论文总字数：18240字

摘 要

就国内大部分银行系统中，银行总部与分布支行的安全通信无不需要使用IPsec或者SSL VPN在公网上传输大量的核心数据。首先，传统的IPsec VPN技术随着科技的发展演变为基于GRE技术的IPsec VPN技术，再发展成为基于mGRE技术的DMVPN网络架构；其次，通过深入钻研以NHRP为核心的DMVPN技术的基本原理和网络架构设计的实现，大大提高了通信数据流量的安全性和可靠性；最后，使用动态路由协足够将DMVPN技术通过对静态IP地址以及动态IP地址分配

。

本文将从基本VPN技术展开详细描述，从而论述如何在银行系统网络架构中为保证数据安全使用的IPsec VPN技术，并且延伸到DMVPN网络架构组成，技术原理。结合到社会实践中的经验，本人将使用GNS模拟器虚拟出现实的网络环境，极大可能的还原原应用，进行对银行系统中总行和各分行通信的DMVPN技术实现的研究。

关键字：DMVPN，IPsec VPN，研究

abstract

In most domestic banking systems, there is no need to use IPsec or SSL VPN to transmit a large number of core data on the public network.Firstly, the traditional IPsec VPN technology evolved into an IPsec VPN technology based on the GRE technology, and then developed into a DMVPN network architecture based on the mGRE technology.Secondly, it greatly improves the security and reliability of communication data traffic by deeply studying the basic principles of DMVPN technology and the realization of network architecture design based on NHRP.Finally, using the dynamic routing association is sufficient to allocate the DMVPN technology to static IP addresses and dynamic IP addresses.

This article from the basic VPN technology described in detail, and discusses how the banking system network architecture in order to ensure the data security using IPsec VPN technology, and extended to the DMVPN network architecture, technical principle.Combined to the experience of social practice, I will use the GNS simulator virtual reality of network environment, can restore the original application, head office and branches in the banking system communication DMVPN technology research.

Key words: DMVPN;IPsec VPN;research

目录

摘要 I

目录 III

第一章 前言 1

1.1、选题概述 1

1.1.1、背景 1

1.1.2、研究意义 1

1.1.3、技术发展 1

1.1.4、方案实现 2

第二章 系统概述 3

2.1、GRE概述 3

2.2、IPsec基本原理 3

2.2.1、IPsec概述 3

2.2.2、IPsec框架 3

2.2.3、IPsec基本组成 4

2.3、站到站点的IPsec VPN 5

2.4、影响IPsec VPN的网络问题 5

第三章 DMVPN概述 6

3.1、DMVPN介绍 6

3.2、DMVPN的三个阶段 6

3.3、DMVPN协议的组成 7

3.3.1、动态多点GRE 7

3.3.2、下一跳解析协议 7

3.3.3、动态路由协议 7

3.4、DMVPN高可用性特性 7

第四章 方案设计 9

4.1、方案设计 9

4.1.1、实验需求介绍 9

4.1.2、基本网络配置 10

4.1.3、mGRE和NHRP配置 14

4.1.4、动态路由协议OSPF得配置 16

4.1.5、IPsec VPN配置 17

4.2、方案测试 20

4.2.1、测试结果 20

4.2.2、分析 28

结论 29

致谢 30

参考文献 31

第一章 前言

1.1、选题概述

1.1.1、背景

现如今科技高速发展，信息化是时代的趋势，各大银行都希望能够通过公网将各地的支行与总部中心建立网络隧道。而过去由于技术的局限性，大多数银行的重要数据都集中在总行的数据中心（Data Center），倘若想要完成两个支行间的通信，那么数据必须要通过总行Data Center，如此一来就会造成非常严重的网络延时，这种情况在视频、语音通信中非常突出，严重影响银行正常的业务的运行。

1.1.2、研究意义

由于银行支行系统想要与另外一个支行系统进行数据传输，那么必须通过银行总部Data Center，造成的网络延时严重影响银行的业务。并且在现实的情况下，银行又必须要保证数据安全、可靠的传输。而例如中国银行等国内大型银行更是要求有非常庞大的网络架构和安全的系统来保证银行内部信息资源的共享以及数据的安全。那么使用VPN技术不仅拥有技术成本优势，IPsec VPN从OSI上层协议保障额数据安全，保护网络层数据的传输。而由于技术的发展，Ipsec VPN多用于点对点之间的VPN网络，从理论上银行分支系统使用点到点的模式不存在问题，但是现实出发，由于加密算法，安全密钥，设备等级的限制，如此的结构完全不能够胜任大型的银行系统网络架构中。而DMVPN技术完全有能力建立一个全网全互联的网络拓扑结构，让银行总部与支行间完成IPsec通信，避免了很多IPSec VPN实用的问题。

1.1.3、技术发展

为了适应现代网络发展，VPN技术从而被开发使用。由于目前通信技术快速需要快速发展，让很多银行，特别是拥有很多分支并且跨域众多的大型银行，如果按照传统模式那样，每个分部都从运营商拉一根专线，那么从网络工程的角度来看，本身就是非常奢侈和浪费的。因此越来越多的银行开始考虑，如何从技术的角度来解决这样复杂的问题，并且能够利用现有的公用网挤出，搭建自己银行内部的私有区域，也能够满足自身安全通信的需求。

VPN的定义有很多，原因是因为有很多人有不同的见解和看法。有的人觉得VPN是一个加密隧道，也有的人认为他可以保护internet流量，但一个网络工程中优秀的VPN可以解决非常多的问题，如下：

1. 加密技术：3DES协议防止窃取或窃听等；
2. 散列函数：MD5加密算法防止数据包被损坏等；
3. 认证机制：预共享密钥，防止跳跃攻击等；
4. 防止回放攻击：使用数据包中本来的序列号；
5. 通过ACL等策略：访问控制，类似于防火墙。

而且并不是每个网络都需要搭建VPN，搭建VPN的方案也可以多种多样，VPN方案的部署当然也要根据实际情况来设计，一个好的网络架构中，一定会存在多个VPN的技术方案，因为使用IPSec VPN可作为安全协议来保证数据传输的安全性，私密性，并且从根本上确立源。更多的是让用户可以同时使用网络与虚拟专用网络的多点传输功能。

剩余内容已隐藏，请支付后下载全文，论文总字数：18240字