思科SD-WAN數據層面

點擊返回：思科SD-WAN實戰課

思科SD-WAN控制層面鏈接的創建過程

目錄：

• 章節1：數據層面白名單和身份驗證
• 章節2：數據層面隱私和加密
• 章節3：數據層面完整性
• 章節4：DDoS防禦
• 章節5：防重播保護
• 章節6：雙向轉發檢測（BFD）

1、數據層面白名單和身份驗證

   1. 管理員在vManage GUI中上傳通過數字簽名的vEdge列表

• vEdge路由器的白名單
• 可從Viptela支持頁面下載

    2.管理員決定身份信任--有效，無效，暫存

    3.vEdge列表和身份信任由如下分發

2、數據層面隱私和加密

• 每一個vEdge都其本地IPsec加密密鑰做爲OMP TLOC屬性發布
• 加密密鑰是按傳輸的
• 能夠快速輪轉
• 非對稱使用對稱加密密鑰

3、數據層面完整性

• 使用IP標頭身份驗證（AH + NAT）進行NAT遍歷
• 沒錯，Viptela使之成爲可能！

4、vEdge路由器的DDoS保護

• Deny except   1. 返回與流條目匹配的數據包（啓用DIA）  ；     2. DHCP，DNS，ICMP
• *能夠手動啓用SSH，NETCONF，NTP，OSPF，BGP，STUN

5、控制器的DDoS保護

• Deny except   DHCP，DNS，ICMP，NETCONF
• *能夠手動啓用SSH，NTP，STUN，HTTPS（vManage）

6、防重放保護

 

• 加密的數據包被分配了序列號。 vEdge路由器丟棄具備重複序列號的數據包——重放封包
• vEdge路由器丟棄序列號低於滑動窗口最小數目的數據包----惡意注入的數據包
• 在收到序列號比迄今爲止收到的更高的數據包時，vEdge路由器將推動滑動窗口
• 滑動窗口具備COS意識，可防止低優先級流量「減慢」高優先級流量

7、雙向轉發檢測（BFD）

   1. 路徑活性和質量測量檢測協議

• Up/down, loss/latency/jitter, IPSec tunnel MTU

   2. 在拓撲中的全部vEdge路由器之間運行

• 內部 IPSec 隧道
• 在echo模式下運行
• IPSec隧道自動創建

   3. 使用hello（上/下）間隔，輪詢（應用感知）間隔和乘數進行檢測

• 默認向上/向下hello 1s，乘數7
• 默認SLA hello 1s，poll 10min，乘數6
• 徹底可定製的每一個vEdge，每一個顏色

隧道活動度檢測

• BFD報文雙向回顯——隧道之間沒有BFD鄰居
• 只要BFD按期消息成功，IPSec安全關聯就會保持正常運行——沒有空閒的SA超時IPSec Tunnel