A2A VPN简介

A2A VPN简介
介绍A2A VPN的定义、由来和作用。
定义
A2A VPN是Any to Any VPN的简称，是利用组解释域GDOI（Group Domain of Interpretation）协议来集中管理密钥和GDOI安全策略的VPN的一种解决方案。A2A VPN主要用于保护广域网的企业内部业务流量。
目的
随着网络的发展，企业不仅有数据业务，而且对于语音和视频等智能业务的诉求也越来越多，这些诉求加速了企业对分支机构间即时互联的需求。企业通常部署专线网络，如MPLS VPN网络，实现分支间的互联。
虽然专线网络为企业的通信提供了一定的安全，但是近年来政府法规，如健康保险流通与责任法案HIPAA（Health Insurance Portability and Accountability Act）、行业标准PCIDSS（Payment Card Industry Data Security Standard）等，在专线网络也强制要求加密传输。
目前，以IPSec通道为基础的加密解决方案，可以部署在专线网络中。IPSec是IETF制定的三层隧道加密协议，一直被广泛应用于广域互联分支间的数据加密。它提供了高质量的、可互操作的、基于密码学的安全保证，是一种传统的实现三层VPN的安全技术，特定的通信方之间通过建立IPSec隧道来传输用户的私有数据。
但是，IPSec VPN是一种点到点的隧道技术，主要关注的是数据安全加密，存在如下缺点：
    企业大量分支间的数据IPSec加密面临N2隧道配置的问题，配置管理复杂，网络扩容能力差。
    IPSec VPN需改变原有路由部署，无法提供更好的QoS处理。
    IPSec VPN无法独立支持组播技术，对智能业务的支持能力差。

综上所述，A2A VPN解决方案应运而生。A2A VPN利用原报文的IP头封装新增的IP头，实现分支间无隧道连接。其通过对密钥和GDOI安全策略的集中管理，简化了网络部署，分布式的分支机构网络既能够大规模扩展，也支持能够确保语音和视频质量的QoS和组播功能。

基本组网
A2A VPN的基本组网如图1所示，主要包括两类设备，密钥服务器KS（Key Server）和组成员GM（Group Member）。A2A VPN提供了一种基于组的IPSec安全模型。组是一个GDOI安全策略的集合，属于同一个组的所有成员共享相同的GDOI安全策略及密钥。
图1 A2A VPN基本组网

GM
GM是一组共享相同GDOI安全策略且有安全通信需求的网络设备，通常是分支的出口路由器。它在KS上注册，并利用从KS上获取的GDOI安全策略与属于同一个组的其它GM通信。GM在KS上注册时提供一个组ID（Group Identifier），KS根据这个组ID将对应组的GDOI安全策略和密钥下发给该GM。
KS
KS是一个创建和维护GDOI安全策略、密钥信息的网络设备，一般部署在广域数据中心出口路由器旁，通常由路由器担当KS。它有两个责任：响应GM的注册请求，以及发送密钥更新消息。当一个GM向KS进行注册时，KS会将GDOI安全策略和密钥下发给这个GM。这些密钥将被周期性的更新，在密钥生存周期超时前，KS会通过密钥更新消息通知所有GM更新密钥。
KS下发的密钥包括两种类型：
    流量加密密钥TEK（Traffic Encryption Key）：由组内的所有GM共享，用于加密、解密GM之间的流量。
    密钥加密密钥KEK（Key Encryption Key）：由组内的所有GM共享，用于加密、解密KS和GM之间的密钥更新消息。

VPN配置案例汇总、VPN汇总（列表、list、全）vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html