返回
14焦点 H3C Group Domain VPN技术方案解析-张建伟(修改20130930)

14焦点 H3C Group Domain VPN技术方案解析-张建伟(修改20130930)

ID:38171252

大小:141.07 KB

页数:6页

时间:2019-06-06

14焦点 H3C Group Domain VPN技术方案解析-张建伟(修改20130930)_第1页
14焦点 H3C Group Domain VPN技术方案解析-张建伟(修改20130930)_第2页
14焦点 H3C Group Domain VPN技术方案解析-张建伟(修改20130930)_第3页
14焦点 H3C Group Domain VPN技术方案解析-张建伟(修改20130930)_第4页
14焦点 H3C Group Domain VPN技术方案解析-张建伟(修改20130930)_第5页
资源描述:

《14焦点 H3C Group Domain VPN技术方案解析-张建伟(修改20130930)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、H3CGroupDomainVPN技术方案解析文/张建伟广域分支间加密的传统技术——IPSecVPNIPSec(IPSecurity)是IETF制定的三层隧道加密协议,一直被广泛应用于广域互联分支间的数据加密。它提供了高质量的、可互操作的、基于密码学的安全保证,是一种传统的实现三层VPN(VirtualPrivateNetwork,虚拟专用网络)的安全技术,特定的通信方之间通过建立IPSec隧道来传输用户的私有数据。但是,IPSecVPN是一种端到端的隧道技术,而且主要关注的是数据安全加密,在云网络架构下存在如下缺点:1)无论在专线网络还是通过Intern

2、et互联,大量分支间的数据IPSec加密面临NxN隧道配置的问题,配置管理复杂2)无法独立支持路由和组播技术,对智能业务的支持能力差3)由于IPSecVPN新构建了数据流量VPN通道,无法充分利用原有的广域路由架构,对现有基础设置的兼容能力差4)IPSecVPN网络新增分支节点时,配置修改工作量巨大,网络扩容能力差单独排版云计算的快速发展,促进了企业应用和数据的大集中,特别是语音、视频等智能业务量的上升,对大量通过广域互联接入的企业分支获得应用和数据的安全性、可靠性、扩展能力和可管理性提出了新的挑战。随着网络安全风险的加剧以及法规遵从能力越来越重要,迫切需

3、要广域分支互联解决方案能够在安全性、网络智能和易管理性上找到平衡。针对云广域网络架构的需求和IPSecVPN技术的缺陷,H3C推出群组加密技术——GroupDomainVPN解决方案,通过对密钥和安全策略的集中管理,构建无需隧道的新型虚拟专用网(VPN),实现点到多点的无隧道连接,分布式的分支机构网络即能够大规模扩展,同时保持对于确保语音和视频质量至关重要的网络智能特性(如QoS、路由和组播等),可应用于行业专网、租用运营商MPLSVPN服务等场景。方案构成GroupDomainVPN提供了一种基于组的IPSec安全模型。组是一个安全策略的集合,属于同一个

4、组的所有成员共享相同的安全策略及密钥。1.组网架构GroupDomainVPN典型组网如图1所示,主要的设备成员主要包括KS和GM。1)KS(KeyServer,密钥服务器)。KS一般部署在网管中心或旁挂部署在广域数据中心出口路由器旁,主要功能是创建和维护密钥信息、保存和下发组安全策略的管理设备,通过划分不同的组来管理不同的安全策略和密钥,一般由路由器担当KS。2)GM(GroupMember,组成员)。GM是一组共享通信密钥和安全策略网络路由转发设备,通常是分支的出口路由器。GM向KS注册,通过加入相应的组,从KS获取安全策略及密钥,与相同群组的其它GM

5、通信,并负责对数据流量加密和解密。6图1GroupDomainVPN典型组网图密钥包括两种类型:TEK(trafficencrytionkey,加密流量的密钥)和KEK(keyencrytionkey,加密密钥的密钥)。这些密钥将被周期性的更新,在密钥生存周期超时前,KS会通过Rekey消息通知所有GM更新密钥。1.工作机制GroupDomainVPN的工作过程主要包括以下三部分。1)GM向KS注册KS是集中的密钥和安全策略管理设备,网络管理员预先根据网络规划的要求配置了GDOI(GroupDomainofInterpretation,组解释域)组信息、密

6、钥、安全策略等信息。谁来配的?GM向指定的KS发送注册信息,KS响应GM的注册信息,并根据GM的GroupID属性,下发密钥和安全策略。身份验证通过后KS根据GM上报的组ID信息向GM推送组共享密钥和安全策略。GM会对收到的安全策略进行验证,如果这些安全策略是可接受的,则向KS发送确认信息,表示注册完成,密钥和安全策略下发成功。如图1中5个Branch的出口路由器作GM设备,向同一个KS注册,并根据GM的注册信息和预分组策略把这5个GM划分成GroupA和GroupB两个组域,给每个组域的GM下发共享的密钥和安全策略。这样GroupA中的3个Branch可

7、利用GM收到的共享密钥和安全策略进行加密通信,其它设备由于没有密钥,无法对GroupA中GM间的通信报文进行解密。GroupB中分支间的通信机理与GroupA相同。2)数据保护GM完成注册之后,将使用获取到的IPSecSA对符合安全策略的报文进行保护,保护的数据包括单播数据和组播数据两种。GroupDomainVPN对使用ESP协议对报文进行加密,数据报文的加密封装格式数据封闭和保护是什么关系?看不出联系。需要用一两句话交代一下也有隧道模式和传输模式两种,封装模式由KS定义,下发给GM执行。隧道模式:如图2所示,首先在原有IP报文外部封装安全协议头ESP(

8、EncapsulatingSecurityPayload,封装安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。