CCIE理論-第八篇-SD-WAN(三)

首先來說上一章的問題,

vbound和vsmart還沒出來
.

指定域和vbound

初始化搞完了,那么需要去添加vsmart和vbound了

添加設(shè)備

添加設(shè)備

延續(xù)前面的環(huán)境繼續(xù)說
vbound

注意CSR這里是不需要做的了,因為前面已經(jīng)做了

vsmart

連接成功,來看看監(jiān)測圖

添加成功,然后把底層的tunnel打開

Vmanage

因為初始化配置的時候是需要關(guān)閉的

為什么要關(guān)? 很簡單 就比如在做項目的時候,很多都是做完配置,才把接口no sh 這是因為,如果邊做邊開的話,他會持續(xù)收斂 一直彈日志都夠你煩的 這里也是一樣的

所以不貼圖了

開啟后他會生成許多配置,所以一開始做根證書的時候不打開
vbound
vbound特殊一點,需要加上ipsec

當讓,如果是有vedge的情況下,也是需要做ipsec的

表面圖

可以看到,vsmart和vbound都起來了
同時,vsmart和vbound已經(jīng)有上限了!!!

怎么證明真的連上了呢?
在vmanage里面ssh到vsmart和vbound就好了

SDN就到此結(jié)束了,當然后面還會有

為什么這里都是講命令行而不是純web呢?
不是說SDN是一個管理嘛?
這個之前提過,因為web界面會更新代替,系統(tǒng)也會
但是底層基本上不會有大變化,頂多就改了那么一點點
所以講CLI,是為了以后能夠碰到任何版本,起碼能把底層通
底層都起不來,underlay都起不來,那還跑什么sdwan

DAI-Dynamic=ARP-Inspection

DAI-動態(tài)ARP檢測

這個東東有啥用呢?
1.防止ARP攻擊
2. 使用dhcp snooping的綁定表,從DHCP的交互中
獲取到IP和MAC
限制客戶端的請求arp速率,防止端口掃描

首先,到了這個階段,如果有人看的話 其實都應(yīng)該知道ARP攻擊是啥了吧? 這個就不過多解釋了

然后.DAI是必須結(jié)合DHCP-Snooping來做的,必須哈!
在DAI中,和DHCP snooping一樣,存在信任端口和非信任端口

網(wǎng)絡(luò)環(huán)境以及初始化

DAI是要承載在DHCP-snooping的,那就必須有dhcp,首先來個簡單的DHCP環(huán)境

由于現(xiàn)在使用路由器做的dhcp-server,會涉及到一個option82的問題
所以接口需要手動信任

這個僅僅是思科哈,華為不需要,服務(wù)器也不需要

dhcp-snooping完成,一樣可以獲取到地址

交換機上

ip arp inspection vlan 1 interface e0/0 ip arp inspection trust

如果接口不做arp的信任,那么久會不通

dhcp一樣能獲取到!!!! 他不通是因為什么? 不是icmp 而是因為arp

相當于獲取不到10.1.1.1(server)的ARP
因為被攔截了


從客戶端發(fā)出來的ping,server是收到了,但是回不去了~
只要做了接口信任就通了

arp也收到了

這個是在接口下限制DHCP的arp發(fā)包數(shù)量,一般寫50

如果寫0,那就意味著不允許發(fā),直接就等于沒用了,下面的設(shè)備也拿不到地址了

接口都被直接down了
這個是什么意思呢?
一般呢,發(fā)動ARP攻擊的,都是短時間發(fā)大量的ARP包的
然后,這個參數(shù),就是一個閾值
如果這個接口在每秒內(nèi),發(fā)送超過我這個設(shè)定的值,那么就會給你關(guān)了這個接口
那么如果一關(guān),服務(wù)肯定出問題了,如果有監(jiān)控的,zabbitx的,就報警了
那么就會知道哪里出問題了

好的本次到這里就結(jié)束了，歡迎觀看我的文章。我是CCIE-Yasuo，喜歡就關(guān)注我吧，下一期見。
歡迎新盟教育的同學(xué)一起來交流，我是41期的疾風(fēng)劍豪
同時我也是一名18歲來自大專的學(xué)生在學(xué)校寫的，如有寫的不對或侵權(quán)請及時聯(lián)系刪除。

總結(jié)

以上是生活随笔為你收集整理的CCIE理论-第八篇-SD-WAN(三)+DAI(动态ARP检测)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。