楊柳

(上海行健職業(yè)學院，信息技術與機電工程系，上海 200072)

0 引言

隨著互聯(lián)網(wǎng)+的飛速發(fā)展，為超大型企業(yè)管理規(guī)模提供了有利的條件，公司的分支機構遍布全國乃至全球，各國分公司又有各地區(qū)子公司，隨著合作伙伴和客戶的不斷增加，企業(yè)、客戶、員工對數(shù)據(jù)安全傳輸和網(wǎng)絡高可用性的要求不斷提高。VPN(虛擬專用網(wǎng))是企業(yè)用來構建跨區(qū)域安全網(wǎng)絡的常用技術[1]。IPSec VPN是使用最廣泛并且是最經(jīng)典的保證VPN數(shù)據(jù)安全傳輸?shù)募夹g方案，但它不支持動態(tài)路由，不適合企業(yè)級大規(guī)模部署架構。這里引入DMVPN，可以在物理上使用星型拓撲結構，實現(xiàn)虛擬的Full-mesh網(wǎng)狀連通性[2]，中心站點的一次配置可以應對分支站點的動態(tài)改變，適合超大型企業(yè)部署架構。本文設計了如圖1所示的企業(yè)網(wǎng)絡，模擬分層模式，基于第三階段DMVPN[2]的雙核心架構可實現(xiàn)公司內網(wǎng)間數(shù)據(jù)安全傳輸，同時在總公司內部采用HSRP技術實現(xiàn)出口網(wǎng)關冗余。分析并對比單個隧道云和分層隧道云的實現(xiàn)方法，提出當前主流企業(yè)網(wǎng)絡架構下最優(yōu)的局域網(wǎng)安全傳輸方案。

1 雙核心架構設計

圖1為模擬超大型企業(yè)的網(wǎng)絡拓撲，HUB1、HUB11和Inside12構成公司總部，R2、R5和R6模擬互聯(lián)網(wǎng)，Spoke3和Spoke4模擬兩個分公司站點，Spoke3-7和Spoke3-8為Spoke3的兩個分公司站點，Spoke4-9和Spoke4-10為Spoke4的兩個分公司站點，因此形成分層模式，其中HUB1和HUB11為總公司雙核心站點，具體IP地址規(guī)劃如表1所示。

圖1 企業(yè)網(wǎng)絡拓撲圖

表1 IP地址規(guī)劃表

單個隧道云方案下隧道網(wǎng)絡為172.16.1.0/24，各出口站點的具體隧道地址與設備編號一致，如Spoke3的隧道地址為172.16.1.3/24,分層隧道云方案下總公司站點(HUB1、HUB11)與分公司站點(Spoke3、Spoke4)間的隧道網(wǎng)絡為172.16.1.0/24，分公司站點(Spoke3、Spoke4)與其各自分公司間的網(wǎng)絡隧道為172.16.2.0/24，同樣，具體隧道地址與設備編號一致，如Spoke4-9的隧道地址為172.16.2.9/24。

2 分層DMVPN技術

動態(tài)多點VPN(DMVPN)是為了應對傳統(tǒng)站點到站點IPSec VPN無法適合企業(yè)級大規(guī)模部署而提出的高擴展性解決方案。主要由mGRE、NHRP、動態(tài)路由協(xié)議和IPSec VPN四大關鍵技術結合而實現(xiàn)[3]，圖2為DMVPN的典型配置流程圖。DMVPN有3個發(fā)展階段，本文模擬的企業(yè)網(wǎng)絡符合第三階段DMVPN的層次化架構特征，但嚴格意義上并不屬于樹形架構。從目前互聯(lián)網(wǎng)應用實際來分析，總公司與各分公司間均會通過互聯(lián)網(wǎng)連通，所以拓撲中模擬出的各站點均連接到中間R2、R5和R6構成的互聯(lián)網(wǎng)中，符合當前主流企業(yè)網(wǎng)互聯(lián)方案。在此方案中可以選擇單個隧道云或者分層隧道云實現(xiàn)公司局域網(wǎng)間的數(shù)據(jù)安全傳輸，以下將分析兩種實現(xiàn)方法間的優(yōu)劣，提出最優(yōu)方案[4]。

圖2 DMVPN配置流程圖

2.1 公網(wǎng)暢通

實現(xiàn)局域網(wǎng)互聯(lián)的首要前提是公網(wǎng)暢通，因公網(wǎng)連通不屬于本文的關鍵性技術，故不做詳述。

2.2 mGRE隧道建立

mGRE是一種特殊的GRE技術，這種技術類似于多點幀中繼技術。處于同一個隧道云中的站點接口，處于同一個網(wǎng)段，通過隧道云可以實現(xiàn)站點間虛擬網(wǎng)狀連通性[2]。圖1所模擬的網(wǎng)絡在公網(wǎng)暢通的前提下可以使用單個云或者分層云的方法來建立隧道，單個隧道云的情況下，網(wǎng)絡可以簡化為如圖3(a)所示，總公司及各分公司出口站點均通過同一個隧道網(wǎng)絡連接。分層隧道云的情況下，網(wǎng)絡簡化如圖3(b)所示，總公司站點與分公司(Spoke3、Spoke4)之間建立mGRE1隧道，分公司(Spoke3、Spoke4)與其各自分公司間建立mGRE2隧道。

(a)單個隧道云拓撲圖

2.3 NHRP分析及配置

在各出口站點建立了隧道后，并不能立即實現(xiàn)隧道之間的連通，因為各站點的隧道地址尚未和公網(wǎng)地址進行一一對應，NHRP協(xié)議就是為了實現(xiàn)兩者的對應關系而設計的。第三階段DMVPN的NHRP處理流程參見文獻[2]。

2.3.1 雙核心站點NHRP分析

本文設計的企業(yè)網(wǎng)絡屬于層次化拓撲，需要實現(xiàn)不同分公司與分公司站點間直接建立隧道，且符合DMVPN第三階段特性，同時雙核心架構要求總公司兩個核心站點除了動態(tài)接受分公司的組播映射注冊外，還需要互相配置靜態(tài)映射。

2.3.2 分公司站點NHRP分析

Spoke3和Spoke4作為總公司雙核心站點的分公司，同時又作為其各自分公司的上級公司，NHRP配置不僅要設置總公司雙核心站點的靜態(tài)映射，還要接受其各自分公司的動態(tài)組播映射注冊，圖4為單個隧道云情況下分公司站點Spoke3的NHRP關鍵性配置。

圖4 Spoke3的NHRP關鍵配置

2.3.3 分公司的分公司站點NHRP分析

Spoke3和Spoke4的分公司，需要向其各自的上級公司站點注冊信息，為典型的第三階段DMVPN分支站點NHRP配置。

2.4 動態(tài)路由協(xié)議

通過2.3，分層模式的雙核心架構已實現(xiàn)隧道互通，接下來可使用動態(tài)路由協(xié)議通過mGRE隧道云來貫通總公司及各分公司的局域網(wǎng)[5]，在此選擇EIGRP協(xié)議，通告網(wǎng)絡時注意只能通告隧道網(wǎng)絡和局域網(wǎng)網(wǎng)絡，不能通告公網(wǎng)地址。由于第三階段DMVPN支持路由匯總，需要總公司站點向分公司發(fā)送匯總路由[6]，配置為ip summary-address eigrp 1 192.168.0.0/16。

2.5 IPSec實現(xiàn)

DMVPN也可以叫做mGRE over IPSec VPN，通過mGRE隧道和動態(tài)路由協(xié)議實現(xiàn)局域網(wǎng)互通后，最為關鍵的是使用IPSec保護數(shù)據(jù)流的安全。在此方案中，由于每個站點都需永久或動態(tài)的與其他站點建立VPN連接，所以IPSec VPN第一階段認證標識配置中VPN對等體采用通配符0.0.0.0 0.0.0.0，IPSec VPN采用傳輸模式。IPsec VPN的第二階段采用IPSec Profile的配置方式，只需設置轉換集，無需指定對等體和定義感興趣流[7-9]。

3 仿真測試

3.1 測試NHRP

各公司站點的NHRP初始映射信息在單個隧道云和多級隧道云情況下基本沒有區(qū)別，單個隧道云情況下分公司Spoke3的NHRP初始注冊信息如圖5所示，有HUB1和HUB11的靜態(tài)映射，同時Spoke3動態(tài)接收到其兩個分公司的注冊信息。分公司Spoke3-7的NHRP初始注冊信息只有Spoke3的靜態(tài)映射，當有通信需求時，通信發(fā)起端會向目標端動態(tài)注冊信息，最終每個站點都會學習到所有站的注冊信息，此時所有站點的隧道暢通。

圖5 Spoke3的NHRP初始注冊信息

3.2 局域網(wǎng)通信測試

通過動態(tài)路由協(xié)議配置將屬性調整完成后可實現(xiàn)所有站點局域網(wǎng)暢通[10]，但此時單個隧道云和分層隧道云情況下，通信過程卻有所區(qū)別，具體如下。

單個隧道云情況下具有NHRP初始注冊信息的站點間能夠直接通信，但NHRP服務器地址不同的站點間(如Spoke3-8與Spoke4-9間)不能直接連通，雙方均需要首先向對方所屬上級公司Spoke3和Spoke4站點發(fā)起通信需求，上級公司掌握到各自的NHRP信息后，各子公司間才能夠實現(xiàn)隧道完全暢通。

分層隧道云情況下所有站點局域網(wǎng)之間均可以直接通信。分層隧道云測試可知總公司核心站點能夠學習到所有分公司站點的明細路由。圖6為跟蹤分公司Spoke3-7與Spoke4-9的通信路徑，可以看到在分層隧道云的情況下，配置完成后各分公司局域網(wǎng)間便可以實現(xiàn)完全暢通，并且初始通信是通過總公司核心站點轉發(fā)，后續(xù)通信為雙方直接通信。圖7跟蹤分公司Spoke3與總公司內部局域網(wǎng)的通信路徑，可以看到流量分別通過HUB1和HUB11到達目標，實現(xiàn)了負載均衡,當其中一個站點出現(xiàn)故障時，另一個站點可以獨自承擔所有通信流量，不影響正常通信。

圖6 分公司間局域網(wǎng)連通性測試

圖7 跟蹤Spoke3到Inside12的通信路徑

3.3 DMVPN狀態(tài)測試

根據(jù)2.5節(jié)分析，所有經(jīng)過隧道的通信流量都會被加密傳輸，圖8為部分第二階段安全關聯(lián)情況。

圖8 Spoke4-9 IPSec VPN的IPSec SA

4 總結

本文根據(jù)目前行業(yè)現(xiàn)狀和互聯(lián)網(wǎng)實際應用模擬出大規(guī)模企業(yè)分層網(wǎng)絡架構，通過仿真對比分析了使用DMVPN技術不同規(guī)劃方法實施局域網(wǎng)連通的優(yōu)劣，分析本方案主要有以下幾方面特點。

4.1 符合主流互聯(lián)網(wǎng)架構

此網(wǎng)絡架構屬于第三階段DMVPN的層次化結構，但嚴格意義上不屬于樹形結構，互聯(lián)網(wǎng)的飛速發(fā)展使得大型企業(yè)的總部和各分公司之間都會通過互聯(lián)網(wǎng)連通[11]，所以本文模擬的網(wǎng)絡架構更符合主流應用實際。

4.2 對比2種mGRE規(guī)劃方法

對模擬企業(yè)網(wǎng)分別進行單個隧道云和分層隧道云規(guī)劃，對比其配置和驗證結果可知，單個隧道云結構和配置相對簡單，易于理解，但不同區(qū)域的分公司局域網(wǎng)之間的通信需要經(jīng)過上層公司站點傳遞。分層隧道云雖然結構和配置相對復雜，但各分公司間能夠直接通信，更有利于超大型企業(yè)多級分公司架構部署。

4.3 簡化的配置和維護工作

此方案不僅解決了分層模式下的局域網(wǎng)絡通信問題，并將總公司核心站點的壓力分解給各分公司，進行區(qū)域化管理，實現(xiàn)了總公司核心站點的一次配置即可應對各分公司及其子公司變化的目的。

4.4 避免單點故障

雙核心架構實現(xiàn)了總公司出口站點互相備份，對總公司內部可采用HSRP技術實現(xiàn)網(wǎng)關冗余[12]。如果兩核心站點同時正常工作，可實現(xiàn)各站點局域網(wǎng)傳輸流量負載均衡，當有任何一個站點出現(xiàn)故障，另一個站點負責承載所有流量，不影響正常的網(wǎng)絡通信，所以此雙核心架構不僅是對于總公司內部向分公司還是分公司向總公司的通信都避免了單點故障。