GM完成注册之后,将使用获取的TEK SA对符合GDOI安全策略的报文进行保护,保护的数据包括单播数据和组播数据两种。
A2A VPN的数据封装与传统的IPSec类似,但A2A VPN只支持使用ESP(Encapsulating Security Payload)协议对报文进行加密,数据的封装模式也只支持隧道模式,该模式由KS决定并下发给GM。
在隧道模式下,首先在原有IP报文外部封装安全协议头ESP,然后在最外层封装一个与原有报文IP头完全相同的IP头,这样经过加密后的报文仍保留了原报文IP头的重要信息,包括源/目的地址,协议标识等。以TCP为例,经过封装后的IP报文如图所示。
可以看出,A2A VPN的报文封装,保留了原报文的IP头信息,使得加密后的报文仍能利用已有的路由架构转发,能够充分利用现有网络基础架构。
除了报文的安全封装,A2A VPN对数据处理的方式也非常重要。A2A VPN允许有三种SA模式:
-
Receive_Only模式:已经注册成功的GM只发送明文报文,既能接收明文报文也能接收密文报文。
-
Receive_Option模式:已经注册成功的GM只发送密文报文,既能接收明文报文也能接收密文报文。
-
Normal模式:已经注册成功的GM只发送密文报文,只接收密文报文。
在现有网络(例如MPLS VPN)部署A2A VPN时,某台GM加入组后,只接收和发送密文,如果其他的GM还没有加入到组中,就会导致网络业务的中断。此时,可以通过SA模式实现A2A VPN分阶段部署来解决这问题。具体过程如下:
-
部署KS,并在KS上设置SA的模式为Receive_Only模式。SA模式会被KS下发给GM。
-
逐台部署GM加入A2A VPN网络,因为已注册的GM的SA模式处于Receive_Only模式,所以与还没有完成注册的GM通讯就不会中断。
-
待所有的GM部署完成,在GM上设置SA的模式为Receive_Option模式,与还处于Receive_Only模式下GM通讯不会中断。
-
待所有的GM都切换到Receive_Option模式后,在KS上设置SA的模式为Normal模式。