与传统的VPN隧道不同,SD-WAN的IPSec加密功能,通过网络抓取数据包之后,看到的数据包类型只是原和目标端口都是4980的UDP数据包,不会是IPSec的数据包。之所以出现这种现象,与Citrix SD-WAN的数据包处理方式有关,SD-WAN接收到要传输至对端SD-WAN的数据时,无论收到的是TCP、UDP还是其它类型的数据包,都会打散重新封装成UDP数据包,在封装UDP数据包之前SD-WAN会先封装一层TRP(Transport Reliable Protocol)数据包。
网络抓包工具抓取的SD-WAN数据包。
![\"\"](\"https://blog.hfly.cc/wp-content/uploads/2019/06/2019-06-04_16-38-35.png\")
默认配置下,SD-WAN已经启用了AES 128位的加密级别,SD-WAN的产品的最大数据流量也是基础AES 128位加密级别测试而来,如果自定义了加密级别或启用传统的IPSec加密方式,SD-WAN的最大数据流量可能会有出入。
![\"\"](\"https://blog.hfly.cc/wp-content/uploads/2019/06/2019-06-04_16-40-33.png\")
SD-WAN启用IPSec加密
- 在全局配置模式下,先启用IPSec加密功能。
![\"\"](\"https://blog.hfly.cc/wp-content/uploads/2019/06/2019-06-04_16-43-29.png\")
- 在每个站点的虚拟路径上启用全局配置。如果两个站点之间建立了虚拟路径,只需要在其中一个站点启用,另一个站点默认也会启用。
![\"\"](\"https://blog.hfly.cc/wp-content/uploads/2019/06/2019-06-04_16-44-02.png\")
SD-WAN如果检查 IPSec状态
- 在“Dashboard”界面中查看两个站点之间的虚拟路径状态。
![\"\"](\"https://blog.hfly.cc/wp-content/uploads/2019/06/2019-06-04_16-47-31.png\")
- 在“Monitoring”查看IPSec Tunnel状态。
![\"\"](\"https://blog.hfly.cc/wp-content/uploads/2019/06/2019-06-04_16-50-00.png\")
- 在“Configuration”配置界面查看SD-WAN设备应用的IPSec配置信息。
![\"\"](\"https://blog.hfly.cc/wp-content/uploads/2019/06/2019-06-04_16-52-36.png\")
THE END
暂无评论内容