2024年5月25日发(作者:)

Cisco Group Encrypted Transport VPN

By JoeLau from netyourlife

语音和视频等网络化应用加速了企业对即时互联分支机构、可确保服务质量(QoS)的广域网

的需求。这些应用特有的分布式性质促使企业日益需要大规模部署。同时,企业广域网技术也迫

使企业在提供基于 QoS 的分支机构互联与确保传输安全性之间做出选择。随着网络安全风险的

加剧以及法规遵从能力越来越重要,作为下一代广域网加密技术的思科群组加密传输 VPN 可

帮助您同时在网络智能和数据私密性方面做到尽善尽美。

通过推出群组加密传输技术,思科构建了无需隧道的新型虚拟专用网(VPN)。无需部署点

到点隧道,分布式的分支机构网络即能够大规模扩展,同时保持对于确保语音和视频质量至关重

要的网络智能特性 — 如 QoS、路由和组播等。群组加密传输技术基于“可信”组员的概念,提

供基于标准的全新 IP 安全 (IPsec) 模式。可信的成员路由器使用通用的安全方法,与任何点到

点的 IPsec 隧道无关。

®

GET VPN是一系列使源自或流过Cisco IOS设备的私有WAN IP多播组流量或单播流量安全

的特性集。GET VPN结合了关键协议群组解释域(Group Domain of Interpretation GDOI)和

IPsec加密为用户提供IP多播流量或单播流量的安全。GET VPN使路由器可以应用无隧道

加密IP多播和单播数据包并避免了为保护多播和单播流量而必须配置隧道。

Cisco组加密传输VPN提供以下好处:

 提供数据安全和传输认证,通过加密所有WAN流量来帮助符合安全需求和内部规章。

 使用组加密密钥(group encryption keys)替换复杂的点到点密钥管理。

对于多协议标签交换(MPLS)网络,维护

网络智能特性 — 如 全网互联,natural

routing path和QoS等。

 使用集中密钥服务器简单化成员控制。

 允许所有站点之间开展不间断的直接通信,无需穿越中央站点,从而确保语音、视频和其

他延迟敏感型流程的低延迟和低抖动。

内容

 Cisco组加密传输VPN的要求

 Cisco组加密传输VPN的限制

 Cisco组加密传输VPN的信息

 如何配置Cisco组加密传输VPN

 验证Crypto Map的Fail-Close模式

 附加信息

 Cisco组加密传输VPN的特性

 术语表

Cisco组加密传输VPN的要求

 必须使用Cisco IOS 12.4(11)T

 支持以下Cisco CPN加速模块

- Cisco路由器的Cisco AIM-VPN/SSL模块

- 7200系列和7301路由器的VPN加速模块2+

- 7200VXR/NPE-G2路由器的vsa(high-performance crypto engine)

 当配置IKE策略时,IKE生存周期必须设置为最小值5分钟,以便在IKE SA上浪费不必

要的资源。在IKE SA建立后,已登记的SA不必维护,因为此rekey SA已经建立并且

会接受未来的rekeys。

Cisco组加密传输VPN的限制

 以下平台的限制:

- Cisco 870系列路由器:只可以作为组成员

- Cisco VSA在12.4(15)T5中不支持基于时间的反重放。而12.4(22)T中支持。

 如果加密高流量数据包,比如每秒1000万数据包,生存周期至少配置为11.93小时,

以便SA在序号重复使用前可用。

 对于单播流量,如果一个组成员down了并重新返回,序号也许在组成员之间不会同步

(比如:从组成员1到组成员2的流量,并且最后的序号为X。组成员1 down了并

重新返回。组成员1的SA序号现在从1开始,但组成员2认为会继续从前面的序号

X+1开始。这种情况导致从组成员1的后续流量被丢弃直到组成员1的序号到达X或

下一次rekey)

 传输模式只可以用在组加密传输VPN模式(GM)到GM的流量。

 如果在加密数据包的IP头部设置的DF位,必须在全局模式下配置override命令。GET

VPN不考虑接口的配置。

 因为路径MTU发现(PMTUD)在GET VPN中不工作,在DF位被设置了并且中间链路的

MTU小于封装的数据包尺寸那么封装包也许就会被丢弃。在此情况下,丢弃数据包

的路由器会向数据包的源IP地址发送一个通知,指出数据包因为设置的DF位而不能

分片而被丢弃。在GET VPN中,由于GET VPN的头部保存特性,此信息会忽略封装

端点直接到达数据的源。因此,封装路由器永远不会知道必须在设置DF位之前将数

据包分片为更小的尺寸再封装。它会继续在数据包上设置DF位,并且在中间链路路

由器上继续丢包。

关于Cisco组加密传输VPN的信息

为配置GET VPN,需要理解以下概念:

 Cisco GET VPN预览

 Cisco GET VPN结构

 Cisco GET VPN特性

 终端用户考虑事项

 系统错误消息

Cisco GET VPN预览

通过推出群组加密传输技术,思科构建了无需隧道的新型虚拟专用网(VPN)。无需部署点

到点隧道,分布式的分支机构网络即能够大规模扩展,同时保持对于确保语音和视频质量至关重

要的网络智能特性 — 如 QoS、路由和组播等。群组加密传输技术基于“可信”组员的概念。可

信的成员路由器使用通用的安全方法,与任何点到点的 IPsec 隧道无关。 通过使用信任组来替

代点到点隧道,“any-any”网络可以有更好的扩展,同时保持对于确保语音和视频质量至关重

要的网络智能特性 — 如 QoS、路由和组播等。

基于GET的网络可以应用在各种WAN环境中,包括IP和MPLS。MPLS VPNs使用这种加密技

术有较好的扩展性,可管理性并节省成本,并符合政府强制的加密要求。GET简单化要求部分或

全网互联的大的二层或MPLS网络的安全。