A2A VPN简介

A2A VPN简介
介绍A2A VPN的定义、由来和作用。
定义
A2A VPN是Any to Any VPN的简称,是利用组解释域GDOI(Group Domain of Interpretation)协议来集中管理密钥和GDOI安全策略的VPN的一种解决方案。A2A VPN主要用于保护广域网的企业内部业务流量。
目的
随着网络的发展,企业不仅有数据业务,而且对于语音和视频等智能业务的诉求也越来越多,这些诉求加速了企业对分支机构间即时互联的需求。企业通常部署专线网络,如MPLS VPN网络,实现分支间的互联。
虽然专线网络为企业的通信提供了一定的安全,但是近年来政府法规,如健康保险流通与责任法案HIPAA(Health Insurance Portability and Accountability Act)、行业标准PCIDSS(Payment Card Industry Data Security Standard)等,在专线网络也强制要求加密传输。
目前,以IPSec通道为基础的加密解决方案,可以部署在专线网络中。IPSec是IETF制定的三层隧道加密协议,一直被广泛应用于广域互联分支间的数据加密。它提供了高质量的、可互操作的、基于密码学的安全保证,是一种传统的实现三层VPN的安全技术,特定的通信方之间通过建立IPSec隧道来传输用户的私有数据。
但是,IPSec VPN是一种点到点的隧道技术,主要关注的是数据安全加密,存在如下缺点:
    企业大量分支间的数据IPSec加密面临N2隧道配置的问题,配置管理复杂,网络扩容能力差。
    IPSec VPN需改变原有路由部署,无法提供更好的QoS处理。
    IPSec VPN无法独立支持组播技术,对智能业务的支持能力差。

综上所述,A2A VPN解决方案应运而生。A2A VPN利用原报文的IP头封装新增的IP头,实现分支间无隧道连接。其通过对密钥和GDOI安全策略的集中管理,简化了网络部署,分布式的分支机构网络既能够大规模扩展,也支持能够确保语音和视频质量的QoS和组播功能。

基本组网
A2A VPN的基本组网如图1所示,主要包括两类设备,密钥服务器KS(Key Server)和组成员GM(Group Member)。A2A VPN提供了一种基于组的IPSec安全模型。组是一个GDOI安全策略的集合,属于同一个组的所有成员共享相同的GDOI安全策略及密钥。
图1 A2A VPN基本组网

A2A VPN简介(图1)

GM
GM是一组共享相同GDOI安全策略且有安全通信需求的网络设备,通常是分支的出口路由器。它在KS上注册,并利用从KS上获取的GDOI安全策略与属于同一个组的其它GM通信。GM在KS上注册时提供一个组ID(Group Identifier),KS根据这个组ID将对应组的GDOI安全策略和密钥下发给该GM。
KS
KS是一个创建和维护GDOI安全策略、密钥信息的网络设备,一般部署在广域数据中心出口路由器旁,通常由路由器担当KS。它有两个责任:响应GM的注册请求,以及发送密钥更新消息。当一个GM向KS进行注册时,KS会将GDOI安全策略和密钥下发给这个GM。这些密钥将被周期性的更新,在密钥生存周期超时前,KS会通过密钥更新消息通知所有GM更新密钥。
KS下发的密钥包括两种类型:
    流量加密密钥TEK(Traffic Encryption Key):由组内的所有GM共享,用于加密、解密GM之间的流量。
    密钥加密密钥KEK(Key Encryption Key):由组内的所有GM共享,用于加密、解密KS和GM之间的密钥更新消息。


VPN配置案例汇总、VPN汇总(列表、list、全)vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » A2A VPN简介

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!