The invention discloses a method for realizing secure communication of any end of an Internet using the flow division technique in DMVPN. The method in the Internet to build a branch from the center and the mGRE technology communication equipment set up the star type structure using DMVPN, network topology network structure as the subsidiary; in the network by setting the IPSEC to ensure the communication security; the inter segment can mutually and direct communication using NHRP protocol; and extended NHRP protocol, using NHRP in extension header, to complete the segmentation of traffic. In practical application, the invention can provide enterprises to realize secure communication among different endpoints in the cheap internet. Thus replacing the original expensive two layer access (such as ISDN, etc.), to solve the original application of high rental fees or complex network configuration maintenance.
【技术实现步骤摘要】
本专利技术涉及网络安全和数据通信
,特別涉及一种在DMVPN (Dynamic Multipoint VPN,动态多点虚拟专用网)中应用流量分割技术实现 互联网任意两端安全通信的方法。
技术介绍
目前,对于一些公司总部、分部、办事处分散在各地的企业而言,他们需 要一种安全的网络将其互联使得任意两点间均可以通信。最初的解决方案是租 用一些昂贵的二层接入方法(如ISDN等)。但像比较而言, 一种更加廉价、 灵活的通信方式是使用Internet接入并且通过IPSEC加密来保证安全性。IPSEC (Security Architecture for IP network)是点对点的加密隧道。总部 与分部任意的点到点的加密隧道组成的网络是一种网状结构。在实际应用中主 要的通信流量集中在分部(spoke)与中心(hub)的通信,这样的网络结构成 为星型网络(hub-to-spoke )。但是也不排除分部与分部间的通信 (spoke-to-spoke)。所以实际的网络设计中采用的是星型的网络,如果分部间 要通信也会通过中心来作为一个中转。在实际的使用中,如果仅仅使用IPSEC的加密隧道存在许多不利因素。由 于使用的是IPSEC来加密,所以分部间通信的加密包在通过中心转发时又要经 历一个解密重新加密的过程,这样对于中心服务器增加了额外的负担。同时中 心服务器要和每个分部均建立一个隧道,这样使用GRE的话就要建立多个通 信端口,而这些通信端口有使用的是相同的加密算法,所以造成中心服务器无 论在配置还是维护上非常繁琐。这样需要一种更加高效的解决方案用于解决下述的几个问 ...
【技术保护点】
在DMVPN中实现互联网任意两端安全通信的方法,该方法利用DMVPN在互联网中构建一个由中心及分部都采用mGRE技术通信设备所组建的以星型结构为主,网状结构为辅的拓扑网络;该网络中通过设置IPSEC保证通信安全;利用NHRP协议使分部间可以相互直接通信;并且扩展NHRP协议,利用NHRP协议中的extension header,完成流量分割;其特征在于:包括以下具体步骤: a.中心与分部间的通信步骤: (1)所有spoke使用NHRP协议封装报文向hub发送本地协 议地址和NBMA地址的绑定信息; (2)需要流量分割的节点处理发送地址的绑定信息时还要在NHRP的extension header中加入流量分割算法和相关信息; (3)hub接收这些信息并保存在本地缓存中; b.分部与分部 间的通信步骤: (1)spoke先发送对端sopke的协议地址信息地址到hub;hub查找缓存,选择合适的缓存后把协议地址对应的NBMA地址返回给spoke; (2)spoke根据收到的NBMA地址就可以直接和对端spoke通信 ...
【技术特征摘要】
1、在DMVPN中实现互联网任意两端安全通信的方法,该方法利用DMVPN在互联网中构建一个由中心及分部都采用mGRE技术通信设备所组建的以星型结构为主,网状结构为辅的拓扑网络;该网络中通过设置IPSEC保证通信安全;利用NHRP协议使分部间可以相互直接通信;并且扩展NHRP协议,利用NHRP协议中的extension header,完成流量分割;其特征在于包括以下具体步骤a. 中心与分部间的通信步骤(1)所有spoke使用NHRP协议封装报文向hub发送本地协议地址和NBMA地址的绑定信息;(2)需要流量分割的节点处理发送地址的绑定信息时还要在NHRP的extension header中加入流量分割算法和相关信息;(3)hub接收这些信息并保存在本地缓存中;b. 分部与分部间的通信步骤(1)spoke先发送对端sopke的协议地址信息地址到hub;hub查找缓存,选择合适的缓存后把协议地址对应的NBMA地址返回给spoke;(2)spoke根据收到的NBMA地址就可以直接和对端spoke通信了;同时也缓存该信息,以后在与该spoke通信时,直接查本地缓存就可以了;(3)上述所有的缓存都有一定超时,超时后删除。2、 根据权利要求1的在DMVPN中实现互联网任意两端安全通信的方法,其 特征在于所述分部与分部间的通信步骤中hub在査找缓存时,对于无流量分 割的缓存,直接找到后返回即可;对于有流量分割的缓存需要找到所有可用的 缓存,在更加算法要求选择一个返回给spoke。3、 根据权利要求l的在DMVPN中实现互联网任意两端安全通信的方法,其 特征在于所述方法中所涉及的DMVPN的流量分割技术在某个节点需要承 受比较大的流量时,可以在该节点增加设备来分担流量。同时在中心设...
【专利技术属性】
技术研发人员:汪革,方昊,张晔,
申请(专利权)人:上海博达数据通信有限公司,
类型:发明
国别省市:31[中国|上海]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。