DSVPN基本原理

最新推荐文章于 2024-05-15 21:54:47 发布
最新推荐文章于 2024-05-15 21:54:47 发布
阅读量549 收藏 14
点赞数 29
分类专栏: 华为datacom理论 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76769137/article/details/137637530
版权

DSVPN实现分支之间直接通信的关键是在分支之间建立隧道。DSVPN利用mGRE结合NHRP来建立分支之间的隧道。与GRE不同,mGRE建立隧道时不需要定义隧道目的地址,而是依赖NHRP告诉它,这就为在动态地址变化的分支间建立隧道创造了条件。

mGRE与NHRP结合建立隧道的基本原理是:当设备转发一个IP报文时,根据路由表将IP报文传给下一跳的出接口mGRE隧道接口,mGRE在NHRP映射表中查找获取下一跳地址映射的对端公网地址。然后mGRE封装IP报文,加上新IP头,目的地址就是对端的公网地址,这样IP报文就能发向隧道对端,隧道即可建立。

可见,NHRP映射表和路由表是mGRE与NHRP结合建立隧道的重要依据。如果一端分支有对端分支Tunnel地址/子网地址与公网地址的NHRP映射、有到对端分支的路由,那么分支间就可建立mGRE隧道。而DSVPN网络开始时,分支Spoke只有一个静态配置的NHRP映射表(Hub的Tunnel地址与公网地址的映射),也只有到总部Hub的路由。因此,分支间无法直接建立隧道,只能先借助Hub学习到彼此的路由、生成彼此Tunnel地址/子网地址与公网地址的NHRP映射。这一过程主要分为如下三个环节:

  1. 建立Spoke与Hub之间的mGRE隧道

    这一环节的目的是打通分支到分支报文转发的通道,使得一端分支的报文可以借助Hub转发到另一端分支。

    DSVPN在Spoke与Hub之间建立的mGRE隧道是一种静态隧道,无论Spoke与Hub间是否有流量经过,该隧道一直存在。

  2. 分支间路由学习

    这一环节的目的是生成一端分支到另一端分支的路由。

  3. 建立Spoke与Spoke之间的mGRE隧道

    这一环节的目的是建立用于分支间直接通信的通道。当一个分支向另一个分支转发数据报文时,如果源Spoke找不到目的Spoke的公网地址,则会触发DSVPN建立Spoke与Spoke之间的mGRE隧道。

    Spoke与Spoke之间建立的mGRE隧道是一种动态隧道,当Spoke与Spoke间有流量通过时,隧道自动保活;当一定周期内没有流量经过时,隧道自动拆除。

Spoke与Spoke之间的mGRE隧道建成后,分支间的数据报文即可通过该隧道直接转发,不再经过Hub中转。

建立Spoke与Hub之间的mGRE隧道

DSVPN网络开始时,总部Hub的NHRP映射表是空表,分支Spoke有一个静态配置的NHRP映射表(Hub的Tunnel地址与公网地址的映射),分支Spoke和总部Hub有到彼此的路由。要建立Spoke与Hub之间的mGRE隧道,总部要生成各分支Tunnel地址/子网地址与公网地址的NHRP映射表,这主要通过分支Spoke向总部Hub进行NHRP注册来实现,其过程如图1所示。

图1 Spoke到Hub的mGRE隧道建立过程

  1. Spoke向Hub注册请求

    管理员在Spoke上手工配置Hub的Tunnel地址和公网地址以后,Spoke将定时向Hub发送NHRP注册请求报文,该报文中包含Spoke的Tunnel地址和公网地址。

  2. Hub向Spoke注册应答

    Hub从NHRP注册请求报文中提取Spoke的Tunnel地址和公网地址(见图1中的红色字体),并生成NHRP映射表,进而建立两者之间的mGRE隧道。

Spoke定时向Hub发送注册消息,这样就使Hub的NHRP映射表在老化时间到来前重新计时,确保分支与总部一直能够维持隧道关系。

分支间路由学习

DSVPN支持两种分支间路由学习方式:

  • 分支间相互学习路由(非shortcut方式)

    采用这种方式时,源分支到目的分支子网的路由下一跳为目的分支的Tunnel地址(见图2中的路由表),每个分支需要学习到所有对端的路由数据。这种情况下,Spoke会消耗大量的CPU和内存资源,对其路由表容量和性能有较高的要求。而实际应用中,Spoke的性能往往较低,能存放的路由数量有限。因此,这种路由学习方式只适用于网络节点较少、路由信息量小的中小型网络。

  • 分支路由汇聚到总部(shortcut方式)

    采用这种方式时,源分支到目的分支子网的路由下一跳为总部的Tunnel地址(见图3中的路由表),Spoke只需存放到Hub的路由。由于Spoke减少了自身的路由数量,所以该路由学习方式适用于那些网络规模大、分支较多的大型网络。

建立Spoke与Spoke之间的mGRE隧道

经过上述两个环节后,各分支已经有到对端分支的路由,但还没有对端分支的Tunnel地址/子网地址与公网地址的NHRP映射表。要建立Spoke与Spoke之间的mGRE隧道,就要借助NHRP协议和学习到的路由来生成NHRP映射表。不同的路由学习方式,分支学习到的路由不同,NHRP映射表的生成过程也不同:

  • 非shortcut方式下,源Spoke可以学习到目的Spoke的Tunnel地址。因此,源Spoke可以直接根据目的Spoke的Tunnel地址来查找目的Spoke的公网地址,生成目的Spoke的Tunnel地址与公网地址的NHRP映射表。
  • shortcut方式下,所有Spoke的路由下一跳全部都是Hub的Tunnel地址,源Spoke无法学习到目的Spoke的Tunnel地址。因此,源Spoke只能根据报文的目的地址来查找目的Spoke的公网地址,生成目的Spoke的子网地址与公网地址的NHRP映射表。

具体过程分别如图2图3所述。

建立Spoke与Spoke之间的mGRE隧道(非shortcut方式)

图2所示为采用非shortcut路由学习方式时Spoke与Spoke之间的mGRE隧道建立过程。

图2 Spoke与Spoke之间的mGRE隧道建立过程(非shortcut方式)

当Spoke1下的用户首次访问Spoke2下的用户时,将触发Spoke1与Spoke2之间建立动态mGRE隧道,隧道建立过程如下:

  1. Spoke1收到其下用户发往Spoke2的数据报文后:
    • 根据报文目的地址(192.168.2.0)在路由表中找到下一跳10.1.1.2(Spoke2的Tunnel地址),但在NHRP映射表中没有查找10.1.1.2对应的公网地址,就默认将该数据报文直接转发给Hub。
    • 构建并向Hub发送NHRP地址解析请求报文,请求10.1.1.2对应的公网地址。

  2. Hub收到Spoke1发送的数据报文和NHRP地址解析请求报文后,将报文通过Hub与Spoke2间的mGRE隧道转发给Spoke2。

  3. Spoke2收到NHRP地址解析请求报文后:

    • 从NHRP地址解析请求报文中提取Spoke1的Tunnel地址和公网地址,并将该信息更新到自己的NHRP映射表中(见图2中的红色字体)。
    • 构建并向Spoke1发送NHRP地址解析应答报文(携带Spoke2的Tunnel地址10.1.1.2和公网地址2.2.2.2)。

  4. Spoke1收到NHRP地址解析应答报文后,从应答报文中提取Spoke2的Tunnel地址和公网地址,更新到自己的NHRP映射表中(见图2中的红色字体),Spoke1与Spoke2之间的动态mGRE隧道随即建立。

    当Spoke1再次收到其下用户发送给Spoke2的数据报文时,Spoke1根据报文目的地址(192.168.2.0)在路由表中找到下一跳10.1.1.2,再根据10.1.1.2在NHRP映射表中找到公网地址2.2.2.2,即可按照公网地址2.2.2.2将此报文进行mGRE封装后直接发送给Spoke2,不再经过总部Hub。

建立Spoke与Spoke之间的mGRE隧道(shortcut方式)

图3所示为采用shortcut路由学习方式时Spoke与Spoke之间的mGRE隧道建立过程。

图3 Spoke与Spoke之间的mGRE隧道建立过程(shortcut方式)

当Spoke1下的用户首次访问Spoke2下的用户时,将触发Spoke1与Spoke2之间建立动态mGRE隧道,隧道建立过程如下:

  1. Spoke1收到其下用户发往Spoke2下用户的数据报文后,根据报文目的地址(192.168.2.0)在路由表中找到下一跳10.1.1.3(Hub的Tunnel地址),并在NHRP映射表中找到10.1.1.3对应的公网地址3.3.3.3(Hub的公网地址),就将数据报文转发给Hub。

  2. Hub收到Spoke1转发的数据报文后:
    • 将此报文通过Hub与Spoke2间的mGRE隧道转发给Spoke2。
    • 检查发现接收和发送数据报文的Tunnel接口属于同一个NHRP域(见nhrp network-id),就构建并向Spoke1发送NHRP重定向报文(携带Hub的Tunnel地址和公网地址,以及需要解析的数据报文的目的地址192.168.2.0)。

  3. Spoke1收到NHRP重定向报文后,构建并向Hub发送NHRP地址解析请求报文(携带Spoke1的Tunnel地址10.1.1.1和公网地址1.1.1.1,以及需要解析的数据报文的目的地址192.168.2.0)。

  4. Hub收到NHRP地址解析请求报文后转发给Spoke2处理。

  5. Spoke2收到NHRP地址解析请求报文后:
    • 从NHRP地址解析请求中提取Spoke1的Tunnel地址和公网地址,并将该信息更新到自己的NHRP映射表中(见图3中的红色字体)。
    • 构建并向Spoke1发送NHRP地址解析应答报文(携带Spoke2的子网地址192.168.2.0、Spoke2的Tunnel地址10.1.1.2和公网地址2.2.2.2)。

  6. Spoke1收到NHRP地址解析应答报文后,从应答报文中提取Spoke2的子网地址和公网地址,更新到自己的NHRP映射表中(见图3中的红色字体),Spoke1与Spoke2之间的动态mGRE隧道随即建立。

    当Spoke1再次收到其下用户发送给Spoke2的数据报文时,Spoke1根据报文目的地址(192.168.2.0)查找NHRP映射表,找到Spoke2的公网地址2.2.2.2,即可根据公网地址2.2.2.2将此报文进行mGRE封装后直接发送给Spoke2,不再经过总部Hub。

当Spoke2下的用户首次访问Spoke1下的用户时,也将触发Spoke2与Spoke1之间建立动态mGRE隧道,其过程类似Spoke1。

想要更多网工专业学习资料,可直接找我领取。(文末领取)

网工学习资源包领取

视频课程(部分示意)

实验拓扑(部分示意)

如果需要系统深入的学习网工知识

↓ 可点赞+关注后通过下列方式领取资料↓

(没有领取门槛,主要是一个个发邮件太麻烦了)

网工鹏哥
关注
  • 29
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为HCIE-Security面试培训视频教程【共36集】.rar
10-17
目录: 网盘文件 永久链接 00.华为安全HCIE面试辅导导论 01.防火墙转发流程上 ...25.DSVPN 26.L2TP 27.SACG 32.反病毒和入侵检测 33.URL过滤 34.NIP部署模式 35.带宽100M 36.带宽策略优化
DSVNP基础原理
热门推荐
曹世宏的博客
09-16 1万+
GRE over IPSec的缺陷 GRE over IPSec的缺陷: 图:企业典型的Hub-Spoke组网(配置DSVNP之前) 如上图,如果一个公司又很多分支站点,采用GRE over IPSec的话会存在如下缺点: IPSec隧道集中在Hub点,所有流量都穿越Hub点。 所有流量通过总部封装和解封装时,会引入额外的网络延时。 每增加一个新的Sopke点,Hub点都必须被配置。 若Spo...
华为DSxxx原理+实验
weixin_45123715的博客
08-02 1001
动态智能VPN(Dynamic Smart Virtual Private Network),简称DSVPN,是一种在Hub-Spoke组网方式下为公网地址动态变化的分支之间建立VPN隧道的解决方案。 加强企业的通信安全、降低通信成本。当企业总部采用静态的公网地址接入Internet,分支机构采用动态的公网地址接入Internet时,使用传统的IPSec、GRE over IPSec等技术构建VPN网络将存在一个问题,即分支之间无法直接通信(源分支无法获取目的分支公网地址,也就无法在分支之间直接建立隧道),
DSVNP原理以及相关配置
qq_43710889的博客
03-04 2932
DSVPN简介 动态智能VPN(Dynamic Smart Virtual Private Network),是一种在HUB-SPOKE组网方式下为公网地址动态变化的分支之间建立VPN隧道的解决方案。 背景 越来越多的企业希望建立Hub-Spoke方式的IPSec VPN网络将企业总部(Hub)与地理位置不同的多个分支(Spoke)相连,从而加强企业的通信安全、降低通信成本。当企业总部采用静态的公网地址接入Internet,分支机构采用动态的公网地址接入Internet时,使用传统的IPSec、GRE ov
三、IPSec VPN原理
u012451051的博客
11-03 974
由于IP协议未考虑安全性,而且Internet上有大量的不可靠用户和网络设备,所以用户业务数据要穿越这些未知网络,根本无法保证数据的安全性,数据易被伪造、篡改或窃取。因此,迫切需要一种兼容IP协议的通用的网络安全方案。为了解决上述问题,IPSec(Internet Protocol Security)应运而生。IPSec是对IP的安全性补充,其工作在IP层,为IP网络通信提供透明的安全服务。定义PSec是一组开放的网络安全协议。
华为路由器 为新到货设备申请并激活License文件 操作指导
03-30
对于未预激活License的设备,华为技术支持工程师需要根据合同订单到华为ESDP网站 下载License,然后上传设备并激活。
配置IPSec保护的DSVNP示例.zip
03-04
ENSP配置IPSec保护的DSVNP示例
配置非shortcut方式DSVNP示例(OSPF路由协议).zip
03-04
ENSP配置非shortcut方式DSVNP示例(OSPF路由协议)
华为HCIE-Security培训视频教程【共32集】.rar
09-26
IE_1_上午_考试介绍、防火墙基本概念 IE_1_下午_防火墙WEB界面、安全策略、ASPF IE_2_下午_报文转发流程 IE_3_上午_源NAT IE_3_下午_目的NAT IE_4_上午_SLB、出口选路 IE_4_下午_智能DNS、防火墙高可用 IE_5_...
计算机网络
最新发布
zengkui198513的博客
05-15 179
上面的每一个问题是每一层都必须面对的也都必须要解决的。每一层而且必须要覆盖上面的信息!
ipv4手动设置网络的相关知识
m0_57692904的博客
05-10 276
作用:告诉计算机哪些是网络号,哪些是主机号。组合表示方式:192.168.1.1/(又称:主机号和网络号组成)2.家庭网络基础组成。
信息安全技术-分析题【太原理工大学】
goldfish8848的博客
05-10 4116
太原理工网安方向-信息安全技术-大题,老师没有明说考什么,本文属于个人猜测
CPU占用率过高排查
Tony_long7483的博客
05-14 439
如果有人伪造TC-BPDU报文恶意攻击,设备短时间内会收到很多TC-BPDU报文,频繁的删除操作会导致CPU占用率比较高。·如果设备已经配置了loop-detect eth-loop alarm-only,但是没有看到告警,检查设备是否产生海量日志,某些异常情况下如受到攻击、运行中发生了错误、端口频繁Up/Down等,设备会不停打印诊断信息或日志信息。· CPU占用率高是设备本身的一种现象,直观表现为display cpu-usage命令查询结果中整机CPU占用率“CPU usage”偏高,如超过70%。
netstat协议
lovemelovefish的博客
05-15 146
本机各端口的网络连接情况。
以太网网络变压器型号
Hqst88888的博客
05-10 296
额定电流:表示变压器的额定输入和输出电流,通常以毫安(mA)为单位。额定电压:表示变压器的额定输入和输出电压,通常以伏特(V)为单位。额定功率:表示变压器的额定输入和输出功率,通常以瓦特(W)为单位。外形尺寸:表示变压器的外形尺寸,通常以长、宽、高(mm)为单位。环境温度:表示变压器的工作环境温度,通常以摄氏度(℃)为单位。端子类型:表示变压器的端子类型,通常有SMD、THT等类型。绝缘等级:表示变压器的绝缘等级,通常以等级符号表示。0℃~+70℃表示工作环境温度范围为0℃至+70℃;
DHCP原理
2401_83330816的博客
05-11 551
DHCP (Dynamic Host Configuration Protocol,动态主机配置协议)是由Internet工作任务小组设计开发的,专门用于为TCP/IP网络中的计算机自动分配TCP/IP参数的协议,是一个应用层协议,使用UDP的67和68端口。DHCP的前身是BOOTP协议(BootstrapProtocol),BOOTP被创建出来为连接到网络中的设备自动分配地址,后来被DHCP取代了,DHCP比BOOTP更加复杂,功能更强大。
Frp0.5版本新特性
Anakki的博客
05-10 1021
在未来的版本中,我们将将该参数的默认值设置为 true,以避免不良的配置。更改命令行启动访问者的方式,从 `frpc stcp --role=visitor xxx` 到 `frpc stcp visitor xxx`。总之,TCPMUX是一种协议,它使得在单个TCP连接上进行高性能和可扩展通信变得可能,这对需要高性能和可扩展的应用程序,如FRPS非常有用。为加强安全性,设置了 `tls_enable` 和 `disable_custom_tls_first_byte` 的默认值为 true。
软件设计师笔记(二)-零碎要点
zalebool的专栏
05-10 468
本文内容来自笔者学习zst 留下的笔记,都是零碎的要点,查缺补漏,希望大家都能通过,记得加上免费的关注!
建两条AH+ESP隧道
08-19
- *1* [VPN、IPSEC、AH、ESP、IKE、DSVPN](https://blog.csdn.net/xiaooxiangg/article/details/130113384)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值