□解 瑩
( 山西職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)工程系,山西 太原 030006)
?
基于DVPN雙中心技術(shù)的多校區(qū)網(wǎng)絡(luò)互連
——以山西職業(yè)技術(shù)學(xué)院為例
□解 瑩
( 山西職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)工程系,山西 太原 030006)
基于動(dòng)態(tài)VPN技術(shù),使用雙VAM Server、雙HUB的雙中心技術(shù),為山西職業(yè)技術(shù)學(xué)院提出了多校區(qū)互聯(lián)的解決方案,并可為其他院校多校區(qū)的校園網(wǎng)絡(luò),或分布于多個(gè)城市的大型企業(yè)內(nèi)部網(wǎng)絡(luò)的互連提供一些借鑒。
DVPN;VAM;IPSec;網(wǎng)絡(luò)互連
山西職業(yè)技術(shù)學(xué)院由四個(gè)校區(qū)組成,其中位于塢城路的總校與南中環(huán)校區(qū)通過租用聯(lián)通公司的光纖實(shí)現(xiàn)了直連,并通過聯(lián)通、電信與教育科研網(wǎng)三個(gè)出口連接Internet,其中聯(lián)通和電信都是50M以上的高帶寬連接,擁有多個(gè)公網(wǎng)IP地址。榆次校區(qū)和長風(fēng)校區(qū)均以聯(lián)通網(wǎng)絡(luò)連接Internet,且都只擁有一個(gè)IP地址,內(nèi)部網(wǎng)絡(luò)通過NAT方式上網(wǎng)。
現(xiàn)要求將總校網(wǎng)絡(luò)與榆次校區(qū)、長風(fēng)校區(qū)等分校區(qū)的內(nèi)部網(wǎng)絡(luò)連接起來。如果采取租用運(yùn)營商光纖的直連方案,則因距離較遠(yuǎn),榆次校區(qū)更是跨城市連接,費(fèi)用太高,不易實(shí)現(xiàn)。使用DVPN可以很好地解決這幾個(gè)校區(qū)的互連問題。
(一)DVPN技術(shù):即動(dòng)態(tài)VPN技術(shù)。傳統(tǒng)VPN通常在總部與分支機(jī)構(gòu)的路由設(shè)備間創(chuàng)建點(diǎn)到點(diǎn)的隧道,也可以在各設(shè)備間創(chuàng)建全網(wǎng)狀的互連隧道,各隧道兩端的路由設(shè)備必須具有公網(wǎng)地址,且對(duì)設(shè)備性能要求較高,當(dāng)分支機(jī)構(gòu)較多時(shí),總部路由器的負(fù)荷很大,且網(wǎng)絡(luò)維護(hù)負(fù)擔(dān)非常重。采用動(dòng)態(tài)VPN技術(shù)后,各分支機(jī)構(gòu)可以動(dòng)態(tài)地向服務(wù)器注冊(cè)其隧道所用的私網(wǎng)地址與公網(wǎng)地址,并查詢其他分支機(jī)構(gòu)的私網(wǎng)地址與公網(wǎng)地址的對(duì)應(yīng)關(guān)系,然后可利用這種關(guān)系進(jìn)行數(shù)據(jù)的隧道封裝[1]。
目前,標(biāo)準(zhǔn)化組織還沒有制定動(dòng)態(tài)VPN相關(guān)的技術(shù)標(biāo)準(zhǔn),所以目前各廠商都使用私有協(xié)議來實(shí)現(xiàn),無法互連互通。使用較多的有思科公司基于mGRE協(xié)議與NHRP技術(shù)的DMVPN,及H3C/華為公司基于VAM協(xié)議的DVPN,本文即以H3C的DVPN為主要技術(shù)搭建一個(gè)雙中心的多校區(qū)互連網(wǎng)絡(luò)。
(二)VAM 協(xié)議。是DVPN技術(shù)使用的主要協(xié)議,負(fù)責(zé)收集、分發(fā)及維護(hù)分支機(jī)構(gòu)的注冊(cè)信息。VAM Server是接受分支機(jī)構(gòu)向其注冊(cè)信息的服務(wù)器,負(fù)責(zé)管理和維護(hù)各分支節(jié)點(diǎn)的信息,通常運(yùn)行在高性能的路由設(shè)備上[2],本例中,將在總校的聯(lián)通及電信出口路由器上分別運(yùn)行VAM Server,共同維護(hù)本網(wǎng)絡(luò)的VAM信息,確保通信的可靠性。VAM Client是DVPN網(wǎng)絡(luò)中的分支機(jī)構(gòu)節(jié)點(diǎn),VAM Client通過向VAM Server查詢以獲得其他VAM Client的信息,不論在總部節(jié)點(diǎn),還是分支機(jī)構(gòu)節(jié)點(diǎn)上,都要運(yùn)行VAM Client。
(三)Hub和Spoke。Hub是VAM Client的一種,是一個(gè)DVPN網(wǎng)絡(luò)的中心設(shè)備,是路由信息的交換中心,在一個(gè)DVPN網(wǎng)絡(luò)中,最多支持兩個(gè)Hub,即可組成雙中心網(wǎng)絡(luò)。
Spoke也是VAM Client的一種,是DVPN網(wǎng)絡(luò)中的分支機(jī)構(gòu)設(shè)備,Spoke節(jié)點(diǎn)不對(duì)收到的VAM數(shù)據(jù)做轉(zhuǎn)發(fā)操作。
(四)IPSec協(xié)議(Internet Protocol Security)。是為實(shí)現(xiàn)VPN的通信安全而普遍采用的一種協(xié)議。本文方案中,采用IPSec協(xié)議對(duì)UDP格式的DVPN隧道數(shù)據(jù)報(bào)文和控制報(bào)文進(jìn)行保護(hù),其中采用ESP安全協(xié)議,通過IKE協(xié)商安全策略[3]。
該方案的拓?fù)浣Y(jié)構(gòu)如下圖所示:
在總校的聯(lián)通路由器HUB1及電信路由器HUB2上分別運(yùn)行VAM Server,因客戶端主要采用聯(lián)通網(wǎng)絡(luò),因而使HUB1成為主VAM Server;在總校路由器及所有分校路由器上運(yùn)行VAM Client。由總校的聯(lián)通路由器HUB1和電信路由器HUB2組成DVPN網(wǎng)絡(luò)的兩個(gè)中心,任意一個(gè)路由器故障時(shí)都不影響網(wǎng)絡(luò)的正常運(yùn)行。兩個(gè)分校區(qū)的路由器Spoke1和Spoke2作為DVPN分支客戶端接入網(wǎng)絡(luò),且未來新校區(qū)或校外辦學(xué)點(diǎn)要接入該DVPN網(wǎng)絡(luò)時(shí),不用再到總校的中心節(jié)點(diǎn)做任何設(shè)置,只需在接入路由器上進(jìn)行配置即可。最后再使用IPSec對(duì)各DVPN隧道進(jìn)行加密保護(hù),確保網(wǎng)絡(luò)通信的安全。
各路由器所使用的公網(wǎng)IP地址(為避免安全問題,此處IP地址為假設(shè),非真實(shí)使用的地址)與隧道私網(wǎng)IP地址如下表所示。
路由器接口IP地址備注總校聯(lián)通路由器HUB1G0/0218.26.1.1/24Tunnel010.0.0.1/8G0/1192.168.100.1/24連接總校內(nèi)網(wǎng)總校聯(lián)通路由器HUB2G0/059.49.2.2/29Tunnel010.0.0.2/8G0/1192.168.100.2/24連接總校內(nèi)網(wǎng)
榆次校區(qū)路由器Spoke1G0/0218.26.3.3/29Tunnel010.0.0.3/8G0/1192.168.129.3連接榆次校區(qū)內(nèi)網(wǎng)長風(fēng)校區(qū)路由器Spoke2G0/0218.26.4.4/29Tunnel010.0.0.4/8G0/1192.168.145.4連接長風(fēng)校區(qū)內(nèi)網(wǎng)
(一)在總校路由器HUB1及HUB2上創(chuàng)建VAM Server
[HUB1]vam server ip-address 218.26.1.1
#在總校聯(lián)通路由器HUB1上指定VAM Server監(jiān)聽的IP地址
[HUB1]vam server vpnv1
#配置VPN域,即一個(gè)DVPN作用范圍
[HUB1-vam-server-vpn-v1]authentication-method chap
#配置VAM Server對(duì)客戶端的認(rèn)證方式,如選擇NONE,則為不認(rèn)證
[HUB1-vam-server-vpn-v1]pre-shared-key simple abc123
#配置在DVPN域內(nèi)的預(yù)共享密鑰,此處配置為abc123,正式配置時(shí)要滿足安全要求
[HUB1-vam-server-vpn-v1]hub private-ip10.0.0.1
[HUB1-vam-server-vpn-v1]hub private-ip10.0.0.2
#配置HUB的私網(wǎng)地址,在一個(gè)VPN域內(nèi)可配置兩個(gè)HUB,形成雙中心的結(jié)構(gòu),本文中由總校聯(lián)通路由器與電信路由器形成雙中心
[HUB1-vam-server-vpn-v1]server enable
#啟動(dòng)HUB1上該VPN域上的VAM Server,也可在全局配置模式以參數(shù)方式啟動(dòng)
[HUB1-vam-server-vpn-v1]quit
在HUB2上創(chuàng)建VAM Server的過程與在HUB1幾乎完全相同,不同點(diǎn)只有指定VAM Server監(jiān)聽的IP地址為59.49.2.2,所以配置過程這里不再贅述。
(二)創(chuàng)建VAM Client
在所有路由器上創(chuàng)建VAM Client,包括HUB1、HUB2、Spoke1、Spoke2,方法也都完全相同,這里以HUB1為便說明配置情況。
[HUB1]vam client name sz1
#創(chuàng)建名稱為sz1的VAM Client實(shí)例
[HUB1-vam-client-name-sz1]server primary ip-address 218.26.1.1
[HUB1-vam-client-name-sz1]server secondary ip-address 59.49.2.2
#配置主、備VAM Server的IP地址
[HUB1-vam-client-name-sz1]pre-shared-key simple abc123
#配置預(yù)共享密鑰為abc123,與VAM Server中的配置相對(duì)應(yīng)
[HUB1-vam-client-name-sz1]vpn v1
#配置當(dāng)前VAM Client實(shí)例所屬的VPN域
[HUB1-vam-client-name-sz1]client enable
#啟用VAM Client,也可以全局配置模式下加參數(shù)啟動(dòng)
[HUB1-vam-client-name-sz1]quit
(三)創(chuàng)建DVPN隧道
在所有路由器上創(chuàng)建DVPN隧道,創(chuàng)建方法基本相同,只有在設(shè)置OSPF優(yōu)先級(jí)時(shí)要注意要保證總校路由器HUB1、HUB2分別成為DR、BDR。下面以HUB1為例說明配置情況。
[HUB1]interface Tunnel 0
#創(chuàng)建Tunnel0隧道
[HUB1-Tunnel0]tunnel-protocol dvpn udp
#指定隧道的類型為DVPN隧道
[HUB1-Tunnel0]ip add 10.0.0.1 255.0.0.0
#指定隧道的私網(wǎng)IP地址,設(shè)置不同路由器時(shí)注意其隧道私有地址是不相同的
[HUB1-Tunnel0]source GigabitEthernet 0/0
#指定隧道的源接口
[HUB1-Tunnel0]ospf network-type broadcast
#指定隧道接口的OSPF網(wǎng)絡(luò)類型
[HUB1-Tunnel0]ospf dr-priority 200
#指定隧道接口的OSPF優(yōu)先級(jí),本文方案中,要設(shè)置HUB2的ospf dr-priority值小于HUB1,并設(shè)置Spoke1和Spoke2的優(yōu)先級(jí)為0,結(jié)果使HUB1成為DR,HUB2成為BDR,Spoke1和Spoke2不參與DR/BDR選舉。
[HUB1-Tunnel0]vam client sz1 //配置隧道所使用的VAM Client
[HUB1-Tunnel0]quit
(四)在各路由器上啟用OSPF協(xié)議
在所有路由器上啟用OSPF協(xié)議,配置方法基本相同,仍然以HUB1為例進(jìn)行說明。
[HUB1]ospf 1 route-id 10.0.0.1
#啟動(dòng)OSPF協(xié)議,設(shè)置HUB1的route-id,各路由器的route-id應(yīng)不相同,也可不設(shè)置,由系統(tǒng)自動(dòng)生成
[HUB1-ospf-1] area 0
#設(shè)置區(qū)域0
[HUB1-ospf-1-area-0.0.0.0] network 10.0.0.0 0.255.255.255
[HUB1-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.255.255
#在內(nèi)網(wǎng)及隧道接口開啟OSPF協(xié)議
[HUB1-ospf-1-area-0.0.0.0]quit
(五)測試
在創(chuàng)建DVPN隧道并開啟OSPF協(xié)議后,DVPN系統(tǒng)應(yīng)進(jìn)入正常工作狀態(tài),測試過程包括:
(1)測試VAM Server是否工作正常,是否所有的客戶端(含HUB和Spoke)都完成了注冊(cè)。
(2)測試VAM Client是否工作正常,Spoke端是否正常獲得了HUB及其他的Spoke的注冊(cè)信息。
(3)路由表是否正常,如在Spoke1上,目標(biāo)為長風(fēng)校區(qū)內(nèi)網(wǎng)路由條目的下一跳地址應(yīng)為Spoke2的隧道私網(wǎng)地址,而不應(yīng)該是HUB1或HUB2的地址。
(4)分別斷開HUB1及HUB2時(shí),觀察網(wǎng)絡(luò)是否仍然能夠正常通信。
(六)使用IPSec保護(hù)通信
當(dāng)測試都通過時(shí),就可以使用IPSec協(xié)議保護(hù)通信進(jìn)程了,各路由器的配置方法一致,這里以Spoke1為例說明配置情況。
[Spoke1]ipsec transform-set it1
#創(chuàng)建IPSec轉(zhuǎn)換集it1,名稱僅具有本地意義,不同路由器可使用相同名稱,也可使用不同名稱
[Spoke1-ipsec-transform-set-it1] encapsulation-mode tunnel
#指定封裝模式為tunnel模式
[Spoke1-ipsec-transform-set-it1] transform esp
[Spoke1-ipsec-transform-set-it1]esp authentication-algorithm sha1
[Spoke1-ipsec-transform-set-it1]esp encryption-algorithm des
#指定加密相關(guān)的信息
[Spoke1-ipsec-transform-set-it1]quit
[Spoke1]ike peer peer1
#配置IKE對(duì)等體實(shí)例
[Spoke1-ike-peer-peer1] pre-shared-key 123456
#配置IKE預(yù)共享密鑰
[Spoke1-ike-peer-peer1]quit
[Spoke1]ipsec profile prof1
#配置IPSec安全框架:
[Spoke1-ipsec-profile-prof1]ike-peer peer1
#指定IKE對(duì)等體實(shí)例
[Spoke1-ipsec-profile-prof1] transform-set it1
#指定IPSec轉(zhuǎn)換集
[Spoke1-ipsec-profile-prof1]quit
[Spoke1]interface Tunnel 0
[Spoke1-Tunnel0]ipsec profile prof1
#將IPSec應(yīng)用到DVPN隧道
[Spoke1-Tunnel0]quit
(七)再次測試
使用IPSec對(duì)通信過程進(jìn)行保護(hù)后,再次就4.5中的項(xiàng)目進(jìn)行測試,并設(shè)法抓取通信數(shù)據(jù)包。確定IPSec已經(jīng)對(duì)通信數(shù)據(jù)包進(jìn)行加密保護(hù),并且不影響原系統(tǒng)的正常工作。
結(jié)語
本文使用了一種雙VAM Server、雙HUB的雙中心方案,不僅解決了山西職業(yè)技術(shù)學(xué)院多校區(qū)當(dāng)前互聯(lián)的問題,而且未來該學(xué)校再有校區(qū)接入,或校企合作單位、教學(xué)點(diǎn)接入時(shí),都可以在不用操作總院路由器的情況下完成。新接入點(diǎn)可以具有公網(wǎng)地址,也可以是動(dòng)態(tài)地址方式,甚至可以進(jìn)行NAT穿越,極大地增強(qiáng)了網(wǎng)絡(luò)的可擴(kuò)展性。
[1]陳華其.采用DVPN 技術(shù)建設(shè)多校區(qū)校園網(wǎng)[J].小型微型計(jì)算機(jī)系統(tǒng),2007,(8).
[2]蘇彬.基于GRE over IPSec的多區(qū)域分布式網(wǎng)絡(luò)互聯(lián)[J].晉城職業(yè)技術(shù)學(xué)院學(xué)報(bào),2013,(5).
[3]劉景林.基于安全 GRE 隧道的Site- to- Site VPN 構(gòu)建方案研究與實(shí)現(xiàn)[J].長春大學(xué)學(xué)報(bào),2012,(8).
[4]劉陽.GRE over IPSec工作流程探索與應(yīng)用分析[J].青島職業(yè)技術(shù)學(xué)院學(xué)報(bào).2014,(8).
Multi-campus Network Interconnection Based on DVPN Double Center Technology——Taking Shanxi Vocational and Technical College for Example
Xie Ying
(Department of Computer Engineering, Shanxi Vocational and Technical College, Taiyuan, Shanxi, 030006)
Based on dynamic VPN technology, this paper has put forward the solution to multi-campus interconnection for Shanxi Vocational and Technical College by using double VAM Server and double center technology of HUB, which provides some reference for the multi-campus network of other any college and universitie, or for the interconnection of large enterprise internal network distributed in multiple cities.
DVPN; VAM; Ipsec; Network interconnection
2014—10—28
解 瑩(1981—),女,山西介休人,山西職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系,碩士。
G434
B
1008—8350(2015)01—0023—04