CiscoDMVPN关键技术原理.docVIP

Cisco DMVPN技术原理 Cisco DMVPN技术原理 一、背景信息 很多企业期望经过公共网络安全地将她们各地办事处、分企业和企业总部联络起来，而且办事处、分企业之间也能够互联。过去，唯一措施是经过二层网络（Layer-2 network）如ISDN或帧中继，将全部节点互联起来，实现内部IP互通，而且需要支付昂贵线路费用。现在，这些办事处、分企业和企业总部之间互联能够经过廉价Internet接入实现，经过IPSec隧道来确保内部通讯安全。 IPSec经过共享密钥在通讯两端实现数据加密，即任意两端之间全部要共享不一样密钥，所以IPSec隧道其实是点到点加密隧道，IPSec网络就是点到点加密隧道集合。IPSec网络组织形式能够是星形结构（hub?and?spoke）或网状结构（full mesh）。在大多数网络中，数据流量关键分布在分支和中心之间，分支和分支之间流量分布较少，所以星形结构（hub?and?spoke）通常是很好选择。这也符合传统帧中继互联方法，因为星形结构（hub?and?spoke）比网状结构（full mesh）使用更少点到点链路，能够降低线路费用。 当经过Internet实现内部互联时，分支机构到分支机构（spoke ?to?spoke）连通不需要额外通讯费用，而且能够给企业内部网络带来愈加好性能，不过网状结构（full mesh）实现和管理有一定困难。在星形结构中，分支到分支通信必需跨越中心，这会花费中心资源并引入更长延时。尤其是使用IPSec加密时，中心需要在发送数据分支隧道上解密，而且在接收数据分支隧道上重新加密。另一个情况是通讯两个分支在同一个城市，而中心在另一个城市，这也会引入无须要延时。 当星形IPSec网络（hub?and?spoke）规模不停增加时，IP数据包动态路由将很有意义。在过去帧中继星形网络中，经过在帧中继链路上运行OSPF或EIGRP等动态路由协议来通告分支网络可达性，并支持路由冗余。当中心路由器失效后，还能够利用一个备份路由器接替中心路由器管理分支间路由。 在IPSec隧道和动态路由协议之间存在一个基础问题，即动态路由协议依靠于多播或广播包进行路由可达性通告，而IPSec隧道不支持对多播或广播包进行加密。现在处理这一问题措施是利用通用路由封装（GRE）隧道和IPSec加密相结合方法。 通用路由封装（GRE）由IETF在RFC 2784中定义。是一个在任意一个网络层协议上封装任意一个其它网络层协议协议。通常将有效载荷封装在一个GRE包中，然后将此GRE包封装在其它某协议中并进行转发。 GRE隧道支持运载多播或广播包到对端，而GRE隧道数据包是单播，所以GRE隧道数据包可被IPSec加密，也即GRE Over IPSec。在这一过程中，GRE用于建立隧道，IPSec完成VPN网络加密部分。建立GRE隧道时，隧道一端必需知道另一端IP地址，而且必需能够在Internet上路由。这就意味着中心和全部分支路由器必需含有静态公共IP地址。 不过对于规模较小分支结构而言，向ISP申请静态IP地址费用是很昂贵。不管是ADSL还是直接线缆接入，ISP通常使用DHCP提供动态IP地址，以节省其地址资源。 在IPSec VPN上实现动态路由协议需要GRE隧道支持；实现GRE隧道，全部节点需要静态公网地址，而全部节点全部申请静态IP地址是很困难。 全部上述限制能够总结为以下四点： IPSec利用访问控制列表（ACL）来决定哪些数据是需要加密。所以，每增加一个网络连接，全部必需在中心和分支路由器上更新ACL配置。假如路由器是由服务商管理，用户就必需通知服务商更新IPSec ACL配置，方便新通讯能够被加密。 在大型星形网络（hub?and?spoke）中，中心路由器IPSec ACL配置将很大而且复杂，甚至是不可用。比如为了管理300个分支路由器，在中心路由器上可能需要3900行配置，这已经大到极难排查错误程度了。而且如此大配置可能无法全部装载到路由器内存中，而不得不放在闪存里面。 GRE+IPSec需要明确知道隧道两端IP地址，而分支路由器外网接口IP地址通常由其当地ISP动态提供，每次上线时IP地址是不一样。 假如分支机构之间需要经过IPSec VPN直接通信话，星形网络（hub?and?spoke）就必需改变为全网状结构（full mesh）。因为无法确定哪些分支机构之间需要经过IPSec VPN直接通信，就必需维护一个全网状结构网络，尽管一些分支机构之间是不需要经过IPSec VPN直接通信。因为每台路由器全部和全部其它路由器保持隧道连通，所以在小型路由器上根本无法实现，即在较小分支机构也不得不使用更强大路由器。 二、DMVPN处理方案DMVPN是经过多点GRE（mGRE）和下一跳