WOLF-LAB沃尔夫网络实验室中国网络精英的发源地!
24小时咨询热线:173-1636-2402

技术文档

Technical documentation

您当前位置: 首页 > 技术文档 > 详情

HCIE培训(Datacom)课程-SDW可靠性和安全设计

发布日期:2023-07-03 浏览次数:1310 来源:崔志鹏

HCIE培训(Datacom)课程-SDW可靠性和安全设计

WOLFLAB网络技术实验室1.jpg

WOLFLAB官方微信:17316362402,HCIE培训(Datacom)课程学习、考试相关咨询WOLFLAB网络技术实验室!

SD-WAN可靠性与安全设计主要包括站点可靠性设计,控制器可靠性设计与安全设计。

图片1(91).png

HCIE培训-站点可靠性设计:

①HUB站点可靠性设计

图片1(92).png

②RR站点可靠性设计

图片1(94).png

图片1(95).png

③IWG可靠性设计

图片1(96).png

HCIE培训-SDWAN控制器可靠性设计:

①控制器部署可靠性

服务器集群

图片1(97).png

整两套控制器

图片1(98).png

②控制器组网可靠性设计

出口设备双联路到控制器

图片1(99).png

主备控制器

图片1(100).png

SD-WAN安全方案概览:

图片1(101).png

①系统安全

组间间通信安全

SD-WAN解决方案各个组件之间的通信连接分为管理通道、控制通道和数据通道。EDGE/RR 与iMaster之间的连接为管理通道,EDGE与RR之间的连接为控制通道,EDGE和EDGE之间的连接为数据通道。

SD-WAN解决方案的组件之间使用安全通信协议建立管理通道、控制通道和数据通道,保证组件间通信的数据安全。

 

注意:

管理通道与控制通道的安全机制默认开启,无需配置。

数据通道的安全机制需要基于情况设计。

NETCONF OVER SSH

BGP OVER IPSEC

GRE OVER IPSEC:数据通道中的连接是EDGE之间建立的Overlay隧道,通过IPsec协议保证数据在传输过程中的机密性和完整性。

当基于Internet网络建立数据通道时必须部署IPsec。

当基于MPLS或专网建立数据通道时可根据实际情况部署IPsec。

 

管理员认证和授权:租户管理员无论是登陆NCE还是登陆设备都需要提供用户名和密码

 

HCIE培训-EDGE安全

物理安全:关闭不必要的端口;

数据安全:针对敏感的密码,在设备上应该通过密文显示;

认证鉴权:登陆该设备需要提供用户名密码;

防攻击:配置安全防护策略,避免泛洪攻击等;

安全审计:EDGE应该具备完备的日志系统。任何操作都需要被记录;

 

②业务安全

访问互联网安全

SD-WAN解决方案通过EDGE内置的安全能力来提供业务安全保证,包括ACL过滤、防火墙、IPS以及URL过滤,满足不同场景下的业务安全需求。

图片1(102).png

HCIE培训-VAS高级安全

集中上网场景下,集中上网站点采用WAN侧出接口接入Internet时,可以旁挂部署物理防火墙(FW)设备,提供基于VAS(Value Added Service,增值业务)的高级安全防护功能。

图片1(103).png

第三方云安全

图片1(104).png

HCIE培训-SDWAN的安全总结:

系统安全:

①组间间的安全

管理通道安全:netconf over SSH

控制通道安全:BGP over IPSEC

数据通道安全:GRE over IPSEC


②组间本身的安全

Imaster-NCE的安全:通过鉴权保证其安全,就是设备想要被控制器纳管需要提供个密码;

CPE的安全:EDGE本身就自带防火墙功能;


业务安全:

站点间的互访业务:IPSEC加密

站点访问internet业务:EDGE内置防火墙和IPS

站点访问云应用业务:对接第三方云安全网关


https://www.wolf-lab.com/

WOLFLAB官方微信:17316362402

WOLFLAB官方QQ:2569790740

华为HCIE Datacom培训课程咨询WOLFLAB网络技术实验室

WOLFLAB网络技术实验室-华为授权机构

WOLFLAB实验室(华为授权合作伙伴)HCIE讲师:崔志鹏

返回目录
在线咨询