Trong bất kỳ mạng nào, control plane chính là bộ não: nó chịu trách nhiệm định hình topology, quyết định gói tin đi đâu, và phân phối policy. Nếu control plane bị “hack” hay bị giả mạo, toàn bộ mạng coi như mất kiểm soát.

Trong SD-WAN, Cisco đã thiết kế control plane theo hướng Secure by Design – tức là bảo mật ngay từ gốc. Ngoài việc sử dụng DTLS/TLS để mã hóa, thì còn có 2 thành phần cốt lõi giúp đảm bảo tính toàn vẹn (integrity):

1. AES-GCM Message Digests
   • Đây là Authenticated Encryption (AEAD), vừa mã hóa vừa sinh ra “chữ ký số” (digest) cho mỗi gói control plane.
   • Khi gói được gửi đi, thiết bị nhận cũng tự tính digest và so sánh. Nếu trùng → gói hợp lệ. Nếu không trùng → gói đã bị chỉnh sửa trên đường.
   • Cơ chế này cực kỳ hiệu quả vì vừa bảo mật (confidentiality), vừa chống giả mạo dữ liệu (integrity).
2. Public/Private Keys
   • Trong lúc thiết lập kết nối, thiết bị A gửi một “challenge” cho thiết bị B.
   • Thiết bị B ký challenge bằng private key của nó rồi gửi trả.
   • Thiết bị A dùng public key của B để kiểm chứng.
   • Nhờ cơ chế PKI này, anh em có thể yên tâm rằng: gói tin đến từ đúng thiết bị “xịn” chứ không phải từ một con router giả mạo trong mạng.

📌 Một điểm thú vị: WAN Edge Router của Cisco có chip phần cứng Trust Anchor (TAm), chứa private key và SUDI (Secure Unique Device Identifier). Private key nằm “chết dí” trong chip, không bao giờ lộ ra, thậm chí brute-force cũng khiến chip tự hủy, biến router thành cục gạch. Đây là mức bảo mật cực mạnh mà khó vendor nào ngoài Cisco làm được.

---

Key takeaway cho anh em:

• Control Plane Integrity trong SD-WAN được đảm bảo nhờ AES-GCM và Public/Private Keys.
• Đây chính là lý do mà SD-WAN control plane vừa bảo mật, vừa tự động, không cần phải cài pre-shared key thủ công như kiểu IPsec cổ điển.
• Khi anh em làm việc với OMP, NETCONF, SNMP hay các control protocol khác trong fabric, thì toàn bộ lưu lượng đều đi qua những kênh DTLS/TLS bảo mật + Integrity check, nên có thể tự tin triển khai ở quy mô lớn.

​