SD-WAN数据平面隐私加密

作者：通信发布时间：2021-06-09 16:13:10点击：

SD-WAN数据平面隐私加密

　　SD-WAN边缘路由器使用带有加密和解密数据的加密密钥的IPsec来保护它们之间交换的数据流量。在传统的 IPsec 环境中，Internet Key Exchange (IKE) 用于促进对等方之间的密钥交换。这会创建每对密钥，要求每个设备在全状环境中管理 n^2 个密钥交换和 (n-1) 个不同的密钥。

　　为了在 SD-WAN 络中更有效地扩展，没有实施 IKE，因为已经在 WAN 边缘路由器和控制器之间建立了身份。控制平面已经使用 DTLS 或 TLS 进行了身份验证、加密和防篡改，用于通信 AES-256 对称密钥。每个广域边缘路由器为每个 TLOC 生成一个 AES 密钥，并在 OMP 路由数据包中将此信息传输到 vSmart 控制器，每个密钥的生命周期默认为 24?? 小时。每 12 小时生成一个新密钥，将其发送到 vSmart 控制器，然后分发到其他广域边缘路由器，这意味着任何时候都有两个密钥。当 WAN 边缘路由器切换到使用新生成的密钥时，后一个已知密钥仍会保留 12 小时，并且使用任一密钥接受流量。如果 OMP 会话丢失到 vSmart 控制器，WAN 边缘路由器将继续使用它们拥有的新信息(配置、策略、路由和 IPsec 密钥)长达 12 小时，这是 OMP 正常重启计时器的长度。这两个键确保可以支持 12 小时 OMP 正常重启计时器，因为无法知道 OMP 中断何时可能发生。

本文部分资料来源于网络，如有侵权请联系删除

上一篇：SD-WAN将广域网边缘带入覆盖层
下一篇：SD-WAN网络配置协议 (NETCONF)

新闻资讯

联系方式

热线电话

13631779516

上班时间

周一到周五

公司电话

13631779516

二维码

在线客服