适合在有大量分支的网络中部署;网状结构的所有分支之间都要直接连接,但客户端需要维护的IPSECSA过多,IPSECVPN配置过于复杂,需要每一个分支拥有固定IP地址。
1。2GRE的IPSecVPN网络
通用路由封装(GRE)与IPSec绑定,使GRE隧道一旦建立,将立刻触发IPSec加密。GRE的IPSecVPN隧道配置包括了对端的地址,即IPSec隧道的对端地址,则不用为IPSec定义匹配的访问控制列表。这样,可利用动态路由协议在加密隧道两端的路由器上更新路由表,隧道任何一端的网络发生变化,另外一端都会动态地学习到这个变化,并保持网络的连通性而无需改变路由器的配置。
1。3DMVPN技术网络的诞生
为了解决IPSecVPN的高扩展性难题,思科提出了动态多点虚拟专网技术,即DynamicMultipointVPN(DMVPN)。DMVPN是一种mGRE的IPSECVPN技术,IPSec是对mGRE流量进行加密,根据NHRP和动态路由协议建立起来的保护网络间的临时隧道。DMVPN技术的关键组件和特点包括:①多点GRE隧道接口,使得单一的GRE接口可以支持多个IPsec隧道且简化配置;②NHRP允许分支采用动态IP地址,中心用于维护每个分支公网地址的NHRP数据库。
2DMVPN技术的基本原理
2。1多点mGRE隧道
GRE技术是点对点的隧道技术。mGRE是DMVPN重要的组成部分,是点对多点的GRE隧道技术,只需要指定源,并不需要指定目的。mGRE隧道技术中的每个分支只需配置一个mGRE隧道接口,这样,任何一个分支都能够和其他分支建立隧道连接,如有新的分支需要加入,其他分支都不需要再增加新的配置。
2。2下一跳解析协议NHRP
DMVPN的核心是NHRP,NHRP即下一跳解析协议,由IETF在RFC2332中定义,提供了非广播多路访问网络上的源分支获取到达目标分支的下一跳“的互联网络层地址和NBMA子网地址的方法。NHRP实现了网络层隧道接口地址和公网IP地址之间的映射。NHRP客户/服务器的结构,中心作为NHRP服务器,利用NHRP解决分支的动态地址问题,它维护着NHRP数据库,为分支提供注册和查询服务。2。3分支到中心的动态隧道建立
DMVPN网络中,在中心路由器上不必配置分支的GRE或IPSec的信息,可通过NHRP自动获取有关信息,而在分支路由器上则必须依据中心路由器的外网公共IP地址和NHRP协议来配置GRE隧道,分支上需要静态配置中心的隧道接口地址和公网IP之间的映射,当分支路由器加电启动时,由运营商通过DHCP获取IP地址,并自动建立IPSec加密的GRE隧道,通过NHRP向中心路由器注册自己的外网端口IP地址,分支到中心的隧道一旦建立便持续存在。
2。4分支到分支的动态隧道建立
中心路由器设置mGRE隧道端口的下一跳“地址是目的分支隧道的端口地址。当源分支需要向目的分支传递数据包时,它利用NHRP来动态获取目的分支IP地址。在这一过程中,中心路由器充当NHRP服务器的角色,响应分支路由器作为NHRP客户端的请求,向源分支分配目标分支公网地址,可直接发起隧道连接访问目标分支。这样,两个分支之间可以通过mGRE端口建立IPSec动态隧道,该隧道在预定义的时间内将自动拆除。
3DMVPN技术的拓扑设计
3。1DMVPN技术星形结构拓扑设计
DMVPN技术的原理可行,需要有相应的拓扑连接来支撑。DMVPN起初采用星形拓扑设计,除了中心为多点GRE隧道外,所有分支均为普通点对点GRE隧道。分支间的流量都必须经过中心转发,但该DMVPN技术的优势就在于,增加分支不增加中心的配置,并且分支支持动态获取IP地址。
3。2DMVPN技术虚拟网状拓扑设计
DMVPN发展到第二阶段,所有分支都采用mGRE配置,功能大大提升,支持分支和分支间直接建立隧道,实现了虚拟网状拓扑,真正实现了DMVPN的高扩展性。
3。3DMVPN技术层次结构拓扑设计
本文主要讨论单区域的DMVPN网络拓扑结构设计。现在的DMVPN技术已实现层次化结构拓扑设计,主要运用于DMVPN技术的超大范围部署,并且能够实现不同区域的分支间直接建立隧道,使DMVPN技术实现了层次化部署,不同DMVPN区域的分支必须经过本区域的中心才能建立连接。
4DMVPN技术的应用研究
4。1DMVPN构建企业网的主要优势
DMVPN技术用于构建可扩展性的企业VPN网络,支持分布式的应用程序,具备主要的优势[3]有:①只允许创建一个多点GRE隧道接口,一个单独的IPSECPROFILE,不需要CRYPTOMAP来处理分支的路由器,增加一个分支路由器不需要变化中心配置;②IPSEC封装的自动初始化;③mGRE对等体原地址和目的地址用NHRP来解析;④支持分支路由器动态地址;⑤动态创建分支与分支之间的隧道,当分支需要发送信息给另一个分支时,会用NHRP协议到中心的NHRP数据库查询分支的真实IP地址,而后建立IPSEC隧道。
4。2单中心的DMVPN网络拓扑
对于单中心的DMVPN网络架构来说,所有的分支都在一个DMVPN网络内,在分支上只需要建立一个永久隧道和一个临时隧道接口,分支路由器可通过静态设置与中心通信,配置相对简单,如图1所示。
图1单中心的DMVPN网络拓扑结构
4。3双中心的DMVPN网络拓扑
双中心的DMVPN网络架构内有两个中心,其中以一个中心为主,另一个中心为辅,构成一个区域的DMVPN技术的网络。在每个分支上建立两个隧道接口,与一个中心建立永久的IPSec隧道,也同时和另一个中心建立临时的IPSec隧道。当分支访问中心内部网络时,可以利用两个中心实现网络带宽的负载均衡,分支通过动态路由协议选择与中心进行通信。当其中一个中心出现问题的时候,另外一个中心能够接管所有流量,实现DMVPN的高可用性,如图2所示。
图2双中心的DMVPN网络拓扑结构
4。4静态和动态IP地址规划
在DMVPN解决方案中,利用NHRP解决分支动态地址问题。DMVPN要求中心必须申请静态的公共IP地址。对于中心和所有分支,需要设置支持mGRE隧道接口,所有隧道接口IP地址需要在同一网络平面内。对于双中心的DMVPN网络,在中心上配置另外一台中心的隧道接口地址和公网IP地址。在所有分支上需要配置中心的隧道接口地址和公网IP地址。中心之间。分支与中心之间建立起永久隧道连接,分支与分支之间可以根据需要建立起动态隧道连接。
4。5动态路由协议的支持和实现
4。5。1动态路由协议的支持
DMVPN是一个标准的mGREOVERIPSECVPN技术,支持在IPSec和mGRE隧道之上运行动态路由协议[4]。动态路由协议的主要目的是宣告隧道接口网络和分支私有网络。目前,DMVPN技术支持的路由协议有RIP。EIGRP。OSPF和BGP等。
4。5。2动态路由协议的实现
DMVPN网络上运行RIP或EIGRP协议,必须关闭水平分割(splithorizon)功能,否则,分支将无法学习到通往其他分支子网的路由。OSPF是链路状态型路由协议,其本身就不存在水平分割(splithorizon)问题,但必须把DMVPN的中心配置为OSPF的指定路由器(DR),这可通过指定中心路由器有更高的OSPF优先权来实现。
4。6DMVPN技术的适用场合
DMVPN可以和防火墙。IDS。IPS等技术结合使用。DMVPN技术适用于以下场合[5]:①中大型企业;②企业网的远程备份;③VPN主要业务等。
5结束语
DMVPN是一种以NHRP为核心的mGRE的IPSecVPN技术,具有高速高扩展性的特点,组网有简易性。可靠性和低费用等优点,成为构建现代高速安全企业网优选的技术解决方案。DMVPN技术可进一步与MPLSVPN等技术融合,引领IP化趋势的高效。高速。高可靠的新型多网合一“[6]。相信DMVPN技术必将在未来的多网融合技术中得到更广泛应用。
DMVPN技术在企业网中的应用研究
DMVPN技术茬企业网中的應用研究【2761字】:http://www.youerw.com/guanli/lunwen_186110.html