03SD-WAN控制层面连接的建立过程
本帖最后由 小乔 于 2021-5-13 14:53 编辑思科SD-WAN控制层面连接的建立过程目录:
[*]章节1:数据层面白名单和身份验证
[*]章节2:数据层面隐私和加密
[*]章节3:数据层面完整性
[*]章节4:DDoS防护
[*]章节5:防重播保护
[*]章节6:双向转发检测(BFD)
一、数据层面白名单和身份验证 1. 管理员在vManage GUI中上传经过数字签名的vEdge列表
[*]vEdge路由器的白名单
[*]可从Viptela支持页面下载
2.管理员决定身份信任--有效,无效,暂存 3.vEdge列表和身份信任由以下分发二、数据层面隐私和加密
[*]每个vEdge都其本地IPsec加密密钥作为OMP TLOC属性发布
[*]加密密钥是按传输的
[*]可以快速轮转
[*]非对称使用对称加密密钥
三、数据层面完整性
[*]使用IP标头身份验证(AH + NAT)进行NAT遍历
[*]没错,Viptela使之成为可能!
四、vEdge路由器的DDoS保护
[*]Deny except 1. 返回与流条目匹配的数据包(启用DIA); 2. DHCP,DNS,ICMP
[*]*可以手动启用SSH,NETCONF,NTP,OSPF,BGP,STUN
五、控制器的DDoS保护
[*]Deny except DHCP,DNS,ICMP,NETCONF
[*]*可以手动启用SSH,NTP,STUN,HTTPS(vManage)
六、防重放保护
[*]加密的数据包被分配了序列号。 vEdge路由器丢弃具有重复序列号的数据包——重放封包
[*]vEdge路由器丢弃序列号低于滑动窗口最小数目的数据包----恶意注入的数据包
[*]在收到序列号比迄今为止收到的更高的数据包时,vEdge路由器将推进滑动窗口
[*]滑动窗口具有COS意识,可防止低优先级流量“减慢”高优先级流量
七、双向转发检测(BFD) 1. 路径活性和质量测量检测协议
[*]Up/down, loss/latency/jitter, IPSec tunnel MTU
2. 在拓扑中的所有vEdge路由器之间运行
[*]内部 IPSec 隧道
[*]在echo模式下运行
[*]IPSec隧道自动建立
3. 使用hello(上/下)间隔,轮询(应用感知)间隔和乘数进行检测
[*]默认向上/向下hello 1s,乘数7
[*]默认SLA hello 1s,poll 10min,乘数6
[*]完全可定制的每个vEdge,每个颜色
隧道活动度检测
[*]BFD报文双向回显——隧道之间没有BFD邻居
[*]只要BFD定期消息成功,IPSec安全关联就会保持正常运行——没有空闲的SA超时IPSec Tunnel
作者:CARLOS_CHIANG
出处:http://www.cnblogs.com/yaoyaojcy/
来源: 01思科SD-WAN架构概念和基本术语介绍
来源: 02思科SD-WAN控制层面连接的建立过程 6666 {:6_290:}
页:
[1]