思科预计本周推出VPN技术,可以帮助快速成长的分支机构部署更迅速地建立和维护安全的企业广域网链接。
该公司计划推出,作为一个更大的公告的一部分,它与它的IOS路由器软件的新版本调用组加密传输(GET)。GET将允许用户在一个站点到站点VPN比与思科当前站点到站点一起工作更轻松VPN技术,它是基于IPSec隧道,专家说。(请参阅我们的故事其他新的IOS功能。)AT&T也有望推出基于GET增强其基于MPLS的IP VPN服务,这样一个IP VPN链路上的流量会被加密,作为进一步的安全措施,思科和AT&T的发言权。
在GET VPN,思科分支机构路由器被配置为一组,在该成员被授权交换加密业务流的一部分。集中的密钥服务器- 专门配置的路由器 - 通过一个称为组域解释(GDOI)协议分配的加密密钥对每个GET构件,由下式定义IETF RFC 3547。
GDOI协调组成员,并创建使用一种叫做多播密钥更新方法的通用加密基础设施。这种技术使用IP组播至IPSec安全关联,密钥和策略分发到组成员。这个过程允许通过Internet安全的交通连接。在GET VPN IPSec安全协会是定时在指定期间内后过期。或多播密钥更新 - - 周期性地,密钥服务器经由多播推送新键将组成员路由器的安全关联的路由器上过期之前。一个GET组的成员基本上是IP组播组成员,但他们交换的IPSec加密密钥的数据,让他们在不受信任的网络安全通信。
在传统的站点到站点VPN通道的设置,IPSec VPN通道建立和网站之间保持,创造放在公共路由互联网之上的安全枢纽和辐射网络。这使得大量的VPN难以建立和限制流量路径,因为所有的设备和路径必须是预定义的,技术观察家说。
“在一个大的,全网状VPN,你一定要告诉每个端点在其他端点,并建立了很多的路线”,与Yankee集团分析师Zeus Kerravala说。“再有就是被建成下方的整个路由表。这不是管理最简单的事情,它不是那么容易,因为它应该是。”
思科称,一个GET VPN允许客户使用基本的,路由的互联网基础设施,而不VPN隧道覆盖。“我们描述[GET VPN]作为路由你知道路和爱 - 只是加密 - 但所有内置到路由网络的效率,”因巴尔的Lasser-Raab的,在思科产品市场营销总监说。“如果客户使用的枢纽和辐射,他们会因为他们只是使用路由网络看到延迟的改善。”
思科是不是说改善多少。虽然一直在收集有关自己的IPSec隧道之间的延迟和性能差异数据和GET VPN技术,该公司没有公布该数据。包含下载iOS版本是12.4(11)T版,并将于思科1800,2800和3800系列,分支机构集成多业务路由器,以及对Cisco 7200和7300系列广域网汇聚路由器运行。
VPN动态
思科和其他厂商,如Juniper和Check Point的,有技术,可以使建立IPSec VPN隧道更具动感和模拟全网状网络,其中节点具有直接链接到对方。思科,例如,具有动态多点VPN(DMVPN),一个IOS的功能,让路由器在轮毂和辐条的IPSec VPN设置的辐条之间的隧道动态。
“[DMVPN]有助于绕过枢纽 - 轮辐[拓扑]多网格的创建,” Forrester研究公司的高级分析师罗伯特·怀特利说。“它给你的隧道更自动化的设置,但它不会做搭桥的整体问题。你还是得身体说,这里是网络拓扑结构。”
怀特利说,一个GET VPN将让用户使用互联网的通信的简单加密某些部分流只是基本的路由基础设施,并建立了一个非常大的VPN,“所以你得到一个VPN的安全方面,而无需创建此硬化隧道。”
“如果一家公司持续添加站点,计划新增网站或没有通过VPN扩建了呢,GET VPN是一个没有脑子,”怀特利说。这是一个IOS功能的路由器上运行也可以通过消除在网络上单独的VPN齿轮需要简化部署的事实,他补充道。
什么是那里得到?
其他行业观察家们没有感到兴奋GET。特别是,它使用GDOI通过组播分发IPSec密钥的方法是“VPN的一个相当模糊的方面,只有有一个非常有限的适用性,”乔尔·斯奈德,在作品一号网络咨询公司高级合伙人与网络世界中的一员说足球竞猜app软件实验室联盟。
“对于使用多播组通信,GDOI是一个很好的功能,”斯奈德说。“不过,说实话,这是一个不寻常的事情。大多数人没有试图做站点到站点的组播流量在一个加密的隧道。”
由于运行GET VPN需要一定的Cisco IOS版本 - 这意味着全思科网络 - GET VPN关闭了任何网站未经思科,甚至思科网站不是GDOI启用。“如果你不支持[GDOI],您将无法说话 - 所以这是一个互操作性问题,”斯奈德说。他补充说,站点到站点VPN并不难设置和使用正确的工具和产品管理。
“如果思科]有一个合理的VPN管理工具,如果他们有良好的VPN集中器,那么他们就不会像[困扰]对整个效率问题”网格,站点到站点VPN管理,斯奈德说。“解决通过拖动一个新的,不兼容的技术进入画面,并呼吁这更好的全网VPN的问题,在我看来是一个非常穷的说法,”他补充道。“他们可以通过简单地做正确的VPN解决全网VPN的问题。”
规模较小的网站与连接位置可能不会有兴趣在抛出建立IPSec VPN中GET VPN几个隧道,分析师说。说服较大的站点已建立VPN连接,并在思科VPN齿轮相当大的投资,也可能是一个艰难的销售。“对于思科能够为要求[GET]是更好的方法做的VPN,我们需要看到一些证据点,”克拉瓦拉说。
思科爆炸:推出更简单的站点到站点VPN,增加了连通路由器,加强IOS