思科预计本周将引入VPN技术,可以帮助快速部署分支机构的企业更快地建立和维护安全湾链接。
作为一项更大的声明的一部分,该公司计划引入一种名为“组加密传输”(GET)的新版本IOS路由器软件。与思科目前的站点对站点相比,GET将让客户在站点对站点的VPN中更容易地协同工作VPN专家说,这是基于IPSec隧道挖掘的技术。(见我们的故事其他IOS新功能。)思科和AT&T表示,预计AT&T还将对其基于mpls的IP VPN服务进行基于geps的增强,这样,作为进一步的安全措施,IP VPN链接上的流量可以被加密。
在一个GET VPN,思科分公司办公室路由器作为组的一部分配置,其中成员被授权交换加密的流量流。一个集中的关键服务器-一个特别配置的路由器-通过一个称为组域解释(GDOI)协议分配加密密钥给每个GET成员,定义IETF RFC 3547。
GDOI协调组成员关系,并使用一种称为多播重密钥的方法创建一个通用加密基础设施。这种技术使用IP多播来向组成员分发IPSec安全关联、密钥和策略。这一过程允许互联网上的安全通信连接。GET VPN中的IPSec安全关联会定时在指定的时间段后失效。在路由器上的安全关联到期之前,密钥服务器会定期通过组播(或组播重密钥)向组成员路由器推送新的密钥。GET组的成员本质上是IP多播组成员,但是它们交换IPSec加密密钥数据,从而使它们能够在不可信的网络上安全地通信。
在传统的站点到站点的VPN隧道设置中,在站点之间建立和维护IPSec VPN隧道,在公共路由Internet上创建一个安全的中心辐射网络。技术观察人士说,这使得大型vpn难以设置,并限制了流量路径,因为所有设备和路径都必须预先定义。
Yankee Group分析师宙斯•克拉瓦拉(Zeus Kerravala)表示:“在一个大型、完全网状的VPN中,你必须告诉每个端点其他端点在哪里,并构建大量路由。”然后在下面会建立一个完整的路由表。这不是最简单的事情。这并不像应该的那么容易。”
思科表示,GET VPN允许客户使用基本的路由互联网基础设施,而不需要VPN隧道覆盖。思科公司的产品营销总监Inbar Lasser-Raab表示:“我们将[VPN]描述为一种你所知道和喜爱的路由方式——只是加密——但在路由网络中内置了所有效率。”“如果客户使用hub-and-spoke,他们会看到延迟的改善,因为他们只是使用路由网络。”
思科并没有说明改善的程度。虽然该公司已经收集了其IPSec隧道和GET VPN技术之间延迟和性能差异的数据,但该公司没有公布这些数据。包含GET的IOS版本是12.4(11)T,并将运行在思科1800,2800和3800系列,分支办公室综合服务路由器,以及思科7200和7300系列万聚合路由器上。
VPN动力学
思科和其他供应商,如Juniper和Check Point,都有技术可以使IPSec VPN隧道的设置更加动态,并且可以模拟节点之间直接连接的完全网格网络。例如,思科拥有动态多点VPN (DMVPN),这是一种IOS特性,允许位于中心辐射式IPSec VPN中的路由器在辐条之间动态地设置隧道。
Forrester Research的高级分析师Robert Whiteley说:“(DMVPN)帮助绕过了中心辐射(拓扑),创建了更多的网状结构。”“它为你提供了一个更自动化的隧道设置,但它不会绕过整个问题……你仍然需要物理地说,这是网络拓扑
怀特利说,GET VPN可以让用户只用互联网的基本路由基础设施就建立一个非常大的VPN,并简单地加密通信流的某些部分,“这样你就不用创建这种加固隧道就能获得VPN的安全性。”
怀特利说:“如果一个公司一直在增加网站,计划增加网站,或者还没有进行VPN扩建,那么GET VPN就是一个显而易见的选择。”他补充说,这是一个在路由器上运行的IOS功能,通过消除对网络上单独VPN设备的需求,也可以简化部署。
能得到什么呢?
其他行业观察人士对GET并不那么感兴趣。特别地,它使用GDOI通过多播来分发IPSec密钥的方法是“vpn的一个相当模糊的方面,它的适用性非常有限,”Opus One网络咨询公司的高级合伙人、网络世界实验室联盟成员Joel Snyder说。有个足球雷竞技app
“对于使用组播的组通信,GDOI是一个很好的特性,”Snyder说。但是,说实话,这是不寻常的。大多数人不会试图通过加密隧道进行站点对站点的多播。”
因为运行GET VPN需要一个特定的思科IOS版本——这意味着一个全思科网络——GET VPN会关闭任何没有思科的站点,甚至是没有启用GDOI的思科站点。“如果你不支持[GDOI],你就不能交谈——所以这是一个互操作性的问题,”Snyder说。他补充说,使用正确的工具和产品,建立和管理站点到站点的vpn并不是那么困难。
“如果[思科]有一个合理的VPN管理工具,如果他们有良好的VPN集中器,那么他们就不会为整个效率问题而烦恼”,即网状的、站点对站点的VPN管理,Snyder说。他补充道:“在我看来,通过引入一种新的且不兼容的技术来解决全网VPN的问题,并称之为更好的解决方案,这种说法实在是站不住脚。”“只要正确使用VPN,他们就能解决全网VPN的问题。”
分析人士说,通过几个隧道连接位置的小型网站可能不会有兴趣为GET VPN提供一个成熟的IPSec VPN。说服拥有已建立VPN链接的大型网站,以及对思科VPN设备的大量投资,可能也是一件难事。“对于思科来说,宣称[GET]是更好的vpn方式,我们需要看到一些证据,”Kerravala说。
思科爆炸:推出更简单的站点对站点vpn,增加路由器连接,强化IOS