動(dòng)態(tài)多點(diǎn)VPN技術(shù)

2009年第04期，第42卷通信技術(shù)Vol. 42，No. 04, 2009總第208期Communica t ions Techno logyNo. 208, Totally動(dòng)態(tài)多點(diǎn)VPN技術(shù)徐云恒(湖北移動(dòng)通信公司，湖北武漢)[摘要]動(dòng)態(tài)多點(diǎn)虛擬專(zhuān)用網(wǎng)(Dynamic Mu1tipoint Virtual Private Network)是mGRE、 NHRP、 IPSec 結合產(chǎn)生的一種技術(shù)，其獨特特點(diǎn)是兩個(gè)分支之間可以通過(guò)mGRE端口動(dòng)態(tài)建立IPSec 隧道，進(jìn)行數據傳輸。文章圖文結合，描述了動(dòng)態(tài)多點(diǎn)VPN技術(shù)的工作原理，包括典型拓撲結構、mGRE/IPSec 隧道、NHRP 協(xié)議，說(shuō)明了NHRP 與動(dòng)態(tài)路由協(xié)議結合建立動(dòng)態(tài)隧道的過(guò)程。并簡(jiǎn)述了動(dòng)態(tài)多點(diǎn)VPN技術(shù)的應用優(yōu)勢。[關(guān)鍵詞] NHRP;多點(diǎn)GRE;動(dòng)態(tài)隧道; IPSec; 虛擬專(zhuān)用網(wǎng)[中圖分類(lèi)號] TP393[文獻標識碼] A[文章編號] 1002-0802 (2009) 04-0165-04Dynamic Multi- -point VPN TechnologyXU Yun-heng( Hubei Mobile Communi cat ion Corporat ion Wuhan Hubei )[Abstract] Dynamic Multipoint Virtual Private Network is a type of technology which is produced by combiningof mGRE, NHRP， IPSec. Its main characteristic is that it can build dynamic IPSec tunnel between spokes by mGREfor data transmission. This paper describes the operat ional principles of Dynamic Multipoint VPN, including itstypical toplogy, mGRE/ IPSec tuunel, NHRP protocol. It also di scusses the integration processes of NHRP and dynamicrout: ing protocol to bui ld dynamic tunnel. It also briefly tells of the application advantages of Dynamic MultipointVPN.[Key words] NHRP; mGRE; dynamic tunnel; IPSec; VPN0引言密。在DMVPN中，要用到動(dòng)態(tài)路由協(xié)議，動(dòng)態(tài)路由協(xié)議用動(dòng)態(tài)多點(diǎn)VPN (Dynamic Mult ipoint VPN) 是mGRE、NHRP、組播:和廣播宣告路由信息，所以不能直接使用IPSec加密。IPSec結合產(chǎn)生的一種技術(shù), 簡(jiǎn)寫(xiě)為DMVPN。它為具有點(diǎn)多面GRE隧道支持組播和廣播，所以DMVPN中采用GRE隧道，廣分支機構特點(diǎn)的企業(yè)和公司，提供了- -種以INTERNET為基但是GE隧道的數據是沒(méi)有加密的，在因特網(wǎng).上傳送不安全。礎的低成本安全互聯(lián)方案。其骨干網(wǎng)采用星形拓撲結構(hub因為GRE隧道的數據包是單播的，所以GRE隧道的數據包采用and spoke)。結構示意圖見(jiàn)圖1,其中HUB為中心，SPOKEIPSec加密，即GRE 0ver IPSec。GRE隧道的配置已經(jīng)包括了為分支。GRE隧道對端的地址，這個(gè)地址同時(shí)也是IPSec隧道的對端地址，通過(guò)將GRE隧道與IPSec綁定，GRE隧道一 -旦建立， 立刻1 mGRE、 IPSec、 NHRP 的概念及相互關(guān)系觸發(fā)IPSec加密。GRE是- -個(gè)在任意一種 網(wǎng)絡(luò )層協(xié)議上封裝任意一個(gè) 其它mGRE是將GRE點(diǎn)對點(diǎn)隧道擴展成一點(diǎn)與 多點(diǎn)建立隧道。網(wǎng)絡(luò )層協(xié)議的協(xié)議, DMVPN中是將IP包封裝進(jìn)另一個(gè)IP包并加個(gè)mGRE接口包括--個(gè)IP地址、--個(gè)隧道源、--個(gè)隧道密鑰,上新的IP頭。它有兩種形式:point-to-point (GRE),與GRE隧道不同,它沒(méi)有隧道目的。因為mGRE隧道不定義隧道point- to-multipoint (mGRE)。目的地，所以它依賴(lài)NHRP, NHRP告訴mGRE向哪里發(fā)送數據包。IPSec是一種安全隧道技術(shù)，但不支持組播和廣播的加NHRP協(xié)議的作用是將隧道的IP地址映射到NBMA地址，可以是收稿日期: 2008-12-25。作者簡(jiǎn)介:徐云恒(1960-)， 男，高級工程師，工學(xué)碩士，現就職于湖北移動(dòng)通信公司網(wǎng)管中中國煤化工TYHCNMH G65.靜態(tài)映射和動(dòng)態(tài)映射。NBMA地址。然后mGRE將數據包封裝為另- -個(gè)IP包的凈負荷，mGRE怎樣使用NHRP呢?當轉發(fā)一個(gè)IP數據包時(shí)， 總是沿新的IP包目的地址就是對端的NBMA地址。組播包的地址由著(zhù)下一跳地址將數據包傳給mGRE接口，下- -跳地址就是對端NHRP配置中指定。mGRE/NHRP路 由通道示意如下，見(jiàn)圖2。的隧道IP地址。mGRE在NHRP表中查找下-跳地址映射的對端10.0.0. 0255. 255. 255. 0LANs can have privateaddressing10.0.0.1HUB .Static knownIP addresDynamic unknown'IpaddreeSPOKE10.0.3.110. 0.3.0 255. 255. 255. 010.0.2.0255. 255. 255.010.0.1. 110. 0.1.0255. 255. 255. 010.0.2.1二=Static spoke- to-hub IPSec tunnels一= Dynamic spoke-to-spoke IPSec tunnels圖1動(dòng)態(tài)多點(diǎn)VPN結構示意Tunnel adress:10. 0.0.2/24__10.0.0.1/24NBMA adress:172. 16 0.224172.16. 0.1/241172. 16.0. 2/24| NHRP Table| Routing Table| 10.0.0.2→ 172.16.0.2| 192. 168. 1.0/24- .Tunnel0,via 10. 0.0.2IPPayload=172. 16.0.1I GRE. id=172. 16.0.2dst=192. 168. 1.1「I 1s=192.168.0. 1dst=1| dst=192. 168.1.1圖2 mGRE/NHRP路由通道示意圖2可以這樣理解，在192. 168. 0.0/24網(wǎng)絡(luò )有一個(gè)IP發(fā)向對端。包需要發(fā)送到192.168.1.0/24網(wǎng)絡(luò )中，其源地址為192. 168. 0.1,目的地址為192.168.1.1。通過(guò)查路由表,到2 NHRP 地址映射表的生成過(guò)程192. 168. 1.0/24,走隧道0，下一跳是隧道對端IP地址NHRP地址映射表生成有三種方法:手動(dòng)配置靜態(tài)映射、10.0.0.2。通過(guò)查NHRP表，下-跳10.0.0.2對應的目的NBMA中心(hub) 通過(guò)登記請求(registration request)學(xué)習、地址是172. 16. 0.2。再對IP包做GRE封裝，加上新IP頭，源分支(spoke)中國煤化工uest)學(xué)習。地址為172.16. 0.1,目的地址為172.16. 0.2,然后IP包就能NHRP映射映射表是空表，YHCNM HG166 ..分支的映射表有- - 個(gè)靜態(tài)配置的映射項，即中心的隧道IP地每次上線(xiàn)時(shí)的IP地址可能不同，所以中心通過(guò)注冊過(guò)程可以址與其N(xiāo)BMA地址的映射，例如ipnhrpmap10.0.0.1自動(dòng)學(xué)習該地址。172. 17.0. 1，還配置有一個(gè)組播映射項，例如ip nhrp map2)中心不必針對所有分支分別配置GRE或IPSec信息，大multicast 172. 17.0.1。分支必須向中心登記，中心的NHRP大簡(jiǎn)化中心的配置。所有相關(guān)信息可通過(guò)NHRP自動(dòng)獲取。表實(shí)際上由分支在控制，為了讓分支能向中心登記，中心必3)當DMVPN網(wǎng)絡(luò )擴展時(shí)，無(wú)須改動(dòng)中心和其它分支的配須宣告自己為下一-跳服務(wù)器(Next-Hop Server,NHS)，分置。新加入的分支將自動(dòng)注冊到中心，通過(guò)動(dòng)態(tài)路由協(xié)議，支發(fā)送登記請求給中心，其中包括分支的隧道IP地址和NBMA所有其它分支可以學(xué)到這條新的路由，新加入的分支也可以地址，以及保存時(shí)長(cháng)。中心在NHRP表中對應生成-一個(gè)表項，學(xué)到到達其它所有分支的路由信息。表項只在保存時(shí)長(cháng)內有效。然后中心向分支回送登記確認信NHRP的作用可以概括為兩點(diǎn)，一是地址的映射和解析,息。NHRP登記請求過(guò)程示意見(jiàn)圖3。二是轉發(fā)數據。通過(guò)靜態(tài)配置、NHRP登記、NHRP解 析實(shí)現地NHRP登記確認過(guò)程示意如下圖4.址映射，由路由表獲得到目的IP地址的隧道下- -跳IP地址，NHRP注冊功能至少解決了三個(gè)問(wèn)題。通過(guò)解析隧道下一-跳IP地址 與NBMA地址的映射，獲得隧道下1)由于分支的NBMA地址是通過(guò)ISP的DHCP自動(dòng)獲取的，-跳IP地址對應的NBMA地址，實(shí)現數據轉發(fā)。192. 168. 0. 1/24NHRP TableHUB10.0.0.11- 172. 16.1.1dynamic, mcast, hold=3600, no-uniquePhysical:172. 17.0. 1Tunnel0:10. 0.0.11[ IPNHRP-Registration Tunnel=10. 0.0. 11s=172. 16.1.1 GRE | s=10.0.0.11NBMA=172. 16. 1.1|d=172.17.0.1dst=10. 0. 0.1Hold= 3600, no-uniquePhysical (dynamic)172. 16. 1.1Spoke A192. 168. 1. 1/2410.0.0.1一→172.17.0.1(static, mcast)圖3 NHRP登記請求過(guò)程示意192. 168. 0.1/2410.0.0.11-?172. 16.1.1Physical:172. 17.0.1dynami C, mcast, hold=3600, no -uniqueTunnel0:10.0.0.1NHRP-Registration ReplyIs=172.16.1.1|GRE | s=10. 0.0.11code=|d=172. 17.0. 1dst=10. 0.0.1successful192. 168. 1.1/2410.0.0.1一◆172. 17.0. 1中國煤化工圖4 NHRP登記確認過(guò)程示意MHCNMH G67.3分支之間的動(dòng)態(tài)隧道向各分支宣告，中心對分支宣告的私網(wǎng)路由必須保留下- -跳在動(dòng)態(tài)多點(diǎn)VPN中，分支與分支之間除了經(jīng)過(guò)中心轉發(fā)的私網(wǎng)地址，看起來(lái)就象是分支自己宣告的-樣。數據外，分支還可以向另一分支直接發(fā)送數據。分支到中心分支用NHRP解析請求學(xué)習到下一-跳 分支的NBMA地址。的隧道- - 旦建立便持續存在，但是各分支之間并不配置持續分支的NHRP解析與NHRP登記過(guò)程是有差別的，登記是分支的隧道。當一個(gè)分支需要向另一個(gè)分支發(fā)送數據包時(shí)，兩個(gè)在中心上登記自己，解析是分支通過(guò)中心尋址其他分支。分分支之間通過(guò)mGRE端口動(dòng)態(tài)建立IPSec隧道，進(jìn)行數據傳輸。支首先向中心發(fā)送解析請求，請求下一-跳隧道 IP地址映射的兩個(gè)分支間路由和NHRP過(guò)程見(jiàn)圖5。NBMA地址，中心解析出映射的NBMA地址后回復給請求分支，為了生成分支到分支的隧道，分支必須學(xué)到目的網(wǎng)絡(luò )回復中還包括解析結果在中心的有效時(shí)長(cháng)。然后，分支生成路由、下一 跳必須是遠端分支的隧道IP地址、分支必須學(xué)到- -個(gè)NHRP表項，在沒(méi)插入NHRP表之前，IPSec隧道就開(kāi)始初了下一跳的NBMA地址。始化，在隧道建立后，NHRP表項才被插入表中并能使用。分支采用動(dòng)態(tài)路由協(xié)議學(xué)習到目的網(wǎng)絡(luò )的路由。路由旦對應的NHRP表項超時(shí)，分支與分支間隧道隨之消失。協(xié)議只在中心和分支之間用到，為了使分支與分支間能路建立動(dòng)態(tài)分支隧道的過(guò)程圖示見(jiàn)圖6.由，首先分支要向中心宣告自己的私網(wǎng)路由信息，再由中心Tunnel adress:_10.0.0-11/24 7BMA adress:172 161294172.17. 0.1/24L_ 172.16.1.2/24BFHUB|Spoke ANHRP Table「 Routing Table10.0.0.1+472.17.0.1192168.0.0/24+10.0.0.12+ 17276.2.2NBMA adress:Tunne10,via 10. 0.0.1172.16. 2. 2/24192. 168. 2.0/24- >Tunnel0, via 10.0. 0.1210. 0.0.12/24Spoke B圖5兩個(gè)分支間路由和NHRP過(guò)程192. 168. 0. 1/24HUB10.0.0.11十172. 16. 1.110.0.0.12 +172.16.2. imappinPhysical:172. 17.0.1Tunnel0:10. 0.0.1192.168. 0. 0/24 -十Conn192.168. 1.0/24- 10.0.0. 11Routing Table192.168. 2.0/24+ 10.0.0. 12DataPhysical:172. 16. 1.1! Physical:172. 16.2.1Tunnel0:10. 0.0.11Tunnel0:10.0.0.12192. 168. 1. 1/24192. 168. 2.1/2410.0.0.124 172.16.2.110.0.0.11 172.17.0.1192. 168. 0. 0/24- + 10.0.0.1192. 168. 0.0/24192.168.1.0/24+ Conn.192. 168.1.0/24110.0.0.11192.168.2.0/24-+10.0.0.12=Static IPSec tunnelsDynamic spoke中國煤化工圖6建立動(dòng)態(tài)分支隧道的過(guò)程YHCNM H G下轉第171頁(yè))168.此外，系統設計還支持兩種模式的數據傳輸過(guò)程:即主站系練主備》數據庫服務(wù)器+Pull(拉模式)和Push (推模式)。數據中繼設備或中繼網(wǎng)絡(luò )小對于上層無(wú)線(xiàn)終端與主站系統的數據傳輸通道來(lái)說(shuō)，兩種模式的數據傳輸都要適用。Pull模式是指主站系統周期性前置機+前置機4置機+地向本主站系統中已經(jīng)建擋的各個(gè)無(wú)線(xiàn)終端發(fā)送獲取數據CDMA網(wǎng)絡(luò )+請求，并收集無(wú)線(xiàn)終端返回的帶時(shí)間戳的各種系統狀態(tài)以及應用數據。Pull模式的可操作性較強，用于實(shí)時(shí)性要求不高無(wú)線(xiàn)終端的應用。Push模式是指本區域內各無(wú)線(xiàn)終端自發(fā)性地主動(dòng)向FRS4031KS485主站系統發(fā)送帶時(shí)間戳的的各種系統狀態(tài)以及應用數據。無(wú)數據測量點(diǎn)測量單元+數據測量點(diǎn)測量單元+線(xiàn)終端完成從數據采集器的數據收集并將數據通過(guò)CDMA移圖2 CDMA 2000無(wú)線(xiàn)終端數據通信系統架構動(dòng)網(wǎng)絡(luò )發(fā)送給前置機，然后由前置機將數據轉發(fā)給主站中心數據處理系統。3.2三層設備分工如圖2所示，第- -層設備是用戶(hù)數據測量采集器。包括對于底層無(wú)線(xiàn)終端與數據測量采集單元的應用數據采數據測量點(diǎn)和測量單元，不同應用場(chǎng)景需采集數據格式、參集通道來(lái)說(shuō)，考慮到數據獲取的可控性和時(shí)效性，- -般采數內容、數據覆蓋范圍存在差異。一般數據采集 器只負責本用Pull模式。通過(guò)對系統中通道數據傳輸的分層管理，優(yōu)單元周?chē)》秶鷥葦祿氖占c處理。同時(shí)，采集數據的內化網(wǎng)絡(luò )通信性能、減少信息傳輸冗余，提高了系統的整體容除應用需要的實(shí)時(shí)數據以外，還應包括歷史凍結數據、采通信性能。集器本身的狀態(tài)信息等*5。第二層設備無(wú)線(xiàn)終端負責對分布在-定區域范圍內的5結語(yǔ)用戶(hù)數據采集器的測量數據進(jìn)行采集、過(guò)濾與傳輸。此外無(wú)隨著(zhù)CDMA2000無(wú)線(xiàn)網(wǎng)絡(luò )在國內建設的逐步完善，該系線(xiàn)終端還負責與采集器或主站系統進(jìn)行通信通道的選擇。在統設計作為一-種經(jīng)濟 可靠且性?xún)r(jià)比高的無(wú)線(xiàn)數據通信方案，-種通道類(lèi)型無(wú)法滿(mǎn)足傳輸需求的情況下，自動(dòng)進(jìn)行通道的能有效滿(mǎn)足能源、金融、交通和環(huán)保等領(lǐng)域對無(wú)線(xiàn)數據通信切換與重新連接。的需求，加快這些領(lǐng)域信息化的進(jìn)程。第三層設備是主站和數據中心，含主站服務(wù)器、前置機、數據庫服務(wù)器以及中繼網(wǎng)絡(luò )等。主站前置機負責采集和轉存參考文獻分布在--定范圍內的多臺無(wú)線(xiàn)終端傳送的來(lái)自具體應用數據[1] 楊大成. CDM20000 lx 移動(dòng)通信系統[M]. 北京:機械工業(yè)出版設備或數據采集設備的數據，所有前置機和無(wú)線(xiàn)終端都由-社, 2003.個(gè)終端管理系統負責管理，所有無(wú)線(xiàn)終端和前置機收集來(lái)的[2]劉博,宋俊德3G業(yè)務(wù)平臺體系架構的研究[J].移動(dòng)通信,2005,數據都傳送到數據中心后由同一個(gè)數據處理系統進(jìn)行處理。29(9) :60-63.[3]傅中君.嵌入式GPRS無(wú)線(xiàn)通信模塊的設計與實(shí)現[J].計算機工程4數據通信方式與應用, 2004, (14):162 - 164.CDMA 2000 無(wú)線(xiàn)終端數據通信系統通信設計有上下兩條[4]莊旭東.基于GPRS通訊網(wǎng)絡(luò )的電能量遙測系統終端軟件設計[D].數據通道，分別是底層應用數據采集通道和上層數據傳輸通浙江大學(xué), 2003, 41-50.道。數據通信格式遵循適應不同行業(yè)應用的規約與協(xié)議定[5]王慶剛， 楊佃福. GPRS 技術(shù)在嵌入式系統中的應用[J].微計算機信義，支持無(wú)線(xiàn)終端開(kāi)發(fā)的標準性與規范性。息2005, 21(5) :69-70.(上接第168頁(yè))4結語(yǔ)適合于分支機構點(diǎn)多面廣的企業(yè)和公司做安全互聯(lián)。分析DMVPN的特點(diǎn)，在應用上它具有如下優(yōu)勢: 1. 分支之間可動(dòng)態(tài)建立隧道傳輸數據，當兩個(gè)分支在同- -城市，而中心在另一城市時(shí)，分支之間直接發(fā)送數據可以減小延時(shí)，[1] ht://ww.w cisco. com.降低對中心路由器資源消耗，并且更經(jīng)濟: 2. 增加分支不用[2] Jeff Doyle. Routing TCP/IP Volume III. Printed in the United改變中心和其他分支的配置，維護工作量成倍降低; 3. 分支States，1998. Cisco Press.節點(diǎn)可使用動(dòng)態(tài)IP地址，節約了公網(wǎng)IP地址資源: 4. 動(dòng)態(tài)隧[3] htp://ww. net130. com.道的特點(diǎn)使它的網(wǎng)絡(luò )規?？梢院艽?。它的這些優(yōu)勢使它特別中國煤化工MHCNMH G.