□解 莹
( 山西职业技术学院 计算机工程系,山西 太原 030006)
基于DVPN双中心技术的多校区网络互连
——以山西职业技术学院为例
□解 莹
( 山西职业技术学院 计算机工程系,山西 太原 030006)
基于动态VPN技术,使用双VAM Server、双HUB的双中心技术,为山西职业技术学院提出了多校区互联的解决方案,并可为其他院校多校区的校园网络,或分布于多个城市的大型企业内部网络的互连提供一些借鉴。
DVPN;VAM;IPSec;网络互连
山西职业技术学院由四个校区组成,其中位于坞城路的总校与南中环校区通过租用联通公司的光纤实现了直连,并通过联通、电信与教育科研网三个出口连接Internet,其中联通和电信都是50M以上的高带宽连接,拥有多个公网IP地址。榆次校区和长风校区均以联通网络连接Internet,且都只拥有一个IP地址,内部网络通过NAT方式上网。
现要求将总校网络与榆次校区、长风校区等分校区的内部网络连接起来。如果采取租用运营商光纤的直连方案,则因距离较远,榆次校区更是跨城市连接,费用太高,不易实现。使用DVPN可以很好地解决这几个校区的互连问题。
(一)DVPN技术:即动态VPN技术。传统VPN通常在总部与分支机构的路由设备间创建点到点的隧道,也可以在各设备间创建全网状的互连隧道,各隧道两端的路由设备必须具有公网地址,且对设备性能要求较高,当分支机构较多时,总部路由器的负荷很大,且网络维护负担非常重。采用动态VPN技术后,各分支机构可以动态地向服务器注册其隧道所用的私网地址与公网地址,并查询其他分支机构的私网地址与公网地址的对应关系,然后可利用这种关系进行数据的隧道封装[1]。
目前,标准化组织还没有制定动态VPN相关的技术标准,所以目前各厂商都使用私有协议来实现,无法互连互通。使用较多的有思科公司基于mGRE协议与NHRP技术的DMVPN,及H3C/华为公司基于VAM协议的DVPN,本文即以H3C的DVPN为主要技术搭建一个双中心的多校区互连网络。
(二)VAM 协议。是DVPN技术使用的主要协议,负责收集、分发及维护分支机构的注册信息。VAM Server是接受分支机构向其注册信息的服务器,负责管理和维护各分支节点的信息,通常运行在高性能的路由设备上[2],本例中,将在总校的联通及电信出口路由器上分别运行VAM Server,共同维护本网络的VAM信息,确保通信的可靠性。VAM Client是DVPN网络中的分支机构节点,VAM Client通过向VAM Server查询以获得其他VAM Client的信息,不论在总部节点,还是分支机构节点上,都要运行VAM Client。
(三)Hub和Spoke。Hub是VAM Client的一种,是一个DVPN网络的中心设备,是路由信息的交换中心,在一个DVPN网络中,最多支持两个Hub,即可组成双中心网络。
Spoke也是VAM Client的一种,是DVPN网络中的分支机构设备,Spoke节点不对收到的VAM数据做转发操作。
(四)IPSec协议(Internet Protocol Security)。是为实现VPN的通信安全而普遍采用的一种协议。本文方案中,采用IPSec协议对UDP格式的DVPN隧道数据报文和控制报文进行保护,其中采用ESP安全协议,通过IKE协商安全策略[3]。
该方案的拓扑结构如下图所示:
在总校的联通路由器HUB1及电信路由器HUB2上分别运行VAM Server,因客户端主要采用联通网络,因而使HUB1成为主VAM Server;在总校路由器及所有分校路由器上运行VAM Client。由总校的联通路由器HUB1和电信路由器HUB2组成DVPN网络的两个中心,任意一个路由器故障时都不影响网络的正常运行。两个分校区的路由器Spoke1和Spoke2作为DVPN分支客户端接入网络,且未来新校区或校外办学点要接入该DVPN网络时,不用再到总校的中心节点做任何设置,只需在接入路由器上进行配置即可。最后再使用IPSec对各DVPN隧道进行加密保护,确保网络通信的安全。
各路由器所使用的公网IP地址(为避免安全问题,此处IP地址为假设,非真实使用的地址)与隧道私网IP地址如下表所示。
路由器接口IP地址备注总校联通路由器HUB1G0/0218.26.1.1/24Tunnel010.0.0.1/8G0/1192.168.100.1/24连接总校内网总校联通路由器HUB2G0/059.49.2.2/29Tunnel010.0.0.2/8G0/1192.168.100.2/24连接总校内网
榆次校区路由器Spoke1G0/0218.26.3.3/29Tunnel010.0.0.3/8G0/1192.168.129.3连接榆次校区内网长风校区路由器Spoke2G0/0218.26.4.4/29Tunnel010.0.0.4/8G0/1192.168.145.4连接长风校区内网
(一)在总校路由器HUB1及HUB2上创建VAM Server
[HUB1]vam server ip-address 218.26.1.1
#在总校联通路由器HUB1上指定VAM Server监听的IP地址
[HUB1]vam server vpnv1
#配置VPN域,即一个DVPN作用范围
[HUB1-vam-server-vpn-v1]authentication-method chap
#配置VAM Server对客户端的认证方式,如选择NONE,则为不认证
[HUB1-vam-server-vpn-v1]pre-shared-key simple abc123
#配置在DVPN域内的预共享密钥,此处配置为abc123,正式配置时要满足安全要求
[HUB1-vam-server-vpn-v1]hub private-ip10.0.0.1
[HUB1-vam-server-vpn-v1]hub private-ip10.0.0.2
#配置HUB的私网地址,在一个VPN域内可配置两个HUB,形成双中心的结构,本文中由总校联通路由器与电信路由器形成双中心
[HUB1-vam-server-vpn-v1]server enable
#启动HUB1上该VPN域上的VAM Server,也可在全局配置模式以参数方式启动
[HUB1-vam-server-vpn-v1]quit
在HUB2上创建VAM Server的过程与在HUB1几乎完全相同,不同点只有指定VAM Server监听的IP地址为59.49.2.2,所以配置过程这里不再赘述。
(二)创建VAM Client
在所有路由器上创建VAM Client,包括HUB1、HUB2、Spoke1、Spoke2,方法也都完全相同,这里以HUB1为便说明配置情况。
[HUB1]vam client name sz1
#创建名称为sz1的VAM Client实例
[HUB1-vam-client-name-sz1]server primary ip-address 218.26.1.1
[HUB1-vam-client-name-sz1]server secondary ip-address 59.49.2.2
#配置主、备VAM Server的IP地址
[HUB1-vam-client-name-sz1]pre-shared-key simple abc123
#配置预共享密钥为abc123,与VAM Server中的配置相对应
[HUB1-vam-client-name-sz1]vpn v1
#配置当前VAM Client实例所属的VPN域
[HUB1-vam-client-name-sz1]client enable
#启用VAM Client,也可以全局配置模式下加参数启动
[HUB1-vam-client-name-sz1]quit
(三)创建DVPN隧道
在所有路由器上创建DVPN隧道,创建方法基本相同,只有在设置OSPF优先级时要注意要保证总校路由器HUB1、HUB2分别成为DR、BDR。下面以HUB1为例说明配置情况。
[HUB1]interface Tunnel 0
#创建Tunnel0隧道
[HUB1-Tunnel0]tunnel-protocol dvpn udp
#指定隧道的类型为DVPN隧道
[HUB1-Tunnel0]ip add 10.0.0.1 255.0.0.0
#指定隧道的私网IP地址,设置不同路由器时注意其隧道私有地址是不相同的
[HUB1-Tunnel0]source GigabitEthernet 0/0
#指定隧道的源接口
[HUB1-Tunnel0]ospf network-type broadcast
#指定隧道接口的OSPF网络类型
[HUB1-Tunnel0]ospf dr-priority 200
#指定隧道接口的OSPF优先级,本文方案中,要设置HUB2的ospf dr-priority值小于HUB1,并设置Spoke1和Spoke2的优先级为0,结果使HUB1成为DR,HUB2成为BDR,Spoke1和Spoke2不参与DR/BDR选举。
[HUB1-Tunnel0]vam client sz1 //配置隧道所使用的VAM Client
[HUB1-Tunnel0]quit
(四)在各路由器上启用OSPF协议
在所有路由器上启用OSPF协议,配置方法基本相同,仍然以HUB1为例进行说明。
[HUB1]ospf 1 route-id 10.0.0.1
#启动OSPF协议,设置HUB1的route-id,各路由器的route-id应不相同,也可不设置,由系统自动生成
[HUB1-ospf-1] area 0
#设置区域0
[HUB1-ospf-1-area-0.0.0.0] network 10.0.0.0 0.255.255.255
[HUB1-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.255.255
#在内网及隧道接口开启OSPF协议
[HUB1-ospf-1-area-0.0.0.0]quit
(五)测试
在创建DVPN隧道并开启OSPF协议后,DVPN系统应进入正常工作状态,测试过程包括:
(1)测试VAM Server是否工作正常,是否所有的客户端(含HUB和Spoke)都完成了注册。
(2)测试VAM Client是否工作正常,Spoke端是否正常获得了HUB及其他的Spoke的注册信息。
(3)路由表是否正常,如在Spoke1上,目标为长风校区内网路由条目的下一跳地址应为Spoke2的隧道私网地址,而不应该是HUB1或HUB2的地址。
(4)分别断开HUB1及HUB2时,观察网络是否仍然能够正常通信。
(六)使用IPSec保护通信
当测试都通过时,就可以使用IPSec协议保护通信进程了,各路由器的配置方法一致,这里以Spoke1为例说明配置情况。
[Spoke1]ipsec transform-set it1
#创建IPSec转换集it1,名称仅具有本地意义,不同路由器可使用相同名称,也可使用不同名称
[Spoke1-ipsec-transform-set-it1] encapsulation-mode tunnel
#指定封装模式为tunnel模式
[Spoke1-ipsec-transform-set-it1] transform esp
[Spoke1-ipsec-transform-set-it1]esp authentication-algorithm sha1
[Spoke1-ipsec-transform-set-it1]esp encryption-algorithm des
#指定加密相关的信息
[Spoke1-ipsec-transform-set-it1]quit
[Spoke1]ike peer peer1
#配置IKE对等体实例
[Spoke1-ike-peer-peer1] pre-shared-key 123456
#配置IKE预共享密钥
[Spoke1-ike-peer-peer1]quit
[Spoke1]ipsec profile prof1
#配置IPSec安全框架:
[Spoke1-ipsec-profile-prof1]ike-peer peer1
#指定IKE对等体实例
[Spoke1-ipsec-profile-prof1] transform-set it1
#指定IPSec转换集
[Spoke1-ipsec-profile-prof1]quit
[Spoke1]interface Tunnel 0
[Spoke1-Tunnel0]ipsec profile prof1
#将IPSec应用到DVPN隧道
[Spoke1-Tunnel0]quit
(七)再次测试
使用IPSec对通信过程进行保护后,再次就4.5中的项目进行测试,并设法抓取通信数据包。确定IPSec已经对通信数据包进行加密保护,并且不影响原系统的正常工作。
结语
本文使用了一种双VAM Server、双HUB的双中心方案,不仅解决了山西职业技术学院多校区当前互联的问题,而且未来该学校再有校区接入,或校企合作单位、教学点接入时,都可以在不用操作总院路由器的情况下完成。新接入点可以具有公网地址,也可以是动态地址方式,甚至可以进行NAT穿越,极大地增强了网络的可扩展性。
[1]陈华其.采用DVPN 技术建设多校区校园网[J].小型微型计算机系统,2007,(8).
[2]苏彬.基于GRE over IPSec的多区域分布式网络互联[J].晋城职业技术学院学报,2013,(5).
[3]刘景林.基于安全 GRE 隧道的Site- to- Site VPN 构建方案研究与实现[J].长春大学学报,2012,(8).
[4]刘阳.GRE over IPSec工作流程探索与应用分析[J].青岛职业技术学院学报.2014,(8).
Multi-campus Network Interconnection Based on DVPN Double Center Technology——Taking Shanxi Vocational and Technical College for Example
Xie Ying
(Department of Computer Engineering, Shanxi Vocational and Technical College, Taiyuan, Shanxi, 030006)
Based on dynamic VPN technology, this paper has put forward the solution to multi-campus interconnection for Shanxi Vocational and Technical College by using double VAM Server and double center technology of HUB, which provides some reference for the multi-campus network of other any college and universitie, or for the interconnection of large enterprise internal network distributed in multiple cities.
DVPN; VAM; Ipsec; Network interconnection
2014—10—28
解 莹(1981—),女,山西介休人,山西职业技术学院计算机工程系,硕士。
G434
B
1008—8350(2015)01—0023—04