思科SD-WAN数据层面

点击返回：思科SD-WAN实战课

思科SD-WAN控制层面链接的创建过程

目录：

• 章节1：数据层面白名单和身份验证
• 章节2：数据层面隐私和加密
• 章节3：数据层面完整性
• 章节4：DDoS防御
• 章节5：防重播保护
• 章节6：双向转发检测（BFD）

1、数据层面白名单和身份验证

   1. 管理员在vManage GUI中上传通过数字签名的vEdge列表

• vEdge路由器的白名单
• 可从Viptela支持页面下载

    2.管理员决定身份信任--有效，无效，暂存

    3.vEdge列表和身份信任由如下分发

2、数据层面隐私和加密

• 每一个vEdge都其本地IPsec加密密钥做为OMP TLOC属性发布
• 加密密钥是按传输的
• 能够快速轮转
• 非对称使用对称加密密钥

3、数据层面完整性

• 使用IP标头身份验证（AH + NAT）进行NAT遍历
• 没错，Viptela使之成为可能！

4、vEdge路由器的DDoS保护

• Deny except   1. 返回与流条目匹配的数据包（启用DIA）  ；     2. DHCP，DNS，ICMP
• *能够手动启用SSH，NETCONF，NTP，OSPF，BGP，STUN

5、控制器的DDoS保护

• Deny except   DHCP，DNS，ICMP，NETCONF
• *能够手动启用SSH，NTP，STUN，HTTPS（vManage）

6、防重放保护

 

• 加密的数据包被分配了序列号。 vEdge路由器丢弃具备重复序列号的数据包——重放封包
• vEdge路由器丢弃序列号低于滑动窗口最小数目的数据包----恶意注入的数据包
• 在收到序列号比迄今为止收到的更高的数据包时，vEdge路由器将推动滑动窗口
• 滑动窗口具备COS意识，可防止低优先级流量“减慢”高优先级流量

7、双向转发检测（BFD）

   1. 路径活性和质量测量检测协议

• Up/down, loss/latency/jitter, IPSec tunnel MTU

   2. 在拓扑中的全部vEdge路由器之间运行

• 内部 IPSec 隧道
• 在echo模式下运行
• IPSec隧道自动创建

   3. 使用hello（上/下）间隔，轮询（应用感知）间隔和乘数进行检测

• 默认向上/向下hello 1s，乘数7
• 默认SLA hello 1s，poll 10min，乘数6
• 彻底可定制的每一个vEdge，每一个颜色

隧道活动度检测

• BFD报文双向回显——隧道之间没有BFD邻居
• 只要BFD按期消息成功，IPSec安全关联就会保持正常运行——没有空闲的SA超时IPSec Tunnel