鏈式通道

鏈式通道

在Hub-and-Spoke網路安全配置中,通常有一個終止多通道的路由器。從一個網路橫過Hub-and-Spoke網路,到達另一個網路的數據包都由一個安全網關加密,由集線器解密,再加密(極可能用不同的密鑰),並由保護遠程網路的另一個安全網關解密。有時有好幾個集線器,解密和重加密就要進行若干次。路徑中的各個通道都鏈在一起,就是Hub-and-Spoke的鏈式通道。

基本介紹

一種常見的網路安全配置是Hub-and-Spoke。網路設計者一般在設計網路時,想到了連結加密,還有比如多對多加密等。

在這樣一種設計中,通常有一個終止多通道的路由器。從一個網路橫過Hub-and-Spoke網路,到達另一個網路的數據包都由一個安全網關加密,由集線器解密,再加密(極可能用不同的密鑰),並由保護遠程網路的另一個安全網關解密。有時有好幾個集線器,解密和重加密就要進行若干次。路徑中的各個通道都鏈在一起,如圖1所示。

圖1  Hub-and-Spoke 圖1 Hub-and-Spoke

顯而易見,該設計的性能不如傳統上的VPN優良,因為同一個數據包將進行多次加密。同時,第一個數據包的設定潛力非常有限,因為在建立這個鏈中的下一個通道期間,每次停頓都會導致這個包的延遲。撇開這些缺點來說,它仍然是一個非常常用的配置方案,其主要原因是管理。在一個由幾百個,甚至上千個stub網路組成的網路中,準備利用每隔一個安全網關,就配置一個peerwise同級關係,則保護一個stub網路將是一個巨大的挑戰。新增一個stub網路就需要承擔訪問和配置每個獨立stub網關的任務。

不幸的是,解決這一問題尚未有更容易的方案。IPSec是一個點到點協定,一個點必須知道另一個點。每個stub網關都必須知道對各個可能的同級進行識別,知道自己保護的網路。這種方式下,網關在得到已知其目的地的這個數據包時,必須將它封裝起來。

鏈路加密

鏈路加密是傳輸數據僅在物理層前的數據鏈路層進行加密。接收方是傳送路徑上的各台節點機,信息在每台節點機內都要被解密和再加密,依次進行,直至到達目的地。

使用鏈路加密裝置能為某鏈路上的所有報文提供傳輸服務。即經過一台節點機的所有網路信息傳輸均需加、解密,每一個經過的節點都必須有密碼裝置,以便解密、加密報文。如果報文僅在一部分鏈路上加密而在另一部分鏈路上不加密,則相當於未加密,仍然是不安全的。與鏈路加密類似的節點加密方法,是在節點處採用一個與節點機相連的密碼裝置(被保護的外圍設備),密文在該裝置中被解密並被重新加密,明文不通過節點機,避免了鏈路加密節點處易受攻擊的缺點。

一種常見的網路安全配置是Hub-and-Spoke。網路設計者一般在設計網路時,想到了連結加密,還有別的原因,比如多對多加密。

在這樣一種設計中,通常有一個終止多通道的路由器。從一個網路橫過Hub-and-Spoke網路,到達另一個網路的數據包都由一個安全網關加密,由集線器解密,再加密(極可能用不同的密鑰),並由保護遠程網路的另一個安全網關解密。有時,有好幾個集線器,解密和重加密就要進行若干次,路徑中的各個通道都鏈在一起,如圖1所示。

相關詞條

熱門詞條

聯絡我們