在配置 DNE 之前,请务必了解 DNE 如何处理在 NSX-T 部署中的两个端点之间传输的网络数据包。

将数据包与规则匹配

每个数据包是根据配置的加密规则评估的。加密规则是按顺序应用的,从第一个区域中的第一个规则开始。如果数据包与第一个规则中的条件不匹配,则应用下一个规则,依此类推。

  • 如果某个加密规则与数据包匹配,则对数据包执行为该加密规则配置的操作,而不应用任何其他加密规则。

  • 如果应用所有规则并且未找到匹配项,则不会为数据包应用任何操作。将允许原样传送数据包。

因此,规则顺序是非常重要的。如果数据包与多个加密规则匹配,则由第一个匹配的加密规则中的操作处理数据包。将忽略所有其他加密规则。因此,请仔细考虑区域和规则的顺序。

检查数据包完整性

如果数据包与某个加密规则匹配,并且规则操作是“仅检查完整性”,则 DNE 检查数据包完整性(以确定数据包是否被篡改)。只有在确认了数据包完整性时,才会传送数据包,否则,将丢弃数据包。

对数据包进行身份验证和加密

如果数据包与某个规则匹配并且规则操作是“加密并检查完整性”:

  • 在发送端,DNE 使用与加密规则关联的密钥策略对应的密钥加密数据包(以隐藏其内容)。

  • 在接收端,DNE 解密数据包并执行完整性检查。只有在加密/解密成功并确认了数据包完整性时,才会传送数据包,否则,将丢弃数据包。

允许传送数据包

如果数据包与某个规则匹配并且规则操作是“允许采用明文形式”,则传送数据包而不执行任何操作。

丢弃数据包

在以下情况下,也会丢弃数据包:

  • 主机没有密钥。

  • 操作不匹配(例如,到达的数据包采用明文形式并与将加密作为操作的规则匹配)。