发布时间 : 星期三 文章毕业设计论文-一种基于dmvpn技术的网络平台的设计论文更新完毕开始阅读23120a616ad97f192279168884868762caaebbc7
第一章 绪 论
1.1论文研究背景及意义
“Secure End to End Connectivity (保证端到端连接的安全)”是现在经常被提起的一个目标,这一目标对网络构架者来说是一个很大的挑战,这是因为现有的点到点连接技术(比如IPSec技术)和由动态路由协议提供的Any-to-Any的连接方式之间结合的有限。用户在使用VPN网络替代传统的WAN(Wide Area Network,广域网)技术如ISDN(Integrated Services Digital Network,综合业务数字网)、ATM (Asynchronous Transfer Mode,异步传输模式)、帧中继、租用专线的时候,需要IPSec隧道能够保证他们数据的私密性和完整性。IPSec从本质上讲是点到点的隧道网络,扩展性很差,扩展一个比较大的点到点的网络的方法是将其组织成一个Hub-and-spoke的网络。
IPSec和动态路由协议之间的结合存在一个基本的问题:动态路由协议的正常工作依赖于IP组播或广播包的传递,但是IPSec不支持组播或广播包的加密封装(引自于《VPN与网络安全[M]》)。目前常用的解决办法是使用GRE隧道封装结合IPSec加密。客户在实施Hub-and-Spoke模型的IPSec+GRE方案时会遇到的问题在于:
1) IPSec用ACL (Access Control List,访问控制列表)来区分哪些数据需要加密,
当一个新的Spoke加入到网络中的时候,Hub和Spoke上面的ACL都需要更改,新Spoke的动态安排在此情况下是不可能的。
2) GRE必须知道Spoke端节点的peer地址,不支持被动态分配地址的CPE
(Customer Premise Equipment,用户终端设备)设备,虽然IPSec本身对此有一定程度的支持。
3) 如果Spokes之间需要直接通过IPSec VPN进行通信,原来的Hub-and-Spoke就
得变成一个Full-mesh的网络,因为事先并不知道哪些Spoke之间会直接对话,所以Full-mesh的网络就成了必须,而为部署这样的VPN网络所付出的代价往往是用户无法接受的。并且由于Spoke上配置的VPN路由器往往资源有限,无法支持到其它每个Spoke都有IPSec连接的要求。而且今后每加入一个新的Spoke就需要修改所有已存在Spoke上面的配置,以使已有的Spoke能意识到新成员的加入。
4) Hub-and-Spoke模型的VPN一旦规模比较大的时候,在Hub上要配置的命令行
的数量是非常巨大的甚至有时候是不可用的。比如,当网络中有300个Spoke路由器的时候,在中心Hub路由器上的配置会高达3900行(引用于《BGP和VPN体系结构CCIP版[M]》)。这么大的配置文件是很难维护和排错的。
- 1 -
DMVPN(Dynamic Multipoint VPN,动态多点VPN)是基于Cisco IOS的专门为快速、简单地部署IPSec+GRE VPN的而出现的一种新技术。DMVPN解决方案使用了Multipoint GRE (mGRE)和NHRP(Next Hop Resolution Protocol,下一跳解析协议),配合IPSec可以解决上面提到的那些问题。
NHRP是一种客户端/服务器端模式的协议,这里Hub路由器作为服务器端,Spoke路由器均为客户端。Hub端会始终维护一个NHRP数据库,包含了所有Spoke的实际(Public interface)地址。每个Spoke在初始启动的时候会把自己的公共可达地址注册到Hub端的NHRP数据库中。当Spoke需要和其它Spoke之间直接建立动态的VPN连接时,它会到此数据库中查询对方的实际地址(引自于《支持VPN的隧道技术研究[J]》)。 mGRE则允许在单个的GRE接口上支持多个点到点的IPSec隧道。这一点也大大简化了设备的配置工作。和传统的IPSec+GRE模式相比,DMVPN存在以下优势:
1) 节点配置简单,但支持多种应用,如multicast、voice、video等,设备性能要求
较高。
2) 新的Spoke CPE设备加入IPSec网络不用影响现有网络设备上的配置,初始化
时它会自动注册到Hub上;
3) 支持需要动态获得公共地址的Spoke CPE(典型的应用是Cable用户和ADSL
用户)。因为Spoke CPE在初始启动的时候都会到Hub的NHRP数据库注册它们的实际(公共)地址,所以Spoke CPE被动态分配的公共地址自然也会通知Hub端。
4) 简化和缩小了Hub端和Spoke端路由器的配置。DMVPN无须针对每个Spoke
CPE做Tunnel接口和Crypto map的配置,使用DMVPN技术的IPSec节点通过NHRP数据库的更新来了解Peer(对等端)的信息,并且在配置时用一个多点GRE接口(mGRE)代替了所有点到点的GRE隧道接口。
5) 动态按需spoke-to-spoke隧道的建立。DMVPN允许spoke CPE按需建立直接到
其它spoke CPE的隧道,而无须通过Hub进行通信,这样不用浪费Hub的带宽资源和处理时间。
6) DMVPN支持VPN内的动态路由协议和Multicast的流。支持Video、Voice等多
种新应用在网络中的传递。 道,从而保证网络的高可靠性。
7) DMVPN支持双Hub的热备功能,每个CPE设备都同时建立两条与双Hub的隧
1.2 DMVPN的研究现状
据诺达咨询数据显示,受全球经济危机的影响,DMVPN行业2009年增长速度放
- 2 -
缓,用户规模将达到4.35万户,比2008年增长23.6%。相对于传统电信业务(如话音)增长的放缓,DMVPN目前已经成为电信运营商竞争的热点之一。诺达咨询最新出炉的《中国DMVPN服务市场分析及服务商能力评估报告2009》报告对影响DMVPN行业发展的因素进行了深入分析,发现未来有五大因素将支撑DMVPN行业发展,促使DMVPN在2009年逆势增长。 1、颁发DM-VPN经营牌照
DM-VPN业务之所以作为一个独立的增值业务经营牌照的颁发,可以说明两点: DM-VPN业务在增值业务中的重要性以及广阔的市场前景:电信增值业务分类把DM-VPN独立出来,并颁发独立的经营牌照,意味着该业务具重要性及广阔的市场前景,不然,没有必要把DM-VPN业务牌照及分类独立出来。
另外,牌照发放意味着我国电信服务的进一步开放。目前DM-VPN主要还是基础电信运营商的业务,使得增值服务商在提供VPN服务上比较谨慎,牌照发放降低了增值服务提供商发展DM-VPN业务的风险。
2、越来越多的跨国企业在中国落户、开展业务以及国内大公司向海外进行拓展
中国加入WTO(World Trade Organization ,世界贸易组织)为其DMVPN市场提供了一个关键的动力,更多的跨国公司,特别是制造业的公司,将其业务迁往中国内地。此外,中国国内的企业也开始了国际化的扩张。企业分支机构数量的快速扩大使得企业内部的虚拟专网建设的需求也随之扩张。国外的电信运营商也通过和国内的运营商开展合作,租用宽带线路为其跨国集团客户提供端到端的解决方案。
中国市场的国际化程度的提高:大量外国企业进入中国,将建立跨国VPN网络。 中国企业在积极拓展国际市场:中国本土企业走向世界,寻求海外发展,海外分支机构与中国总部将通过价格更低廉的VPN连接。
3、国家信息化战略,大型国企业、事业单位、政府行业部门信息化建设需求
在国内,由于信息化战略的带动,政府开始实施电子政务网的建设,而银行、教育、证券、电力、铁路、交通、民航、政法、国防等大型国有企事业间的数据沟通也日渐增长,VPN不仅方便地解决了企业内部数据的统一规划,廉价的数据交换费用还带来了相当可观的财务回报,VPN还能方便地实现提供对客户服务与交流的网络平台。
中国地领广阔,政府还是事业单位都存在分级管理的问题,随着各地政府及事业单位信息基础实施的完善,需要建立VPN,促进信息共享、交换,提升监督和管理效率,成为信息化的另一个重点。
4、中小企业ERP (Enterprise Resource Planning ,企业资源计划)的推动
中小型企业近些年来尝到了ERP项目的甜头,在ERP项目的带动下,VPN在中小企业间也是需求见长。再者,日益廉价的带宽费用和设备价格的降低也吸引中小企业纷纷建设自己的VPN网络。更加引注意的是,目前我国的中小企业信息化建设还没有大规模的启动。有数据表明,当前国内中小企业数量约有1100多万家,占我国企业总数
- 3 -
95%以上,但信息化利用率不到15%。可想而知,如果VPN市场大范围启动,将会形成一个海量的市场。目前,国内电信运营商已经观察到这一潜在市场,专门成立了宽带商务推广组,向企业推出智能VPN、协同办公、声像通等多项宽带商务服务。 5、金融危机可能产生的积极影响
金融危机造成多数国际企业经营受困,IT与通信支出的缩减难以避免。但IPVPN与专线相比具有成本优势,而且能够实现更为灵活的业务形式,是企业缩减开支的情况下保证企业通信需要的良好选择。因此金融危机对DMVPN来说可能是一个机会,但不会改变整体市场收入增长率下降的趋势。 6、其他推动
DMVPN市场的逐步成熟、企事业单位对DMVPN的认知提高。
互联网的发展,推进企业在地域上的扩张,自然选择DMVPN加强总部与分指的管理和沟通是一种非常经济的方式。
1.3 目前网络的现状和关键问题
从A市福利彩票销售系统情况来看,经过数年的运行和改造,已经成为覆盖A市近1600个节点的大型网络系统,由于销售网点数目大,分布于不同地理位置的分支机构和部门之间的安全快速通信问题显得日益严峻。关键是由于营业网点数目巨大,网络中应用的传统IPSEC VPN面临过于依赖手工配置静态隧道,且不能动态获取IP地址,并且不能应对极有可能出现的峰值数据的负载,不能做到流量的自动负载均衡,严重的制约了公司的快速发展。
本文旨在提出一种基于DMVPN的网络设计方案,能为地市级福彩系统提供良好的支撑网络平台。该平台能够解决传统福彩系统中存在的营业网点扩展麻烦、数据安全无法得到保证、峰值流量不能均衡等问题,这些问题正是困扰福彩系统多年的瓶颈,也是本文所需要解决的关键技术问题,笔者以下将就这些问题的解决逐步予以阐述。
1.4 拟使用的技术路线
为了能很好的解决A福利彩票销售系统现在所面临的问题。本文拟使用基于Cisco IOS的专门为快速、简单地部署IPSec+GRE(Generic Routing Encapsulation,通用路由封装)VPN而出现的一种新技术DMVPN技术。DMVPN使用了mGRE(Multipoint GRE,多点GRE)进行数据封装和隧道的建立和NHRP(Next Hop Resolution Protocol,下一跳解析协议)实现IP地址的动态获取,配合IPSec技术进行数据加密可以很好的解决传统IPSec VPN存在的缺陷。并且使用主备机房,实行数据冗余,不尽能很好的把以前的设备进行利旧,达到节约成本的效果同时把数据机房放在两地能实行容灾备份,对数据
- 4 -