基于DMVPN技术的广域网设计和实现摘要:本文首先介绍了传统的IPSECVPN技术,剖析了传统IPSECVPN存在的问题和不足之处,由此引入并深入探讨了DMVPN技术原理以及它在构建广域网络方面的优势,结合作者在某跨国公司的实践,采用DMVPN技术设计并实现了一个双中心星形拓扑结构的广域网。关键词:广域网,IPSECVPN,DMVPN,设计和实现引言IPSecVPN是一种以公共网络如因特网为基础,通过IPSec数据加密和认证等技术,在位于不同区域的两个局域网之间建立的安全通信网络。作为一种业界流行的企业广域网解决方案,与使用MPLSVPN或者帧中继专线构建的广域网相比,IPSecVPN可为企业节约大量的通讯费用。传统的IPSec技术适合建立点到点的VPN网络,多个具有相同站点的点对点IPSecVPN网络,可构成以总部为中心的星型拓扑结构网络。大部分企业的IT服务器和数据库资源都集中在总部的数据中心,所以星形拓扑结构网络可满足多数企业应用的需要。当然,星形拓扑结构网络也有一定的缺陷,如果两个分支站点之间相互通信,则要通过中心站点,这样就造成了较大的网络时延,对中心站点的网络带宽资源也造成了不必要的浪费,一个极端的例子是位于同一个城市的两个分支站点,需要绕道通过异地的中心站点来进行通信,尤其是对于语音通信来说,分支站点之间的网络时延往往变得不可忍受。DMVPN技术的出现,使得我们可以构建一种具有全连接拓扑结构的网络,在分支站点之间可直接进行IPSEC通信。1传统的IPSecVPN网络1.1IPSec安全协议框架IPSec工作在OSI参考模型的第三层:网络层。IPSec是一个安全协议框架,它的功能是进行数据源认证、保护数据的完整性和私密性,确保数据不是来源于第三方攻击者,确保数据不会被攻击者截获、读取和更改。IPSec协议总共有三个:因特网密钥交换协议IKE、安全封装协议ESP和认证头协议AH。其中IKE用于IPSec通信对等体安全联盟SA之间的认证和协商,确定对等体之间数据通信所采用的加密算法(DES或3DES)、Hash算法(SHA-1或MD5)和密钥算法等,用来保证密钥和数据的安全传送和交换。ESP和AH提供数据源认证、数据完整性校验和报文防重放功能,但AH仅支持明文传送,不支持对IP报文的加密操作,所以较少被采用;而ESP可支持对数据报文进行加密,防止数据在传送过程中被拦截和被破解。IPSec本身具有隧道功能来构建VPN,也可与GRE隧道协议结合来构建VPN网络。1.2传统的IPSECVPN网络传统的IPSecVPN网络的特点是(1)利用访问控制列表ACL来定义哪些数据是需要被IPSec所保护的数据流,只有当数据报文与所定义的访问控制列表ACL相匹配时,才会建立IPSec加密隧道,每增加一个分支站点网络连接,都必须在中心站点上配置数据源地址、目的地址等信息,当网络规模越大,中心站点设备的管理和维护变得非常困难。(2)在建立IPSecVPN之前,需要知道对端的公网IP地址,目前很多分支站点使用DSL接入因特网,采用DHCP动态获得IP地址,每次上线时所获得的IP地址不是固定不变的,所以中心路由器无法根据该地址信息进行配置,从而限制了IPSec的使用。(3)由于OSPF、RIP、EIGRP动态路由协议都通过组播或广播报文进行路由表的更新,而IPSec不支持对组播和广播数据报文进行加密操作,这样就无法使用动态路由协议。1.3基于GRE的IPSecVPN网络1通用路由封装协议GRE是一种位于网络层的协议,它提供了将一种协议例如IP或IPX的报文封装在另一种协议例如IP报文中的机制,使报文能够在异种协议网络中传输,而异种报文传输的通道称为隧道。IPSec不支持IP多播和广播,但我们可以把多播/广播报文封装在GRE报文中,然后采用IPSec进行加密,这样动态路由协议的路由更新报文就可以在IPSecVPN网络上进行传送。与传统的IPSec相比,基于GRE的IPSecVPN可以使用EIGRP或OSPF等动态路由协议进行路由更新,因此配置较为简单方便,但是由于点对点GRE隧道需要在通信双方设备上静态指定隧道源地址和目标地址,当增加新的站点时,仍需要在中心站点上增加相应的配置,由此带来的网络维护工作量仍然很大。2.DMVPN技术原理为了解决传统IPSecVPN不利于大规模部署和维护的缺陷,CISCO公司提出了动态多点虚拟专网DMVPN技术,与传统IPSecVPN一样,D...
