2021年版焦点HCGroupDomainVPN关键技术专项方案解析张建伟修改

H3CGroupDomainVPN技术 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 解析文/张建伟广域分支间加密传统技术——IPSecVPNCommentbyuser:单独排版IPSec（IPSecurity）是IETF制订三层隧道加密 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 ，一直被广泛应用于广域互联分支间数据加密。它提供了高质量、可互操作、基于密码学安全确保，是一个传统实现三层VPN（VirtualPrivateNetwork，虚拟专用网络）安全技术，特定通信方之间经过建立IPSec隧道来传输用户私有数据。不过，IPSecVPN是一个端到端隧道技术，而且关键关注是数据安全加密，在云网络架构下存在以下缺点：不管在专线网络还是经过Internet互联，大量分支间数据IPSec加密面临NxN隧道配置问题，配置管理复杂无法独立支持路由和组播技术，对智能业务支持能力差因为IPSecVPN新构建了数据流量VPN通道，无法充足利用原有广域路由架构，对现有基础设置兼容能力差IPSecVPN网络新增分支节点时，配置修改工作量巨大，网络扩容能力差云计算快速发展，促进了企业应用和数据大集中，尤其是语音、视频等智能业务量上升，对大量经过广域互联接入企业分支取得应用和数据安全性、可靠性、扩展能力和可管理性提出了新挑战。伴随网络安全风险加剧和法规遵从能力越来越关键，迫切需要广域分支互联处理方案能够在安全性、网络智能和易管理性上找到平衡。针对云广域网络架构需求和IPSecVPN技术缺点，H3C推出群组加密技术——GroupDomainVPN处理方案，经过对密钥和安全策略集中管理，构建无需隧道新型虚拟专用网（VPN），实现点到多点无隧道连接，分布式分支机构网络即能够大规模扩展，同时保持对于确保语音和视频质量至关关键网络智能特征（如QoS、路由和组播等），可应用于行业专网、租用运行商MPLSVPN服务等场景。方案组成GroupDomainVPN提供了一个基于组IPSec安全模型。组是一个安全策略集合，属于同一个组全部组员共享相同安全策略及密钥。组网架构GroupDomainVPN经典组网图1所 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 示，关键设备组员关键包含KS和GM。KS（KeyServer，密钥服务器）。KS通常布署在网管中心或旁挂布署在广域数据中心出口路由器旁，关键功效是创建和维护密钥信息、保留和下发组安全策略管理设备，经过划分不一样组来管理不一样安全策略和密钥，通常由路由器担当KS。GM（GroupMember，组组员）。GM是一组共享通信密钥和安全策略网络路由转发设备，通常是分支出口路由器。GM向KS注册，经过加入对应组，从KS获取安全策略及密钥，和相同群组其它GM通信，并负责对数据流量加密和解密。图1GroupDomainVPN经典组网图密钥包含两种类型：TEK（trafficencrytionkey，加密流量密钥）和KEK（keyencrytionkey，加密密钥密钥）。这些密钥将被周期性更新，在密钥生存周期超时前，KS会经过Rekey消息通知全部GM更新密钥。工作机制GroupDomainVPN工作过程关键包含以下三部分。GM向KS注册KS是集中密钥和安全策略管理设备，网络管理员预先依据网络计划要求配置了GDOI（GroupDomainofInterpretation，组解释域）组信息、密钥、安全策略等信息。GM向指定KS发送注册信息，KS响应GM注册信息，并依据GMGroupID属性，下发密钥和安全策略。身份验证经过后KS依据GM上报组ID信息向GM推送组共享密钥和安全策略。GM会对收到安全策略进行验证，假如这些安全策略是可接收，则向KS发送确定信息，表示注册完成，密钥和安全策略下发成功。Commentbyuser:谁来配？图1中5个Branch出口路由器作GM设备，向同一个KS注册，并依据GM注册信息和预分组策略把这5个GM划分成GroupA和GroupB两个组域，给每个组域GM下发共享密钥和安全策略。这么GroupA中3个Branch可利用GM收到共享密钥和安全策略进行加密通信，其它设备因为没有密钥，无法对GroupA中GM间通信报文进行解密。GroupB中分支间通信机理和GroupA相同。数据保护GM完成注册以后，将使用获取到IPSecSA对符合安全策略报文进行保护，保护数据包含单播数据和组播数据两种。GroupDomainVPN对使用ESP协议对报文进行加密，数据报文加密封装格式也有隧道模式和传输模式两种，封装模式由KS定义，下发给GM实施。Commentbyuser:数据封闭和保护是什么关系？看不出联络。需要用一两句话交代一下隧道模式：图2所表示，首先在原有IP报文外部封装安全协议头ESP（EncapsulatingSecurityPayload，封装安全载荷），然后再复制原报文IP报头封装到最外侧，这么经过加密后报文仍保留了原报文IP头关键信息，包含源/目标地址，QoS信息等。图2GDVPN隧道模式封装示意图传输模式：在原有IP报文头和报文数据之间封装安全协议头，不对原始IP报文头做任何修改。能够看出，GroupDomainVPN报文封装，保留了原报文IP头信息，使得加密后报文仍能利用已经有路由架构转发，能够充足利用现有网络基础架构。除了报文安全封装，安全策略对数据保护实施也很关键。GM在向KS注册时，KS会向GM下发安全策略，下发安全策略关键定义GM上使能GDVPN功效接口（物理接口/逻辑接口）对哪些报文加密、哪些报文明文转发。在GM上，用户也会依据业务需要配置安全策略（我们称作当地安全策略），当地安全策略关键定义GM上哪些报文转发、哪些报文丢弃。所以，当地安全策略和下发安全策略共同决定着GM上报文加密、明文转发、丢弃动作，当地安全策略和下发安全策略不能冲突。密钥更新GM向KS注册后，假如KS上配置了Rekey参数，则KS会周期向GM发送密钥更新SA，以提升安全性。KS将经过密钥更新消息（也称为Rekey消息）定时向GM以单播或组播 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 发送新IPsecSA或RekeySA，该Rekey消息使用目前RekeySA进行加密，GM会经过KS下发公钥对该消息进行认证。全部GM会周期性地收到来自KS密钥更新消息。KS冗余备份在GroupDomainVPN组网中，KS是密钥和安全策略集中控制设备，很关键，需要高可靠性支撑方案，，可经过布署多台KS提供KeyServer冗余备份和负载分担功效（图3所表示）。多台协同工作KS经过选举，决定其中优先级最高为主KS（PrimaryKS），其它为备KS（SecondaryKS）。主KS负责创建和维护密钥，并将生成密钥、搜集GM注册信息发送给该组中全部备KS，和对全部已注册GM进行Rekey。备KS本身不会生成密钥，它使用从主KS取得密钥。主KS和全部备KS全部能够接收GM注册，所以备KS能够和主KS一起分担对GM注册服务。当备KS上有新GM完成注册后，备KS将把该GM注册信息发送给主KS。图3GDVPN中KS冗余备份组网主备KS间经过数据交换保持各KS之间数据一致，实现数据备份。这个过程中，主KS向各备KS同时密钥和GM注册信息，备KS向主KS同时自己取得新GM注册信息。主KS会定时向全部备KS发送Hello报文，备KS经过监测是否能定时收到主KSHello报文来判定主KS是否处于正常工作状态。当主KS发生故障，其它工作状态正常备KS会重新提议选举，并产生一个新主KS。GM上能够同时配置多个KS注册地址，根据配置次序依次选择，这么当第一个KS连接不上时，能够继续选择其它KS注册，以恢复正常工作状态。GroupDomainVPN网络扩容GroupDomainVPN网络扩容能力关键包含KS扩容和GM扩容两种情况：，应该是相比IPSecVPN一个最大亮点了，网络配置修改工作量能够大幅降低。KS扩容通常是为了增加管理Group组、GM数量能力，或是提供KS设备冗余备份和负载分担；GM扩容通常是增加了新分支网络，而且和现有GroupDomainVPN网络GM有加密通信需求。Commentbyuser:先简明介绍一下这个功效是处理什么问题，为何说它是亮点。先介绍下KS扩容，新增KS只需加入到原KS工作组中，主KS即会向新加入备KS同时密钥、安全策略、注册GM信息等，此时新加入KS能够完全作为备用设备。假如期望新KS进行负载分担，后续注册GM全部选择这个KS注册，那么在后续注册GM设备上配置KS首选地址为新KS地址即可。假如是GM扩容，首先确保GM和注册KS和需要通信GM路由可达，然后配置GM注册信息，新GM向指定KS注册，获取密钥和安全策略，即可加入对应组域和其它组员GM进行加密通信了，无需更改现有网络其它配置。相对于需要大量调整配置IPSecVPN网络扩容，GroupDomainVPN网络扩容能力优势显著，KS、GM新增设备全部只需和原主用KS通信，同时/获取配置策略即可，能够最大程度地保持现有网络稳定和最少配置工作量。经典应用场景需求一：数据加密某大型企业租用运行商专线网络，构建广域企业专网连接分布于全国各地分支结构，分支机构和总部及分支机构间有频繁业务交互，包含数据、语音、视频等多个复杂业务。IT部门对业务承载安全性顾虑和需求关键有两方面：需要对敏感业务数据进行安全加密，以确保企业敏感数据在运行商广域线路和设备上承载安全性；Commentbyuser:这么看，我感觉其实就是一个需求，对敏感业务数据进行加密，这么不管是广域网上还是企业内部，全部确保其安全性。而且，两个需求加密应该是一次就够了吧。也就是说，不用针对第一个需求是一个加密方法，针对第二个需求再进行一次加密，对吧？假如我了解没有错，提议就把需求这边提炼一下，就是一个需求。企业专网内承载了各类复杂业务，有些业务（如财务、预算和视频会议）是敏感业务，不能被企业其它无关部门、无关人员窃取和破译，需要在企业内部进行安全加密。Commentbyz02811:这部分无需修改，从两个场景安全需求引出GDVPN方案处理措施，需求场景是两个，处理方案一个就够了。针对上述需求（图4所表示）在总部布署一台KeyServer设备，配置共享密钥信息和下发安全策略，其中安全策略定义只对财务、预算和视频业务加密，其它业务正常转发。总部出口路由器和各分支出口路由器作GM，开始工作时全部向总部KS注册获取共享密钥和安全策略，然后在当地实施转发和加解密工作。该方案布署后，分支和总部、分支间财务、预算和视频会议数据流在广域上全部是经过加密，无需担心运行商广域线路承载和数据被窃取安全风险。其它未定义业务仍采取一般IP报文转发。图4GroupDomainVPN加密策略集中控制组网需求二：业务隔离某地市电子政务平台承载了政府不一样部门业务，为了确保在公共平台网络上承载业务安全性，电子政务平台管理部门期望经过技术手段实现不一样部门业务逻辑隔离，但又要确保部分业务共享互访。即使MPLSVPN技术广泛应用于国家电子政务外网广域网，能实现不一样部门业务逻辑隔离，不过它是一个平面分布式VPN技术，比较复杂、对设备要求较高，在地市、区县一级平台应用布署难度较大，而且有新单位接入时，扩展配置工作量较大，IT部门期望经过一个集中管控、易扩展方案来实现。图5GroupDomainVPN实现政务平台业务隔离组网以税务和社保业务隔离为例，（图5所表示）在电子政务平台网管中心，集中布署一台KS进行集中密钥和安全策略管理，把社保、税务两大系统接入单位划分到不一样组域，分别分配不一样密钥，这么同一组域接入单位间能够经过加密报文通信、不一样组域间单位无法通信，从而实现了两大系统接入单位业务逻辑隔离，而且报文加密更深入确保了隔离安全性。KS在安全策略上也要进行控制，只对两大系统需要隔离业务数据进行加密，对于需要共享数据不加密，这么在实现业务隔离同时也灵活提供了共享方案。当有新单位接入时，只需向KS注册，加入到对应组域中，获取共享密钥和安全策略，即可实现和同系统单位加密通信、和其它系统单位业务隔离，扩展很灵活。结束语H3CGroupDomainVPN处理方案利用KeyServer进行集中密钥管理、GDOI群组共享密钥、GroupMember分布式加解密，摒弃了传统隧道加密方案在配置、扩容、可靠性等方面缺点，对云网络架构和智能业务布署安全性需求提供了有力支撑：经过对报文安全加密，实现业务广域承载安全性要求，满足法规遵从性需求Commentbyuser:前面加一段总结性文字，作为全文结束语。最终引出GDVPN方案优势。集中密钥和安全策略管理，便于管理员对组组员管理，可灵活实现数据安全加密和业务逻辑隔离消除端到端隧道要求，能够充足利用现有网络架构转发报文，确保低时延、低抖动和易扩展支持对智能业务安全性要求，实现高效单播、组播流量加密