SDWAN域名系统 (DNS)
如果您使用DNS服务器来解析主机名并且可以通过方案0传输本地访问该服务器,则可能需要DNS。您可能需要DNS来解析vBond或NTP服务器名称。DNS使用UDP端口53。
超文本传输??协议安全(HTTPS)(vManage)
HTTPS为管理员用户或操作员提供对vManage的安全访问,可以通过方案0接口访问。可使用TCP端口443或8443访问vManage。
vManage使用HTTPS(TCP端口443)访问多种服务,例如证书服务和即插即用门户。对Symantec/Digicert证书,目标主机是certmanager.blu.websecurity.symauth.net,对CiscoPKI证书,目标是cloudso.cisco.com,然后是apx.cisco.com。如果同步到Cisco即插即用门户以自动下载广域网边沿路由器授权序列号列表,vManage还需要通过目标cloudso.cisco.com访问HTTPS,然后是apx.cisco.com。
确保SDWAN装备上方案0内传输接口下的隧道上也允许任何其他所需协议。通过vManageGUI,您可以启用和禁用方案接口功能模板中隧道接口下的协议。通过CLI,命令是tunnelinterface下的allowservice[protocol]。您可能需要斟酌在所有SDWAN装备上启用ntp和dns,并在控制器上启用netconf。在为证书安装目的部署控制器时,您应当斟酌在控制器上启用ssh。确保网络中的任何防火墙也允许这类通讯。
如果可能,请在传输接口上禁用ssh。来自vManage的SSH已加密并遍历覆盖层,因此如果可以建立vManage控制连接,则无需在接口上允许本地SSH。如果允许SSH并且有人尝试SSH会话并连续5次输入毛病的登录信息,则会对该用户强迫履行15分钟的严格锁定期。在该时间内的任何登录尝试都会重置计时器并可能触发无穷期锁定条件。还建议使用netadmin权限配置辅助用户名和密码。
