释放分支机构潜能解决方案

思科群组加密传输 VPN - 无隧道VPN提供广域网加密和认证服务

产品概述

语音和视频等网络化应用加速了企业对即时互联分支机构、可确保服务质量(QoS)的广域网的需求。这些应用特有的分布式性质促使企业日益需要大规模部署。同时,企业广域网技术也迫使企业在提供基于 QoS 的分支机构互联与确保传输安全性之间做出选择。随着网络安全风险的加剧以及法规遵从能力越来越重要,作为下一代广域网加密技术的思科® 群组加密传输 VPN 可帮助您同时在网络智能和数据私密性方面做到尽善尽美。


通过推出群组加密传输技术,思科构建了无需隧道的新型虚拟专用网(VPN)。无需部署点到点隧道,分布式的分支机构网络即能够大规模扩展,同时保持对于确保语音和视频质量至关重要的网络智能特性 - 如 QoS、路由和组播等。群组加密传输技术基于"可信"组员的概念,提供基于标准的全新 IP 安全 (IPsec) 模式。可信的成员路由器使用通用的安全方法,与任何点到点的 IPsec 隧道无关。


基于群组加密传输技术的网络可运行在各类广域网环境中,包括 IP 和多协议标签交换(MPLS)。使用这项加密技术的 MPLS VPN 具有高可扩展、可管理和经济高效性,能满足硬性的加密要求。群组加密传输技术内置了灵活性,允许重视安全性的企业自己管理网络安全性,不使用电信运营商的广域网服务,或将加密服务外包给运营商。群组加密传输技术能简化需要局部或全网状连接的大型 L2 或 MPLS 网络的安全保护流程。


主要特性和优势

群组加密传输技术构建在基于标准的技术之上,能够将路由和安全性轻松集成到网络阵列中。企业可通过 IFTF标准'群组解释域(GDOI)'来管理安全的组员。


简化安全策略的分发工作

GDOI使用户无需配置隧道终端,由一个密钥服务器向所有已注册并经过认证的路由器成员分发密钥和策略(图1)。



通过从中央位置分发策略并与经过认证的组员共享相同的群组安全信息,企业能大幅度简化密钥的分发和管理工作。


IP 路由保留

基于群组加密传输技术的安全模式使用现有的路由基础设施,而不是使用传统的 IPsec 覆盖法。数据包继续使用其原始的源和目的地 IP 地址(图2)。通过在 IPsec 数据包中保留原始的 IP 报头,群组加密传输技术允许企业使用现有的 L3 路由信息,从而能够解决组播复制的低效问题并提高网络性能。


图2. IPsec 与群组加密传输技术之间的 IP 路由比较



群组加密传输技术还允许所有站点之间开展不间断的直接通信,无需穿越中央站点,从而确保语音、视频和其他延迟敏感型流程的低延迟和低抖动。此外,群组加密传输技术避免了 IPsec 加密网络中常见的广播流量复制问题,从而减轻了 IP L3 VPN 上的组播流量负载。


表1 总结了群组加密传输 VPN 的主要特性。
特性 说明
群组解释域 GDOI (RFC 3547) 是密钥管理协议,能在授权的组员路由器之间建立安全关联。
IP 报头保留 保留 IPsec 数据包中原始的 IP 报头。
集中的密钥和策略管理 位于中央位置的密钥服务器,通常是头端路由器,负责向授权的组员路由器发布密钥和再加密的消息以及安全策略。支持适用于所有组员的当地和全局策略,例如加密所有流量的策略"Permit any any"。
密钥服务器的高可用性 密钥服务器负责分发密钥和策略消息,能在主备密钥服务器之间实现密钥和策略数据库同步,从而支持高可用性。
支持防重放功能 防重放支持能防御"中间人"攻击。
加密支持 数据加密标准(DES)、三重 DES (3DES)、高级加密标准 (AES)

硬件支持

IPsec 加密的硬件加速功能有助于确保满足性能要求。思科系统公司? 建议尽量使用 IPsec 的硬件加速功能。思科集成多业务路由器、安装了 VPN 模块的Cisco 7200 系列路由器以及 Cisco 7301 路由器都通过板载加速功能支持 IPsec 加速和群组加密传输特性。关于思科路由器的加速支持,请见表2。


表2. GET VPN 的思科硬件支持
特性 平台 思科VPN加速
GET VPN 组员 Cisco 850, 870, 1800 系列, 2800 系列和 3800 系列 板载 IPSec 加速
Cisco 1841, 2800 和 3800 系列 Cisco AIM-VPN-II-PLUS, AIM-VPN/SSL 模块
Cisco 7200 系列和 7301 路由器

Cisco VPN 加速模块 2+

GET VPN 密钥服务器 Cisco 3800 系列, Cisco 7200 系列和 7301 路由器 Cisco AIM-VPN/SSL 模块(Cisco ISR); Cisco VPN 加速模块 2+ (Cisco 7200 系列和 7301 路由器)

思科群组加密传输技术的优势

群组加密传输技术通过同时加密和认证组播与单播流量而扩展了 GDOI,为大量应用提供了优势:

  • 通过加密所有的广域网流量来提供数据安全性和传输认证,帮助满足安全法规和内部规定的要求
  • 提供高度可扩展的网状网络并通过群组密钥管理消除了复杂的对等间密钥管理需求
  • 对于 MPLS 网络,可维护全网状连接、自然的路由路径及 QoS 等网络智能
  • 中央密钥服务器允许轻松管理组员关系
  • 允许站点间开展不中断的直接通信,无需穿越中央站点,从而确保低延迟和低抖动
  • 使用核心网络来复制组播流量 - 避免逐个对等位置地复制数据包,从而减少客户端设备(CPE)和运营商边缘加密设备的流量负载


应用

专用广域网环境
网络安全风险的加剧以及法规遵从要求的日益严格迫使企业急需广域网传输安全性。无论是自己管理 MPLS 的企业,还是从电信运营商处购买 MPLS 或专用广域网服务的企业,都能自己部署群组加密传输技术,确保数据私密性,同时维护多个专用广域网中固有的任意到任意连接。这种做法使企业不仅能够对自己和电信运营商进行合理的安全控制,而且还能满足安全法规的要求。


公共互联网环境
对于 IPsec VPN 穿过公共互联网的企业来说,群组加密传输技术能使用群组共享密钥,经济高效地提供高度可扩展的、可管理的网状网络,从而增强动态多点 VPN (DMVPN) 和基于 GRE 的站点间 VPN。群组加密传输技术通过这种方法简化了大规模网络部署中的密钥管理工作。


如需了解思科为无隧道和有隧道环境提供的 IPSec 站点间解决方案有何不同,请参见《思科站点间解决方案概览》文档。


管理
除同时为组员路由器和密钥服务器提供监控与排障功能外,思科群组加密传输技术还支持轻松安全的设备部署,以便在 PKI 部署中安全地配置设备。产品未来将支持思科安全管理器。


特性面世情况
表3介绍了思科群组加密传输特性集的面世情况。


表3. 特性面世情况
特性 平台支持 面市时间 Cisco IOS 软件
群组加密传输 VPN Cisco 870, 1800, 2800, 3700, 3800 和 7200 系列以及 7301 路由器 2006年11月 12.4(11)T版本

联系我们