基于国密算法传输加密的动态智能VPN组网技术

摘要：我国的电子政务网络平台已建成，本文根据政府部门条线业务系统专网的建设需求，设计采用基于国密算法传输加密的动态智能VPN技术建立安全高效的业务专网。

关键词：DSVPN、mGRE、NHRP、国密加密算法SM1/SM2/SM3/SM4 、OSPF

动态智能VPN（Dynamic Smart Virtual Private Network），简称DSVPN，是一种在中心-分支组网方式下建立安全可靠VPN专网的解决方案。随着我国电子政务网络平台的日趋完善，部分政府条线业务单位希望依托电子政务网络平台将中心部门与地理位置不同的多个分支部门实现安全可靠条线专网连接，从而实现部门条线业务的互联互通和信息安全共享。

使用传统的IPSec、GRE over IPSec等技术构建VPN网络时，要求分支部门地址固定才能实现分支部门之间的通信，否则分支之间的通信数据只能由中心部门中转，这对于那些分支部门经常发生办公地址变化的，会带来额外的网络调整和维护量，并对网络的可靠运行带来的一定的影响；另外，当VPN网络规模不断扩展时，为减少路由配置和维护，需要部署动态路由协议，但IPSec和动态路由协议之间存在一个基础问题，动态路由协议依赖于组播报文或广播报文进行路由更新，而IPSec不支持广播协议报文和组播协议报文的传输。

本文从动态智能VPN组网、VPN传输加密保护、VPN可靠性、VPN路由协议等方面设计动态智能VPN组网技术方案。

1、动态智能VPN组网

动态智能VPN网络中，当源分支部门需要向目的分支部门发送数据报文时，源分支将通过与中心之间的静态mGRE隧道交互NHRP协议获取目分支的政务网地址，并与目的分支建立动态mGRE隧道。隧道建立完成后，分支与分支之间的数据报文将通过动态mGRE隧道直接发送给对方，不再经过中心中转。

动态智能VPN采用下一跳解析协议NHRP（Next Hop Resolution Protocol）、mGRE（multipoint Generic Routing Encapsulation）与IPSec相结合的技术。

NHRP即下一跳地址解析协议，在动态智能VPN网络中，NHRP协议的作用是建立和解析Protocol地址（即图1中的隧道地址或子网地址）到NBMA（Non-Broadcast Multiple Access）地址（即图1中的政务网地址）的映射关系，通过映射和解析，源分支部门能够获取目的分支部门的网络地址。

动态智能VPN通过NHRP协议动态收集、维护和发布各分支部门的地址等信息，可在分支与分支部门之间建立动态VPN隧道，实现分支与分支部门间的直接通信，进而减轻中心的负担、避免网络延时。

mGRE是在GRE（Generic Routing Encapsulation）基础上发展而来点到多点GRE技术，将传统GRE隧道点到点（P2P）类型的Tunnel接口扩展成了点到多点（P2MP）类型的mGRE隧道接口。通过改变接口类型，中心只需配置一个Tunnel接口便可与多个对端建立隧道，极大的减少了配置GRE隧道的工作量。

动态智能VPN利用mGRE技术，使VPN隧道能够传输组播协议报文和广播协议报文，并且一个Tunnel接口可与多个对端建立VPN隧道，减少了配置VPN隧道的工作量；在新增分支或分支地址发生变化时，也能自动维护中心与分支部门之间的隧道关系，而不用调整中心的隧道配置，使得网络维护变得更智能化。

动态智能VPN利用mGRE结合NHRP来建立分支部门之间的隧道，与GRE不同，mGRE建立隧道时不需要定义隧道目的地址，而是依赖NHRP告诉它。NHRP与mGRE结合建立网络隧道的基本原理是：当设备转发一个IP报文时，根据路由表将IP报文传给下一跳的出接口mGRE隧道接口，mGRE在NHRP映射表中查找获取下一跳地址映射的对端政务网地址；然后mGRE封装IP报文，加上新IP头，目的地址就是对端的政务网地址，这样IP报文就能发向隧道对端，隧道即可建立。

由上述可见，NHRP映射表和路由表是mGRE与NHRP结合建立隧道的重要依据。如果一端分支部门有对端分支部门隧道地址/子网地址与网络地址的NHRP映射、有到对端分支部门的路由，那么分支部门间就可建立mGRE隧道。而动态智能VPN网络开始时，分支部门只有一个静态配置的NHRP映射表（中心隧道地址与政务网地址的映射），也只有到中心的路由。因此，分支部门间无法直接建立隧道，只能先借助中心学习到彼此的路由、生成彼此隧道地址/子网地址与网络地址的NHRP映射。

2、VPN传输加密保护

动态智能VPN 通过mGRE隧道传输数据，但mGRE隧道不对数据加密，无法保障政府部门条线业务专网数据传输安全性，为此需要在部署动态智能VPN的同时部署IPSec保护，实现部门间通信数据能够得到安全传输。在设计上通过采用支持高强度的国密SM1/SM2/SM3/SM4加密算法的密码设备，结合信息加/解密、身份认证、防火墙、流量保护和控制、安全规则管理、日志记录审计等功能，为动态智能VPN提供可靠安全的网络安全功能。

3、VPN可靠性

动态智能VPN组网中，如果中心设备出现故障，将无法建立隧道进行直接通信，通过部署双中心主备备份，可以提升动态智能VPN网络的可靠性；如图2所示，中心部署了两套设备主用R和备用R。通过部署路由策略，使得各分支到R1的路由优先级高于到R2的路由优先级，因而正常情况下，主用R为主用，备用R为备用。

动态智能VPN双主备备份的工作机制如下：

所有分支同时向主用R和备用R注册，并分别与主用R建立主用静态mGRE隧道、与备用R建立备用静态mGRE隧道。当分支部门间需要建立动态mGRE隧道时，源分支向中心发送NHRP地址解析请求报文；在主用R和备用R都运行正常的情况下，根据路由策略，分支到主用R的路由优先级较高，NHRP地址解析请求报文将沿主用静态mGRE隧道发送到主用R，由主用R将此解析报文转发至目的分支。当主用R出现故障时，分支到主用R的路由优先级降低，NHRP地址解析请求报文沿备用静态mGRE隧道发送到备用R，由备用R将此解析报文转发至目的分支。

当主用R故障恢复后，各分支到主用R的路由优先级又重新高于到备用R的路由优先级，NHRP地址解析请求报文重新交由主用R转发。目的分支向源分支回应NHRP地址解析响应报文，动态mGRE隧道建立。动态mGRE隧道建立后，分支部门间可直接进行通信。此时，中心设备运行正常与否不会对各分支间的业务流产生影响。如果分支部门之间的动态mGRE隧道由于长时间没有流量经过被拆除了，分支与分支部门之间通信时就需要重新建立动态mGRE隧道，分支会重新根据路由优先级判断向哪个中心发送NHRP地址解析请求报文。

另外，为了提升中心设备网络处理能力，可以选择将一部分分支部门注册到主用R下，另一部分支部门注册到备用R下，在主用R和备用R之间建立静态mGRE隧道，可实现流量的负载分担。

4、VPN路由协议

动态智能VPN支持两种分支间路由学习方式：

1）分支部门相互学习路由

采用这种方式时，源分支到目的分支子网的路由下一跳为目的分支的隧道地址，每个分支需要学习到所有对端的路由数据。这种情况下，分支网络设备会消耗大量的CPU和内存资源，对其路由表容量和性能有较高的要求，适用于网络节点较少、路由信息量小的中小型网络。

2）分支路由汇聚到中心

采用这种方式时，源分支到目的分支子网的路由下一跳为中心的隧道地址，Spoke只需存放到中心点的路由。由于分支网络设备减少了自身的路由数量，所以适用于那些网络规模大、分支较多的大型网络。

对于中心和分支部门的数量较大，内部子网多且环境经常出现变动的，为简化维护和管理，网络规划可选择部署OSPF（Open Shortest Path First）路由协议来实现分支/中心间的通信。OSPF是一个基于链路状态的内部网关协议，采用组播形式收发报文、支持对等价路由进行负载分担等优点：

（1）OSPF 适合在大范围的网络：OSPF 协议当中对于路由的跳数是没有限制的，所以 OSPF 协议能用在许多场合，同时也支持更加广泛的网络规模。

（2）组播触发式更新：OSPF 协议在收敛完成后，会以触发方式发送拓扑变化的信息给其他路由器，可以减少网络宽带的利用率；同时，可以减小干扰，特别是在使用组播网络结构，对外发出信息时，它对其他设备不构成其他影响。

（3）收敛速度快：如果网络结构出现改变，OSPF 协议的系统会以最快的速度发出新的报文，从而使新的拓扑情况很快扩散到整个网络；而且OSPF 采用周期较短的 HELLO 报文来维护邻居状态。

（4）以开销作为度量值：OSPF 协议在设计时，考虑到了链路带宽对路由度量值的影响。OSPF 协议是以开销值作为标准，而链路开销和链路带宽，正好形成了反比的关系，带宽越是高，开销就会越小，OSPF 选路主要基于带宽因素。

（5）OSPF 协议避免路由环路：在使用最短路径的算法下，收到路由中的链路状态，然后生成路径，这样不会产生环路。

在采用OSPF 协议时，可以根据网络的规模和物理区域情况对OSPF 划分区域，目的就是在于控制链路状态信息LSA 泛洪的范围、减小链路状态数据库的大小、改善网络的可扩展性、达到快速地收敛。

总结：

本文分析了采用基于国密算法传输加密的动态智能VPN技术在电子政务网络平台上构建智能安全高效的业务专网；该技术方案主要有以下有优点：

1、降低VPN网络构建和维护成本

智能VPN实现分支和中心以及分支之间的智能动态全连接，中心和分支上配置的Tunnel接口从多个点对点GRE隧道接口变更为一个mGRE隧道接口，降低了网络构建和维护成本。

2、提升VPN网络的数据传输性能

由于分支部门间可以动态构建隧道，业务数据可以直接转发，不用再经过中心，减少了数据转发的延迟，提升了转发性能和效率。

3、实现VPN网络的全面安全防护

采用支持国密SM1/SM2/SM3/SM4加密算法的密码设备，从认证、传输加密、访问控制、安全审计建立多层次的安全防护机制。