基于dmvpn技术的广域网设计和实现.pdfVIP

基于 DMVPN 技术的广域网设计和实现 摘要：本文首先介绍了传统的 IPSEC VPN 技术，剖析了传统 IPSEC VPN 存在的问题和不 足之处，由此引入并深入探讨了 DMVPN 技术原理以及它在构建广域网络方面的优势，结 合作者在某跨国公司的实践，采用 DMVPN 技术设计并实现了一个双中心星形拓扑结构的 广域网。 关键词：广域网，IPSEC VPN ，DMVPN ，设计和实现 引言 IPSec VPN 是一种以公共网络如因特网为基础，通过 IPSec 数据加密和认证等技术， 位于不同区域的两个局域网之间建立的安全通信网络。作为一种业界流行的企业广域网解决 方案，与使用 MPLS VPN 或者帧中继专线构建的广域网相比，IPSec VPN 可为企业节约大 量的通讯费用。传统的 IPSec 技术适合建立点到点的 VPN 网络，多个具有相同站点的点对 点 IPSec VPN 网络，可构成以总部为中心的星型拓扑结构网络。大部分企业的IT 服务器和 数据库资源都集中在总部的数据中心，所以星形拓扑结构网络可满足多数企业应用的需要。 当然，星形拓扑结构网络也有一定的缺陷，如果两个分支站点之间相互通信，则要通过中心 站点，这样就造成了较大的网络时延，对中心站点的网络带宽资源也造成了不必要的浪费， 一个极端的例子是位于同一个城市的两个分支站点，需要绕道通过异地的中心站点来进行通 信，尤其是对于语音通信来说，分支站点之间的网络时延往往变得不可忍受。DMVPN 技术 的出现，使得我们可以构建一种具有全连接拓扑结构的网络，在分支站点之间可直接进行 IPSEC 通信。 1 传统的 IPSec VPN 网络 1.1 IPSec 安全协议框架 IPSec 工作 OSI 参考模型的第三层：网络层。IPSec 是一个安全协议框架，它的功能是 进行数据源认证、保护数据的完整性和私密性，确保数据不是来源于第三方攻击者，确保数 据不会被攻击者截获、读取和更改。IPSec 协议总共有三个：因特网密钥交换协议 IKE、安 全封装协议 ESP 和认证头协议 AH 。 其中 IKE 用于 IPSec 通信对等体安全联盟 SA 之间的 认证和协商，确定对等体之间数据通信所采用的加密算法（DES 或 3DES ）、Hash 算法（SHA-1 或 MD5 ）和密钥算法等，用来保证密钥和数据的安全传送和交换。ESP 和 AH 提供数据源 认证、数据完整性校验和报文防重放功能，但 AH 仅支持明文传送，不支持对 IP 报文的加 密操作，所以较少被采用；而 ESP 可支持对数据报文进行加密，防止数据在传送过程中被 拦截和被破解。IPSec 本身具有隧道功能来构建 VPN ，也可与GRE 隧道协议结合来构建 VPN 网络。 1.2 传统的 IPSEC VPN 网络 传统的IPSec VPN 网络的特点是（1）利用访问控制列表ACL来定义哪些数据是需要被IPSec 所保护的数据流，只有当数据报文与所定义的访问控制列表ACL相匹配时，才会建立IPSec 加密隧道，每增加一个分支站点网络连接，都必须在中心站点上配置数据源地址、目的地址 等信息，当网络规模越大，中心站点设备的管理和维护变得非常困难。（2 ）在建立IPSec VPN之前，需要知道对端的公网IP 地址，目前很多分支站点使用DSL 接入因特网，采用 DHCP 动态获得IP地址，每次上线时所获得的IP 地址不是固定不变的，所以中心路由器无 法根据该地址信息进行配置，从而限制了IPSec 的使用。（3 ）由于OSPF、RIP 、EIGRP动态 路由协议都通过组播或广播报文进行路由表的更新，而IPSec 不支持对组播和广播数据报文 进行加密操作，这样就无法使用动态路由协议。 1 1.3 基于 GRE 的IPSec VPN 网络 通用路由封装协议 GRE 是一种位于网络层的协议，它提供了将一种协议例如 IP 或 IPX 的 报文封装在另一种协议例如 IP 报文中的机制，使报文能够在异种协议网络中