楊柳

(上海行健職業(yè)學(xué)院，信息技術(shù)與機(jī)電工程系，上海 200072)

0 引言

隨著互聯(lián)網(wǎng)+的飛速發(fā)展，為超大型企業(yè)管理規(guī)模提供了有利的條件，公司的分支機(jī)構(gòu)遍布全國(guó)乃至全球，各國(guó)分公司又有各地區(qū)子公司，隨著合作伙伴和客戶(hù)的不斷增加，企業(yè)、客戶(hù)、員工對(duì)數(shù)據(jù)安全傳輸和網(wǎng)絡(luò)高可用性的要求不斷提高。VPN(虛擬專(zhuān)用網(wǎng))是企業(yè)用來(lái)構(gòu)建跨區(qū)域安全網(wǎng)絡(luò)的常用技術(shù)[1]。IPSec VPN是使用最廣泛并且是最經(jīng)典的保證VPN數(shù)據(jù)安全傳輸?shù)募夹g(shù)方案，但它不支持動(dòng)態(tài)路由，不適合企業(yè)級(jí)大規(guī)模部署架構(gòu)。這里引入DMVPN，可以在物理上使用星型拓?fù)浣Y(jié)構(gòu)，實(shí)現(xiàn)虛擬的Full-mesh網(wǎng)狀連通性[2]，中心站點(diǎn)的一次配置可以應(yīng)對(duì)分支站點(diǎn)的動(dòng)態(tài)改變，適合超大型企業(yè)部署架構(gòu)。本文設(shè)計(jì)了如圖1所示的企業(yè)網(wǎng)絡(luò)，模擬分層模式，基于第三階段DMVPN[2]的雙核心架構(gòu)可實(shí)現(xiàn)公司內(nèi)網(wǎng)間數(shù)據(jù)安全傳輸，同時(shí)在總公司內(nèi)部采用HSRP技術(shù)實(shí)現(xiàn)出口網(wǎng)關(guān)冗余。分析并對(duì)比單個(gè)隧道云和分層隧道云的實(shí)現(xiàn)方法，提出當(dāng)前主流企業(yè)網(wǎng)絡(luò)架構(gòu)下最優(yōu)的局域網(wǎng)安全傳輸方案。

1 雙核心架構(gòu)設(shè)計(jì)

圖1為模擬超大型企業(yè)的網(wǎng)絡(luò)拓?fù)洌琀UB1、HUB11和Inside12構(gòu)成公司總部，R2、R5和R6模擬互聯(lián)網(wǎng)，Spoke3和Spoke4模擬兩個(gè)分公司站點(diǎn)，Spoke3-7和Spoke3-8為Spoke3的兩個(gè)分公司站點(diǎn)，Spoke4-9和Spoke4-10為Spoke4的兩個(gè)分公司站點(diǎn)，因此形成分層模式，其中HUB1和HUB11為總公司雙核心站點(diǎn)，具體IP地址規(guī)劃如表1所示。

圖1 企業(yè)網(wǎng)絡(luò)拓?fù)鋱D

表1 IP地址規(guī)劃表

單個(gè)隧道云方案下隧道網(wǎng)絡(luò)為172.16.1.0/24，各出口站點(diǎn)的具體隧道地址與設(shè)備編號(hào)一致，如Spoke3的隧道地址為172.16.1.3/24,分層隧道云方案下總公司站點(diǎn)(HUB1、HUB11)與分公司站點(diǎn)(Spoke3、Spoke4)間的隧道網(wǎng)絡(luò)為172.16.1.0/24，分公司站點(diǎn)(Spoke3、Spoke4)與其各自分公司間的網(wǎng)絡(luò)隧道為172.16.2.0/24，同樣，具體隧道地址與設(shè)備編號(hào)一致，如Spoke4-9的隧道地址為172.16.2.9/24。

2 分層DMVPN技術(shù)

動(dòng)態(tài)多點(diǎn)VPN(DMVPN)是為了應(yīng)對(duì)傳統(tǒng)站點(diǎn)到站點(diǎn)IPSec VPN無(wú)法適合企業(yè)級(jí)大規(guī)模部署而提出的高擴(kuò)展性解決方案。主要由mGRE、NHRP、動(dòng)態(tài)路由協(xié)議和IPSec VPN四大關(guān)鍵技術(shù)結(jié)合而實(shí)現(xiàn)[3]，圖2為DMVPN的典型配置流程圖。DMVPN有3個(gè)發(fā)展階段，本文模擬的企業(yè)網(wǎng)絡(luò)符合第三階段DMVPN的層次化架構(gòu)特征，但嚴(yán)格意義上并不屬于樹(shù)形架構(gòu)。從目前互聯(lián)網(wǎng)應(yīng)用實(shí)際來(lái)分析，總公司與各分公司間均會(huì)通過(guò)互聯(lián)網(wǎng)連通，所以拓?fù)渲心M出的各站點(diǎn)均連接到中間R2、R5和R6構(gòu)成的互聯(lián)網(wǎng)中，符合當(dāng)前主流企業(yè)網(wǎng)互聯(lián)方案。在此方案中可以選擇單個(gè)隧道云或者分層隧道云實(shí)現(xiàn)公司局域網(wǎng)間的數(shù)據(jù)安全傳輸，以下將分析兩種實(shí)現(xiàn)方法間的優(yōu)劣，提出最優(yōu)方案[4]。

圖2 DMVPN配置流程圖

2.1 公網(wǎng)暢通

實(shí)現(xiàn)局域網(wǎng)互聯(lián)的首要前提是公網(wǎng)暢通，因公網(wǎng)連通不屬于本文的關(guān)鍵性技術(shù)，故不做詳述。

2.2 mGRE隧道建立

mGRE是一種特殊的GRE技術(shù)，這種技術(shù)類(lèi)似于多點(diǎn)幀中繼技術(shù)。處于同一個(gè)隧道云中的站點(diǎn)接口，處于同一個(gè)網(wǎng)段，通過(guò)隧道云可以實(shí)現(xiàn)站點(diǎn)間虛擬網(wǎng)狀連通性[2]。圖1所模擬的網(wǎng)絡(luò)在公網(wǎng)暢通的前提下可以使用單個(gè)云或者分層云的方法來(lái)建立隧道，單個(gè)隧道云的情況下，網(wǎng)絡(luò)可以簡(jiǎn)化為如圖3(a)所示，總公司及各分公司出口站點(diǎn)均通過(guò)同一個(gè)隧道網(wǎng)絡(luò)連接。分層隧道云的情況下，網(wǎng)絡(luò)簡(jiǎn)化如圖3(b)所示，總公司站點(diǎn)與分公司(Spoke3、Spoke4)之間建立mGRE1隧道，分公司(Spoke3、Spoke4)與其各自分公司間建立mGRE2隧道。

(a)單個(gè)隧道云拓?fù)鋱D

2.3 NHRP分析及配置

在各出口站點(diǎn)建立了隧道后，并不能立即實(shí)現(xiàn)隧道之間的連通，因?yàn)楦髡军c(diǎn)的隧道地址尚未和公網(wǎng)地址進(jìn)行一一對(duì)應(yīng)，NHRP協(xié)議就是為了實(shí)現(xiàn)兩者的對(duì)應(yīng)關(guān)系而設(shè)計(jì)的。第三階段DMVPN的NHRP處理流程參見(jiàn)文獻(xiàn)[2]。

2.3.1 雙核心站點(diǎn)NHRP分析

本文設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)屬于層次化拓?fù)?，需要?shí)現(xiàn)不同分公司與分公司站點(diǎn)間直接建立隧道，且符合DMVPN第三階段特性，同時(shí)雙核心架構(gòu)要求總公司兩個(gè)核心站點(diǎn)除了動(dòng)態(tài)接受分公司的組播映射注冊(cè)外，還需要互相配置靜態(tài)映射。

2.3.2 分公司站點(diǎn)NHRP分析

Spoke3和Spoke4作為總公司雙核心站點(diǎn)的分公司，同時(shí)又作為其各自分公司的上級(jí)公司，NHRP配置不僅要設(shè)置總公司雙核心站點(diǎn)的靜態(tài)映射，還要接受其各自分公司的動(dòng)態(tài)組播映射注冊(cè)，圖4為單個(gè)隧道云情況下分公司站點(diǎn)Spoke3的NHRP關(guān)鍵性配置。

圖4 Spoke3的NHRP關(guān)鍵配置

2.3.3 分公司的分公司站點(diǎn)NHRP分析

Spoke3和Spoke4的分公司，需要向其各自的上級(jí)公司站點(diǎn)注冊(cè)信息，為典型的第三階段DMVPN分支站點(diǎn)NHRP配置。

2.4 動(dòng)態(tài)路由協(xié)議

通過(guò)2.3，分層模式的雙核心架構(gòu)已實(shí)現(xiàn)隧道互通，接下來(lái)可使用動(dòng)態(tài)路由協(xié)議通過(guò)mGRE隧道云來(lái)貫通總公司及各分公司的局域網(wǎng)[5]，在此選擇EIGRP協(xié)議，通告網(wǎng)絡(luò)時(shí)注意只能通告隧道網(wǎng)絡(luò)和局域網(wǎng)網(wǎng)絡(luò)，不能通告公網(wǎng)地址。由于第三階段DMVPN支持路由匯總，需要總公司站點(diǎn)向分公司發(fā)送匯總路由[6]，配置為ip summary-address eigrp 1 192.168.0.0/16。

2.5 IPSec實(shí)現(xiàn)

DMVPN也可以叫做mGRE over IPSec VPN，通過(guò)mGRE隧道和動(dòng)態(tài)路由協(xié)議實(shí)現(xiàn)局域網(wǎng)互通后，最為關(guān)鍵的是使用IPSec保護(hù)數(shù)據(jù)流的安全。在此方案中，由于每個(gè)站點(diǎn)都需永久或動(dòng)態(tài)的與其他站點(diǎn)建立VPN連接，所以IPSec VPN第一階段認(rèn)證標(biāo)識(shí)配置中VPN對(duì)等體采用通配符0.0.0.0 0.0.0.0，IPSec VPN采用傳輸模式。IPsec VPN的第二階段采用IPSec Profile的配置方式，只需設(shè)置轉(zhuǎn)換集，無(wú)需指定對(duì)等體和定義感興趣流[7-9]。

3 仿真測(cè)試

3.1 測(cè)試NHRP

各公司站點(diǎn)的NHRP初始映射信息在單個(gè)隧道云和多級(jí)隧道云情況下基本沒(méi)有區(qū)別，單個(gè)隧道云情況下分公司Spoke3的NHRP初始注冊(cè)信息如圖5所示，有HUB1和HUB11的靜態(tài)映射，同時(shí)Spoke3動(dòng)態(tài)接收到其兩個(gè)分公司的注冊(cè)信息。分公司Spoke3-7的NHRP初始注冊(cè)信息只有Spoke3的靜態(tài)映射，當(dāng)有通信需求時(shí)，通信發(fā)起端會(huì)向目標(biāo)端動(dòng)態(tài)注冊(cè)信息，最終每個(gè)站點(diǎn)都會(huì)學(xué)習(xí)到所有站的注冊(cè)信息，此時(shí)所有站點(diǎn)的隧道暢通。

圖5 Spoke3的NHRP初始注冊(cè)信息

3.2 局域網(wǎng)通信測(cè)試

通過(guò)動(dòng)態(tài)路由協(xié)議配置將屬性調(diào)整完成后可實(shí)現(xiàn)所有站點(diǎn)局域網(wǎng)暢通[10]，但此時(shí)單個(gè)隧道云和分層隧道云情況下，通信過(guò)程卻有所區(qū)別，具體如下。

單個(gè)隧道云情況下具有NHRP初始注冊(cè)信息的站點(diǎn)間能夠直接通信，但NHRP服務(wù)器地址不同的站點(diǎn)間(如Spoke3-8與Spoke4-9間)不能直接連通，雙方均需要首先向?qū)Ψ剿鶎偕霞?jí)公司Spoke3和Spoke4站點(diǎn)發(fā)起通信需求，上級(jí)公司掌握到各自的NHRP信息后，各子公司間才能夠?qū)崿F(xiàn)隧道完全暢通。

分層隧道云情況下所有站點(diǎn)局域網(wǎng)之間均可以直接通信。分層隧道云測(cè)試可知總公司核心站點(diǎn)能夠?qū)W習(xí)到所有分公司站點(diǎn)的明細(xì)路由。圖6為跟蹤分公司Spoke3-7與Spoke4-9的通信路徑，可以看到在分層隧道云的情況下，配置完成后各分公司局域網(wǎng)間便可以實(shí)現(xiàn)完全暢通，并且初始通信是通過(guò)總公司核心站點(diǎn)轉(zhuǎn)發(fā)，后續(xù)通信為雙方直接通信。圖7跟蹤分公司Spoke3與總公司內(nèi)部局域網(wǎng)的通信路徑，可以看到流量分別通過(guò)HUB1和HUB11到達(dá)目標(biāo)，實(shí)現(xiàn)了負(fù)載均衡,當(dāng)其中一個(gè)站點(diǎn)出現(xiàn)故障時(shí)，另一個(gè)站點(diǎn)可以獨(dú)自承擔(dān)所有通信流量，不影響正常通信。

圖6 分公司間局域網(wǎng)連通性測(cè)試

圖7 跟蹤Spoke3到Inside12的通信路徑

3.3 DMVPN狀態(tài)測(cè)試

根據(jù)2.5節(jié)分析，所有經(jīng)過(guò)隧道的通信流量都會(huì)被加密傳輸，圖8為部分第二階段安全關(guān)聯(lián)情況。

圖8 Spoke4-9 IPSec VPN的IPSec SA

4 總結(jié)

本文根據(jù)目前行業(yè)現(xiàn)狀和互聯(lián)網(wǎng)實(shí)際應(yīng)用模擬出大規(guī)模企業(yè)分層網(wǎng)絡(luò)架構(gòu)，通過(guò)仿真對(duì)比分析了使用DMVPN技術(shù)不同規(guī)劃方法實(shí)施局域網(wǎng)連通的優(yōu)劣，分析本方案主要有以下幾方面特點(diǎn)。

4.1 符合主流互聯(lián)網(wǎng)架構(gòu)

此網(wǎng)絡(luò)架構(gòu)屬于第三階段DMVPN的層次化結(jié)構(gòu)，但嚴(yán)格意義上不屬于樹(shù)形結(jié)構(gòu)，互聯(lián)網(wǎng)的飛速發(fā)展使得大型企業(yè)的總部和各分公司之間都會(huì)通過(guò)互聯(lián)網(wǎng)連通[11]，所以本文模擬的網(wǎng)絡(luò)架構(gòu)更符合主流應(yīng)用實(shí)際。

4.2 對(duì)比2種mGRE規(guī)劃方法

對(duì)模擬企業(yè)網(wǎng)分別進(jìn)行單個(gè)隧道云和分層隧道云規(guī)劃，對(duì)比其配置和驗(yàn)證結(jié)果可知，單個(gè)隧道云結(jié)構(gòu)和配置相對(duì)簡(jiǎn)單，易于理解，但不同區(qū)域的分公司局域網(wǎng)之間的通信需要經(jīng)過(guò)上層公司站點(diǎn)傳遞。分層隧道云雖然結(jié)構(gòu)和配置相對(duì)復(fù)雜，但各分公司間能夠直接通信，更有利于超大型企業(yè)多級(jí)分公司架構(gòu)部署。

4.3 簡(jiǎn)化的配置和維護(hù)工作

此方案不僅解決了分層模式下的局域網(wǎng)絡(luò)通信問(wèn)題，并將總公司核心站點(diǎn)的壓力分解給各分公司，進(jìn)行區(qū)域化管理，實(shí)現(xiàn)了總公司核心站點(diǎn)的一次配置即可應(yīng)對(duì)各分公司及其子公司變化的目的。

4.4 避免單點(diǎn)故障

雙核心架構(gòu)實(shí)現(xiàn)了總公司出口站點(diǎn)互相備份，對(duì)總公司內(nèi)部可采用HSRP技術(shù)實(shí)現(xiàn)網(wǎng)關(guān)冗余[12]。如果兩核心站點(diǎn)同時(shí)正常工作，可實(shí)現(xiàn)各站點(diǎn)局域網(wǎng)傳輸流量負(fù)載均衡，當(dāng)有任何一個(gè)站點(diǎn)出現(xiàn)故障，另一個(gè)站點(diǎn)負(fù)責(zé)承載所有流量，不影響正常的網(wǎng)絡(luò)通信，所以此雙核心架構(gòu)不僅是對(duì)于總公司內(nèi)部向分公司還是分公司向總公司的通信都避免了單點(diǎn)故障。