2009年第04期，第42卷通信技術(shù)Vol. 42，No. 04, 2009總第208期Communica t ions Techno logyNo. 208, Totally動態(tài)多點VPN技術(shù)徐云恒(湖北移動通信公司，湖北武漢)[摘要]動態(tài)多點虛擬專用網(wǎng)(Dynamic Mu1tipoint Virtual Private Network)是mGRE、 NHRP、 IPSec 結(jié)合產(chǎn)生的一種技術(shù)，其獨特特點是兩個分支之間可以通過mGRE端口動態(tài)建立IPSec 隧道，進行數(shù)據(jù)傳輸。文章圖文結(jié)合，描述了動態(tài)多點VPN技術(shù)的工作原理，包括典型拓撲結(jié)構(gòu)、mGRE/IPSec 隧道、NHRP 協(xié)議，說明了NHRP 與動態(tài)路由協(xié)議結(jié)合建立動態(tài)隧道的過程。并簡述了動態(tài)多點VPN技術(shù)的應(yīng)用優(yōu)勢。[關(guān)鍵詞] NHRP;多點GRE;動態(tài)隧道; IPSec; 虛擬專用網(wǎng)[中圖分類號] TP393[文獻標(biāo)識碼] A[文章編號] 1002-0802 (2009) 04-0165-04Dynamic Multi- -point VPN TechnologyXU Yun-heng( Hubei Mobile Communi cat ion Corporat ion Wuhan Hubei )[Abstract] Dynamic Multipoint Virtual Private Network is a type of technology which is produced by combiningof mGRE, NHRP， IPSec. Its main characteristic is that it can build dynamic IPSec tunnel between spokes by mGREfor data transmission. This paper describes the operat ional principles of Dynamic Multipoint VPN, including itstypical toplogy, mGRE/ IPSec tuunel, NHRP protocol. It also di scusses the integration processes of NHRP and dynamicrout: ing protocol to bui ld dynamic tunnel. It also briefly tells of the application advantages of Dynamic MultipointVPN.[Key words] NHRP; mGRE; dynamic tunnel; IPSec; VPN0引言密。在DMVPN中，要用到動態(tài)路由協(xié)議，動態(tài)路由協(xié)議用動態(tài)多點VPN (Dynamic Mult ipoint VPN) 是mGRE、NHRP、組播:和廣播宣告路由信息，所以不能直接使用IPSec加密。IPSec結(jié)合產(chǎn)生的一種技術(shù), 簡寫為DMVPN。它為具有點多面GRE隧道支持組播和廣播，所以DMVPN中采用GRE隧道，廣分支機構(gòu)特點的企業(yè)和公司，提供了- -種以INTERNET為基但是GE隧道的數(shù)據(jù)是沒有加密的，在因特網(wǎng).上傳送不安全。礎(chǔ)的低成本安全互聯(lián)方案。其骨干網(wǎng)采用星形拓撲結(jié)構(gòu)(hub因為GRE隧道的數(shù)據(jù)包是單播的，所以GRE隧道的數(shù)據(jù)包采用and spoke)。結(jié)構(gòu)示意圖見圖1,其中HUB為中心，SPOKEIPSec加密，即GRE 0ver IPSec。GRE隧道的配置已經(jīng)包括了為分支。GRE隧道對端的地址，這個地址同時也是IPSec隧道的對端地址，通過將GRE隧道與IPSec綁定，GRE隧道一 -旦建立， 立刻1 mGRE、 IPSec、 NHRP 的概念及相互關(guān)系觸發(fā)IPSec加密。GRE是- -個在任意一種 網(wǎng)絡(luò)層協(xié)議上封裝任意一個 其它mGRE是將GRE點對點隧道擴展成一點與 多點建立隧道。網(wǎng)絡(luò)層協(xié)議的協(xié)議, DMVPN中是將IP包封裝進另一個IP包并加個mGRE接口包括--個IP地址、--個隧道源、--個隧道密鑰,上新的IP頭。它有兩種形式:point-to-point (GRE),與GRE隧道不同,它沒有隧道目的。因為mGRE隧道不定義隧道point- to-multipoint (mGRE)。目的地，所以它依賴NHRP, NHRP告訴mGRE向哪里發(fā)送數(shù)據(jù)包。IPSec是一種安全隧道技術(shù)，但不支持組播和廣播的加NHRP協(xié)議的作用是將隧道的IP地址映射到NBMA地址，可以是收稿日期: 2008-12-25。作者簡介:徐云恒(1960-)， 男，高級工程師，工學(xué)碩士，現(xiàn)就職于湖北移動通信公司網(wǎng)管中中國煤化工TYHCNMH G65.靜態(tài)映射和動態(tài)映射。NBMA地址。然后mGRE將數(shù)據(jù)包封裝為另- -個IP包的凈負荷，mGRE怎樣使用NHRP呢?當(dāng)轉(zhuǎn)發(fā)一個IP數(shù)據(jù)包時， 總是沿新的IP包目的地址就是對端的NBMA地址。組播包的地址由著下一跳地址將數(shù)據(jù)包傳給mGRE接口，下- -跳地址就是對端NHRP配置中指定。mGRE/NHRP路 由通道示意如下，見圖2。的隧道IP地址。mGRE在NHRP表中查找下-跳地址映射的對端10.0.0. 0255. 255. 255. 0LANs can have privateaddressing10.0.0.1HUB .Static knownIP addresDynamic unknown'IpaddreeSPOKE10.0.3.110. 0.3.0 255. 255. 255. 010.0.2.0255. 255. 255.010.0.1. 110. 0.1.0255. 255. 255. 010.0.2.1二=Static spoke- to-hub IPSec tunnels一= Dynamic spoke-to-spoke IPSec tunnels圖1動態(tài)多點VPN結(jié)構(gòu)示意Tunnel adress:10. 0.0.2/24__10.0.0.1/24NBMA adress:172. 16 0.224172.16. 0.1/241172. 16.0. 2/24| NHRP Table| Routing Table| 10.0.0.2→ 172.16.0.2| 192. 168. 1.0/24- .Tunnel0,via 10. 0.0.2IPPayload=172. 16.0.1I GRE. id=172. 16.0.2dst=192. 168. 1.1「I 1s=192.168.0. 1dst=1| dst=192. 168.1.1圖2 mGRE/NHRP路由通道示意圖2可以這樣理解，在192. 168. 0.0/24網(wǎng)絡(luò)有一個IP發(fā)向?qū)Χ?。包需要發(fā)送到192.168.1.0/24網(wǎng)絡(luò)中，其源地址為192. 168. 0.1,目的地址為192.168.1.1。通過查路由表,到2 NHRP 地址映射表的生成過程192. 168. 1.0/24,走隧道0，下一跳是隧道對端IP地址NHRP地址映射表生成有三種方法:手動配置靜態(tài)映射、10.0.0.2。通過查NHRP表，下-跳10.0.0.2對應(yīng)的目的NBMA中心(hub) 通過登記請求(registration request)學(xué)習(xí)、地址是172. 16. 0.2。再對IP包做GRE封裝，加上新IP頭，源分支(spoke)中國煤化工uest)學(xué)習(xí)。地址為172.16. 0.1,目的地址為172.16. 0.2,然后IP包就能NHRP映射映射表是空表，YHCNM HG166 ..分支的映射表有- - 個靜態(tài)配置的映射項，即中心的隧道IP地每次上線時的IP地址可能不同，所以中心通過注冊過程可以址與其NBMA地址的映射，例如ipnhrpmap10.0.0.1自動學(xué)習(xí)該地址。172. 17.0. 1，還配置有一個組播映射項，例如ip nhrp map2)中心不必針對所有分支分別配置GRE或IPSec信息，大multicast 172. 17.0.1。分支必須向中心登記，中心的NHRP大簡化中心的配置。所有相關(guān)信息可通過NHRP自動獲取。表實際上由分支在控制，為了讓分支能向中心登記，中心必3)當(dāng)DMVPN網(wǎng)絡(luò)擴展時，無須改動中心和其它分支的配須宣告自己為下一-跳服務(wù)器(Next-Hop Server,NHS)，分置。新加入的分支將自動注冊到中心，通過動態(tài)路由協(xié)議，支發(fā)送登記請求給中心，其中包括分支的隧道IP地址和NBMA所有其它分支可以學(xué)到這條新的路由，新加入的分支也可以地址，以及保存時長。中心在NHRP表中對應(yīng)生成-一個表項，學(xué)到到達其它所有分支的路由信息。表項只在保存時長內(nèi)有效。然后中心向分支回送登記確認信NHRP的作用可以概括為兩點，一是地址的映射和解析,息。NHRP登記請求過程示意見圖3。二是轉(zhuǎn)發(fā)數(shù)據(jù)。通過靜態(tài)配置、NHRP登記、NHRP解 析實現(xiàn)地NHRP登記確認過程示意如下圖4.址映射，由路由表獲得到目的IP地址的隧道下- -跳IP地址，NHRP注冊功能至少解決了三個問題。通過解析隧道下一-跳IP地址 與NBMA地址的映射，獲得隧道下1)由于分支的NBMA地址是通過ISP的DHCP自動獲取的，-跳IP地址對應(yīng)的NBMA地址，實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)。192. 168. 0. 1/24NHRP TableHUB10.0.0.11- 172. 16.1.1dynamic, mcast, hold=3600, no-uniquePhysical:172. 17.0. 1Tunnel0:10. 0.0.11[ IPNHRP-Registration Tunnel=10. 0.0. 11s=172. 16.1.1 GRE | s=10.0.0.11NBMA=172. 16. 1.1|d=172.17.0.1dst=10. 0. 0.1Hold= 3600, no-uniquePhysical (dynamic)172. 16. 1.1Spoke A192. 168. 1. 1/2410.0.0.1一→172.17.0.1(static, mcast)圖3 NHRP登記請求過程示意192. 168. 0.1/2410.0.0.11-?172. 16.1.1Physical:172. 17.0.1dynami C, mcast, hold=3600, no -uniqueTunnel0:10.0.0.1NHRP-Registration ReplyIs=172.16.1.1|GRE | s=10. 0.0.11code=|d=172. 17.0. 1dst=10. 0.0.1successful192. 168. 1.1/2410.0.0.1一◆172. 17.0. 1中國煤化工圖4 NHRP登記確認過程示意MHCNMH G67.3分支之間的動態(tài)隧道向各分支宣告，中心對分支宣告的私網(wǎng)路由必須保留下- -跳在動態(tài)多點VPN中，分支與分支之間除了經(jīng)過中心轉(zhuǎn)發(fā)的私網(wǎng)地址，看起來就象是分支自己宣告的-樣。數(shù)據(jù)外，分支還可以向另一分支直接發(fā)送數(shù)據(jù)。分支到中心分支用NHRP解析請求學(xué)習(xí)到下一-跳 分支的NBMA地址。的隧道- - 旦建立便持續(xù)存在，但是各分支之間并不配置持續(xù)分支的NHRP解析與NHRP登記過程是有差別的，登記是分支的隧道。當(dāng)一個分支需要向另一個分支發(fā)送數(shù)據(jù)包時，兩個在中心上登記自己，解析是分支通過中心尋址其他分支。分分支之間通過mGRE端口動態(tài)建立IPSec隧道，進行數(shù)據(jù)傳輸。支首先向中心發(fā)送解析請求，請求下一-跳隧道 IP地址映射的兩個分支間路由和NHRP過程見圖5。NBMA地址，中心解析出映射的NBMA地址后回復(fù)給請求分支，為了生成分支到分支的隧道，分支必須學(xué)到目的網(wǎng)絡(luò)回復(fù)中還包括解析結(jié)果在中心的有效時長。然后，分支生成路由、下一 跳必須是遠端分支的隧道IP地址、分支必須學(xué)到- -個NHRP表項，在沒插入NHRP表之前，IPSec隧道就開始初了下一跳的NBMA地址。始化，在隧道建立后，NHRP表項才被插入表中并能使用。分支采用動態(tài)路由協(xié)議學(xué)習(xí)到目的網(wǎng)絡(luò)的路由。路由旦對應(yīng)的NHRP表項超時，分支與分支間隧道隨之消失。協(xié)議只在中心和分支之間用到，為了使分支與分支間能路建立動態(tài)分支隧道的過程圖示見圖6.由，首先分支要向中心宣告自己的私網(wǎng)路由信息，再由中心Tunnel adress:_10.0.0-11/24 7BMA adress:172 161294172.17. 0.1/24L_ 172.16.1.2/24BFHUB|Spoke ANHRP Table「 Routing Table10.0.0.1+472.17.0.1192168.0.0/24+10.0.0.12+ 17276.2.2NBMA adress:Tunne10,via 10. 0.0.1172.16. 2. 2/24192. 168. 2.0/24- >Tunnel0, via 10.0. 0.1210. 0.0.12/24Spoke B圖5兩個分支間路由和NHRP過程192. 168. 0. 1/24HUB10.0.0.11十172. 16. 1.110.0.0.12 +172.16.2. imappinPhysical:172. 17.0.1Tunnel0:10. 0.0.1192.168. 0. 0/24 -十Conn192.168. 1.0/24- 10.0.0. 11Routing Table192.168. 2.0/24+ 10.0.0. 12DataPhysical:172. 16. 1.1! Physical:172. 16.2.1Tunnel0:10. 0.0.11Tunnel0:10.0.0.12192. 168. 1. 1/24192. 168. 2.1/2410.0.0.124 172.16.2.110.0.0.11 172.17.0.1192. 168. 0. 0/24- + 10.0.0.1192. 168. 0.0/24192.168.1.0/24+ Conn.192. 168.1.0/24110.0.0.11192.168.2.0/24-+10.0.0.12=Static IPSec tunnelsDynamic spoke中國煤化工圖6建立動態(tài)分支隧道的過程YHCNM H G下轉(zhuǎn)第171頁)168.此外，系統(tǒng)設(shè)計還支持兩種模式的數(shù)據(jù)傳輸過程:即主站系練主備》數(shù)據(jù)庫服務(wù)器+Pull(拉模式)和Push (推模式)。數(shù)據(jù)中繼設(shè)備或中繼網(wǎng)絡(luò)小對于上層無線終端與主站系統(tǒng)的數(shù)據(jù)傳輸通道來說，兩種模式的數(shù)據(jù)傳輸都要適用。Pull模式是指主站系統(tǒng)周期性前置機+前置機4置機+地向本主站系統(tǒng)中已經(jīng)建擋的各個無線終端發(fā)送獲取數(shù)據(jù)CDMA網(wǎng)絡(luò)+請求，并收集無線終端返回的帶時間戳的各種系統(tǒng)狀態(tài)以及應(yīng)用數(shù)據(jù)。Pull模式的可操作性較強，用于實時性要求不高無線終端的應(yīng)用。Push模式是指本區(qū)域內(nèi)各無線終端自發(fā)性地主動向FRS4031KS485主站系統(tǒng)發(fā)送帶時間戳的的各種系統(tǒng)狀態(tài)以及應(yīng)用數(shù)據(jù)。無數(shù)據(jù)測量點測量單元+數(shù)據(jù)測量點測量單元+線終端完成從數(shù)據(jù)采集器的數(shù)據(jù)收集并將數(shù)據(jù)通過CDMA移圖2 CDMA 2000無線終端數(shù)據(jù)通信系統(tǒng)架構(gòu)動網(wǎng)絡(luò)發(fā)送給前置機，然后由前置機將數(shù)據(jù)轉(zhuǎn)發(fā)給主站中心數(shù)據(jù)處理系統(tǒng)。3.2三層設(shè)備分工如圖2所示，第- -層設(shè)備是用戶數(shù)據(jù)測量采集器。包括對于底層無線終端與數(shù)據(jù)測量采集單元的應(yīng)用數(shù)據(jù)采數(shù)據(jù)測量點和測量單元，不同應(yīng)用場景需采集數(shù)據(jù)格式、參集通道來說，考慮到數(shù)據(jù)獲取的可控性和時效性，- -般采數(shù)內(nèi)容、數(shù)據(jù)覆蓋范圍存在差異。一般數(shù)據(jù)采集 器只負責(zé)本用Pull模式。通過對系統(tǒng)中通道數(shù)據(jù)傳輸?shù)姆謱庸芾?，?yōu)單元周圍小范圍內(nèi)數(shù)據(jù)的收集與處理。同時，采集數(shù)據(jù)的內(nèi)化網(wǎng)絡(luò)通信性能、減少信息傳輸冗余，提高了系統(tǒng)的整體容除應(yīng)用需要的實時數(shù)據(jù)以外，還應(yīng)包括歷史凍結(jié)數(shù)據(jù)、采通信性能。集器本身的狀態(tài)信息等*5。第二層設(shè)備無線終端負責(zé)對分布在-定區(qū)域范圍內(nèi)的5結(jié)語用戶數(shù)據(jù)采集器的測量數(shù)據(jù)進行采集、過濾與傳輸。此外無隨著CDMA2000無線網(wǎng)絡(luò)在國內(nèi)建設(shè)的逐步完善，該系線終端還負責(zé)與采集器或主站系統(tǒng)進行通信通道的選擇。在統(tǒng)設(shè)計作為一-種經(jīng)濟 可靠且性價比高的無線數(shù)據(jù)通信方案，-種通道類型無法滿足傳輸需求的情況下，自動進行通道的能有效滿足能源、金融、交通和環(huán)保等領(lǐng)域?qū)o線數(shù)據(jù)通信切換與重新連接。的需求，加快這些領(lǐng)域信息化的進程。第三層設(shè)備是主站和數(shù)據(jù)中心，含主站服務(wù)器、前置機、數(shù)據(jù)庫服務(wù)器以及中繼網(wǎng)絡(luò)等。主站前置機負責(zé)采集和轉(zhuǎn)存參考文獻分布在--定范圍內(nèi)的多臺無線終端傳送的來自具體應(yīng)用數(shù)據(jù)[1] 楊大成. CDM20000 lx 移動通信系統(tǒng)[M]. 北京:機械工業(yè)出版設(shè)備或數(shù)據(jù)采集設(shè)備的數(shù)據(jù)，所有前置機和無線終端都由-社, 2003.個終端管理系統(tǒng)負責(zé)管理，所有無線終端和前置機收集來的[2]劉博,宋俊德3G業(yè)務(wù)平臺體系架構(gòu)的研究[J].移動通信,2005,數(shù)據(jù)都傳送到數(shù)據(jù)中心后由同一個數(shù)據(jù)處理系統(tǒng)進行處理。29(9) :60-63.[3]傅中君.嵌入式GPRS無線通信模塊的設(shè)計與實現(xiàn)[J].計算機工程4數(shù)據(jù)通信方式與應(yīng)用, 2004, (14):162 - 164.CDMA 2000 無線終端數(shù)據(jù)通信系統(tǒng)通信設(shè)計有上下兩條[4]莊旭東.基于GPRS通訊網(wǎng)絡(luò)的電能量遙測系統(tǒng)終端軟件設(shè)計[D].數(shù)據(jù)通道，分別是底層應(yīng)用數(shù)據(jù)采集通道和上層數(shù)據(jù)傳輸通浙江大學(xué), 2003, 41-50.道。數(shù)據(jù)通信格式遵循適應(yīng)不同行業(yè)應(yīng)用的規(guī)約與協(xié)議定[5]王慶剛， 楊佃福. GPRS 技術(shù)在嵌入式系統(tǒng)中的應(yīng)用[J].微計算機信義，支持無線終端開發(fā)的標(biāo)準(zhǔn)性與規(guī)范性。息2005, 21(5) :69-70.(上接第168頁)4結(jié)語適合于分支機構(gòu)點多面廣的企業(yè)和公司做安全互聯(lián)。分析DMVPN的特點，在應(yīng)用上它具有如下優(yōu)勢: 1. 分支之間可動態(tài)建立隧道傳輸數(shù)據(jù)，當(dāng)兩個分支在同- -城市，而中心在另一城市時，分支之間直接發(fā)送數(shù)據(jù)可以減小延時，[1] ht://ww.w cisco. com.降低對中心路由器資源消耗，并且更經(jīng)濟: 2. 增加分支不用[2] Jeff Doyle. Routing TCP/IP Volume III. Printed in the United改變中心和其他分支的配置，維護工作量成倍降低; 3. 分支States，1998. Cisco Press.節(jié)點可使用動態(tài)IP地址，節(jié)約了公網(wǎng)IP地址資源: 4. 動態(tài)隧[3] htp://ww. net130. com.道的特點使它的網(wǎng)絡(luò)規(guī)?？梢院艽蟆Ｋ倪@些優(yōu)勢使它特別中國煤化工MHCNMH G.