CISCO VPN 技术 DMvpn 详解(一) 利用IPSec 隧道在Internet 上进行安全的数据传输,是目前公司总部与分支通讯的主要解决方案。它的商业价值,这里就不提了,随便找个文档也会侃半天的。 IPSec 网络的拓扑可以是星形结构(hub−and−spoke)也可以是网状结构(full mesh)。实际应用中,数据流量主要分布在分支与中心之间,分支与分支之间的流量分布较少,所以星形结构(hub−and−spoke)通常是最常用的,并且它更经济。因为星形结构( hub−and−spoke)比网状结构(full mesh)使用更少的点到点链路,可以减少线路费用。 在星形拓扑中,分支机构到分支机构(spoke −to−spoke)的连通不需要额外的通讯费用。但在星形结构中,分支到分支的通信必须跨越中心,这会耗费中心的资源并引入延时。尤其在用IPSec 加密时,中心需要在发送数据分支的隧道上解密,而在接收数据的分支隧道上重新加密。还有一种情况是:通讯的两个分支在同一个城市,而中心在另一个城市,这便引入了不必要的延时。 当星形IPSec 网络(hub−and−spoke)规模不断扩展时,传统VPN 的配置则愈加繁琐,且不便于维护和排错。因此IP 数据包的动态路由将非常有意义。 但 IPSec 隧道和动态路由协议之间存在一个基础问题,动态路由协议依赖于多播或广播包进行路由更新,而IPSec 隧道不支持多播或广播包的加密。 这里便引入了动态多点VPN ( DMVPN)的概念。 这里将引入两个协议:GRE 和 NHRP GRE:通用路由封装。由IETF 在 RFC 2784 中定义。它是一个可在任意一种网络层协议上封装任意一个其它网络层协议的协议。GRE 将有效载荷封装在一个GRE 包中,然后再将此GRE 包封装基于实际应用的传输协议上进行转发。(我觉得:GRE 类似木马的壳。^_^) IPSec 不支持广播和组播传输,可是GRE 能很好的支持运载广播和组播包到对端,并且GRE隧道的数据包是单播的。这就意味着GRE 隧道的数据包是可被IPSec 加密的,也即GRE Over IPSec。 通过GRE 隧道与IPSec 加密相结合,利用动态路由协议在加密隧道两端的路由器上更新路由表。从隧道对端学到的子网在路由表条目里将会包含隧道对端的IP 地址作为到达对端子网的下一跳地址。这样,隧道任何一端的网络发生变化,另外一端都会动态地学习到这个变化,并保持网络的连通性而无需改变路由器的配置。 IPSec 利用访问控制列表(ACL)来匹配感兴趣数据流。当有数据包匹配所定义的ACL 时,IPSec 加密隧...
