AR28/AR46系列路由器DVPN的技术特点

AR28/AR46系列路由器DVPN的技术特点

 

1、穿越NAT网关技术

DVPN支持UDP方式建立隧道，这种方式是华为公司提出的专利方式，使用这种技术建立隧道的最大好处就是能够自然穿越NAT网关。传统的GRE方式建立隧道，它的封装方式比较简单，如果需要通过NAT网关，那么就必须要一个公网地址对应一个私网地址来解决，就需要大量的公网IP地址，这是GRE不能够应用于防火墙内的主要原因。DVPN采用UDP方式建立隧道就完全避免了这种问题的发生，当路由器作为Client并且使用了一个私网IP地址，那么路由器建立UDP隧道的时候就会使用一个指定的UDP端口号，当隧道通过防火墙的时候就会转换为对应的公网IP地址和相应的端口号，从外部来的数据通过隧道又会把公网IP地址和端口号转换为私网IP地址和UDP端口号，从而完成数据的穿越NAT网关。

随着Internet网络的发展，IP地址也变得越来越缺乏，因此当前许多ISP提供给用户的时候使用的是私网IP地址，用户和外部进行通讯的时候需要经过NAT网关，NAT网关的应用会给用户的业务带来一定的影响，比如不能够采用GRE方式建立隧道等。DVPN提供的UDP隧道方式就可以自然解决私网IP地址通过NAT网关和其他DVPN设备建立VPN网络。

2、动态IP地址构建VPN技术

传统的GRE方式建立隧道就必须知道对端设备的IP地址，这样的话建立N台设备的全连接就需要建立N×(N-1) / 2个连接，并且这些连接建立都依赖于固定的IP地址，一旦有一个设备IP地址更换，那其他N-1台设备就全部都需要更改配置；同时由于传统的GRE隧道建立必须知道对方的IP地址，这样就使得动态IP地址的设备就无法正常建链。

现在的宽带不断的推广应用，如果中小企业使用xDSL或者以太网接入方式的话要比以前专线方式接入节省大量的线路租用费用，但是一般的xDSL接入或者以太网接入使用的是动态的IP地址，这样就出现了一个问题，如何使用动态的IP地址来建立企业自己的VPN网络？显然传统的VPN构建方式已经满足不了现在的应用了，为此华为公司推出了适合动态IP地址构建企业VPN的DVPN技术。作为Client的DVPN设备只需要配置自己的信息并指定相应的DVPN server就可以了，剩下的所有事情交给DVPN自动完成。所以使用DVPN时Client只需配置一次，不需要知道其他Client路由器的任何信息，也不需要关心其他Client设备的信息，就可以建立独立的会话通道进行互相通讯；同时用户也不用关心自己当前使用的IP地址是多少，更加适应现在动态IP地址的使用方式。

为了能够让用户使用更加方便、为了让更多的用户能够享受华为动态VPN的有点、同时也为了用户降低组网成本，华为公司将在不久的将来推出基于PC的客户端软件，这样用户能够在外出时只需通过PC进行ADSL或者普通拨号方式就能够和公司的其他用户进行连接。

3、自动建立隧道技术

使用传统GRE方式构建VPN，如果有N台路由器需要建立一个全联通的网络的话就需要在每台路由器上创建N-1个Tunnel接口，使每个Tunnel接口对应一台对端设备，并且需要配置N-1个对端地址，整个网络一共需要配置N×(N-1)个Tunnel接口，这个工作量对于一个中型网络来说简直就是不可想象的工作量。不光如此，每当更改一台设备的IP地址时，其他N-1个设备都需要重新更改配置，这样给维护带来了很大的成本，并且也容易导致人为的错误。同样对于L2tp和IPSec也存在配置问题，任何的一个隧道都需要在隧道两端进行相应得配置。

在大型的网络维护中，人为操作可能会给整个通讯网络带来一定的风险，我们就需要一种简单的配置、一种自动方式来维护VPN网络的正常运行。

DVPN在两个路由器之间建立会话隧道完全是自动建立的，每台作为Client的路由器只需配置自己相关的内容，例如本地的IP地址、所属的VPN和需要接入的DVPN server信息等；而不需要知道其他Client端的任何信息，就可以加入到DVPN域中，可以和所有的加入到相同DVPN域的Client设备自动建立会话隧道，进行数据通讯。在这种方式下会比传统的 VPN 隧道方式减少大部分的维护工作量，如果是N台路由器构建VPN网络的话，只需配置N台设备自己的信息就可以了，要比传统的方式减少N×(N-2)的工作量，也在很大程度上减少了人为错误的发生。

隧道的自动建立特性依赖于DVPN Server的重定向功能（Redirect）,Client不会发送重定向报文。DVPN server在进行数据转发时，如果转发的数据是从DVPN域中的一个Client发送到另外一个Client，DVPN server会判断在两个Client是否可以建立Session会话通道，如果可以建立则向报文的发起Client发送重定向报文。同时DVPN server会纪录已经发送重定向报文的两个Client的信息，保证在一定的时间内不会连续的发送相同的重定向报文。

Client接收到DVPN server发送的重定向报文，在报文中可以得到目的Client的信息，发起Session建立请求，最终自动的建立Session会话通道。

4、DVPN的身份认证

在构建VPN网络的时候，作为VPN连接设备的合法性在各种传统的VPN中都没有特别好的得到解决。例如GRE协议只是通过GRE的两端是否配置相同的Key确定身份的合法性；IPSec在使用IKE协商密钥时可以使用preshared-key验证对端的身份；L2TP协议LNS会使用AAA对用户的身份进行验证，但是用户没有办法判断接入的LNS是否合法。

DVPN考虑了目前的传统VPN的身份验证方式，提出了DVPN的身份验证机制，DVPN server使用AAA对Client进行身份认证、Client使用preshared-key对DVPN server进行身份认证。

DVPN server设备通过AAA对需要加入到VPN域的Client设备进行身份验证，也就是Client设备要想加入到某个特定的VPN域内，在本端配置用户名（包括域名）和密码（VPNID可选），DVPN server把这些信息转发各AAA服务器，AAA通过验证并返回此用户的VPNID（如果用户配置了VPNID,则这两个VPNID要相同，否则验证不过），DVPN server根据此VPNID把client设备加入到相应的DVPN域中，这样Client设备才能够接入到VPN网络。这样保证了非授权用户非法登录和人为的破坏，保证了VPN的内部网络的安全。

Client设备可以使用preshared-key方式对需要接入的DVPN server设备进行身份认证。在Client向DVPN server进行注册过程中，Client可以根据配置需要对DVPN server的身份使用preshared-key进行验证，保证Client接入一个合法的DVPN server。

5、控制报文的加密保护

DVPN的控制报文都进行数据加密保护处理、HASH验证处理，保证了Dvpn协商的控制报文的合法性和安全性。

算法协商和密钥协商（使用通用的非对称算法协商加密密钥和验证密钥）过程不需要进行数据加密保护。对于其他的注册报文，例如身份认证、Client的注册信息、DVPN server下发的策略信息等都进行加密保护，注册过程不支持不加密保护处理。注册过程支持通用的加密算法（DES、3DES、AES）和验证算法（MD5、SHA1）。

Session会话的协商报文可以根据DVPN server指定的算法套件对协商报文进行加密保护。DVPN域中所有的Session使用的加密算法和验证算法统一由DVPN server下发的策略的算法套件确定。对于会话协商可以使用 NONE 算法套件，不对会话控制报文进行加密保护处理。会话的控制报文支持通用的加密算法（DES、3DES、AES）和验证算法（MD5、SHA1）。

6、数据报文的IPSec保护

DVPN数据转发过程中，使用了IPSec数据报文进行安全保护，保证DVPN的网络数据的安全性。DVPN在使用IPSec进行数据处理过程中，对IPSec协议应用没有进行任何的改动，只是通过DVPN为每一个Session协商相应得IPSec SA。DVPN在数据发送过程中，继承了IPSec的所有的特点（安全性、合法性、防重放等），对IPSec的所有的安全考虑没有任何的弱化。

Session的IPSec SA的算法在DVPN域中统一由DVPN server确定，在Client注册成功后DVPN server会将IPSec使用的算法发布给Client。Dvpn在进行会话协商时，会对指定的 IPSec 的算法套件进行确认，同时对于每一个会话协商出密钥完全独立的IPSec SA，对于通过该Session的数据使用该IPSec SA进行数据保护。

DVPN接口上通过Session进行数据转发时，会根据接口设置得Acl判断报文是否需要进行IPSec加密处理，如果需要进行IPSec加密处理，则通过IPSec进行报文处理再通过Dvpn进行封装转发，否则直接进行封装发送。

DVPN也支持IPSec SA超时重新协商功能，目前只支持时间超时处理。

7、支持多个VPN域

作为Dvpn server的Dvpn设备最多可以提供给200个不同的Vpn域。域与域之间是以VPNID来标识的，不同域中的client设备不能相互访问。Client设备在向DVPN server注册过程中时，必须携带自己所属的VPNID，DVPN server转给AAA服务器验证后，client才能成功注册。在实际的组网应用中，不需要为每一个VPN域提供一台DVPN server设备，大大降低了网络的投资成本，同时简化了网络的规划和维护工作。

由于在Dvpn完成私网互联时，各个私网的互通都需要使用路由完成，所以在各个Dvpn接入设备上需要支持相应的路由协议，目前的Dvpn支持OSPF动态路由。特别在Dvpn server上为了实现各个Dvpn之间的网络隔离，使用OSPF的VRF多实例来隔离不同的dvpn私有网络路由。

多个Vpn域不仅局限于两层结构，还可以组成多层域。DVPN server设备可以做为client端向上一级DVPN server注册，原来属于不同域的DVPN server之间建立了Dvpn session，这样原来两个不同域中client设备就可以通过session互相连通。