动态多点DMVPN技术解析

分支机构的建设发展，是当下各大企业扩张服务网络、提高服务效率，增强竞争力的重要战略。随着企事业单位规模的快速发展，完成分支机构的市场战略布局与建设发展服务网络，成为大型企事业单位的工作核心及重点。分支机构的建设及发展离不开网络的支撑，为节省成本各大企事业单位总部与分支机构的网络互联方案普遍选择VPN方式，为保证安全一般采用IPSEC VPN(注释：IPSEC VPN即指采用IPSEC协议来实现远程接入的一种VPN技术，IPSEC全称为Internet Protocol Security，是由Internet Engineering Task Force (IETF) 定义的安全标准框架，用以提供公用和专用网络的端对端加密和验证服务)方式，而当前传统的IPSEC VPN解决方案受到其固有的协议及组网模式的限制已经严重制约了企事业单位分支机构的拓展。     传统IPSec VPN主要有星形和网状的两种连接拓扑，这两种连接拓扑在扩展性方面都存在着严重的问题。

一．传统IPSec VPN星形拓扑

星形拓扑即指所有的分支机构全部与总部建立vpn隧道，而分支机构之间不建立vpn隧道。

 
图1：传统IPSEC VPN组网的星形拓扑

星形拓扑IPSec VPN有如下问题:

1.中心站点配置量大，运维难度加大:

不管是传统的IPSEC VPN配置还是GRE Over IPSEC(注释：由于IPSEC不支持对多播和广播数据包的加密，这样的话，使用IPSEC的隧道中，动态路由协议等依靠多播和广播的协议就不能进行正常通告，所以，这时候要配合GRE隧道，GRE隧道会将多播和广播数据包封装到单播包中，再经过IPSEC加密)配置，多一个分支站点就要在中心站点多一份配置，如果分支站点数量过多， 中心站点的配置就会变成沉重的负担，并且非常不容易管理。

2.分支站点间流量延时较大，影响关键业务传输:

因为一个分支站点的数据要抵达另外一个分支站点，首先需要加密数据送往中心，数据在中心站点被第一次解密，然后在中心站点被第二次加密，并且送往目的站点。目的站点收到数据后，再进行第二次解密。由于数据被两次加解密，所以大大增加了延时，严重影响语音、视频类业务的传输。如果通讯的两个分支在同一个城市，而中心在另一个城市，这种延时的情况将更加严重。

3.分支站点间流量占用中心带宽，影响业务后续拓展：

星形拓扑分支站点间的所有流量，都需要经过中心站点进行转发。如果分支站点间流量过大，会大大消耗中心站点的带宽，使中心站点成为整个VPN网络的瓶颈。

综上所述，星形拓扑的传统IPSec VPN，不是一个高扩展性的设计，不适合在有大量分支站点的网络中进行部署。与上述星形拓扑相对，有些企事业单位用户会采用网状的Ipsec VPN模型。

二．传统IPSec VPN网状模型

图2：传统IPSEC VPN组网的网状拓扑

网状拓扑IPSec VPN在具体的部署中同样存在一些问题:

1. 所有的站点配置工作量巨大，导致后续运维工作量激增:

不管是IPSEC VPN还是GRE Over IPSec，多一个分支站点，所有的站点都要多一份配置，如果在分支站点数量过多的网络，使用网状拓扑的IPSec VPN，前期的配置及后期的维护都将异常繁琐。

2.分支站点需要维护过多IPSec会话，分支机构设备压力过大:

为保证分支站点之间的通讯在网状拓扑的IPSEC VPN当中，分支站点要和每一个其它站点建立IPSEC会话，如果站点过多，每一个分支站点就会维护很多的IPSEC 会话，一般分支站点都使用低端路由器产品，维护过多的IPSEC 会话会让这些设备的内存和CPU不堪重负，进而影响正常业务的处理。

3.每一个分支站点需要固定IP地址，分支机构拓展受限：

网状拓扑的IPSEC VPN，因为两两站点之间需要建立IPSEC VPN，所以每一个分支站点都需要有固定IP地址。固定IP地址的需求在实际部署中很难实现，因为大多数企事业单位的分支机构都是通过ADSL这种廉价的接入技术动态的获取互联网地址。

综上，由于传统IPSEC VPN星形和网状拓扑存在上述诸多问题，锐捷网络推出了高扩展性 的VPN技术：DMVPN(注释：动态多点VPN)。DMVPN技术具有如下的技术优势助力企事业单位分支机构的无限拓展:

1.虚拟全网状连通性，保障分支站点之间的无阻塞通讯

DMVPN技术框架中部署了MGRE协议(注释：Multiple GRE:动态多点GRE)，传统的IPSEC及GRE协议是点对点的，而MGRE是点对多点的，这是其最大的优势。MGRE是一种特殊的GRE技术，它的组网模型能够保证各个分支机构之间不经过中心站点而直接通信，非常类似于多点帧中继网络，具体见下图：

图3：DMVPN的虚拟全网状拓扑

如上图：可以看到所有站点的MGRE隧道接口，都处于一个网段（10.1.1.0/24）。顾名思义多点GRE。也就是说任何一个分支站点不仅仅能够和中心站点进行通讯，而且还能够直接和其它分支站点进行通讯。这其实就说明了DMVPN技术架构的第一个优点：虚拟网状连通性。如此保证了两个分支站点之间可以直接进行通讯，无需再绕行中心站点，避免中心站点成为加密及数据转发的瓶颈。

2.分支站点支持动态获取地址、分支站点到分支站点动态产生隧道，保障分支机构无限制扩展

如上所述，利用MGRE 实现全网状拓扑后，如何解决分支机构的动态IP地址接入呢？下一跳解析协议（NHRP）就是为了实现这个映射而设计的，首先每一个分支站点都需要手动影射中心站点的虚拟IP到公网IP，所以中心站点必须拥有固定IP地址。分支站点有了这个手动映射就能够和中心站点取得联系，并且通过NHRP协议，注册这个分支站点的隧道虚拟IP到动态获取的公网IP，一旦注册成功，中心站点就有所有分支站点的NHRP影射。这样中心站点也能够访问所有注册后的分支站点。因为注册是动态的，所以分支站点支持动态获取地址。当某一分支站点希望访问另外一个分支站点时，它首先会使用NHRP协议询问中心站点（NHRP的服务器），目的分支站点隧道虚拟IP所对应的公网IP，中心站点回送NHRP影射给发起方，发起方有了目的站点的NHRP影射以后，就能够通过MGRE直接发起隧道访问目的站点，例如：分支站点一的预定义的地址为10.1.1.1 ADSL获取的公网地址为46.46.2.1，如果分支站点二10.1.1.2要想向分支站点一发送数据，他首先会利用NHRP向中心端站点请求分支站点一10.1.1.1对应的公网ip，得到公网IP为46.46.2.1，然后两个都是ADSL获取公网IP的分支站点之间就可以直接建立VPN通信了。上述例子中的流量是两个分支站点间直接发起的，并不占用中心站点资源。所以从这个角度来看，DMVPN技术是高扩展性的技术。

3.全网支持动态路由协议，方便整网的快速收敛

动态路由协议的主要目的是宣告隧道接口网络和站点身后私有网络，保证整个VPN网络的终端及各个业务系统的互联互通及整体网络的快速收敛。在DMVPN上完全可以运行RIP、OSPF等动态路由协议，配合BFD的检测协议保证整网的快速收敛，保证业务的无中断转发。

4．全网支持IPSEC协议加密，保证传输链路的安全

DMVPN可以理解成为MGRE over IPSec，IPSec其实就是对MGRE流量进行加密。虽然MGRE是一种特殊的GRE技术，但是协议号依然为GRE的47。大体工作原理与GRE over IPSec一般无二。DMVPN和GRE over IPSec一样也应该采取传输模式进行封装，全程保障数据安全的通过互联网进行传输。