點選傳回:思科SD-WAN實戰課
自學思科SD-WAN控制層面連接配接的建立過程
目錄:
- 章節1:資料層面白名單和身份驗證
- 章節2:資料層面隐私和加密
- 章節3:資料層面完整性
- 章節4:DDoS防護
- 章節5:防重播保護
- 章節6:雙向轉發檢測(BFD)
一、資料層面白名單和身份驗證
1. 管理者在vManage GUI中上傳經過數字簽名的vEdge清單
- vEdge路由器的白名單
- 可從Viptela支援頁面下載下傳
2.管理者決定身份信任--有效,無效,暫存
3.vEdge清單和身份信任由以下分發
二、資料層面隐私和加密
- 每個vEdge都其本地IPsec加密密鑰作為OMP TLOC屬性釋出
- 加密密鑰是按傳輸的
- 可以快速輪轉
- 非對稱使用對稱加密密鑰
三、資料層面完整性
- 使用IP标頭身份驗證(AH + NAT)進行NAT周遊
- 沒錯,Viptela使之成為可能!
四、vEdge路由器的DDoS保護
- Deny except 1. 傳回與流條目比對的資料包(啟用DIA) ; 2. DHCP,DNS,ICMP
- *可以手動啟用SSH,NETCONF,NTP,OSPF,BGP,STUN
五、控制器的DDoS保護
- Deny except DHCP,DNS,ICMP,NETCONF
- *可以手動啟用SSH,NTP,STUN,HTTPS(vManage)
六、防重放保護
- 加密的資料包被配置設定了序列号。 vEdge路由器丢棄具有重複序列号的資料包——重放封包
- vEdge路由器丢棄序列号低于滑動視窗最小數目的資料包----惡意注入的資料包
- 在收到序列号比迄今為止收到的更高的資料包時,vEdge路由器将推進滑動視窗
- 滑動視窗具有COS意識,可防止低優先級流量“減慢”高優先級流量
七、雙向轉發檢測(BFD)
1. 路徑活性和品質測量檢測協定
- Up/down, loss/latency/jitter, IPSec tunnel MTU
2. 在拓撲中的所有vEdge路由器之間運作
- 内部 IPSec 隧道
- 在echo模式下運作
- IPSec隧道自動建立
- 預設向上/向下hello 1s,乘數7
- 預設SLA hello 1s,poll 10min,乘數6
- 完全可定制的每個vEdge,每個顔色
- BFD封包雙向回顯——隧道之間沒有BFD鄰居
- 隻要BFD定期消息成功,IPSec安全關聯就會保持正常運作——沒有空閑的SA逾時IPSec Tunnel