技術領域：

本發明涉及網絡安全和數據通信技術領域，特別涉及一種在DMVPN (Dynamic?Multipoint?VPN，動態多點虛擬專用網)中應用流量分割技術實現 互聯網任意兩端安全通信的方法。

背景技術：

目前，對于一些公司總部、分部、辦事處分散在各地的企業而言，他們需 要一種安全的網絡將其互聯使得任意兩點間均可以通信。最初的解決方案是租 用一些昂貴的二層接入方法(如ISDN等)。但像比較而言，一種更加廉價、 靈活的通信方式是使用Internet接入并且通過IPSEC加密來保證安全性。

IPSEC(Security?Architecture?for?IP?network)是點對點的加密隧道。總部 與分部任意的點到點的加密隧道組成的網絡是一種網狀結構。在實際應用中主 要的通信流量集中在分部(spoke)與中心(hub)的通信，這樣的網絡結構成 為星型網絡(hub-to-spoke)。但是也不排除分部與分部間的通信 (spoke-to-spoke)。所以實際的網絡設計中采用的是星型的網絡，如果分部間 要通信也會通過中心來作為一個中轉。

在實際的使用中，如果僅僅使用IPSEC的加密隧道存在許多不利因素。由 于使用的是IPSEC來加密，所以分部間通信的加密包在通過中心轉發時又要經 歷一個解密重新加密的過程，這樣對于中心服務器增加了額外的負擔。同時中 心服務器要和每個分部均建立一個隧道，這樣使用GRE的話就要建立多個通 信端口，而這些通信端口有使用的是相同的加密算法，所以造成中心服務器無 論在配置還是維護上非常繁瑣。

這樣需要一種更加高效的解決方案用于解決下述的幾個問題：

1.中心服務器要易于維護。由于每個隧道的加密方式等均一樣，所以考 慮使用一種點對多點的隧道。這樣配置上只需要配置一個通信端口即可，同時 在該端口和所有其他點的通信中使用統一的加密算法。這個可以通過mGRE 來解決。

2.對于分部和中心的通信，分部只需要知道中心的地址即可。而分部間 的通信為了盡量減輕中心服務器的負擔，可以考慮繞過服務器直接通信。可以 向中心服務器發出查詢獲得對端分部的地址，隨后可以直接與對端分部通信。 這個可以通過使用NHRP協議(下一個節點路由協議)得到解決。

3.如果某個分部需要承受比較大的流量，則要考慮流量分割的問題。

發明內容：

鑒于上述應用需求和現有技術所存在的技術局限，本發明的目的是提供一 種在DMVPN中應用流量分割技術實現互聯網任意兩端安全通信的方法。該技術 方案在實際應用中能夠提供企業在廉價的互聯網中實現各個端點間的安全通 信。從而取代原來成本昂貴的二層接入(如ISDN等)，解決原來應用中的高 額租用費或者復雜的網絡配置維護。

實現上述本發明方法所涉及的相關技術及其作用如下：

1.mGRE技術：在現有的點對點的GRE技術基礎上提出mGRE的技術 是一種點對多點的技術。相對單點的GRE，mGRE無需知道對端的地 址，實際的通信中需使用NHRP協議來動態獲取通信對端的地址。同 時與GRE一樣mGRE也用于建立兩個通信端點間的隧道。

2.NHRP技術：由于mGRE的對端是多個節點，需要在通信時確定到底 與哪個節點通信及對端的地址。所以本發明使用NHRP協議來實現這 一功能。

3.IPSEC技術：IPSEC主要保證在通信時的安全性。

利用上述三種主要技術的結合在DMVPN中所形成的流量分割技術，通過 以下本發明所描述的通信機制，可以使企業通過DMVPN實現總部與各個分部 之間，任意兩點間的安全通信。

本發明方案中利用DMVPN在互聯網中構建一個由中心及分部都采用 mGRE技術通信設備所組建的以星型結構為主，網狀結構為輔的拓撲網絡；該 網絡中通過設置IPSEC保證通信安全；利用NHRP協議使分部間可以相互直 接通信；并且擴展NHRP協議，利用NHRP協議中的extension?header，完成 流量分割。

具體步驟(參見圖1)如下：

中心與分部間的通信(hub-to-spoke)：

(1)所有spoke使用NHRP協議封裝報文向hub發送本地協議地址和NBMA 地址的綁定信息。