安全通信时,则采用隧道模式。北电网络已解决了在IPSec隧道上实现安全路由的问题,为IPSec VPN 的普及打下了坚实的基础。
安全路由技术
所谓的安全路由技术即如何在IPSec VPN隧道上实现动态路由选择技术。
1.安全路由技术的实现
要在IPSec隧道上实现动态路由技术,必需找到两个通信端点的SA(Security Association ,如果该SA不存在,则启动IKE(Internet Key Exchange 来为该通信端点建立SA。一旦该SA建立,就只允许这两个通信端点相互交流,其余数据均被禁止(除非通过IKE建立新的SA)。
假设IPSec VPN隧道已建立,并且由IKE为动态路由协议(OSPF, RIP, Etc. 建立了允许动态路由协议包通过的SA,VPN两端的路由信息通过该SA互相学取,建立了动态路由表,那么当两端的用户根据该路由信息通信时,又需要通过IKE为各自通信的端点重新建立SA,而如果网络状态有变导致某网段消失,则又需要通过IKE删除相关的SA,工作过程非常复杂,开销太大,不能接受,并且目前IPSec规范中没有该标准。有的厂家为了解决该问题,只好把数据额外封装到GRE(General Routing Encapsulation 隧道页码:[1] [2] [3] [4] [5] [6] [7] [8] 第2页、共8页 |
