Technical documentation
发布日期:2023-07-03 浏览次数:1310 来源:崔志鹏
HCIE培训(Datacom)课程-SDW可靠性和安全设计
WOLFLAB官方微信:17316362402,HCIE培训(Datacom)课程学习、考试相关咨询WOLFLAB网络技术实验室!
SD-WAN可靠性与安全设计主要包括站点可靠性设计,控制器可靠性设计与安全设计。
HCIE培训-站点可靠性设计:
①HUB站点可靠性设计
②RR站点可靠性设计
③IWG可靠性设计
HCIE培训-SDWAN控制器可靠性设计:
①控制器部署可靠性
服务器集群
整两套控制器
②控制器组网可靠性设计
出口设备双联路到控制器
主备控制器
SD-WAN安全方案概览:
①系统安全
组间间通信安全
SD-WAN解决方案各个组件之间的通信连接分为管理通道、控制通道和数据通道。EDGE/RR 与iMaster之间的连接为管理通道,EDGE与RR之间的连接为控制通道,EDGE和EDGE之间的连接为数据通道。
SD-WAN解决方案的组件之间使用安全通信协议建立管理通道、控制通道和数据通道,保证组件间通信的数据安全。
注意:
管理通道与控制通道的安全机制默认开启,无需配置。
数据通道的安全机制需要基于情况设计。
NETCONF OVER SSH
BGP OVER IPSEC
GRE OVER IPSEC:数据通道中的连接是EDGE之间建立的Overlay隧道,通过IPsec协议保证数据在传输过程中的机密性和完整性。
当基于Internet网络建立数据通道时必须部署IPsec。
当基于MPLS或专网建立数据通道时可根据实际情况部署IPsec。
管理员认证和授权:租户管理员无论是登陆NCE还是登陆设备都需要提供用户名和密码
HCIE培训-EDGE安全
物理安全:关闭不必要的端口;
数据安全:针对敏感的密码,在设备上应该通过密文显示;
认证鉴权:登陆该设备需要提供用户名密码;
防攻击:配置安全防护策略,避免泛洪攻击等;
安全审计:EDGE应该具备完备的日志系统。任何操作都需要被记录;
②业务安全
访问互联网安全
SD-WAN解决方案通过EDGE内置的安全能力来提供业务安全保证,包括ACL过滤、防火墙、IPS以及URL过滤,满足不同场景下的业务安全需求。
HCIE培训-VAS高级安全
集中上网场景下,集中上网站点采用WAN侧出接口接入Internet时,可以旁挂部署物理防火墙(FW)设备,提供基于VAS(Value Added Service,增值业务)的高级安全防护功能。
第三方云安全
HCIE培训-SDWAN的安全总结:
系统安全:
①组间间的安全
管理通道安全:netconf over SSH
控制通道安全:BGP over IPSEC
数据通道安全:GRE over IPSEC
②组间本身的安全
Imaster-NCE的安全:通过鉴权保证其安全,就是设备想要被控制器纳管需要提供个密码;
CPE的安全:EDGE本身就自带防火墙功能;
业务安全:
站点间的互访业务:IPSEC加密
站点访问internet业务:EDGE内置防火墙和IPS
站点访问云应用业务:对接第三方云安全网关
WOLFLAB官方微信:17316362402
WOLFLAB官方QQ:2569790740
华为HCIE Datacom培训课程咨询WOLFLAB网络技术实验室
WOLFLAB网络技术实验室-华为授权机构
WOLFLAB实验室(华为授权合作伙伴)HCIE讲师:崔志鹏