[发明专利]在DMVPN中实现互联网任意两端安全通信的方法

说明书

技术领域：

本发明涉及网络安全和数据通信技术领域，特别涉及一种在DMVPN (Dynamic Multipoint VPN，动态多点虚拟专用网)中应用流量分割技术实现 互联网任意两端安全通信的方法。

背景技术：

目前，对于一些公司总部、分部、办事处分散在各地的企业而言，他们需 要一种安全的网络将其互联使得任意两点间均可以通信。最初的解决方案是租 用一些昂贵的二层接入方法(如ISDN等)。但像比较而言，一种更加廉价、 灵活的通信方式是使用Internet接入并且通过IPSEC加密来保证安全性。

IPSEC(Security Architecture for IP network)是点对点的加密隧道。总部 与分部任意的点到点的加密隧道组成的网络是一种网状结构。在实际应用中主 要的通信流量集中在分部(spoke)与中心(hub)的通信，这样的网络结构成 为星型网络(hub-to-spoke)。但是也不排除分部与分部间的通信 (spoke-to-spoke)。所以实际的网络设计中采用的是星型的网络，如果分部间 要通信也会通过中心来作为一个中转。

在实际的使用中，如果仅仅使用IPSEC的加密隧道存在许多不利因素。由 于使用的是IPSEC来加密，所以分部间通信的加密包在通过中心转发时又要经 历一个解密重新加密的过程，这样对于中心服务器增加了额外的负担。同时中 心服务器要和每个分部均建立一个隧道，这样使用GRE的话就要建立多个通 信端口，而这些通信端口有使用的是相同的加密算法，所以造成中心服务器无 论在配置还是维护上非常繁琐。

这样需要一种更加高效的解决方案用于解决下述的几个问题：

1.中心服务器要易于维护。由于每个隧道的加密方式等均一样，所以考 虑使用一种点对多点的隧道。这样配置上只需要配置一个通信端口即可，同时 在该端口和所有其他点的通信中使用统一的加密算法。这个可以通过mGRE 来解决。

2.对于分部和中心的通信，分部只需要知道中心的地址即可。而分部间 的通信为了尽量减轻中心服务器的负担，可以考虑绕过服务器直接通信。可以 向中心服务器发出查询获得对端分部的地址，随后可以直接与对端分部通信。 这个可以通过使用NHRP协议(下一个节点路由协议)得到解决。

3.如果某个分部需要承受比较大的流量，则要考虑流量分割的问题。

发明内容：

鉴于上述应用需求和现有技术所存在的技术局限，本发明的目的是提供一 种在DMVPN中应用流量分割技术实现互联网任意两端安全通信的方法。该技术 方案在实际应用中能够提供企业在廉价的互联网中实现各个端点间的安全通 信。从而取代原来成本昂贵的二层接入(如ISDN等)，解决原来应用中的高 额租用费或者复杂的网络配置维护。

实现上述本发明方法所涉及的相关技术及其作用如下：

1.mGRE技术：在现有的点对点的GRE技术基础上提出mGRE的技术 是一种点对多点的技术。相对单点的GRE，mGRE无需知道对端的地 址，实际的通信中需使用NHRP协议来动态获取通信对端的地址。同 时与GRE一样mGRE也用于建立两个通信端点间的隧道。

2.NHRP技术：由于mGRE的对端是多个节点，需要在通信时确定到底 与哪个节点通信及对端的地址。所以本发明使用NHRP协议来实现这 一功能。

3.IPSEC技术：IPSEC主要保证在通信时的安全性。

利用上述三种主要技术的结合在DMVPN中所形成的流量分割技术，通过 以下本发明所描述的通信机制，可以使企业通过DMVPN实现总部与各个分部 之间，任意两点间的安全通信。

本发明方案中利用DMVPN在互联网中构建一个由中心及分部都采用 mGRE技术通信设备所组建的以星型结构为主，网状结构为辅的拓扑网络；该 网络中通过设置IPSEC保证通信安全；利用NHRP协议使分部间可以相互直 接通信；并且扩展NHRP协议，利用NHRP协议中的extension header，完成 流量分割。

具体步骤(参见图1)如下：

中心与分部间的通信(hub-to-spoke)：

(1)所有spoke使用NHRP协议封装报文向hub发送本地协议地址和NBMA 地址的绑定信息。