自學思科SD-WAN控制層面連接的建立過程
目錄:
- 章節1:數據層面白名單和身份驗證
- 章節2:數據層面隱私和加密
- 章節3:數據層面完整性
- 章節4:DDoS防護
- 章節5:防重播保護
- 章節6:雙向轉發檢測(BFD)
一、數據層面白名單和身份驗證
1. 管理員在vManage GUI中上傳經過數字簽名的vEdge列表
- vEdge路由器的白名單
- 可從Viptela支持頁面下載
2.管理員決定身份信任--有效,無效,暫存
3.vEdge列表和身份信任由以下分發
二、數據層面隱私和加密
- 每個vEdge都其本地IPsec加密密鑰作為OMP TLOC屬性發布
- 加密密鑰是按傳輸的
- 可以快速輪轉
- 非對稱使用對稱加密密鑰
三、數據層面完整性
- 使用IP標頭身份驗證(AH + NAT)進行NAT遍歷
- 沒錯,Viptela使之成為可能!
四、vEdge路由器的DDoS保護
- Deny except 1. 返回與流條目匹配的數據包(啟用DIA) ; 2. DHCP,DNS,ICMP
- *可以手動啟用SSH,NETCONF,NTP,OSPF,BGP,STUN
五、控制器的DDoS保護
- Deny except DHCP,DNS,ICMP,NETCONF
- *可以手動啟用SSH,NTP,STUN,HTTPS(vManage)
六、防重放保護
- 加密的數據包被分配了序列號。 vEdge路由器丟棄具有重復序列號的數據包——重放封包
- vEdge路由器丟棄序列號低於滑動窗口最小數目的數據包----惡意注入的數據包
- 在收到序列號比迄今為止收到的更高的數據包時,vEdge路由器將推進滑動窗口
- 滑動窗口具有COS意識,可防止低優先級流量“減慢”高優先級流量
七、雙向轉發檢測(BFD)
1. 路徑活性和質量測量檢測協議
- Up/down, loss/latency/jitter, IPSec tunnel MTU
2. 在拓撲中的所有vEdge路由器之間運行
- 內部 IPSec 隧道
- 在echo模式下運行
- IPSec隧道自動建立
3. 使用hello(上/下)間隔,輪詢(應用感知)間隔和乘數進行檢測
- 默認向上/向下hello 1s,乘數7
- 默認SLA hello 1s,poll 10min,乘數6
- 完全可定制的每個vEdge,每個顏色
隧道活動度檢測
- BFD報文雙向回顯——隧道之間沒有BFD鄰居
- 只要BFD定期消息成功,IPSec安全關聯就會保持正常運行——沒有空閑的SA超時IPSec Tunnel