[GRE] Cisco DMVPN技术原理【荐】.docVIP

一、背景信息 很多公司希望通过公共网络安全地将他们各地的办事处、分公司与公司总部联系起来，并且办事处、分公司之间也可以互联。过去，唯一的办法是通过二层的网络（Layer-2 network）如ISDN或帧中继，将所有节点互联起来，实现内部的IP互通，并且需要支付昂贵的线路费用。现在，这些办事处、分公司与公司总部之间的互联可以通过廉价的Internet接入实现，通过IPSec隧道来保证内部通讯的安全。 IPSec通过共享密钥在通讯的两端实现数据加密，即任意两端之间都要共享不同的密钥，所以IPSec隧道其实是点到点的加密隧道，IPSec网络就是点到点加密隧道的集合。IPSec网络的组织形式可以是星形结构（hub?and?spoke）或网状结构（full mesh）。在大多数网络中，数据流量主要分布在分支与中心之间，分支与分支之间的流量分布较少，所以星形结构（hub?and?spoke）通常是较好的选择。这也符合传统的帧中继互联方式，因为星形结构（hub?and?spoke）比网状结构（full mesh）使用更少的点到点链路，可以减少线路费用。 当通过Internet实现内部互联时，分支机构到分支机构（spoke ?to?spoke）的连通不需要额外的通讯费用，并且能够给企业内部网络带来更好的性能，但是网状结构（full mesh）的实现和管理有一定困难。在星形结构中，分支到分支的通信必须跨越中心，这会耗费中心的资源并引入更长的延时。尤其是使用IPSec加密时，中心需要在发送数据分支的隧道上解密，并且在接收数据分支的隧道上重新加密。另一种情况是通讯的两个分支在同一个城市，而中心在另一个城市，这也会引入不必要的延时。 当星形IPSec网络（hub?and?spoke）规模不断增长时，IP数据包的动态路由将非常有意义。在过去的帧中继星形网络中，通过在帧中继链路上运行OSPF或EIGRP等动态路由协议来通告分支网络的可达性，并支持路由的冗余。当中心路由器失效后，还可以利用一个备份的路由器接替中心路由器管理分支间的路由。 在IPSec隧道和动态路由协议之间存在一个基础问题，即动态路由协议依赖于多播或广播包进行路由可达性通告，而IPSec隧道不支持对多播或广播包进行加密。目前解决这一问题的办法是利用通用路由封装（GRE）隧道与IPSec加密相结合的方法。 通用路由封装（GRE）由IETF在RFC 2784中定义。是一个在任意一种网络层协议上封装任意一个其它网络层协议的协议。通常将有效载荷封装在一个GRE包中，然后将此GRE包封装在其它某协议中并进行转发。 GRE隧道支持运载多播或广播包到对端，而GRE隧道的数据包是单播的，所以GRE隧道的数据包可被IPSec加密，也即GRE Over IPSec。在这一过程中，GRE用于建立隧道，IPSec完成VPN网络的加密部分。建立GRE隧道时，隧道的一端必须知道另一端的IP地址，并且必须能够在Internet上路由。这就意味着中心和所有分支路由器必须具有静态的公共IP地址。 但是对于规模较小的分支结构而言，向ISP申请静态IP地址的费用是非常昂贵的。无论是ADSL还是直接线缆接入，ISP通常使用DHCP提供动态IP地址，以节省其地址资源。 在IPSec VPN上实现动态路由协议需要GRE隧道的支持；实现GRE隧道，所有节点需要静态的公网地址，而所有节点都申请静态IP地址是非常困难的。 所有上述的限制可以总结为以下四点： IPSec利用访问控制列表（ACL）来决定哪些数据是需要加密的。所以，每增加一个网络连接，都必须在中心和分支的路由器上更新ACL的配置。如果路由器是由服务商管理的，用户就必须通知服务商更新IPSec ACL配置，以便新的通讯能够被加密。 在大型的星形网络（hub?and?spoke）中，中心路由器的IPSec ACL配置将非常大而且复杂，甚至是不可用的。例如为了管理300个分支路由器，在中心路由器上可能需要3900行的配置，这已经大到很难排查错误的程度了。而且如此大的配置可能无法全部装载到路由器的内存中，而不得不放在闪存里面。 GRE+IPSec需要明确知道隧道两端的IP地址，而分支路由器外网接口的IP地址通常由其本地ISP动态提供，每次上线时的IP地址是不同的。 如果分支机构之间需要通过IPSec VPN直接通信的话，星形的网络（hub?and?spoke）就必须改变为全网状结构（full mesh）。由于无法确定哪些分支机构之间需要通过IPSec VPN直接通信，就必须维护一个全网状结构的网络，尽管某些分支机构之间是不需要通过IPSec VPN直接通信的。由于每台路由器都与所有其它路由器保持隧道连通，所以在小型路由器上根本无法实现，即在较小的分支机构也不得不使用更强大的路由器