CISCO VPN 技术 DMvpn 详解(一) 利用IPSec 隧道在Internet 上进行安全的数据传输,是目前公司总部与分支通讯的主要解决方案
它的商业价值,这里就不提了,随便找个文档也会侃半天的
IPSec 网络的拓扑可以是星形结构(hub−and−spoke)也可以是网状结构(full mesh)
实际应用中,数据流量主要分布在分支与中心之间,分支与分支之间的流量分布较少,所以星形结构(hub−and−spoke)通常是最常用的,并且它更经济
因为星形结构( hub−and−spoke)比网状结构(full mesh)使用更少的点到点链路,可以减少线路费用
在星形拓扑中,分支机构到分支机构(spoke −to−spoke)的连通不需要额外的通讯费用
但在星形结构中,分支到分支的通信必须跨越中心,这会耗费中心的资源并引入延时
尤其在用IPSec 加密时,中心需要在发送数据分支的隧道上解密,而在接收数据的分支隧道上重新加密
还有一种情况是:通讯的两个分支在同一个城市,而中心在另一个城市,这便引入了不必要的延时
当星形IPSec 网络(hub−and−spoke)规模不断扩展时,传统VPN 的配置则愈加繁琐,且不便于维护和排错
因此IP 数据包的动态路由将非常有意义
但 IPSec 隧道和动态路由协议之间存在一个基础问题,动态路由协议依赖于多播或广播包进行路由更新,而IPSec 隧道不支持多播或广播包的加密
这里便引入了动态多点VPN ( DMVPN)的概念
这里将引入两个协议:GRE 和 NHRP GRE:通用路由封装
由IETF 在 RFC 2784 中定义
它是一个可在任意一种网络层协议上封装任意一个其它网络层协议的协议
GRE 将有效载荷封装在一个GRE 包中,然后再将此GRE 包封装基于实际应用的传输协议上进行转发
(我觉得:GRE 类似木马的壳
