HCIE培训（Datacom）课程-SDW可靠性和安全设计

WOLFLAB官方微信：17316362402，HCIE培训（Datacom）课程学习、考试相关咨询WOLFLAB网络技术实验室！

SD-WAN可靠性与安全设计主要包括站点可靠性设计，控制器可靠性设计与安全设计。

HCIE培训-站点可靠性设计：

①HUB站点可靠性设计

②RR站点可靠性设计

③IWG可靠性设计

HCIE培训-SDWAN控制器可靠性设计：

①控制器部署可靠性

服务器集群

整两套控制器

②控制器组网可靠性设计

出口设备双联路到控制器

主备控制器

SD-WAN安全方案概览：

①系统安全

组间间通信安全

SD-WAN解决方案各个组件之间的通信连接分为管理通道、控制通道和数据通道。EDGE/RR 与iMaster之间的连接为管理通道，EDGE与RR之间的连接为控制通道，EDGE和EDGE之间的连接为数据通道。

SD-WAN解决方案的组件之间使用安全通信协议建立管理通道、控制通道和数据通道，保证组件间通信的数据安全。

注意：

管理通道与控制通道的安全机制默认开启，无需配置。

数据通道的安全机制需要基于情况设计。

NETCONF OVER SSH

BGP OVER IPSEC

GRE OVER IPSEC：数据通道中的连接是EDGE之间建立的Overlay隧道，通过IPsec协议保证数据在传输过程中的机密性和完整性。

当基于Internet网络建立数据通道时必须部署IPsec。

当基于MPLS或专网建立数据通道时可根据实际情况部署IPsec。

管理员认证和授权：租户管理员无论是登陆NCE还是登陆设备都需要提供用户名和密码

HCIE培训-EDGE安全

物理安全：关闭不必要的端口；

数据安全：针对敏感的密码，在设备上应该通过密文显示；

认证鉴权：登陆该设备需要提供用户名密码；

防攻击：配置安全防护策略，避免泛洪攻击等；

安全审计：EDGE应该具备完备的日志系统。任何操作都需要被记录；

②业务安全

访问互联网安全

SD-WAN解决方案通过EDGE内置的安全能力来提供业务安全保证，包括ACL过滤、防火墙、IPS以及URL过滤，满足不同场景下的业务安全需求。

HCIE培训-VAS高级安全

集中上网场景下，集中上网站点采用WAN侧出接口接入Internet时，可以旁挂部署物理防火墙（FW）设备，提供基于VAS（Value Added Service，增值业务）的高级安全防护功能。

第三方云安全

HCIE培训-SDWAN的安全总结：

系统安全：

①组间间的安全

管理通道安全：netconf over SSH

控制通道安全：BGP over IPSEC

数据通道安全：GRE over IPSEC

②组间本身的安全

Imaster-NCE的安全：通过鉴权保证其安全，就是设备想要被控制器纳管需要提供个密码；

CPE的安全：EDGE本身就自带防火墙功能；

业务安全：

站点间的互访业务：IPSEC加密

站点访问internet业务：EDGE内置防火墙和IPS

站点访问云应用业务：对接第三方云安全网关

https://www.wolf-lab.com/

WOLFLAB官方微信：17316362402

WOLFLAB官方QQ：2569790740

华为HCIE Datacom培训课程咨询WOLFLAB网络技术实验室

WOLFLAB网络技术实验室-华为授权机构

WOLFLAB实验室（华为授权合作伙伴）HCIE讲师：崔志鹏