阅读量:262
随着未来业务融合和带宽多媒体业务的规模化发展,对统一承载网络的需求将越来越高。网络需要具备完善的业务识别和隔离、服务质量(QoS)和可靠性保障能力,以支持一般业务并优先保障关键业务。然而,新技术引入的同时,也会带来网络改造成本的增加和复杂性的增大。未来,网络运营商将在业务和技术驱动下,继续寻找业务承载质量与网络投入成本的平衡点。
目前,随着技术的发展,网络层封装正成为软件定义广域网(SD-WAN)实现技术的主流。IPsec是目前实现SD-WAN的基础,已经相当成熟可靠。上层服务都在网络层上实现。IPsec使用两种协议来提供传输安全:认证头(AH)和封装安全有效载荷(ESP)。AH提供无连接完整性、数据源认证和可选的重放服务。ESP协议可提供机密性和有限的传输流机密性,还可提供无连接完整性、数据源认证和防重放服务。这些协议可以单独使用或组合使用,以提供所需的安全服务。
IPsec允许用户(或系统管理员)在安全服务的粒度上进行控制。例如,可以为两个安全网关之间所有的传输建立一个加密隧道,或者为通过网关的两台主机之间的每个TCP连接建立独立的加密隧道。IPsec管理在以下几个方面体现了很大的灵活性:使用何种安全服务和组合;给定的安全保护采用何种粒度;用于加密的算法。