dmvpn&nhrp&mgre.docx

NHRP：下一跳解析协议（NHRP：Next Hop Resolution Protocol）下一跳解析协议（NHRP）是一种由连接非广播、多路访问（NBMA）式子网络的源站（主机或路由器）使用来决定目标站间的 internet 网络层地址和 “NBMA next hop”的 NBMA 子网地址的协议如果目的地与 NBMA 子网连接，NBMA 下一跳本身就是目标站否则，NBMA 下一跳就是从 NBMA 子网到目标站最近的出口路由器NHRP 被设计用于 NBMA 子网下的多重协议 internet 网络层环境在到达生成响应的站之前，NBMA 子网内的 NHRP 解析请求经过一个甚至更多的 hops包括源站在内的每个站选择邻近的 NHS 接受它转发的 NHRP 解析请求NHS 选择程序基本上解决了在协议层路由选择表上应用目标协议层地址的问题，但需要返回一个路由选择决定这种路由选择决定被用来转发 NHRP 请求给底部流 NHS先前涉及的目标协议层地址存放在 NHRP 解析请求包中注意：即使一个协议层地址被用来获取路由选择决定，NHRP 包不会被封装于协议层头，而是通过由它自己的头描述的封装存放于 NBMA 层。

协议结构8 16 24 32bitar$afn ar$pro.typear$pro.snapar$pro.snap ar$hopcnt ar$pkstzar$chksum ar$extoffar$op.version ar$op.type ar$shtl ar$sstl ar$afn ― 定义传送的链路层地址类型 ar$pro.type ― 为各种使用预留的无符号整数字段 ar$pro.snap ― 当协议在 ar$pro.type 空间（不包括 0x0080）具有一个分配号码，在传输 NHRP 信息时，必须使用简洁格式如果 Ethertype 和 NLPID 译码同时存在，在传输 NHRP 信息时，必须使用 Ethertype 译码当 ar$pro.type 值为 0x0080，会使用 SNAP 编码扩展对协议类型进行编码 ar$hopcnt ― 即 Hop Count指出指出在取消之前允许 NHRP 数据包跨越的最大 NHSs 数值ar$pktsz ― NHRP 数据包全长（八位字节） ar$chksum ― 整个数据包上的标准 IP 校验和 ar$extoff ― 识别 NHRP 扩展的存在和位置的字段。

 ar$op.version ― 该字段指出图象地址映射版本，该信息表示管理协议 ar$op.type ― 如果 ar$op 是第一版，那么该字段表示 NHRP 数据包类型数据包类型可能值有：1、NHRP Resolution Request；2、NHRP Resolution Reply；3、NHRP Registration Request；4、NHRP Registration Reply；5、NHRP Purge Request；6、NHRP Purge Reply；7、NHRP Error Indication ar$sht ― 源 NBMA 地址的类型和长度 ar$sstl ― 源 NBMA 子地址的类型和长度引言动态多点 VPN(Dynamic Multipoint VPN)是 MGRE、NHRP、IPSec 结合产生的一种技术，简写为 DMVPN它为具有点多面广分支机构特点的企业和公司，提供了一种以 INTERNET 为基础的低成本安全互联方案其骨干网采用星形拓扑结构(Hub and Spoke)结构示意图见图 1，其中 HUB 为中心，SPOKE 为分支图 1：动态多点 VPN 结构示意一、MGRE、IPSec、NHRP 的概念及相互关系GRE 是一个在任意一种网络层协议上封装任意一个其它网络层协议的协议，DMVPN 中是将 IP 包封装进另一个 IP 包并加上新的 IP 头。

它有两种形式：Point-to-point(GRE)，Point-to-multipoint(MGRE) IPSec 是一种安全隧道技术，但不支持组播和广播的加密在 DMVPN 中，要用到动态路由协议，动态路由协议用组播和广播宣告路由信息，所以不能直接使用 IPSec 加密GRE隧道支持组播和广播，所以 DMVPN 中采用 GRE 隧道，但是 GRE 隧道的数据是没有加密的，在因特网上传送不安全因为 GRE 隧道的数据包是单播的，所以 GRE 隧道的数据包采用IPSec 加密，即 GRE Over IPSecGRE 隧道的配置已经包括了 GRE 隧道对端的地址，这个地址同时也是 IPSec 隧道的对端地址，通过将 GRE 隧道与 IPSec 绑定，GRE 隧道一旦建立，立刻触发 IPSec 加密MGRE 是将 GRE 点对点隧道扩展成一点与多点建立隧道一个 MGRE 接口包括一个 IP 地址、一个隧道源、一个隧道密钥，与 GRE 隧道不同，它没有隧道目的因为 MGRE 隧道不定义隧道目的地，所以它依赖 NHRP，NHRP 告诉 MGRE 向哪里发送数据包NHRP 协议的作用是将隧道的 IP 地址映射到 NBMA 地址，可以是静态映射和动态映射。

MGRE 怎样使用 NHRP 呢？当转发一个 IP 数据包时，总是沿着下一跳地址将数据包传给MGRE 接口，下一跳地址就是对端的隧道 IP 地址MGRE 在 NHRP 表中查找下一跳地址映射的对端 NBMA 地址然后 MGRE 将数据包封装为另一个 IP 包的净负荷，新的 IP 包目的地址就是对端的 NBMA 地址组播包的地址由 NHRP 配置中指定MGRE/NHRP 路由通道示意如下页图 2图 2：MGRE/NHRP 路由通道示意图 2 可以这样理解，在 192.168.0.0/24 网络有一个 IP 包需要发送到 192.168.1.0/24 网络中， 其源地址为 192.168.0.1，目的地址为 192.168.1.1通过查路由表,到192.168.1.0/24，走隧道 0，下一跳是隧道对端 IP 地址 10.0.0.2通过查 NHRP 表，下一跳 10.0.0.2 对应的目的 NBMA 地址是 172.16.0.2再对 IP 包做 GRE 封装，加上新 IP 头，源地址为 172.16.0.1，目的地址为 172.16.0.2，然后 IP 包就能发向对端二、NHRP 地址映射表的生成过程 NHRP 地址映射表生成有三种方法：手动配置静态映射、中心(Hub)通过登记请求(Registration Request)学习、分支(Spoke)用解析请求(Resolution Request)学习。

NHRP映射表的初始化开始时，中心的映射表是空表，分支的映射表有一个静态配置的映射项，即中心的隧道 IP 地址与其 NBMA 地址的映射，例如 IP NHRP MAP10.0.0.1、172.17.0.1，还配置有一个组播映射项，例如 IP NHRP MAPmulticast 172.17.0.1分支必须向中心登记，中心的 NHRP 表实际上由分支在控制，为了让分支能向中心登记，中心必须宣告自己为下一跳服务器(Next-Hop-Server，NHS)，分支发送登记请求给中心，其中包括分支的隧道IP 地址和 NBMA 地址，以及保存时长中心在 NHRP 表中对应生成一个表项，表项只在保存时长内有效然后中心向分支回送登记确认信息NHRP 登记请求过程示意见图 3图 3：NHRP 登记请求过程示意NHRP 登记确认过程示意如图 4图 4：NHRP 登记确认过程示意NHRP 注册功能至少解决了三个问题：① 由于分支的 NBMA 地址是通过 ISP 的 DHCP 自动获取的，每次上线时的 IP 地址可能不同，所以中心通过注册过程可以自动学习该地址；② 中心不必针对所有分支分别配置 GRE 或 IPSec 信息，大大简化中心的配置；所有相关信息可通过 NHRP 自动获取；③ 当 DMVPN 网络扩展时，无须改动中心和其它分支的配置。

新加入的分支将自动注册到中心，通过动态路由协议，所有其它分支可以学到这条新的路由，新加入的分支也可以学到到达其它所有分支的路由信息NHRP 的作用可以概括为两点，一是地址的映射和解析，二是转发数据通过静态配置、NHRP 登记、NHRP 解析实现地址映射，由路由表获得到目的 IP 地址的隧道下一跳 IP 地址，通过解析隧道下一跳 IP 地址与 NBMA 地址的映射，获得隧道下一跳 IP 地址对应的 NBMA 地址，实现数据转发三、分支之间的动态隧道在动态多点 VPN 中，分支与分支之间除了经过中心转发数据外，分支还可以向另一分支直接发送数据分支到中心的隧道一旦建立便持续存在，但是各分支之间并不配置持续的隧道当一个分支需要向另一个分支发送数据包时，两个分支之间通过 MGRE 端口动态建立 IPSec 隧道，进行数据传输两个分支间路由和 NHRP 过程见图 5图 5：两个分支间路由和 NHRP 过程为了生成分支到分支的隧道，分支必须学到目的网络路由、下一跳必须是远端分支的隧道 IP 地址、分支必须学到了下一跳的 NBMA 地址分支采用动态路由协议学习到目的网络的路由路由协议只在中心和分支之间用到，为了使分支与分支间能路由，首先分支要向中心宣告自己的私网路由信息，再由中心向各分支宣告，中心对分支宣告的私网路由必须保留下一跳的私网地址，看起来就象是分支自己宣告的一样。

分支用 NHRP 解析请求学习到下一跳分支的 NBMA 地址分支的 NHRP 解析与NHRP 登记过程是有差别的，登记是分支在中心上登记自己，解析是分支通过中心寻址其他分支分支首先向中心发送解析请求，请求下一跳隧道 IP 地址映射的 NBMA 地址，中心解析出映射的 NBMA 地址后回复给请求分支，回复中还包括解析结果在中心的有效时长然后，分支生成一个 NHRP 表项，在没插入 NHRP 表之前，IPSec 隧道就开始初始化，在隧道建立后，NHRP 表项才被插入表中并能使用一旦对应的 NHRP 表项超时，分支与分支间隧道随之消失建立动态分支隧道的过程图示见图 6图 6：建立动态分支隧道的过程四、结语分析 DMVPN 的特点，在应用上它具有如下优势：分支之间可动态建立隧道传输数据，当两个分支在同一城市，而中心在另一城市时，分支之间直接发送数据可以减小延时，降低对中心路由器资源消耗，并且更经济；增加分支不用改变中心和其他分支的配置，维护工作量成倍降低；分支节点可使用动态 IP 地址，节约了公网 IP 地址资源；动态隧道的特点使它的网络规模可以很大它的这些优势使它特别适合于分支机构点多面广的企业和公司做安全互联。