基于DMVPN接入地震行业网络设计

2015-12-19孙庆文李永红杨玉永李希亮

地震地磁观测与研究 2015年1期

金鹏孙庆文李永红杨玉永李希亮

（中国济南 250014 山东省地震局）

0 引言

山东省内郯庐、聊考两大地震带纵贯南北，燕山—渤海断裂带在半岛北部沿海通过，南黄海地震带分布于半岛东南近海海域，具有发生中强以上地震的地质构造背景。因此，山东省地震局着力于地震监测手段的提升完善，不断加强地震群测群防活动的开展，稳步推进地震行业网络的全面建设（刘敏，2012）。

在地震行业网络运行经费有限的情况下，县级地震台网采取多种地震行业网络接入方式：基于SDH专线接入、基于MPLSVPN接入、基于联通3G无线网络接入、基于DMVPN接入。其中基于DMVPN接入方式部署范围最广，目前已有37个县级台网（金鹏，2011，2012）采用。

1 DMVPN简介

动态多点VPN（DMVPN），使用IPSec加密的多点GRE（mGRE）隧道和下一跳解析协议（NHRP）来实现一个具有扩展功能的L2L网络。其中，主要涉及3个网络协议：IPSec协议、GRE协议、NHRP协议。

在DMVPN中，利用IPSec实现加密功能，利用GRE或mGRE建立隧道，利用NHRP解决分支节点的动态地址问题。DMVPN只要求中心节点必须申请静态的公共IP地址（Wei Luo, Carlos Pignataro，2006）。

1.1 IPSec协议

IPSec（Internet Protocol Security）基于端对端的安全模式，在源IP地址和目标IP地址之间建立信任和安全。IPSec协议不是一个单独的协议，给出应用于IP层上网络数据安全的一整套体系结构，规定如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供访问控制、数据源认证、数据加密等网络安全服务。

1.2 GRE协议

GRE（Generic Routing Encapsulation）定义了在任意一种网络层协议上封装其他网络层协议的协议。GRE采用Tunnel（隧道）技术，是VPN（Virtual Private Network）的第3层隧道协议。Tunnel 是一个虚拟的点对点连接，提供一条通路使封装的数据报文能够在此通路上传输，并且在一个Tunnel 的两端分别对数据报进行封装及解封装。

1.3 NHRP协议

NHRP（Next Hop Resolution Protocol）用于连接到非广播多路访问（NBMA）式子网络源站，决定到达目标站间的NBMA下一跳的互联网络层地址和NBMA子网地址。如果目的地与NBMA子网连接，NBMA下一跳就是目标站；否则，NBMA下一跳是从NBMA子网到目标站最近的出口路由器。

2 DMVPN的主要优势

实现VPN的方式有很多，如PPTP（Point to Point Tunneling Protocol点对点隧道协议）、L2TP（Layer 2 Tunneling Protocol第 2 层隧道协议）、DVPN（Dynamic Virtual Private Network“华为/H3C”动态VPN）等，相较于其他方式，DMVPN的主要优势有以下4点。

2.1 中心路由器配置减少

在DMVPN中，中心站点路由器（HUB_R）配置单个mGRE隧道接口、单个IPSec配置文件，而无需加密访问列表来处理所有分支站点路由器（SPOKE_R）。这样，即使有新的分支站点路由器添加到网络中，在中心路由器上的配置也可以保持相对稳定。

2.2 自动IPSec加密启动

IPSec为点对点GRE隧道，或者通过mGRE隧道中的NHRP协议得到的GRE隧道Peer地址立即启动IPSec自动加密。

2.3 分支站点路由器支持动态地址

在DMVPN中，中心站点路由器可以动态识别分支站点路由器的接口地址，允许分支站点路由器使用动态物理接口地址。而其他方式的VPN，路由器的接口地址一般是静态的。

2.4 分支到分支（Spoke-to-Spoke）隧道的动态建立

源分支站点路由器可以使用NHRP协议动态确定目标分支路由器的地址，在两个分支站点路由器之间动态建立一个IPSec隧道，直接传输数据。

3 地震行业网络设计

DMVPN使用星型网络拓扑结构设计，流过两台DMVPN路由器之间的流量通过GRE隧道发送，IPSec用于保护IPSec对等设备之间的GRE数据包，对于一台分支站点的设备，如果目标位于另一分支站点，通过NHRP，可以学习该条路由信息，直接和远程分支站点建立连接（Richard Deal et al，2007）。网络拓扑见图 1。

图1 基于DMVPN接入地震行业网Fig.1 Seismic network based on DMVPN

3.1 DMVPN中心站点配置

DMVPN在中心站点路由器上需要配置以下命令

HUB_R（config）#crypto ipsec profile profile_name

HUB_R（ipsec-profile）#set transform-set transform_set_name

HUB_R（config）#interface tunnel tunnel_#

HUB_R（config-if）#ip address 10.37.X.Y 255.255.255.0

HUB_R（config-if）#ip mtu 1436

HUB_R（config-if）#tunnel source 123.232.X.Y 255.255.255.224

HUB_R（config-if）#tunnel mode gre multipoint

HUB_R（config-if）#tunnel key key

HUB_R（config-if）#tunnel protection ipsec profile profile_name

HUB_R（config-if）#ip nhrp network-id network_identifier

HUB_R（config-if）#ip nhrp authentication string

HUB_R（config-if）#ip nhrp map multicast dynamic

HUB_R（config-if）#ip nhrp holdtime seconds

使用crypto ipsec profile命令建立一个IPSec配置文件来保护GRE隧道的流量，并在隧道接口上使用tunnel protection ipsec profile命令激活；为了防止碎片产生，使用ip mtu命令，将GRE接口的MTU设置为1 436字节；使用tunnel mode gre multipoint命令，将连接模式指定为多点；使用ip nhrp命令组获得分支站点的动态地址。

3.2 DMVPN分支站点的配置

DMVPN在分支站点路由器上需要配置以下命令。

SPOKE_R（config）#crypto ipsec profile profile_name

SPOKE_R（ipsec-profile）#set transform-set transform_set_name

SPOKE_R（config）#interface tunnel tunnel_#

SPOKE_R（config-if）#ip address 10.37.X.Y 255.255.255.0

SPOKE_R（config-if）#ip mtu 1436

SPOKE_R（config-if）#tunnel source source

SPOKE_R（config-if）#tunnel mode gre multipoint

SPOKE_R（config-if）#tunnel key key

SPOKE_R（config-if）#tunnel protection ipsec profile profile_name

SPOKE_R（config-if）#ip nhrp network-id network_identifier

SPOKE_R（config-if）#ip nhrp authentication string

SPOKE_R（config-if）#ip nhrp map 10.37.X.Y 123.232.X.Y

SPOKE_R（config-if）#ip nhrp map multicast 123.232.X.Y

SPOKE_R（config-if）#ip nhrp nhs 10.37.X.Y

SPOKE_R（config-if）#ip nhrp holdtime seconds

分支站点的配置类似于中心站点配置。使用tunnel mode gre multipoint命令，建立到其他分支站点设备的连接；在隧道接口上，使用ip nhrp map命令，映射中心站点外部接口地址，其中10.37.X.Y为中心站点隧道的接口地址，123.232.X.Y为中心站点的公网接口地址；使用ip nhrp nhs命令宣告分支站点下一跳服务器。