配置组 VPNv2 的用例
组 VPNv2 是 MX5、MX10、MX40、MX80、MX104、MX240、MX480 和 MX960 路由器上的组 VPN 技术的名称。组 VPNv2 不同于 SRX 安全性网关上实施的组 VPN 技术。本文档中有时使用术语“组 VPN”来指代一般技术,而非 SRX 技术。
当今的网络支持分布式计算、语音和 IP 视频等关键应用,这些应用都需要分支机构之间的实时通信。随着越来越多地使用对延迟和其他延迟高度敏感的应用,企业网络也趋向于网状配置,其中远程站点彼此直接连接,而非通过中央站点。为了提供支持此类应用和技术所需的基础架构,大型服务提供商和企业网络通过 IP VPN 和 MPLS 网络实现任意到任意连接。
虽然 IP VPN 和 MPLS 服务将企业流量与公共互联网分离以提供安全性,但企业也越来越需要对使用服务提供商网络(例如基于 MPLS 的 BGP)构建的专用 WAN 进行加密。近年来,《健康保险便利和责任法案》(HIPAA)、《格雷姆-里奇-比利利法案》(GLBA) 和支付卡行业数据安全性标准 (PCI DSS) 等政府法规强制要求即使在专用 IP 网络上也进行加密。
中心辐射型 VPN 解决了企业 WAN 在公共互联网上进行安全通信的问题。对于专用 IP 和 MPLS 网络,VPNv2 组使用组 IPsec 安全范例解决跨多个站点的上述问题。
在配备 MS-MIC-16G 或 MS-MPC-PIC 的某些 MX 系列路由器上使用 VPNv2 组可在专用 IP 和 MPLS 网络中的设备之间提供无隧道任意到任意加密。每个设备都是一个组成员,使用由一个或多个思科组控制器或密钥服务器 (GC/KS) 提供的相同的 IPsec 安全关联 (SA) 对和密钥。
VPNv2 组具有可管理和可扩展性。它通过用动态组密钥管理系统取代每个对等方静态配置的逐对 IKE 连接,从而提供任意到任意加密通信。通过跨专用 IP 和 MPLS 网络提供加密,组 VPNv2 实施简化了分支机构到分支机构安全通信的管理。
除了简化密钥管理、降低延迟和改进任意到任意连接功能外,VPNv2 组还为所有 WAN 流量提供加密,从而为内部治理和法规提供安全合规性。
配置组 VPNv2 提供了一种创新且可扩展的解决方案,可在企业流量通过网格化专用 WAN 时保护其流量。组 VPNv2 通过与现有 MPLS 主干网保持全网状连接和路由路径,优化网络利用率并增加收入,从而消除传统全网状 VPN 网络的管理和性能成本。