[科普中国]-链式通道

在Hub-and-Spoke网络安全配置中，通常有一个终止多通道的路由器。从一个网络横过Hub-and-Spoke网络，到达另一个网络的数据包都由一个安全网关加密，由集线器解密，再加密(极可能用不同的密钥)，并由保护远程网络的另一个安全网关解密。有时有好几个集线器，解密和重加密就要进行若干次。路径中的各个通道都链在一起，就是Hub-and-Spoke的链式通道。

基本介绍一种常见的网络安全配置是Hub-and-Spoke。网络设计者一般在设计网络时，想到了链接加密，还有比如多对多加密等。

在这样一种设计中，通常有一个终止多通道的路由器。从一个网络横过Hub-and-Spoke网络，到达另一个网络的数据包都由一个安全网关加密，由集线器解密，再加密(极可能用不同的密钥)，并由保护远程网络的另一个安全网关解密。有时有好几个集线器，解密和重加密就要进行若干次。路径中的各个通道都链在一起，如图1所示11。

显而易见，该设计的性能不如传统上的VPN优良，因为同一个数据包将进行多次加密。同时，第一个数据包的设置潜力非常有限，因为在建立这个链中的下一个通道期间，每次停顿都会导致这个包的延迟。撇开这些缺点来说，它仍然是一个非常常用的配置方案，其主要原因是管理。在一个由几百个，甚至上千个stub网络组成的网络中，准备利用每隔一个安全网关，就配置一个peerwise同级关系，则保护一个stub网络将是一个巨大的挑战。新增一个stub网络就需要承担访问和配置每个独立stub网关的任务。

不幸的是，解决这一问题尚未有更容易的方案。IPSec是一个点到点协议，一个点必须知道另一个点。每个stub网关都必须知道对各个可能的同级进行识别，知道自己保护的网络。这种方式下，网关在得到已知其目的地的这个数据包时，必须将它封装起来1。

链路加密链路加密是传输数据仅在物理层前的数据链路层进行加密。接收方是传送路径上的各台节点机，信息在每台节点机内都要被解密和再加密，依次进行，直至到达目的地。

使用链路加密装置能为某链路上的所有报文提供传输服务。即经过一台节点机的所有网络信息传输均需加、解密，每一个经过的节点都必须有密码装置，以便解密、加密报文。如果报文仅在一部分链路上加密而在另一部分链路上不加密，则相当于未加密，仍然是不安全的。与链路加密类似的节点加密方法，是在节点处采用一个与节点机相连的密码装置(被保护的外围设备)，密文在该装置中被解密并被重新加密，明文不通过节点机，避免了链路加密节点处易受攻击的缺点。

一种常见的网络安全配置是Hub-and-Spoke。网络设计者一般在设计网络时，想到了链接加密，还有别的原因，比如多对多加密。

在这样一种设计中，通常有一个终止多通道的路由器。从一个网络横过Hub-and-Spoke网络，到达另一个网络的数据包都由一个安全网关加密，由集线器解密，再加密(极可能用不同的密钥)，并由保护远程网络的另一个安全网关解密。有时，有好几个集线器，解密和重加密就要进行若干次，路径中的各个通道都链在一起，如图1所示2。

本词条内容贡献者为:

李嘉骞 - 博士 - 同济大学