j'ai compris

VPN A2A

publié il y a  2020-8-18 10:51:37 90 0 0 0 0

Bonjour à tous,

Aujourd'hui, je vais partager avec vous le VPN A2A.

A2A VPN est un protocole VPN qui a une bonne évolutivité et est facile à déployer et à maintenir. Cependant, la fonction unicast d'A2A VPN est implémentée par le protocole propriétaire de Cisco et Cisco a déposé une demande de brevet. Par conséquent, les routeurs Huawei AR ne prennent pas en charge le VPN A2A. Actuellement, les routeurs AR ne prennent en charge que le mode multicast dans les scénarios VPN A2A.

1. Contexte technique et principes

A2A VPN (Any to Any VPN) est une solution qui utilise le protocole de domaine d'interprétation de groupe (GDOI) pour gérer les clés et les politiques GDOI de manière centralisée. A2A VPN est principalement utilisé pour protéger le trafic de service interne d'une entreprise sur le WAN.

À l'heure actuelle, la solution de cryptage basée sur le canal IPSec est largement utilisée pour le cryptage des données entre les branches d'interconnexion WAN. IPSec fournit une assurance de sécurité de haute qualité, interopérable et basée sur la cryptographie. IPSec est une technologie de sécurité traditionnelle qui implémente un VPN de couche 3. Les tunnels IPSec sont établis entre des parties de communication spécifiques pour transmettre les données des utilisateurs privés.

Cependant, IPSec VPN est une technologie de tunneling point à point qui se concentre sur le cryptage des données et présente les inconvénients suivants:

une. Le cryptage IPSec entre un grand nombre de branches d'une entreprise fait face à ² problèmes de configuration du tunnel, la gestion de configuration complexe, et des possibilités d'extension de la faible capacité du réseau.

b. Les VPN IPSec doivent modifier le déploiement de la route d'origine et ne peuvent pas fournir un meilleur traitement QoS.

c. IPSec VPN ne peut pas prendre en charge indépendamment la technologie de multidiffusion et a une faible capacité à prendre en charge les services intelligents.

La solution VPN A2A est développée sur la base de la technologie IPSec actuelle. A2A VPN utilise l'en-tête IP du paquet d'origine pour encapsuler le nouvel en-tête IP, n'implémentant aucune connexion tunnel entre les branches. En gérant les clés et les politiques GDOI de manière centralisée, il simplifie le déploiement du réseau, permet une expansion à grande échelle des réseaux de succursales distribuées et prend en charge les fonctionnalités de QoS et de multidiffusion pour garantir la qualité de la voix et de la vidéo.

2. Réseaux de base et types d'éléments de réseau

La figure 1 montre le réseau VPN A2A de base, qui se compose de deux types de périphériques: serveur de clés (KS) et membre du groupe (GM). A2A VPN fournit un modèle de sécurité IPSec basé sur un groupe. Un groupe est un ensemble de politiques GDOI. Tous les membres d'un groupe partagent la même politique et la même clé GDOI.

Figure 1 Réseau VPN A2A de base

202744sf4k3sgx8w9yvovl.jpg

GM

Un GM est un groupe de périphériques réseau qui partagent la même politique GDOI et ont des exigences de communication de sécurité. Un GM est généralement un routeur de sortie d'une succursale. Il s'enregistre auprès du KS et utilise la politique de sécurité GDOI obtenue du KS pour communiquer avec d'autres GM du même groupe. Un identificateur de groupe (GID) est fourni lorsqu'un GM s'enregistre auprès du KS. Le KS fournit la stratégie GDOI et la clé du groupe correspondant au GM en fonction de l'ID de groupe.

KS

Le KS est un périphérique réseau qui crée et gère les politiques et les clés GDOI. Il est généralement déployé à côté du routeur de sortie du centre de données WAN. Le routeur fonctionne comme le KS. Il a deux responsabilités: répondre à la demande d'enregistrement du directeur général et envoyer un message de mise à jour des clés. Lorsqu'un GM s'enregistre auprès du KS, le KS délivre la politique GDOI et la clé au GM. Ces clés sont mises à jour périodiquement. Avant l'expiration du cycle de vie de la clé, le KS envoie un message de mise à jour de clé à tous les GM pour leur demander de mettre à jour les clés.

Le KS propose deux types de clés:

une. Clé de cryptage du trafic (TEK): elle est partagée par tous les GM d'un groupe et est utilisée pour crypter et décrypter le trafic entre les GM.

b. Clé de chiffrement de clé (KEK): elle est partagée par tous les GM d'un groupe et est utilisée pour crypter et décrypter les messages de mise à jour de clé entre le KS et les GM.

Mise à jour de la clé (Rekey)

Comme mentionné ci-dessus, KS est non seulement responsable de la création de politiques et de clés de chiffrement, mais également de la mise à jour des clés et de leur attribution aux GM. Pour améliorer la sécurité, après que le GM s'enregistre auprès du KS, le KS envoie périodiquement de nouvelles SA TEK ou KEK SA au GM via des messages de mise à jour de clé (également appelés messages Rekey, qui transportent des informations sur les flux de données protégés, les algorithmes de cryptage, les algorithmes d'authentification, l'encapsulation. modes, clés et durées de vie SA). Le message Rekey est protégé par l'actuel KEK SA. Tous les GM reçoivent périodiquement des messages de renouvellement de clé du KS. Si un GM ne reçoit aucun message Rekey dans le cycle de vie TEK SA ou KEK SA, le GM envoie à nouveau une demande d'enregistrement au KS après l'expiration du temporisateur pour télécharger la politique GDOI et la clé vers l'hôte local.

La mise à jour de clé est classée en Rekey multicast et Rekey unicast.

Rekey de multidiffusion

En mode multicast Rekey, le KS a envoyé des messages Rekey aux membres du groupe de multidiffusion par mode multidiffusion. Une fois l'enregistrement réussi, le GM rejoint le groupe de multidiffusion spécifié. Tous les GM qui rejoignent le groupe reçoivent le message Rekey. Si la politique GDOI sur le KS est modifiée, le message Rekey est envoyé à tous les membres du groupe.

Rekey unicast

En mode Rekey unicast, le KS a envoyé des messages Rekey à chaque GM en mode unicasts. Le KS garantit que tous les GM reçoivent le même message de renouvellement de clé avec la nouvelle SA TEK ou KEK SA avant l'expiration de l'ancienne SA. Après avoir reçu le message Rekey, le GM envoie un message ACK au serveur de clés. Lorsque le KS reçoit le message ACK, il met à jour la liste des GM actifs et envoie un message Rekey uniquement aux GM actifs.

De plus, si le KS dans le groupe de monodiffusion ne reçoit pas le message ACK du message Rekey pendant trois fois consécutives, le KS supprime le GM de la liste active et arrête d'envoyer le message Rekey au GM. Si le MJ souhaite recevoir des messages de renouvellement de clé, il doit attendre que le MJ s'enregistre à nouveau auprès du KS.

Précautions pour la configuration des routeurs Huawei AR:

une. L'appareil ne peut fonctionner que comme GM mais pas comme KS.

b. Un GM ne prend en charge que les messages de renouvellement de clé multicast.

c. Les MJ ne prennent pas en charge la fonction anti-relecture basée sur le temps. Si la fonction d'anti-relecture basée sur le temps est configurée sur un KS, le trafic est interrompu lorsque le GM communique avec un GM qui prend en charge la fonction d'anti-relecture basée sur le temps d'un autre fournisseur.

ré. Un GM peut s'enregistrer avec seulement deux KS, l'un actif et l'autre en veille.

C'est tout ce que je veux partager avec vous! Je vous remercie!

  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.