Cisco和H3C的两种不同动态***解决方案

        经常见到有读者问：***客户端如果是动态WAN接入的，可以实现***连接吗？还有如何配在***中配置NAT穿越？前者的答案当然是肯定的，不仅***客户端可以是动态接入的，而且在LAN到LAN的***互联方案中，分支机构的***接入路由器都可以采用动态WAN接入方案。那就是我们通常所说的动态VPAN解决方案。

       虽然都是动态***解决方案，但是Cisco和华为/H3C有着不同的具体实现方案，在Cisco中称之为DM***（Dynamic Multipoint Virtual Private Network，动态多点***），华为/H3C则称之为D***（Dynamic Virtual Private Network，动态***）。两个动态***方案中都用到NAT穿越技术。本文就要先让大家初步了解这两种动态***方案的基础知识，详细的工作原理和配置方法可以分别参见《路由器配置与管理完全手册——Cisco篇》和《路由器配置与管理完全手册——H3C篇》图书。

 一、Cisco DM***基础

       DM***（Dynamic Multipoint ***，动态多点***）功能允许你通过组合GRE（Generic Routing Encapsulation，通用路由封装）隧道、IPSec加密和下一跳解析协议（Next Hop Resolution Protocol，NHRP）更好地灵活部署大型和小型IPSec ***。理解DM***的关键就是“动态”和“多点”这两个词上。动态是指它可以动态地识别隧道中spoke路由器的即时IP地 ，而“多点”是指各spoke路由器可以在一个mGRE（多点GRE）隧道中建立多条直接与其他spoke路由器之间的隧道，而无需要单独为各条隧道进行一一配置。DM***特性建立在思科IPsec和专业路由技术的基础之上，允许动态地配置通用路由封装（GRE）通道、IPsec加密、下行解析协议（NHRP）、开放最短路径优先协议（OSPF）和增强内部网关路由协议（EIGRP）。

       【说明】在Cisco DM***中，涉及到了许多关键技术，如mGRE（多点GRE）、IPSec配置文件（IPsec Profiles）、NHRP（下一跳解析协议）、VRF与DM***集成、NAT-T感知（NAT-Transparency Aware）、呼叫许可控制（Call Admission Control）等。

 1. DM***的主要优势

     我们知道，***的实现方案有许多种，它相对其他***方案来说有哪些突出的优势呢？这是我们在使用DM***前所必须了解的。 总体来说，部署DM***可以得到以下几个方面的好处：

中心路由器配置减少

     在DM***中的Cisco hub（中心）路由器上会为每个spoke（分支）路由器都配备了一个独立的配置线路模块，用于定义加密映射特性、加密访问列表和GRE隧道接口。这种功能允许用户在中心路由器上配置单个mGRE（多点GRE）隧道接口、单个IPSec配置文件，无需加密访问列表来处理所有spoke路由器。这样，在中心路由器上的配置大小就可以保持稳定，即使有新的spoke路由器添加到网络中。

     另外，在DM***架构中可以组合许多spoke路由器连接到单个mGRE接口上，免除了在本地IPsec安装中为每个spoke路由器配备特定的物理或者逻辑接口的需求。

自动IPSec加密启动

    GRE有配置或者通过NHRP协议解析的peer源和目的地址。这一功能允许IPSec为点对点GRE隧道，或者当GRE隧道Peer地址通过mGRE隧道中的NHRP协议得到解析时，立即启动加密。

支持动态地址spoke路由器

    当使用点对点GRE和IPSec hub-and-spoke（星形）结构***网络时，在配置hub路由器时，spoke路由器的物理接口IP地址必须知道，因为spkoe路由器的这个IP地址必须配置作为GRE隧道目的地址。而在DM***中，hub路由器就可以就可以动态识别spoke路由器的这个IP地址。这就允许spoke路由器可以有动态物理接口IP地址（如通过虚拟的DSL或者Cable宽带连接），而其他***，则路由器接口IP地址必须是静态的。当spoke路由器在线后，它将发送注册包到hub路由器，在这个注册包内包含的就是这个spoke路由器当前的物理接口IP地址。这就有点像DDNS（动态DNS）服务一样，能够动态识别出路由器接口当前IP地址，解决了许多中小型企业用户的实际困难，因为在这类企业用户中，许多仍是采用动态宽带接入的，只有动态分配的公网IP地址。

  分支到分支（Spoke-to-Spoke）隧道的动态建立

    这一功能就免除了为直接隧道（也就是隧道两端直接连接两个路由器，无需经过中间路由器）而做的spoke-to-spoke配置需求。当一个spoke路由器想要传输一个包到另一个spoke路由器，它可以使用NHRP协议动态确定到达目标spoke路由器所需的目的地址（此时hub路由器是作为NHRP服务器的，处理源spoke路由器的请求）。这两个spoke路由器就会在它们之间动态建立一个IPSec隧道，这样就可以直接传输数据了。

  与VRF集成的DM***

    DM***可以被用于扩展由服务提供商部署的MPLS（Multiprotocol Label Switching，多协议标签交换）网络，以利用hub和spoke路由器简易配置的优势，提供动态地址客户前端设备（Customer Pemises Euipment，CPE），可以在零准备的情况下加入新的分支路由器到DM***中。

 2. DM***功能设计

    DM***结合GRE隧道、IPSec加密和NHRP路由，为用户提供一个通过加密配置文件的简易配置，免除了定义静态加密映射和隧道端点动态发现的需求。DM***的以上功能依赖于以下两个Cisco增强标准技术：

  NHRP——是一个客户端和服务器协议，hub（中心）是服务器，spoke（分支）是客户端。Hub维护一个每个spoke公共接口地址的NHRP数据库，每个spoke在启动和在NHRP数据库中查询目的spoke的真实地址，以建立直接隧道时，注册它自己真实的地址。

mGRE隧道接口——允许一个GRE接口支持多个IPSec隧道，以简化配置的复杂性和减小配置文件的大小。

    图1中显示的是一个简单的mGRE和IPSec集成拓扑结构。在这个拓扑结构中，每个spoke有一个到达hub的永久IPSec隧道，但与网络中其他spoke之间没有永久IPSec隧道。每个spoke注册作为NHRP服务器的客户端。

    当一个spoke需要发送一个包到其他spkoe所连私有子网时，它查询NHRP服务器以得到目标spoke当时外部的实际公网IP地址（可以是静态的，也可以是动态的）。 在发起查询的spoke学习到了目标spoke外部当时实际的公网IP地址时，它可以初始化一条到达目标spoke的动态IPSec隧道。spoke-to-spoke IPSec隧道是通过多点GRE接口建立的。在两个spoke之间有通信需求时，就会建立spoke-to-spoke链路。随后，数据包就可以绕过hub和直接使用这条spoke-to-spoke隧道进行spoke之间的数据传输了。

     【注意】当路由器的非活动spoke-to-spoke达到一定数量后，路由器将拆下这些隧道，以节省资源。

图1 一个简单的mGRE和IPSec集成拓扑示例

二、H3C D***基础

    现在越来越多的企业希望利用公共网络组建***（Virtual Private Network，虚拟私有网络），连接地理位置不同的多个分支机构。然而，企业分支机构通常采用动态地址接入方式（如PPPoE ADSL）接入公共网络，通信一方无法事先知道对端的公网地址，这就为组建***提出了一个难题。 在现有的***组网方案中，一般采用GRE隧道、L2TP、IPSec以及MPLS等方式。除了MPLS主要应用在主干转发层之外，其他三种方式在普遍应用于网络的接入层。但是目前的这些方案都存在一个弊端，就是必须是按照事先的配置信息（如公网IP地址）进行组网，并且在进行一个全互联网络的***配置时，结构和配置就变得复杂。由于要建立一对一的连接，所以当有 N 个网络设备进行互联时，网络的就必须建立N×(N－1) / 2个连接，这样不仅造成了组网和配置的复杂，而且配置时必须知道对端设备的基本信息，这给维护造成了很大的成本。另外GRE无法穿透NAT网关；GRE无法适用于动态IP设备建立***；L2tp和GRE没有提供对传输的数据的加密保护；IPSec在动态路由的支持存在一定的问题等等。

   H3C的D***（Dynamic Virtual Private Network，动态虚拟私有网络）是一种动态虚拟专用网技术，可通过动态获取对端的信息建立***连接。它是通过VAM（*** Address Management，***地址管理）协议收集、维护和分发动态变化的公网地址等信息，解决了无法事先获得通信对端公网地址的问题。D***可以在企业网各分支机构使用动态地址接入公网的情况下，在各分支机构间建立***。这也就是我们在《路由器配置与管理完全手册——Cisco篇》中所介绍的Cisco DM***（动态多点***），但两者的实现方式不一样。在Cisco DM***中，是依靠多点GRE（mGRE）和下一跳解析协议（NHRP）与IPSec相结合实现的，而H3C的D***则主要依靠VAM协议来实现的。

 1.  D***的基本概念

    D***提供了一种灵活的建立***的方式。它能够在动态获得IP地址的设备之间自动创建、维护隧道，能够实现接入到***域的所有接入设备能够互相访问。同时D***提供了身份认证、控制报文加密保护、数据报文的IPSec保护，从而实现***内部的数据能够安全地在公网上传输。 D***把连接到公网上的各节点组成的网络看作***网络，公网作为***网络的链路层，D***隧道作为企业内部子网之间的虚拟通道，相当于网络层。企业各分支设备动态接入到公网中，其公网地址对于通信的另一端来说是未知的，而对于建立端到端的安全隧道，公网地址是必须的条件之一，在D***中可通过VAM获取通信对端的公网地址。

    VAM协议是D***方案的主要协议，负责收集、维护、分发公网地址等信息，帮助用户快捷、方便的建立起内部的安全隧道。企业内部子网之间转发的数据报文通过路由协议得到其私网下一跳，通过VAM协议查询到私网下一跳对应的公网地址，并利用该公网地址做为隧道的目的地址进行封装，最后交给已建立起的安全隧道发送到目的端用户。

  D***方案中有几个关键的角色：

D***节点

   D***节点为动态***隧道两端的设备，可以是网络设备或主机。D***节点参与隧道的建立，需要实现VAM的客户端功能。

 VAM服务器

  VAM服务器是D***节点的一种，是D***服务器。它接受D***节点向其注册信息的服务器，负责管理、维护各D***节点的信息。目前VAM服务器一般运行在较高性能的路由器设备上。

VAM客户端

   VAM客户端也是D***节点的一种，是D***客户端。它向VAM服务器注册自己的私网地址、公网地址、VAM标识等信息，向VAM服务器查询其它VAM客户端的信息。本章涉及到VAM客户端的地方，如果不是特别说明，是指对Hub和Spoke的统称。

Hub

   Hub是一种VAM客户端，是一个***网络的中心设备，是路由信息交换的中心。在Hub-Spoke结构（也有称星形结构）网络中，也是数据转发的中心。

Spoke

   Spoke也是一种VAM客户端，通常是企业分支机构的网关设备，该节点不会转发收到的其它D***节点的数据。

AAA服务器

  AAA（Authentication, Authorization and Accounting，认证、授权和计费）服务器，用于对用户进行认证和计费管理。

 2.  D***的基本网络结构

   D***通过动态获取对端的信息建立***连接。它提出了NBMA类型的隧道机制，使用Tunnel逻辑接口作为D***隧道的端点，完成D***报文的封装和发送；同时通过Tunnel接口完成私网路由的动态学习。D***采用了Client和Server的方式解决了传统***的缺陷，Client通过在Server注册，将Client自己的信息在Sever上进行保存，这样Client可以通过Server的重定向功能得到其它Client的信息，从而可以在Client之间建立独立的Session。多个D***接入设备通过向共同的Server进行注册，构建一个D***域，就实现了各个D***接入设备后面的网络的***互联。

  D***具有两种典型的组网结构：

  Full-Mesh（全互联）网络

    Full-Mesh是一种网络拓扑，其中每个节点到其他网络节点有物理的或虚拟的电路链接。这种结构的D***网络， Spoke之间可以建立隧道直接通信；Hub主要作为路由信息交换的中心。如图2所示，作为Spoke的VAM客户端节点在向VAM服务器注册后获得该***域中Hub的信息，并与Hub建立永久的隧道连接；任意的两个Spoke之间也可以直接建立隧道，但该隧道是动态的，当在一段规定时间（Spoke-Spoke隧道空闲超时时间）内没有数据报文交互时，则删除该隧道。

图2  Full-Mesh结构网络示例

Hub-Spoke网络

    Hub-Spoke是一种类似星形结构的网络拓扑结构，只有上级与下级之的链接，同级节点间没有直接或者虚拟的电路链接。在这种结构网络中，Spoke之间不能建立隧道直接通信，只能通过Hub转发数据；Hub即作为路由信息交换的中心，又作为数据转发的中心。如图3所示，Spoke与Hub建立永久的隧道连接，Spoke之间的数据通过Hub转发。

图3   Hub-Spoke结构网络示例

3. D***的主要特性

     D***不但结合了传统***的优点，而且解决了传统***的缺陷。配置简单、网络规划简单、功能强大，比传统的***更加符合目前以及未来的网络应用。其特点如下：

配置简单

  一个D***接入设备可以通过一个Tunnel逻辑接口和多个D***接入设备建立会话通道，而不用为每一个通道配置一个逻辑的接口作为隧道的端点，大大的简化了配置的复杂度，提高了网络的可维护性和易扩充性。

自由穿越NAT网关技术

   D***是采用UDP方式的 D***。由于使用了UDP报文进行封装，可以自由穿越NAT网关。解决内网D***接入设备和公网D***接入设备之间的***连接，使NAT网关内部的私有网络和NAT网关外部的私有网络共同构建一个虚拟私有网络。

支持依赖动态IP地址构建***

  当在一个D***域内部构建隧道时，只需要指定相应的Server的IP地址，并不关心自己当前使用的IP地址是多少，更加适应如普通拨号、xDSL拨号等使用动态IP地址的组网应用。

  支持自动建立隧道

  D***中的Server维护着一个D***域中所有接入设备的信息，D***域中的Client可以通过Server的重定向功能自动获得需要进行通信的其它Client的信息，并最终在两个Client之间自动建立会话隧道（Session）。作为Client的D***接入设备只需配置自己的相关信息和Server的信息，不需要知道其他Client的信息，极大地减少了网络的维护管理工作。

注册过程加密

   在Client向Server进行注册的过程中，需要先完成算法套件以及各种密钥钥地协商。使用协商出来的算法对注册过程中的关键信息（例如用户名、密码等）进行加密保护，还可以对注册的报文进行合法性检测，保证关键注册信息的安全性。

支持身份认证

  在Client向Server进行注册的过程中，Client可以根据配置需要对Server的身份使用pre-shared-key（预共享密钥）进行验证，保证Client接入一个合法的Server；同时Server可以根据需要使用AAA对需要接入到D***域的Client进行身份验证，保证只有通过身份验证的Client才可以接入到D***域。

策略统一管理

   在D*** Client在Server端注册成功后，Server会将D***域中的策略发布给该Client。策略主要包括会话协商使用的算法套件、会话的保活时间、会话的空闲超时时间、IPSec使用的加密验证算法、IPSec sa的重协商时间等。在整个D***域中，所有的Session会使用相同的策略。

支持会话协商过程的加密

   在Session协商过程中，所有的会话的控制报文都会使用Server发布的算法套件进行IPSec加密保护。即在建立Session的会话协商过程中，根据Server发布数据的加密验证算法，为Session的数据通信协商IPSec SA。协商过程使用DH（Diffie-Hellman）进行SA的密钥协商。对于需要通过该Session进行转发的数据，如果需要加密处理，则通过IPSec使用Session协商出来的IPSec SA对报文进行加密处理后，通过D***进行转发，实现了转发数据报文的安全性。Session的IPSec SA支持重协商功能，可以根据需要指定进行IPSec SA重协商的时间，进一步保证数据的安全性。

支持多个***域

   D***允许用户在一台D***设备上支持多个***域。即一台路由器不仅可以属于*** A，也可以属于*** B；同一设备可以在*** A中作为Client设备，同时还在*** B中作为Server设备使用。在同一台D***设备上最多可以支持200个D***域，可以同时作为200个D***域的Server设备。大大提高了组网的灵活性，也可以更加充分的使用网络设备资源，减少了用户的投资。在实际的组网中为了保证各个D***域之间的隔离，如果在同一台D***设备上支持多个D***域，需要通过私网路由来实现不同D***域的隔离。

支持动态路由

  D***可以对需要通过Tunnel接口发送的路由报文，通过所有的Session会话进行广播，从而实现整个D***域内的路由自动学习。实际应用中，D***配合动态路由协议，可以简化对需要接入到D***域的各个私有网络的规划，简化整个网络的配置，提高网络的维护性和自动化。