在DMVPN中实现互联网任意两端安全通信的方法技术

本发明专利技术公开了一种在ＤＭＶＰＮ中应用流量分割技术实现互联网任意两端安全通信的方法。该方法利用ＤＭＶＰＮ在互联网中构建一个由中心及分部都采用ｍＧＲＥ技术通信设备所组建的以星型结构为主，网状结构为辅的拓扑网络；该网络中通过设置ＩＰＳＥＣ保证通信安全；利用ＮＨＲＰ协议使分部间可以相互直接通信；并且扩展ＮＨＲＰ协议，利用ＮＨＲＰ协议中的ｅｘｔｅｎｓｉｏｎ　ｈｅａｄｅｒ，完成流量分割。在实际应用中本发明专利技术能够提供企业在廉价的互联网中实现各个端点间的安全通信。从而取代原来成本昂贵的二层接入（如ＩＳＤＮ等），解决原来应用中的高额租用费或者复杂的网络配置维护。

Method for realizing secure communication at any end of Internet in DMVPN

The invention discloses a method for realizing secure communication of any end of an Internet using the flow division technique in DMVPN. The method in the Internet to build a branch from the center and the mGRE technology communication equipment set up the star type structure using DMVPN, network topology network structure as the subsidiary; in the network by setting the IPSEC to ensure the communication security; the inter segment can mutually and direct communication using NHRP protocol; and extended NHRP protocol, using NHRP in extension header, to complete the segmentation of traffic. In practical application, the invention can provide enterprises to realize secure communication among different endpoints in the cheap internet. Thus replacing the original expensive two layer access (such as ISDN, etc.), to solve the original application of high rental fees or complex network configuration maintenance.

【技术实现步骤摘要】

本专利技术涉及网络安全和数据通信
，特別涉及一种在DMVPN (Dynamic Multipoint VPN，动态多点虚拟专用网)中应用流量分割技术实现 互联网任意两端安全通信的方法。
技术介绍
目前，对于一些公司总部、分部、办事处分散在各地的企业而言，他们需 要一种安全的网络将其互联使得任意两点间均可以通信。最初的解决方案是租 用一些昂贵的二层接入方法(如ISDN等)。但像比较而言， 一种更加廉价、 灵活的通信方式是使用Internet接入并且通过IPSEC加密来保证安全性。IPSEC (Security Architecture for IP network)是点对点的加密隧道。总部 与分部任意的点到点的加密隧道组成的网络是一种网状结构。在实际应用中主 要的通信流量集中在分部(spoke)与中心(hub)的通信，这样的网络结构成 为星型网络(hub-to-spoke )。但是也不排除分部与分部间的通信 (spoke-to-spoke)。所以实际的网络设计中采用的是星型的网络，如果分部间 要通信也会通过中心来作为一个中转。在实际的使用中，如果仅仅使用IPSEC的加密隧道存在许多不利因素。由 于使用的是IPSEC来加密，所以分部间通信的加密包在通过中心转发时又要经 历一个解密重新加密的过程，这样对于中心服务器增加了额外的负担。同时中 心服务器要和每个分部均建立一个隧道，这样使用GRE的话就要建立多个通 信端口，而这些通信端口有使用的是相同的加密算法，所以造成中心服务器无 论在配置还是维护上非常繁琐。这样需要一种更加高效的解决方案用于解决下述的几个问题1.中心服务器要易于维护。由于每个隧道的加密方式等均一样，所以考 虑使用一种点对多点的隧道。这样配置上只需要配置一个通信端口即可，同时 在该端口和所有其他点的通信中使用统一的加密算法。这个可以通过mGRE来解决。2. 对于分部和中心的通信，分部只需要知道中心的地址即可。而分部间的通信为了尽量减轻中心服务器的负担，可以考虑绕过服务器直接通信。可以 向中心服务器发出查询获得对端分部的地址，随后可以直接与对端分部通信。这个可以通过使用NHRP协议(下一个节点路由协议)得到解决。3. 如果某个分部需要承受比较大的流量，则要考虑流量分割的问题。
技术实现思路
鉴于上述应用需求和现有技术所存在的技术局限，本专利技术的目的是提供一 种在DMVPN中应用流量分割技术实现互联网任意两端安全通信的方法。该技术 方案在实际应用中能够提供企业在廉价的互联网中实现各个端点间的安全通 信。从而取代原来成本昂贵的二层接入(如ISDN等)，解决原来应用中的高 额租用费或者复杂的网络配置维护。实现上述本专利技术方法所涉及的相关技术及其作用如下1. mGRE技术在现有的点对点的GRE技术基础上提出mGRE的技术 是一种点对多点的技术。相对单点的GRE， mGRE无需知道对端的地 址，实际的通信中需使用NHRP协议来动态获取通信对端的地址。同 时与GRE —样mGRE也用于建立两个通信端点间的隧道。2. NHRP技术由于mGRE的对端是多个节点，需要在通信时确定到底 与哪个节点通信及对端的地址。所以本专利技术使用NHRP协议来实现这 一功能。3. IPSEC技术IPSEC主要保证在通信时的安全性。 利用上述三种主要技术的结合在DMVPN中所形成的流量分割技术，通过以下本专利技术所描述的通信机制，可以使企业通过DMVPN实现总部与各个分部 之间，任意两点间的安全通信。本专利技术方案中利用DMVPN在互联网中构建一个由中心及分部都采用 mGRE技术通信设备所组建的以星型结构为主，网状结构为辅的拓扑网络；该 网络中通过设置IPSEC保证通信安全；利用NHRP协议使分部间可以相互直 接通信；并且扩展NHRP协议，利用NHRP协议中的extension header,完成流量分割。具体步骤(参见附图说明图1)如下中心与分部间的通信(hub-to-spoke):(1) 所有spoke使用NHRP协议封装报文向hub发送本地协议地址和NBMA 地址的绑定信息。(2) 需要流量分割的节点处理发送地址的绑定信息时还要在NHRP的 extension header中加入流量分割算法和相关信息。(3) hub接收这些信息并保存在本地缓存中。分部与分部间的通信(spoke-to-spoke):(1) spoke先发送对端sopke的协议地址信息地址到hub。 hub查找缓存，选 择合适的缓存(即对于无流量分割的缓存，直接找到后返回即可。对于有流量 分割的缓存需要找到所有可用的缓存，在更加算法要求选择一个返回给spoke) 后把协议地址对应的NBMA地址返回给spoke。(2) spoke根据收到的NBMA地址就可以直接和对端spoke通信了 。同时也 缓存该信息，以后在与该spoke通信时，直接查本地缓存就可以了。(3) 上述所有的缓存都有一定超时，超时后删除。另外，本专利技术方法所涉及的DMVPN的流量分割技术是在DMVPN的基础 上的改进。如果某个节点需要承受比较大的流量时，可以在该节点增加设备来 分担流量。同时在中心设备(服务器)中根据特定的算法(如轮询、基于权重 的选择等)协调其他各个节点和该节点的数据流向，以便通过确定合适的数据 流向形成一种协调通信两端间的数据流向协调机制。上述专利技术中的有益效果为① 使用mGRE简化了中心服务器的配置。无需对每一天隧道的通信的加 密方式等进行配置。同时可以简化中心设备的维护(如可以简单地改变加密算 法等)。② 使用NHRP协议，使得spoke和spoke间的通信无需通过hub中转。一 方面减轻了 hub的负担，另一方面可能减小spoke间通信的时延(如两个spoke6在同一城市，如果通过hub中转则会增加时延)。③扩展NHRP协议，使用DMVPN的流量分割技术仅需要在高负荷端增 加设备，无需更改中心服务器配置，便可完成流量分割，提高吞吐流量，同时 可以减轻某个高负荷的spoke的负担。以下结合附图和具体实施方式来进一步说明本专利技术。 图1为本专利技术技术方案的流程图。图2为本专利技术在具体施行步骤中的网络拓扑结构图。 图3为本专利技术在具体施行步骤中配置hub节点流程图。 图4为本专利技术在具体施行步骤中配置spoke的流程图。具体实施例方式为了使本专利技术实现的技术手段、创作特征、达成目的与功效易于明白了解， 下面结合具体图示和列举实例，进一步阐述本专利技术。如图2所示，该图为本专利技术方法所述的网络拓扑结构之一。实际设置中通 常的过程如下A. 建立合适的网络拓扑。如果有负载比较大的spoke点处可以增加设备 来减轻spoke的负担。B. 配置hub节点(参见图3)。配置一个tunnel接口并在接口中使用mGRE 的模式。IPSEC相关配置(profile名字，使用的transform-set等)，同时将 profile名字应用在tunnel端口中用于对该隧道的加密保护。NHRP相关配置(配置multicast dynamic,主要用于在发送组播报文时向所有注册的spoke 发送。组播报文一般是动态路由协议的报文，用于获取到达目的地址时下一跳 spoke的协议地址)。配置动态路由协议使spoke间获取对方的下一本文档来自技高网...

【技术保护点】
在ＤＭＶＰＮ中实现互联网任意两端安全通信的方法，该方法利用ＤＭＶＰＮ在互联网中构建一个由中心及分部都采用ｍＧＲＥ技术通信设备所组建的以星型结构为主，网状结构为辅的拓扑网络；该网络中通过设置ＩＰＳＥＣ保证通信安全；利用ＮＨＲＰ协议使分部间可以相互直接通信；并且扩展ＮＨＲＰ协议，利用ＮＨＲＰ协议中的ｅｘｔｅｎｓｉｏｎ　ｈｅａｄｅｒ，完成流量分割；其特征在于：包括以下具体步骤：　ａ．中心与分部间的通信步骤：　（１）所有ｓｐｏｋｅ使用ＮＨＲＰ协议封装报文向ｈｕｂ发送本地协 议地址和ＮＢＭＡ地址的绑定信息；　（２）需要流量分割的节点处理发送地址的绑定信息时还要在ＮＨＲＰ的ｅｘｔｅｎｓｉｏｎ　ｈｅａｄｅｒ中加入流量分割算法和相关信息；　（３）ｈｕｂ接收这些信息并保存在本地缓存中；　ｂ．分部与分部 间的通信步骤：　（１）ｓｐｏｋｅ先发送对端ｓｏｐｋｅ的协议地址信息地址到ｈｕｂ；ｈｕｂ查找缓存，选择合适的缓存后把协议地址对应的ＮＢＭＡ地址返回给ｓｐｏｋｅ；　（２）ｓｐｏｋｅ根据收到的ＮＢＭＡ地址就可以直接和对端ｓｐｏｋｅ通信 了；同时也缓存该信息，以后在与该ｓｐｏｋｅ通信时，直接查本地缓存就可以了；　（３）上述所有的缓存都有一定超时，超时后删除。...

【技术特征摘要】
1、在DMVPN中实现互联网任意两端安全通信的方法，该方法利用DMVPN在互联网中构建一个由中心及分部都采用mGRE技术通信设备所组建的以星型结构为主，网状结构为辅的拓扑网络；该网络中通过设置IPSEC保证通信安全；利用NHRP协议使分部间可以相互直接通信；并且扩展NHRP协议，利用NHRP协议中的extension header，完成流量分割；其特征在于包括以下具体步骤a. 中心与分部间的通信步骤(1)所有spoke使用NHRP协议封装报文向hub发送本地协议地址和NBMA地址的绑定信息；(2)需要流量分割的节点处理发送地址的绑定信息时还要在NHRP的extension header中加入流量分割算法和相关信息；(3)hub接收这些信息并保存在本地缓存中；b. 分部与分部间的通信步骤(1)spoke先发送对端sopke的协议地址信息地址到hub；hub查找缓存，选择合适的缓存后把协议地址对应的NBMA地址返回给spoke；(2)spoke根据收到的NBMA地址就可以直接和对端spoke通信了；同时也缓存该信息，以后在与该spoke通信时，直接查本地缓存就可以了；(3)上述所有的缓存都有一定超时，超时后删除。2、 根据权利要求1的在DMVPN中实现互联网任意两端安全通信的方法，其 特征在于所述分部与分部间的通信步骤中hub在査找缓存时，对于无流量分 割的缓存，直接找到后返回即可；对于有流量分割的缓存需要找到所有可用的 缓存，在更加算法要求选择一个返回给spoke。3、 根据权利要求l的在DMVPN中实现互联网任意两端安全通信的方法，其 特征在于所述方法中所涉及的DMVPN的流量分割技术在某个节点需要承 受比较大的流量时，可以在该节点增加设备来分担流量。同时在中心设...

【专利技术属性】
技术研发人员：汪革，方昊，张晔，
申请(专利权)人：上海博达数据通信有限公司，
类型：发明
国别省市：31[中国|上海]