GETVPN

https://www.jannet.hk/zh-Hans/post/group-encrypted-transport-vpn-getvpn/

Cisco 的 Group Encrypted Transport VPN (GETVPN) 技术可以简化 IPSec 设定，让⽹管⼈员更容易管理和配置 IPSec。

为了建⽴ Fully Mesh IPSec ⽹络，每只 Router 都要对其馀所有 Router 建⽴ IPSec Tunnel，涉及⼤量的 ISAKMP Key 管理及 IPSec 组态。试计算⼀下，如⽹络⾥有 n 只 Router 之间需要 IPSec 保护，IPSec Tunnel 总数为 n(n-1)/2，设定极为费时及容易出错，⽹管⼈员⽣活⼤打折扣 😭。

GETVPN 原理传统 IPSec 设定需要在每只 Router 设定 IPSec 参数，包括 Interesting Traffic 和 Encryption Policy 等等， GETVPN 化繁为简的⽅法是先定义⼀只 Key Server (KS)，然後把 IPSec Policy 都设定在 KS 之中。其他 Router (⼜称为 Group Member，或 GM) ⽤ GDOI (Group Domain of Interpretation) Protocol 向 KS 认证并取得 Policy 设定，然後建⽴单⼀ IPSec Tunnel 与其他 GM 沟通。本⽂将⽤以下⽹络作例⼦来设定 GETVPN，R4 是 KS，R1 与 R2 分别是 GM1 和 GM2。

由於 GETVPN 与 DMVPN 都有着简化 Remote Site 设定的效果，在应⽤上 GETVPN ⽐ DMVPN 在以下优胜之处：

1. 基於 GETVPN 使⽤ Tunnel Mode with Address Preservation，即原 IP Header (Inner IP Header) 被复制到 Outer IP Header，因此 VPN Network 可直接被 Routing ⽽不像 DMVPN 那样需要在 VPN 之上另外建⽴⼀层 Overlay Routing Protocol。

2. DMVPN 把 Multicast Traffic 复制到不同的 mGRE Tunnel，籍此⽀援 Multicast，⽽ GETVPN 可直接使⽤ Underlay 的 Multicast Protocol，例如：PIM。

异:

⽽ DMVPN ⽐ GETVPN 较好的地⽅是在 Internet 的⽀缓。对於 Internet 上的 VPN Router，GETVPN 是⽆能为⼒的，因为 GETVPN 的 Tunnel Mode 为 IP Header Preservation，⽽ Private IP Address ⽆法在 Internet 上被 Route。这情况便得使⽤ DMVPN 了。

Google Sites

Report abuse