动态多点VPN技术

2009年第04期，第42卷通信技术Vol. 42，No. 04, 2009总第208期Communica t ions Techno logyNo. 208, Totally动态多点VPN技术徐云恒(湖北移动通信公司，湖北武汉)[摘要]动态多点虚拟专用网(Dynamic Mu1tipoint Virtual Private Network)是mGRE、 NHRP、 IPSec 结合产生的一种技术，其独特特点是两个分支之间可以通过mGRE端口动态建立IPSec 隧道，进行数据传输。文章图文结合，描述了动态多点VPN技术的工作原理，包括典型拓扑结构、mGRE/IPSec 隧道、NHRP 协议，说明了NHRP 与动态路由协议结合建立动态隧道的过程。并简述了动态多点VPN技术的应用优势。[关键词] NHRP;多点GRE;动态隧道; IPSec; 虚拟专用网[中图分类号] TP393[文献标识码] A[文章编号] 1002-0802 (2009) 04-0165-04Dynamic Multi- -point VPN TechnologyXU Yun-heng( Hubei Mobile Communi cat ion Corporat ion Wuhan Hubei )[Abstract] Dynamic Multipoint Virtual Private Network is a type of technology which is produced by combiningof mGRE, NHRP， IPSec. Its main characteristic is that it can build dynamic IPSec tunnel between spokes by mGREfor data transmission. This paper describes the operat ional principles of Dynamic Multipoint VPN, including itstypical toplogy, mGRE/ IPSec tuunel, NHRP protocol. It also di scusses the integration processes of NHRP and dynamicrout: ing protocol to bui ld dynamic tunnel. It also briefly tells of the application advantages of Dynamic MultipointVPN.[Key words] NHRP; mGRE; dynamic tunnel; IPSec; VPN0引言密。在DMVPN中，要用到动态路由协议，动态路由协议用动态多点VPN (Dynamic Mult ipoint VPN) 是mGRE、NHRP、组播:和广播宣告路由信息，所以不能直接使用IPSec加密。IPSec结合产生的一种技术, 简写为DMVPN。它为具有点多面GRE隧道支持组播和广播，所以DMVPN中采用GRE隧道，广分支机构特点的企业和公司，提供了- -种以INTERNET为基但是GE隧道的数据是没有加密的，在因特网.上传送不安全。础的低成本安全互联方案。其骨干网采用星形拓扑结构(hub因为GRE隧道的数据包是单播的，所以GRE隧道的数据包采用and spoke)。结构示意图见图1,其中HUB为中心，SPOKEIPSec加密，即GRE 0ver IPSec。GRE隧道的配置已经包括了为分支。GRE隧道对端的地址，这个地址同时也是IPSec隧道的对端地址，通过将GRE隧道与IPSec绑定，GRE隧道一 -旦建立， 立刻1 mGRE、 IPSec、 NHRP 的概念及相互关系触发IPSec加密。GRE是- -个在任意一种 网络层协议上封装任意一个 其它mGRE是将GRE点对点隧道扩展成一点与 多点建立隧道。网络层协议的协议, DMVPN中是将IP包封装进另一个IP包并加个mGRE接口包括--个IP地址、--个隧道源、--个隧道密钥,上新的IP头。它有两种形式:point-to-point (GRE),与GRE隧道不同,它没有隧道目的。因为mGRE隧道不定义隧道point- to-multipoint (mGRE)。目的地，所以它依赖NHRP, NHRP告诉mGRE向哪里发送数据包。IPSec是一种安全隧道技术，但不支持组播和广播的加NHRP协议的作用是将隧道的IP地址映射到NBMA地址，可以是收稿日期: 2008-12-25。作者简介:徐云恒(1960-)， 男，高级工程师，工学硕士，现就职于湖北移动通信公司网管中中国煤化工TYHCNMH G65.静态映射和动态映射。NBMA地址。然后mGRE将数据包封装为另- -个IP包的净负荷，mGRE怎样使用NHRP呢?当转发一个IP数据包时， 总是沿新的IP包目的地址就是对端的NBMA地址。组播包的地址由着下一跳地址将数据包传给mGRE接口，下- -跳地址就是对端NHRP配置中指定。mGRE/NHRP路 由通道示意如下，见图2。的隧道IP地址。mGRE在NHRP表中查找下-跳地址映射的对端10.0.0. 0255. 255. 255. 0LANs can have privateaddressing10.0.0.1HUB .Static knownIP addresDynamic unknown'IpaddreeSPOKE10.0.3.110. 0.3.0 255. 255. 255. 010.0.2.0255. 255. 255.010.0.1. 110. 0.1.0255. 255. 255. 010.0.2.1二=Static spoke- to-hub IPSec tunnels一= Dynamic spoke-to-spoke IPSec tunnels图1动态多点VPN结构示意Tunnel adress:10. 0.0.2/24__10.0.0.1/24NBMA adress:172. 16 0.224172.16. 0.1/241172. 16.0. 2/24| NHRP Table| Routing Table| 10.0.0.2→ 172.16.0.2| 192. 168. 1.0/24- .Tunnel0,via 10. 0.0.2IPPayload=172. 16.0.1I GRE. id=172. 16.0.2dst=192. 168. 1.1「I 1s=192.168.0. 1dst=1| dst=192. 168.1.1图2 mGRE/NHRP路由通道示意图2可以这样理解，在192. 168. 0.0/24网络有一个IP发向对端。包需要发送到192.168.1.0/24网络中，其源地址为192. 168. 0.1,目的地址为192.168.1.1。通过查路由表,到2 NHRP 地址映射表的生成过程192. 168. 1.0/24,走隧道0，下一跳是隧道对端IP地址NHRP地址映射表生成有三种方法:手动配置静态映射、10.0.0.2。通过查NHRP表，下-跳10.0.0.2对应的目的NBMA中心(hub) 通过登记请求(registration request)学习、地址是172. 16. 0.2。再对IP包做GRE封装，加上新IP头，源分支(spoke)中国煤化工uest)学习。地址为172.16. 0.1,目的地址为172.16. 0.2,然后IP包就能NHRP映射映射表是空表，YHCNM HG166 ..分支的映射表有- - 个静态配置的映射项，即中心的隧道IP地每次上线时的IP地址可能不同，所以中心通过注册过程可以址与其NBMA地址的映射，例如ipnhrpmap10.0.0.1自动学习该地址。172. 17.0. 1，还配置有一个组播映射项，例如ip nhrp map2)中心不必针对所有分支分别配置GRE或IPSec信息，大multicast 172. 17.0.1。分支必须向中心登记，中心的NHRP大简化中心的配置。所有相关信息可通过NHRP自动获取。表实际上由分支在控制，为了让分支能向中心登记，中心必3)当DMVPN网络扩展时，无须改动中心和其它分支的配须宣告自己为下一-跳服务器(Next-Hop Server,NHS)，分置。新加入的分支将自动注册到中心，通过动态路由协议，支发送登记请求给中心，其中包括分支的隧道IP地址和NBMA所有其它分支可以学到这条新的路由，新加入的分支也可以地址，以及保存时长。中心在NHRP表中对应生成-一个表项，学到到达其它所有分支的路由信息。表项只在保存时长内有效。然后中心向分支回送登记确认信NHRP的作用可以概括为两点，一是地址的映射和解析,息。NHRP登记请求过程示意见图3。二是转发数据。通过静态配置、NHRP登记、NHRP解 析实现地NHRP登记确认过程示意如下图4.址映射，由路由表获得到目的IP地址的隧道下- -跳IP地址，NHRP注册功能至少解决了三个问题。通过解析隧道下一-跳IP地址 与NBMA地址的映射，获得隧道下1)由于分支的NBMA地址是通过ISP的DHCP自动获取的，-跳IP地址对应的NBMA地址，实现数据转发。192. 168. 0. 1/24NHRP TableHUB10.0.0.11- 172. 16.1.1dynamic, mcast, hold=3600, no-uniquePhysical:172. 17.0. 1Tunnel0:10. 0.0.11[ IPNHRP-Registration Tunnel=10. 0.0. 11s=172. 16.1.1 GRE | s=10.0.0.11NBMA=172. 16. 1.1|d=172.17.0.1dst=10. 0. 0.1Hold= 3600, no-uniquePhysical (dynamic)172. 16. 1.1Spoke A192. 168. 1. 1/2410.0.0.1一→172.17.0.1(static, mcast)图3 NHRP登记请求过程示意192. 168. 0.1/2410.0.0.11-➢172. 16.1.1Physical:172. 17.0.1dynami C, mcast, hold=3600, no -uniqueTunnel0:10.0.0.1NHRP-Registration ReplyIs=172.16.1.1|GRE | s=10. 0.0.11code=|d=172. 17.0. 1dst=10. 0.0.1successful192. 168. 1.1/2410.0.0.1一◆172. 17.0. 1中国煤化工图4 NHRP登记确认过程示意MHCNMH G67.3分支之间的动态隧道向各分支宣告，中心对分支宣告的私网路由必须保留下- -跳在动态多点VPN中，分支与分支之间除了经过中心转发的私网地址，看起来就象是分支自己宣告的-样。数据外，分支还可以向另一分支直接发送数据。分支到中心分支用NHRP解析请求学习到下一-跳 分支的NBMA地址。的隧道- - 旦建立便持续存在，但是各分支之间并不配置持续分支的NHRP解析与NHRP登记过程是有差别的，登记是分支的隧道。当一个分支需要向另一个分支发送数据包时，两个在中心上登记自己，解析是分支通过中心寻址其他分支。分分支之间通过mGRE端口动态建立IPSec隧道，进行数据传输。支首先向中心发送解析请求，请求下一-跳隧道 IP地址映射的两个分支间路由和NHRP过程见图5。NBMA地址，中心解析出映射的NBMA地址后回复给请求分支，为了生成分支到分支的隧道，分支必须学到目的网络回复中还包括解析结果在中心的有效时长。然后，分支生成路由、下一 跳必须是远端分支的隧道IP地址、分支必须学到- -个NHRP表项，在没插入NHRP表之前，IPSec隧道就开始初了下一跳的NBMA地址。始化，在隧道建立后，NHRP表项才被插入表中并能使用。分支采用动态路由协议学习到目的网络的路由。路由旦对应的NHRP表项超时，分支与分支间隧道随之消失。协议只在中心和分支之间用到，为了使分支与分支间能路建立动态分支隧道的过程图示见图6.由，首先分支要向中心宣告自己的私网路由信息，再由中心Tunnel adress:_10.0.0-11/24 7BMA adress:172 161294172.17. 0.1/24L_ 172.16.1.2/24BFHUB|Spoke ANHRP Table「 Routing Table10.0.0.1+472.17.0.1192168.0.0/24+10.0.0.12+ 17276.2.2NBMA adress:Tunne10,via 10. 0.0.1172.16. 2. 2/24192. 168. 2.0/24- >Tunnel0, via 10.0. 0.1210. 0.0.12/24Spoke B图5两个分支间路由和NHRP过程192. 168. 0. 1/24HUB10.0.0.11十172. 16. 1.110.0.0.12 +172.16.2. imappinPhysical:172. 17.0.1Tunnel0:10. 0.0.1192.168. 0. 0/24 -十Conn192.168. 1.0/24- 10.0.0. 11Routing Table192.168. 2.0/24+ 10.0.0. 12DataPhysical:172. 16. 1.1! Physical:172. 16.2.1Tunnel0:10. 0.0.11Tunnel0:10.0.0.12192. 168. 1. 1/24192. 168. 2.1/2410.0.0.124 172.16.2.110.0.0.11 172.17.0.1192. 168. 0. 0/24- + 10.0.0.1192. 168. 0.0/24192.168.1.0/24+ Conn.192. 168.1.0/24110.0.0.11192.168.2.0/24-+10.0.0.12=Static IPSec tunnelsDynamic spoke中国煤化工图6建立动态分支隧道的过程YHCNM H G下转第171页)168.此外，系统设计还支持两种模式的数据传输过程:即主站系练主备》数据库服务器+Pull(拉模式)和Push (推模式)。数据中继设备或中继网络小对于上层无线终端与主站系统的数据传输通道来说，两种模式的数据传输都要适用。Pull模式是指主站系统周期性前置机+前置机4置机+地向本主站系统中已经建挡的各个无线终端发送获取数据CDMA网络+请求，并收集无线终端返回的带时间戳的各种系统状态以及应用数据。Pull模式的可操作性较强，用于实时性要求不高无线终端的应用。Push模式是指本区域内各无线终端自发性地主动向FRS4031KS485主站系统发送带时间戳的的各种系统状态以及应用数据。无数据测量点测量单元+数据测量点测量单元+线终端完成从数据采集器的数据收集并将数据通过CDMA移图2 CDMA 2000无线终端数据通信系统架构动网络发送给前置机，然后由前置机将数据转发给主站中心数据处理系统。3.2三层设备分工如图2所示，第- -层设备是用户数据测量采集器。包括对于底层无线终端与数据测量采集单元的应用数据采数据测量点和测量单元，不同应用场景需采集数据格式、参集通道来说，考虑到数据获取的可控性和时效性，- -般采数内容、数据覆盖范围存在差异。一般数据采集 器只负责本用Pull模式。通过对系统中通道数据传输的分层管理，优单元周围小范围内数据的收集与处理。同时，采集数据的内化网络通信性能、减少信息传输冗余，提高了系统的整体容除应用需要的实时数据以外，还应包括历史冻结数据、采通信性能。集器本身的状态信息等*5。第二层设备无线终端负责对分布在-定区域范围内的5结语用户数据采集器的测量数据进行采集、过滤与传输。此外无随着CDMA2000无线网络在国内建设的逐步完善，该系线终端还负责与采集器或主站系统进行通信通道的选择。在统设计作为一-种经济 可靠且性价比高的无线数据通信方案，-种通道类型无法满足传输需求的情况下，自动进行通道的能有效满足能源、金融、交通和环保等领域对无线数据通信切换与重新连接。的需求，加快这些领域信息化的进程。第三层设备是主站和数据中心，含主站服务器、前置机、数据库服务器以及中继网络等。主站前置机负责采集和转存参考文献分布在--定范围内的多台无线终端传送的来自具体应用数据[1] 杨大成. CDM20000 lx 移动通信系统[M]. 北京:机械工业出版设备或数据采集设备的数据，所有前置机和无线终端都由-社, 2003.个终端管理系统负责管理，所有无线终端和前置机收集来的[2]刘博,宋俊德3G业务平台体系架构的研究[J].移动通信,2005,数据都传送到数据中心后由同一个数据处理系统进行处理。29(9) :60-63.[3]傅中君.嵌入式GPRS无线通信模块的设计与实现[J].计算机工程4数据通信方式与应用, 2004, (14):162 - 164.CDMA 2000 无线终端数据通信系统通信设计有上下两条[4]庄旭东.基于GPRS通讯网络的电能量遥测系统终端软件设计[D].数据通道，分别是底层应用数据采集通道和上层数据传输通浙江大学, 2003, 41-50.道。数据通信格式遵循适应不同行业应用的规约与协议定[5]王庆刚， 杨佃福. GPRS 技术在嵌入式系统中的应用[J].微计算机信义，支持无线终端开发的标准性与规范性。息2005, 21(5) :69-70.(上接第168页)4结语适合于分支机构点多面广的企业和公司做安全互联。分析DMVPN的特点，在应用上它具有如下优势: 1. 分支之间可动态建立隧道传输数据，当两个分支在同- -城市，而中心在另一城市时，分支之间直接发送数据可以减小延时，[1] ht://ww.w cisco. com.降低对中心路由器资源消耗，并且更经济: 2. 增加分支不用[2] Jeff Doyle. Routing TCP/IP Volume III. Printed in the United改变中心和其他分支的配置，维护工作量成倍降低; 3. 分支States，1998. Cisco Press.节点可使用动态IP地址，节约了公网IP地址资源: 4. 动态隧[3] htp://ww. net130. com.道的特点使它的网络规模可以很大。它的这些优势使它特别中国煤化工MHCNMH G.