A2A VPN是Any to Any VPN的简称,是利用组解释域GDOI(Group Domain of Interpretation)协议来集中管理密钥和GDOI安全策略的VPN的一种解决方案。A2A VPN主要用于保护广域网的企业内部业务流量。
随着网络的发展,企业不仅有数据业务,而且对于语音和视频等智能业务的诉求也越来越多,这些诉求加速了企业对分支机构间即时互联的需求。企业通常部署专线网络,如MPLS VPN网络,实现分支间的互联。
虽然专线网络为企业的通信提供了一定的安全,但是近年来政府法规,如健康保险流通与责任法案HIPAA(Health Insurance Portability and Accountability Act)、行业标准PCIDSS(Payment Card Industry Data Security Standard)等,在专线网络也强制要求加密传输。
目前,以IPSec通道为基础的加密解决方案,可以部署在专线网络中。IPSec是IETF制定的三层隧道加密协议,一直被广泛应用于广域互联分支间的数据加密。它提供了高质量的、可互操作的、基于密码学的安全保证,是一种传统的实现三层VPN的安全技术,特定的通信方之间通过建立IPSec隧道来传输用户的私有数据。
但是,IPSec VPN是一种点到点的隧道技术,主要关注的是数据安全加密,存在如下缺点:
企业大量分支间的数据IPSec加密面临N2隧道配置的问题,配置管理复杂,网络扩容能力差。
IPSec VPN需改变原有路由部署、无法提供更好的QoS处理。
IPSec VPN无法独立支持组播业务、对智能业务的支持能力差。
综上所述,A2A VPN解决方案应运而生。A2A VPN利用原报文的IP头封装新增的IP头,实现分支间无隧道连接。其通过对密钥和GDOI安全策略的集中管理,简化了网络部署,分布式的分支机构网络既能够大规模扩展,也支持能够确保语音和视频质量的QoS和组播功能。
