這裡以實作的方式講解並示範如何建立DMVPN(動態多點VPN),而為了避免明碼傳送時讓駭客有輕易假造封包的機會,還會進一步使用IPSec對資料的傳遞加以保護。
本文將介紹如何在多台路由器之間建立VPN連線,會使用之前文章介紹過的GRE家族中的NHRP協定來建立hub-and-spoke的動態VPN網路,同時結合IPSec將所傳輸的資料進行加密。
在此網路架構中,所有分點均能主動單獨與主點連立連線,但兩個分點間若要連線均須透過主點方能進行。如此一來,就能達成資料控管的目的,避免資料在未經授權的狀況下外流,或是因為分點的資安問題影響其他分點的正常運作。
表1 行前準備
測試架構說明
本次實作的測試架構圖如圖1所示,簡言之,目的是讓KH Office及TC Office可存取Main Office的網路資源,並且讓TC Office和KH Office彼此間也能共享網路資源。
 |
| ▲圖1 DMVPN網路架構圖。 |
這樣的架構稱為hub-and-spoke,所有的網路連線都須透過主點才能正常運作。經由Internet透過GRE Tunnel建立VPN連線,並且以IPSec進行加密,讓資料在存取過程中能夠進行加密,進而保護資料不被輕易破解。
圖2是hub and spoke架構的示意圖。Main Office指的是hub,TC&KH Office指的是spoke。可以想像hub and spoke的架構像一個輪軸。hub是軸心,spoke是每一根軸的終點。spoke的每一個點都必須透過hub才能抵達另一個spoke點。
 |
| ▲圖2 hub and spoke架構圖。 |
NHRP協定介紹
在此實作中,使用NHRP(Next Hop Resolution Protocol)來達成此次的需求。NHRP的主要功能有二:Address Mapping(地址映射)與Address Resolution(地址解析)。此協定可協助hub點取得各spoke點的實體IP位址與Tunnel Destination的IP位址,以便進行後續連線。
Main Office相關設定
在此架構中,主點及其他分點均使用固定IP,在實務上,若分點使用浮動IP亦是可行的。
以下為Main Office的設定。Interface FastEthernet0/0的IP是對外所使用的Public IP,並且設定預設路由往61.59.104.1送。
FastEthernet1/0的IP為LAN IP,是Main Office使用的Private IP網段。也是Main Office電腦及伺服器使用的預設閘道。
接著先做基礎設定,建立一個tunnel interface,並設定其IP為10.0.0.1。
接著在interface Tunnel0下,進行nhrp的相關設定。map指的是將IP轉換為NBMA位址。NBMA指的是A non-broadcast Multiple Access Network,在設定OSPF時常會使用到此觀念。
設定此map使用multicast,它的意思是在廣播或群播中使用此NBMA的mapping。最後的dynamic指的是在spoke點向hub點註冊時,動態地學習其位址。