基于分层DMVPN的双核心架构企业网方案分析

杨柳

(上海行健职业学院，信息技术与机电工程系，上海 200072)

0 引言

随着互联网+的飞速发展，为超大型企业管理规模提供了有利的条件，公司的分支机构遍布全国乃至全球，各国分公司又有各地区子公司，随着合作伙伴和客户的不断增加，企业、客户、员工对数据安全传输和网络高可用性的要求不断提高。VPN(虚拟专用网)是企业用来构建跨区域安全网络的常用技术[1]。IPSec VPN是使用最广泛并且是最经典的保证VPN数据安全传输的技术方案，但它不支持动态路由，不适合企业级大规模部署架构。这里引入DMVPN，可以在物理上使用星型拓扑结构，实现虚拟的Full-mesh网状连通性[2]，中心站点的一次配置可以应对分支站点的动态改变，适合超大型企业部署架构。本文设计了如图1所示的企业网络，模拟分层模式，基于第三阶段DMVPN[2]的双核心架构可实现公司内网间数据安全传输，同时在总公司内部采用HSRP技术实现出口网关冗余。分析并对比单个隧道云和分层隧道云的实现方法，提出当前主流企业网络架构下最优的局域网安全传输方案。

1 双核心架构设计

图1为模拟超大型企业的网络拓扑，HUB1、HUB11和Inside12构成公司总部，R2、R5和R6模拟互联网，Spoke3和Spoke4模拟两个分公司站点，Spoke3-7和Spoke3-8为Spoke3的两个分公司站点，Spoke4-9和Spoke4-10为Spoke4的两个分公司站点，因此形成分层模式，其中HUB1和HUB11为总公司双核心站点，具体IP地址规划如表1所示。

图1 企业网络拓扑图

表1 IP地址规划表

单个隧道云方案下隧道网络为172.16.1.0/24，各出口站点的具体隧道地址与设备编号一致，如Spoke3的隧道地址为172.16.1.3/24,分层隧道云方案下总公司站点(HUB1、HUB11)与分公司站点(Spoke3、Spoke4)间的隧道网络为172.16.1.0/24，分公司站点(Spoke3、Spoke4)与其各自分公司间的网络隧道为172.16.2.0/24，同样，具体隧道地址与设备编号一致，如Spoke4-9的隧道地址为172.16.2.9/24。

2 分层DMVPN技术

动态多点VPN(DMVPN)是为了应对传统站点到站点IPSec VPN无法适合企业级大规模部署而提出的高扩展性解决方案。主要由mGRE、NHRP、动态路由协议和IPSec VPN四大关键技术结合而实现[3]，图2为DMVPN的典型配置流程图。DMVPN有3个发展阶段，本文模拟的企业网络符合第三阶段DMVPN的层次化架构特征，但严格意义上并不属于树形架构。从目前互联网应用实际来分析，总公司与各分公司间均会通过互联网连通，所以拓扑中模拟出的各站点均连接到中间R2、R5和R6构成的互联网中，符合当前主流企业网互联方案。在此方案中可以选择单个隧道云或者分层隧道云实现公司局域网间的数据安全传输，以下将分析两种实现方法间的优劣，提出最优方案[4]。

图2 DMVPN配置流程图

2.1 公网畅通

实现局域网互联的首要前提是公网畅通，因公网连通不属于本文的关键性技术，故不做详述。

2.2 mGRE隧道建立

mGRE是一种特殊的GRE技术，这种技术类似于多点帧中继技术。处于同一个隧道云中的站点接口，处于同一个网段，通过隧道云可以实现站点间虚拟网状连通性[2]。图1所模拟的网络在公网畅通的前提下可以使用单个云或者分层云的方法来建立隧道，单个隧道云的情况下，网络可以简化为如图3(a)所示，总公司及各分公司出口站点均通过同一个隧道网络连接。分层隧道云的情况下，网络简化如图3(b)所示，总公司站点与分公司(Spoke3、Spoke4)之间建立mGRE1隧道，分公司(Spoke3、Spoke4)与其各自分公司间建立mGRE2隧道。

(a)单个隧道云拓扑图

2.3 NHRP分析及配置

在各出口站点建立了隧道后，并不能立即实现隧道之间的连通，因为各站点的隧道地址尚未和公网地址进行一一对应，NHRP协议就是为了实现两者的对应关系而设计的。第三阶段DMVPN的NHRP处理流程参见文献[2]。

2.3.1 双核心站点NHRP分析

本文设计的企业网络属于层次化拓扑，需要实现不同分公司与分公司站点间直接建立隧道，且符合DMVPN第三阶段特性，同时双核心架构要求总公司两个核心站点除了动态接受分公司的组播映射注册外，还需要互相配置静态映射。

2.3.2 分公司站点NHRP分析

Spoke3和Spoke4作为总公司双核心站点的分公司，同时又作为其各自分公司的上级公司，NHRP配置不仅要设置总公司双核心站点的静态映射，还要接受其各自分公司的动态组播映射注册，图4为单个隧道云情况下分公司站点Spoke3的NHRP关键性配置。

图4 Spoke3的NHRP关键配置

2.3.3 分公司的分公司站点NHRP分析

Spoke3和Spoke4的分公司，需要向其各自的上级公司站点注册信息，为典型的第三阶段DMVPN分支站点NHRP配置。

2.4 动态路由协议

通过2.3，分层模式的双核心架构已实现隧道互通，接下来可使用动态路由协议通过mGRE隧道云来贯通总公司及各分公司的局域网[5]，在此选择EIGRP协议，通告网络时注意只能通告隧道网络和局域网网络，不能通告公网地址。由于第三阶段DMVPN支持路由汇总，需要总公司站点向分公司发送汇总路由[6]，配置为ip summary-address eigrp 1 192.168.0.0/16。

2.5 IPSec实现

DMVPN也可以叫做mGRE over IPSec VPN，通过mGRE隧道和动态路由协议实现局域网互通后，最为关键的是使用IPSec保护数据流的安全。在此方案中，由于每个站点都需永久或动态的与其他站点建立VPN连接，所以IPSec VPN第一阶段认证标识配置中VPN对等体采用通配符0.0.0.0 0.0.0.0，IPSec VPN采用传输模式。IPsec VPN的第二阶段采用IPSec Profile的配置方式，只需设置转换集，无需指定对等体和定义感兴趣流[7-9]。

3 仿真测试

3.1 测试NHRP

各公司站点的NHRP初始映射信息在单个隧道云和多级隧道云情况下基本没有区别，单个隧道云情况下分公司Spoke3的NHRP初始注册信息如图5所示，有HUB1和HUB11的静态映射，同时Spoke3动态接收到其两个分公司的注册信息。分公司Spoke3-7的NHRP初始注册信息只有Spoke3的静态映射，当有通信需求时，通信发起端会向目标端动态注册信息，最终每个站点都会学习到所有站的注册信息，此时所有站点的隧道畅通。

图5 Spoke3的NHRP初始注册信息

3.2 局域网通信测试

通过动态路由协议配置将属性调整完成后可实现所有站点局域网畅通[10]，但此时单个隧道云和分层隧道云情况下，通信过程却有所区别，具体如下。

单个隧道云情况下具有NHRP初始注册信息的站点间能够直接通信，但NHRP服务器地址不同的站点间(如Spoke3-8与Spoke4-9间)不能直接连通，双方均需要首先向对方所属上级公司Spoke3和Spoke4站点发起通信需求，上级公司掌握到各自的NHRP信息后，各子公司间才能够实现隧道完全畅通。

分层隧道云情况下所有站点局域网之间均可以直接通信。分层隧道云测试可知总公司核心站点能够学习到所有分公司站点的明细路由。图6为跟踪分公司Spoke3-7与Spoke4-9的通信路径，可以看到在分层隧道云的情况下，配置完成后各分公司局域网间便可以实现完全畅通，并且初始通信是通过总公司核心站点转发，后续通信为双方直接通信。图7跟踪分公司Spoke3与总公司内部局域网的通信路径，可以看到流量分别通过HUB1和HUB11到达目标，实现了负载均衡,当其中一个站点出现故障时，另一个站点可以独自承担所有通信流量，不影响正常通信。

图6 分公司间局域网连通性测试

图7 跟踪Spoke3到Inside12的通信路径

3.3 DMVPN状态测试

根据2.5节分析，所有经过隧道的通信流量都会被加密传输，图8为部分第二阶段安全关联情况。

图8 Spoke4-9 IPSec VPN的IPSec SA

4 总结

本文根据目前行业现状和互联网实际应用模拟出大规模企业分层网络架构，通过仿真对比分析了使用DMVPN技术不同规划方法实施局域网连通的优劣，分析本方案主要有以下几方面特点。

4.1 符合主流互联网架构

此网络架构属于第三阶段DMVPN的层次化结构，但严格意义上不属于树形结构，互联网的飞速发展使得大型企业的总部和各分公司之间都会通过互联网连通[11]，所以本文模拟的网络架构更符合主流应用实际。

4.2 对比2种mGRE规划方法

对模拟企业网分别进行单个隧道云和分层隧道云规划，对比其配置和验证结果可知，单个隧道云结构和配置相对简单，易于理解，但不同区域的分公司局域网之间的通信需要经过上层公司站点传递。分层隧道云虽然结构和配置相对复杂，但各分公司间能够直接通信，更有利于超大型企业多级分公司架构部署。

4.3 简化的配置和维护工作

此方案不仅解决了分层模式下的局域网络通信问题，并将总公司核心站点的压力分解给各分公司，进行区域化管理，实现了总公司核心站点的一次配置即可应对各分公司及其子公司变化的目的。

4.4 避免单点故障

双核心架构实现了总公司出口站点互相备份，对总公司内部可采用HSRP技术实现网关冗余[12]。如果两核心站点同时正常工作，可实现各站点局域网传输流量负载均衡，当有任何一个站点出现故障，另一个站点负责承载所有流量，不影响正常的网络通信，所以此双核心架构不仅是对于总公司内部向分公司还是分公司向总公司的通信都避免了单点故障。