配置 VPNv2 组用例
VPNv2 组是 MX5、MX10、MX40、MX80、MX104、MX240、MX480 和 MX960 路由器上的组 VPN 技术的名称。VPNv2 组不同于在 SRX 安全网关上实施的组 VPN 技术。本文中有时使用“组 VPN”一词来指代常规技术,而非 SRX 技术。
当今的网络支持分布式计算、IP 语音和视频等关键应用,而这些应用都需要分支机构到分支机构的实时通信。随着对延迟和其他延迟高度敏感的应用程序的使用越来越多,企业网络正逐渐转向网状配置,其中远程站点之间直接连接,而不是通过中央站点进行连接。为了提供支持此类应用和技术所需的基础架构,大型服务提供商和企业网络通过 IP VPN 和 MPLS 网络实施任意到任意位置的连接。
尽管为了提供安全性,IP VPN 和 MPLS 服务将企业流量与公共互联网分离,但企业也越来越需要对使用服务提供商网络(如基于 MPLS 的 BGP)构建的专用 WAN 进行加密。近年来,诸如《健康保险可移植性和责任法案 》(HIPAA)、Gramm-Leach-Bliley Act (GLBA) 和支付卡行业数据安全标准 (PCI DSS) 等政府法规强制要求加密,甚至要求对专用 IP 网络进行加密。
中心辐射型 VPN 解决了企业 WAN 通过公共互联网进行安全通信的问题。对于专用 IP 和 MPLS 网络,VPNv2 组使用一个组 IPsec 安全范例来解决跨多个站点的上述问题。
使用 MS-MIC-16G 或 MS-MPC-PIC 线卡对某些 MX 系列路由器进行 VPNv2 组,可以为专用 IP 和 MPLS 网络中的设备之间提供无隧道任意互连加密。每个设备都是一个组成员,使用相同的 IPsec 安全关联 (SA) 对以及一个或多个 Cisco 组控制器或密钥服务器 (GC/KS) 提供的密钥。
VPNv2 组具有可管理性和可扩展性。它使用动态组密钥管理系统替换每个对等方静态配置的配对 IKE 连接,从而提供任意到任意加密通信。通过跨专用 IP 和 MPLS 网络提供加密,组 VPNv2 的实施简化了安全分支机构到分支机构通信的管理。
除了简化的密钥管理、减少延迟和改进的任意互连功能外,Group VPNv2 还为所有 WAN 流量提供加密,从而为内部治理和法规提供安全合规性。
配置组 VPNv2 提供了一种创新的可扩展解决方案,可在企业流量通过网状专用 WAN 时为其提供保护。VPNv2 组使用现有 MPLS 主干网保持全网状连接和路由路径,从而优化网络利用率并增加收入,从而消除传统全网状 VPN 网络的管理和性能成本。