您好!欢迎光临云杰通信官网,我司专业提供企业SDWAN SaaS应用加速、SD-WAN组网、云专线接入服务。
新闻动态

行业最新前沿技术分享

首页 公司简介 新闻动态 常见问题

网络安全性和sdwan:密钥

发布时间:2020-12-14浏览次数:121

网络安全性和sdwan:密钥

  安全贯穿着SDWAN的方方面面。提到过CPE需要有一个唯一的标识,可以在出厂时配好也可以固化在硬件中,VNF在拉起的时候会生成并注入序列号,控制器的标识使用IP和FQDN通常就可以了。

  有了标识之后,系统中的各个组件间需要进行相互认证,防止非法CPE和控制器的接入,这块的实现可以通过外接LDAP/RADIUS来做,也可以通过PKI体系来做,SD-WAN自身也应该提供认证服务器或者PKI服务器,如果企业自己有认证服务器或者PKI服务器,需要能够与其进行对接。

  IPSec的实现需要两套密钥,第一套是IKE身份认证的密钥,第二套是数据流加密的密钥。第二套密钥在传统方案中是通过DH来分布式计算的,在一些SD-WAN方案中会直接由控制器来进行同步,并周期性地进行更新这个密钥,以提高密钥的安全性。

  实际上,如果使用控制器去分发第二套密钥,就相当于替代掉了IKE的作用,那么第一套密钥就不必再作用于CPE之间了,而是用于CPE和控制器之间的身份认证,这同样也可以通过PKI来搞定,省去了维护预共享密钥的麻烦。另外,考虑到对于NAT穿越的需求,IPSec一般都会采用ESP+隧道的模式。

  数据转发的安全通常就是over在IPSec之上,控制信道的加密则取决于使用何种南向协议。如果是私有的协议的话over在SSL/TLS/DTLS上面就可以,Netconf和OpenFlow也都是原生over在TLS上面。

  BGP最好也是over在IPSec上,区别于传统方案中IGP需要通过GRE逻辑口来进行组播,BGP使用TCP做单播并不依赖于GRE。同时,原生BGP无法穿越NAT的问题,通过IPSec也可以得到解决。

  另外,还要防止CPE主控和控制器的DoS,通过一些策略来限制报文的上送速率。

热门产品
SAAS应用加速 SD-WAN组网 SD-WAN云专线

咨询热线1:136-3177-9516

咨询热线2:0769-88900720

公司地址:广东省东莞市南城区东莞大道428号寰宇汇金中心9栋B座18楼(总部)

主要业务Main Business
行业解决方案Industry Solutions
关于我们About Us
在线客服微信

获取最新优惠

Copyright © 版权所有2021-2022 广东云杰通信有限公司—SD-WAN服务厂商|SD-WAN组网方案 粤ICP备18062193号