Citrix SD-WAN 上手指南2 IPSec

  与传统的VPN隧道不同,SD-WAN的IPSec加密功能,通过网络抓取数据包之后,看到的数据包类型只是原和目标端口都是4980的UDP数据包,不会是IPSec的数据包。之所以出现这种现象,与Citrix SD-WAN的数据包处理方式有关,SD-WAN接收到要传输至对端SD-WAN的数据时,无论收到的是TCP、UDP还是其它类型的数据包,都会打散重新封装成UDP数据包,在封装UDP数据包之前SD-WAN会先封装一层TRP(Transport Reliable Protocol)数据包。
网络抓包工具抓取的SD-WAN数据包。

  默认配置下,SD-WAN已经启用了AES 128位的加密级别,SD-WAN的产品的最大数据流量也是基础AES 128位加密级别测试而来,如果自定义了加密级别或启用传统的IPSec加密方式,SD-WAN的最大数据流量可能会有出入。

SD-WAN启用IPSec加密

  • 在全局配置模式下,先启用IPSec加密功能。
  • 在每个站点的虚拟路径上启用全局配置。如果两个站点之间建立了虚拟路径,只需要在其中一个站点启用,另一个站点默认也会启用。

SD-WAN如果检查 IPSec状态

  • 在“Dashboard”界面中查看两个站点之间的虚拟路径状态。
  • 在“Monitoring”查看IPSec Tunnel状态。
  • 在“Configuration”配置界面查看SD-WAN设备应用的IPSec配置信息。

发表评论