资源描述
摘 要
随着现代社会生活与信息技术的发展,福利彩票销售系统面临着过度依赖于传统IPSEC VPN的手工配置静态隧道、不支持隧道动态获取IP地址,网络中流量负载均衡、数据安全性能有待提高等问题,严重制约着福彩事业的进一步发展。
本文在A市福利彩票系统网络平台改造项目的实践基础上,采用目前流行的DMVPN(Dynamic Multipoint VPN,动态多点VPN)技术针对以上问题提出了一种有效的解决方案。在该方案中使用了mGRE(Multipoint GRE,多点GRE)和NHRP(Next Hop Resolution Protocol,下一跳解析协议),结合IPSec,较好地解决原来的网络平台存在的问题。经试运行表明,这种网络平台解决方案能给予福彩系统良好的支撑。
关键词:mGRE;NHRP;DMVPN
ABSTRACT
With the development of modern social life and information technology, welfare lottery sale system are facing many problems. Such as it highly relies on the traditional IPSEC VPN and need handling the static tunnel by man, while it does not support the tunnel to gain the IP address accordingly; the balance of the flow on the internet and the safety of the data need be improved and so on. All of these problems restrict the improvement of welfare lottery affairs.
Based on the practice of on-line stage improving project of welfare lottery sale system in city A, we find a more efficient plan to solve these problems by using the most popular DMVPN(Dynamic Multipoint VPN) technology. In our plan we used mGRE(Multipoint GRE) and NHRP(Next Hop Resolution rotocol), to combine with IPSec, after testing we found it did work.
Key words: mGRE; NHRP; DMVPN
目 录
第一章 绪 论 1
1.1论文研究背景及意义 1
1.2 DMVPN的研究现状 2
1.3 目前网络的现状和关键问题 4
1.4 拟使用的技术路线 4
1.5本文主要内容 5
第二章 相关技术概述 6
2.1虚拟专用网 6
2.1.1虚拟专用网概述 6
2.1.2 VPN技术基础 6
2.2 IPSec VPN的基本原理 7
2.3 GRE原理介绍 9
2.4 NHRP原理介绍 11
第三章 一种基于DMVPN技术的网络平台的设计 12
3.1网络改造工程背景和任务 12
3.1网络改造工程背景分析 12
3.1网络改造工程任务需求设计 12
3.2 IP地址划分 13
3.2.1 现有乙地的IP地址规划 14
3.2.2 新增甲地IP地址规划 14
3.3路由规划 15
3.4业务流量的路由选择 16
第四章 A市彩票系统网络设计方案的实施 17
4.1实施步骤 17
4.2设备命名规范 18
4.3设备用户名和密码 19
4.4端口描述 19
4.5 IPSec的加密及认证 19
4.6 IKE的设置 19
4.7 NHRP的配置 20
4.8 Tunnel KEY 20
4.9配置DMVPN 21
4.10验证配置 23
4.11功能测试结果分析 24
4.11.1功能实现测试结果分析 24
4.11.2改造后结果分析 26
第五章 结 论 27
参 考 文 献 28
致 谢 29
附 录 30
- 42 -
第一章 绪 论
1.1论文研究背景及意义
“Secure End to End Connectivity (保证端到端连接的安全)”是现在经常被提起的一个目标,这一目标对网络构架者来说是一个很大的挑战,这是因为现有的点到点连接技术(比如IPSec技术)和由动态路由协议提供的Any-to-Any的连接方式之间结合的有限。用户在使用VPN网络替代传统的WAN(Wide Area Network,广域网)技术如ISDN(Integrated Services Digital Network,综合业务数字网)、ATM (Asynchronous Transfer Mode,异步传输模式)、帧中继、租用专线的时候,需要IPSec隧道能够保证他们数据的私密性和完整性。IPSec从本质上讲是点到点的隧道网络,扩展性很差,扩展一个比较大的点到点的网络的方法是将其组织成一个Hub-and-spoke的网络。
IPSec和动态路由协议之间的结合存在一个基本的问题:动态路由协议的正常工作依赖于IP组播或广播包的传递,但是IPSec不支持组播或广播包的加密封装(引自于《VPN与网络安全[M]》)。目前常用的解决办法是使用GRE隧道封装结合IPSec加密。客户在实施Hub-and-Spoke模型的IPSec+GRE方案时会遇到的问题在于:
1) IPSec用ACL (Access Control List,访问控制列表)来区分哪些数据需要加密,当一个新的Spoke加入到网络中的时候,Hub和Spoke上面的ACL都需要更改,新Spoke的动态安排在此情况下是不可能的。
2) GRE必须知道Spoke端节点的peer地址,不支持被动态分配地址的CPE(Customer Premise Equipment,用户终端设备)设备,虽然IPSec本身对此有一定程度的支持。
3) 如果Spokes之间需要直接通过IPSec VPN进行通信,原来的Hub-and-Spoke就得变成一个Full-mesh的网络,因为事先并不知道哪些Spoke之间会直接对话,所以Full-mesh的网络就成了必须,而为部署这样的VPN网络所付出的代价往往是用户无法接受的。并且由于Spoke上配置的VPN路由器往往资源有限,无法支持到其它每个Spoke都有IPSec连接的要求。而且今后每加入一个新的Spoke就需要修改所有已存在Spoke上面的配置,以使已有的Spoke能意识到新成员的加入。
4) Hub-and-Spoke模型的VPN一旦规模比较大的时候,在Hub上要配置的命令行的数量是非常巨大的甚至有时候是不可用的。比如,当网络中有300个Spoke路由器的时候,在中心Hub路由器上的配置会高达3900行(引用于《BGP和VPN体系结构CCIP版[M]》)。这么大的配置文件是很难维护和排错的。
DMVPN(Dynamic Multipoint VPN,动态多点VPN)是基于Cisco IOS的专门为快速、简单地部署IPSec+GRE VPN的而出现的一种新技术。DMVPN解决方案使用了Multipoint GRE (mGRE)和NHRP(Next Hop Resolution Protocol,下一跳解析协议),配合IPSec可以解决上面提到的那些问题。
NHRP是一种客户端/服务器端模式的协议,这里Hub路由器作为服务器端,Spoke路由器均为客户端。Hub端会始终维护一个NHRP数据库,包含了所有Spoke的实际(Public interface)地址。每个Spoke在初始启动的时候会把自己的公共可达地址注册到Hub端的NHRP数据库中。当Spoke需要和其它Spoke之间直接建立动态的VPN连接时,它会到此数据库中查询对方的实际地址(引自于《支持VPN的隧道技术研究[J]》)。
mGRE则允许在单个的GRE接口上支持多个点到点的IPSec隧道。这一点也大大简化了设备的配置工作。和传统的IPSec+GRE模式相比,DMVPN存在以下优势:
1) 节点配置简单,但支持多种应用,如multicast、voice、video等,设备性能要求较高。
2) 新的Spoke CPE设备加入IPSec网络不用影响现有网络设备上的配置,初始化时它会自动注册到Hub上;
3) 支持需要动态获得公共地址的Spoke CPE(典型的应用是Cable用户和ADSL用户)。因为Spoke CPE在初始启动的时候都会到Hub的NHRP数据库注册它们的实际(公共)地址,所以Spoke CPE被动态分配的公共地址自然也会通知Hub端。
4) 简化和缩小了Hub端和Spoke端路由器的配置。DMVPN无须针对每个Spoke CPE做Tunnel接口和Crypto map的配置,使用DMVPN技术的IPSec节点通过NHRP数据库的更新来了解Peer(对等端)的信息,并且在配置时用一个多点GRE接口(mGRE)代替了所有点到点的GRE隧道接口。
5) 动态按需spoke-to-spoke隧道的建立。DMVPN允许spoke CPE按需建立直接到其它spoke CPE的隧道,而无须通过Hub进行通信,这样不用浪费Hub的带宽资源和处理时间。
6) DMVPN支持VPN内的动态路由协议和Multicast的流。支持Video、Voice等多种新应用在网络中的传递。
7) DMVPN支持双Hub的热备功能,每个CPE设备都同时建立两条与双Hub的隧 道,从而保证网络的高可靠性。
1.2 DMVPN的研究现状
据诺达咨询数据显示,受全球经济危机的影响,DMVPN行业2009年增长速度放缓,用户规模将达到4.35万户,比2008年增长23.6%。相对于传统电信业务(如话音)增长的放缓,DMVPN目前已经成为电信运营商竞争的热点之一。诺达咨询最新出炉的《中国DMVPN服务市场分析及服务商能力评估报告2009》报告对影响DMVPN行业发展的因素进行了深入分析,发现未来有五大因素将支撑DMVPN行业发展,促使DMVPN在2009年逆势增长。
1、颁发DM-VPN经营牌照
DM-VPN业务之所以作为一个独立的增值业务经营牌照的颁发,可以说明两点:
DM-VPN业务在增值业务中的重要性以及广阔的市场前景:电信增值业务分类把DM-VPN独立出来,并颁发独立的经营牌照,意味着该业务具重要性及广阔的市场前景,不然,没有必要把DM-VPN业务牌照及分类独立出来。
另外,牌照发放意味着我国电信服务的进一步开放。目前DM-VPN主要还是基础电信运营商的业务,使得增值服务商在提供VPN服务上比较谨慎,牌照发放降低了增值服务提供商发展DM-VPN业务的风险。
2、越来越多的跨国企业在中国落户、开展业务以及国内大公司向海外进行拓展
中国加入WTO(World Trade Organization ,世界贸易组织)为其DMVPN市场提供了一个关键的动力,更多的跨国公司,特别是制造业的公司,将其业务迁往中国内地。此外,中国国内的企业也开始了国际化的扩张。企业分支机构数量的快速扩大使得企业内部的虚拟专网建设的需求也随之扩张。国外的电信运营商也通过和国内的运营商开展合作,租用宽带线路为其跨国集团客户提供端到端的解决方案。
中国市场的国际化程度的提高:大量外国企业进入中国,将建立跨国VPN网络。
中国企业在积极拓展国际市场:中国本土企业走向世界,寻求海外发展,海外分支机构与中国总部将通过价格更低廉的VPN连接。
3、国家信息化战略,大型国企业、事业单位、政府行业部门信息化建设需求
在国内,由于信息化战略的带动,政府开始实施电子政务网的建设,而银行、教育、证券、电力、铁路、交通、民航、政法、国防等大型国有企事业间的数据沟通也日渐增长,VPN不仅方便地解决了企业内部数据的统一规划,廉价的数据交换费用还带来了相当可观的财务回报,VPN还能方便地实现提供对客户服务与交流的网络平台。
中国地领广阔,政府还是事业单位都存在分级管理的问题,随着各地政府及事业单位信息基础实施的完善,需要建立VPN,促进信息共享、交换,提升监督和管理效率,成为信息化的另一个重点。
4、中小企业ERP (Enterprise Resource Planning ,企业资源计划)的推动
中小型企业近些年来尝到了ERP项目的甜头,在ERP项目的带动下,VPN在中小企业间也是需求见长。再者,日益廉价的带宽费用和设备价格的降低也吸引中小企业纷纷建设自己的VPN网络。更加引注意的是,目前我国的中小企业信息化建设还没有大规模的启动。有数据表明,当前国内中小企业数量约有1100多万家,占我国企业总数95%以上,但信息化利用率不到15%。可想而知,如果VPN市场大范围启动,将会形成一个海量的市场。目前,国内电信运营商已经观察到这一潜在市场,专门成立了宽带商务推广组,向企业推出智能VPN、协同办公、声像通等多项宽带商务服务。
5、金融危机可能产生的积极影响
金融危机造成多数国际企业经营受困,IT与通信支出的缩减难以避免。但IPVPN与专线相比具有成本优势,而且能够实现更为灵活的业务形式,是企业缩减开支的情况下保证企业通信需要的良好选择。因此金融危机对DMVPN来说可能是一个机会,但不会改变整体市场收入增长率下降的趋势。
6、其他推动
DMVPN市场的逐步成熟、企事业单位对DMVPN的认知提高。
互联网的发展,推进企业在地域上的扩张,自然选择DMVPN加强总部与分指的管理和沟通是一种非常经济的方式。
1.3 目前网络的现状和关键问题
从A市福利彩票销售系统情况来看,经过数年的运行和改造,已经成为覆盖A市近1600个节点的大型网络系统,由于销售网点数目大,分布于不同地理位置的分支机构和部门之间的安全快速通信问题显得日益严峻。关键是由于营业网点数目巨大,网络中应用的传统IPSEC VPN面临过于依赖手工配置静态隧道,且不能动态获取IP地址,并且不能应对极有可能出现的峰值数据的负载,不能做到流量的自动负载均衡,严重的制约了公司的快速发展。
本文旨在提出一种基于DMVPN的网络设计方案,能为地市级福彩系统提供良好的支撑网络平台。该平台能够解决传统福彩系统中存在的营业网点扩展麻烦、数据安全无法得到保证、峰值流量不能均衡等问题,这些问题正是困扰福彩系统多年的瓶颈,也是本文所需要解决的关键技术问题,笔者以下将就这些问题的解决逐步予以阐述。
1.4 拟使用的技术路线
为了能很好的解决A福利彩票销售系统现在所面临的问题。本文拟使用基于Cisco IOS的专门为快速、简单地部署IPSec+GRE(Generic Routing Encapsulation,通用路由封装)VPN而出现的一种新技术DMVPN技术。DMVPN使用了mGRE(Multipoint GRE,多点GRE)进行数据封装和隧道的建立和NHRP(Next Hop Resolution Protocol,下一跳解析协议)实现IP地址的动态获取,配合IPSec技术进行数据加密可以很好的解决传统IPSec VPN存在的缺陷。并且使用主备机房,实行数据冗余,不尽能很好的把以前的设备进行利旧,达到节约成本的效果同时把数据机房放在两地能实行容灾备份,对数据的安全性提供了有力的保证。从而达到完美解决现网中存在不足和缺陷。
1.5本文主要内容
本文通过A市基于DMVPN的福利彩票销售系统网络平台改造项目的设计与实现,深入研究和分析了传统虚拟专用网存在的问题。针对A市福彩销售网络具体现状,提出了有针对性的技术解决方案,即采用动态多点虚拟专用网,并分析了DMVPN技术的优点,将此技术应用到具体项目中,成功解决了平台改造项目的技术难题。
第一章主要介绍论文的研究背景和意义,当前VPN技术的发展现状,以及本文的主要内容。
第二章对动态多点虚拟专用网的相关技术基础作一些简要介绍,DMVPN技术是融合mGRE和NHRP再配合IPSec的一种综合技术,所以基础技术也是很重要的。
第三章根据具体项目的背景进行方案的设计和规划,画出网络拓扑图,并进行IP地址的划分和路由的规划,为成功实施项目做好准备工作。
第四章是福彩销售系统网络平台改造项目的具体实施,也是本文的重点之一,完成设备的命名规范、设备的配置、以及项目实施后的测试。
第五章是结论,介绍课题的完成情况和得出的结论。
第二章 相关技术概述
2.1虚拟专用网
2.1.1虚拟专用网概述
虚拟专用网(VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式)、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。在传统的企业网络配置中,要进行异地局域网之间的互连,传统的方法是租用DDN(数字数据网)专线或帧中继。这样的通讯方案必然导致高昂的网络通讯维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般通过拨号线路(Internet)进入企业的局域网,而这样必然带来安全上的隐患。
虚拟专用网的提出就是来解决这些问题:
1) 使用VPN可降低成本——通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。
2) 传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。
3) 连接方便灵活——用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可。
4) 完全控制——虚拟专用网使用户可以利用ISP (Internet Service Provider,互联网服务提供商)的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。
2.1.2 VPN技术基础
VPN安全技术
目前 VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加密技术(Encryption&Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
1、隧道技术
隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP(Point to Point Protocol,点对点协议)中,再把整个数据包装入隧道协议中进行传输。第二层隧道协议有L2F (Level 2 Forwarding protocol ,第二层转发协议)、PPTP(Point to Point Tunneling Protocol, 点对点隧道协议)、L2TP(Layer 2 Tunneling Protocol , 第二层隧道协议)等。第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输,第三层隧道协议有VTP(VLAN Trunk Protocol)、IPSec等。
2、加解密技术
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3、密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥:在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
4、使用者与设备身份认证技术
使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
VPN使用的安全协议
SOCKS v5、IPSec、PPTP、L2TP四种协议是建设VPN经常使用的几种协议,他们工作在OSI网络模型的不同层次上,因此他们能够提供的服务也有所不同。相对PP2P/L2TP/SOCKS v5而言,IPSec协议具有最好的网络适应性和应用承载性,因此基于IPSec的VPN也是目前应用最广泛的一种。如表2-1所示列出了OSI(Open System Interconnection ,开放式系统互联参考模型)参考模型与相应层次的安全技术和所用的安全协议。
表2-1 OSI参考模型与相应层次的安全技术和所用的安全协议
OSI七层模型
安全技术
安全协议
会话层
会话层代理
SOCKS v5/SSL
传输层
网络层
包过滤
IPSec
数据链路层
PPTP/L2F/L2TP
物理层
—
2.2 IPSec VPN的基本原理
IPSec协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。其中私有性(Confidentiality)指对用户数据进行加密保护,用密文的形式传送:完整性(Data integrity)指对接收的数据进行验证,以判定报文是否被篡改;真实性(Data authentication)指验证数据源,以保证数据来自真实的发送者;防重放(Anti—replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。
1) AH和ESP协议
IPSec通过AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)这两个安全协议来实现上述目标。并且还可以通过IKE(Internet Key Exchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理。
AH是报文头验证协议,主要提供的功能有数据源验证、数据完整性校验和防报文重放功能;然而,AH并不加密所保护的数据报。
ESP是封装安全载荷协议,它除提供AH协议的所有功能之外(数据完整性校验不包括IP头),还可提供对IP报文的加密功能。
2) 安全联盟
IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体。IPSec能够允许系统、网络的用户或管理员控制对等体间安全服务的粒度。例如,某个组织的安全策略可能规定来自特定子网的数据流应同时使用AH和ESP进行保护,并使用3DES(Triple Data Encryption Standard,三重数据加密标准)进行加密;另一方面,策略可能规定来自另一个站点的数据流只使用ESP保护,并仅使用DES加密。通过SA(Security Association,安全联盟),IPSec能够对不同的数据流提供不同级别的安全保护。安全联盟是IPSec的基础,也是IPSec的本质。SA是通信对等体间对某些要素的约定,例如,使用哪种协议(AH、ESP还是两者结合使用)、协议的操作模式(传输模式和隧道模式)、密码算法(DES和3DES)、特定流中保护数据的共享密钥以及密钥的生存周期等。安全联盟是单向的,在两个对等体之间的双向通信,最少需要两个安全联盟来分别对两个方向的数据流进行安全保护。同时,如果希望同时使用AH和ESP来保护对等体间的数据流,则分别需要两个SA,一个用于AH,另一个用于ESP。安全联盟由一个三元组来唯一标识,这个三元组包括SPI(Security Parameter Index,安全参数索引)、目的IP地址、安全协议号(AH或ESP)。SPI是为唯一标识SA而生成的一个32比特的数值,它在AH和ESP头中传输。安全联盟具有生存周期。生存周期的计算包括两种方式:以时间为限制,每隔指定长度的时间就进行更新;以流量为限制,每传输指定的数据量(字节)就进行更新。
3) IPSec协议的操作模式
IPSec协议有两种操作模式:传输模式和隧道模式。SA中指定了协议的操作模式。
在传输模式下,AH或ESP被插入到IP头之后但在所有传输层协议之前,或所有其他IPSec协议之前。
在隧道模式下,AH或ESP插在原始IP头之前,另外生成一个新头放到AH或ESP之前。从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和加密:此外,可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。从性能来讲,隧道模式比传输模式占用更多带宽,因为它有一个额外的IP头。因此,到底使用哪种模式需要在安全性和性能间进行权衡。
4) 验证算法
AH和ESP都能够对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改。验证算法的实现主要是通过杂凑函数,杂凑函数是一种能够接受任意长的消息输入,并产生固定长度输出的算法,该输出称为消息摘要。IPSec对等体计算摘要,如果两个摘要是相同的,则表示报文是完整未经篡改的。一般来说IPSec使用两种验证算法:MD5和SHA-1。MD5通过输入任意长度的消息,产生128bit的消息摘要。SHA-1通过输入长度小于2的64次方比特的消息,产生160bit的消息摘要。SHA-I的摘要长于MD5,因而是更安全的。
5) 加密算法
ESP能够对IP报文内容进行加密保护,防止报文内容在传输过程中被窥探。加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。VRP(Versatile Routing Platform,通用路由平台)中IPSec实现三种加密算法:DES(Data Encryption Standard):使用56bit的密钥对一个64bit的明文块进行加密;3DES(Triple DES):使用三个56bit的DES密钥(共168bit密钥)对明文进行加密;AES(Advanced Encryption Standard):VRP实现了128bit密钥长度的AES算法,这也是IETF标准要求实现的。
6) 协商方式
有两种协商方式建立安全联盟,一种是手工方式(manual),一种是IKE自动协商(isakmp)方式。前者配置比较复杂,创建安全联盟所需的全部信息都必须手工配置,而且IPSec的一些高级特性(例如定时更新密钥)不被支持,但优点是可以不依赖IKE而单独实现IPSec功能。而后者则相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。当与之进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的。对于中、大型的动态网络环境中,推荐使用IKE协商建立安全联盟。
2.3 GRE原理介绍
通用路由封装GRE(Generic Routing Encapsulation)定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议。
在大多数常规情况下,系统拥有一个有效载荷(或负载)包,需要将它封装并发送至某个目的地。首先将有效载荷封装在一个GRE包中,然后将此GRE包封装在其它某协议中并进行转发。此外发协议即为发送协议。当IPv4被作为GRE 有效载荷传输时,协议类型字段必须被设置为0x800。当一个隧道终点拆封此含有IPv4包作为有效载荷的GRE包时,IPv4包头中的目的地址必须用来转发包,并且需要减少有效载荷包的TTL。值得注意的是,在转发这样一个包时,如果有效载荷包的目的地址就是包的封装器(也就是隧道另一端),就会出现回路现象。在此情形下,必须丢弃该包。
GRE下的网络安全与常规的IPv4网络安全是较为相似的,GRE下的路由采用 IPv4原本使用的路由,但路由过滤保持不变。包过滤要求防火墙检查GRE包,或者在GRE隧道终点完成过滤过程。在那些这被看作是安全问题的环境下,可以在防火墙上终止隧道。
GRE简介
GRE协议是对某些网络层协议(如IP和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。GRE采用Tunnel(隧道)技术,是VPN的第三层隧道协议。
Tunnel是一个虚拟的点对点的连接,提供了一条通路使封装的数据报文能够在这个通路上传输,并且在一个Tunnel的两端分别对数据报进行封装及解封装。
一个X协议的报文要想穿越IP网络在Tunnel中传输,必须要经过加封装与解封装两个过程:
1. 加封装过程
1) Router A连接Group 1的接口收到X协议报文后,首先交由X协议处理;
2) X协议检查报文头中的目的地址域来确定如何路由此包;
3) 若报文的目的地址要经过Tunnel才能到达,则设备将此报文发给相应的Tunnel接口;
4) Tunnel口收到此报文后进行GRE封装,在封装IP报文头后,设备根据此IP包的目的地址及路由表对报文进行转发,从相应的网络接口发送出去。
2. GRE封装后的报文格式
GRE封装后的报文格式为:[Delivery header(Transport protocol)]——[GRE header (Encapsulation protocol)]——[Payload header(Passenger protocol)]
需要封装和传输的数据报文,称之为净荷(Payload),净荷的协议类型为乘客协议(Passenger Protocol)。系统收到一个净荷后,首先使用封装协议(Encapsulation Protocol)对这个净荷进行GRE 封装,即把乘客协议报文进行了“包装”,加上了一个GRE头部成为GRE报文;然后再把封装好的原始报文和GRE 头部封装在IP报文中,这样就可完全由IP层负责此报文的前向转发(Forwarding)。通常把这个负责前向转发的IP协议称为传输协议(Delivery Protocol或者Transport Protocol)。根据传输协议的不同,可以分为GRE over IPv4 和GRE over IPv6 两种隧道模式。
3. 解封装的过程
解封装过程和加封装的过程相反。
1) RouterB从Tunnel接口收到IP报文,检查目的地址;
2) 如果发现目的地是本路由器,则RouterB剥掉此报文的IP报头,交给GRE 协议处理(进行检验密钥、检查校验和及报文的序列号等);
3) GRE协议完成相应的处理后,剥掉GRE 报头,再交由X 协议对此数据报进行后续的转发处理。
说明:GRE收发双方的加封装、解封装处理,以及由于封装造成的数据量增加,会导致使用GRE后设备的数据转发效率有一定程度的下降。
2.4 NHRP原理介绍
下一跳解析协议(NHRP)用于连接到非广播、多路访问(NBMA)式子网络的源站(主机或路由器)决定到达目标站间的“NBMA下一跳”的互联网络层地址和NBMA子网地址。如果目的地与NBMA子网连接,NBMA下一跳就是目标站;否则,NBMA下一跳是从NBMA子网到目标站最近的出口路由器。NHRP被设计用于NBMA子网下的多重协议互联网络层环境中。
在到达要生成响应的站之前,NBMA子网内的NHRP解析请求经过一个甚至更多的跳。包括源站在内的每个站选择一个它要转发NHRP解析请求所去的邻近 NHS(下一跳服务器)。NHS选择过程是:在能返回路由决定的协议层路由表上应用目的协议层地址。这种路由选择决定用于转发NHRP请求给下游的NHS。先前提到的目标协议层地址存放在NHRP解析请求包中。注意:即使一个协议层地址被用来获取路由选择决定,NHRP包不会被封装于协议层头,而是通过由它自己的头描述的封装形式存放于NBMA层。
第三章 一种基于DMVPN技术的网络平台的设计
3.1网络改造工程背景和任务
3.1网络改造工程背景分析
从A市的实际情况来看,其福利彩票系统运营的数据机房在乙地,采用X.25和CDMA(Code Division Multiple Access,码分多址)的链路承载数据。由于近几年来公司的快速发展,用户数量上日益快速增长。给现网的流量保障和负载均摊提供了严峻的考验。具体用户增长数量如图3-1所示。
图3-1 用户增长数量趋势图
为了满足业务的发展需要,迎合企业在近期的发展计划,故此次网络扩容是十分必要的,也是必不可少的。同时,为了既能很好的解决现网中存在的问题和缺陷又要很好的控制成本的投入,故在本次设计实施采用DMVPN技术。
3.1网络改造工程任务需求设计
A市的福彩系统中共有1590个spoke节点,福彩中心在主、备机房各选购了3台Cisco7206作为HUB设备,每台Cisco7206上需要终结530个spoke点。
考虑到新系统的稳定性、安全性和日后扩容的需要,将新建甲地机房,作为福彩系统运营的主用数据机房,原有乙地机房作为备用机房。正常情况下,各个彩票业务终端访问甲地机房,乙地机房作为备份。两个机房各有三台思科7206设备作为核心HUB设备。甲地机房有两台思科2960与甲地的三台思科7206全链接;乙地的一台思科2960与乙地的三台思科7206全链接。网通提供的3条接入IP网链路分别接入三台思科2960设备。保证甲地的两条链路中一条主用,一条冷备;保证乙地的一条链路热备。在甲地和乙地之间,网通提供一条专线链路作为G-tech网络设备互连使用。从彩票业务终端访问福彩中心的请求,正常情况,通过甲地的主用链路上到福彩中心系统;当主用链路出现问题时,主用链路切换到乙地的热备链路,之后通过甲地和乙地互联的专线链路转回到甲地G-tech网络中的路由器上,到达甲地的福彩中心系统;当主用链路和两个机房之间的专线互联链路同时出现故障时,手动启用主机房的冷备链路,将业务请求送到甲地的福彩中心系统。
在本次方案中,考虑到福彩网络的特殊性以及福彩业务的重要性,采用DMVPN技术,在技术实现上,在思科7206和思科871之间建立GRE Tunnel ,GRE Tunnel则允许在单个的GRE接口上支持多个点到点的IPSec隧道。保证每一台思科871和甲地主机房的思科7206建立2个tunnel,一个作为活跃tunnel,承载业务流量,另一个作为活跃tunnel的冷备份,正常情况下,此tunnel是down状态;同时,每一个思科871和乙地备机房的思科7206建立一个tunnel,作为主机房的备份tunnel。而作为核心点每台思科7206设备,GRE tunnel需要支持530个用户。这样,甲地主用机房每台设备要支持2个tunnel,其中,一个作为主用Tunnel,一个作为冷备Tunnel。乙地每台设备要支持1个tunnel,作为热备Tunnel。
项目初期阶
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
