碼上快樂

相關內容    簡體    繁體

自學思科SD-WAN架構概念和基本術語介紹

本文轉載自   查看原文   2020-02-18 16:21   3068    SD-WAN

 

點擊返回:思科SD-WAN實戰課

自學思科SD-WAN架構概念和基本術語介紹

目錄:

  • 章節1:傳統廣域網架構
  • 章節2:當今思科和廣域網挑戰
  • 章節3:思科SD-WAN解決方案概述
  • 章節4:思科SD-WAN產品集成計划
  • 章節5:思科SD-WAN優勢
  • 章節6:思科SD-WAN術語
  • 章節7:思科SD-WAN控制器部署

前言:

  • 思科考試增加課程DNA、SD-WAN、網絡自動化;
  • 2017年思科收購Viptela(專門做SD-WAN),目前SD-WAN市場份額第一,VMware第二差距較小;
  • 思科新一代中高端路由器中直接集成SD-WAN技術,如ISR4000、ASR1000等,存在很大優勢;
  • 思科、VMware都存在基於雲的軟件的SD-WAN產品;
  • 預測在未來7/8年內在軟件定於廣域網領域沒有新的技術,SD-WAN技術主打。

一、傳統廣域網架構

大型企業(如金融類企業銀行)一般至少2~3個數據中心,異地災備, 那么分支機構是通過什么方式連接數據中心訪問其資源,目前有:

  • 1. 數字電路,專線獨享,資金充足;
  • 2. MPLS VPN,實施簡單,安全性較高(與互聯網不同線路),相對專線價格較便宜,可實現全國全互聯(近十年跨地域廣域網首選);
  • 3. IPSec VPN,在公網上為兩個點私有網絡提供安全通信通道,通過加密通道保證連接的安全,安全性較低、穩定性較差(延遲較差、抖動率)、費用較低。

以上就是典型的傳統廣域網架構:

  • 控制和數據平面是相同設備
  • Peer-to-peer控制平面
  • 路由協議為所有N²復雜網路代理
  • 本地化管理
  • 不可擴展
  • 不能支持多種傳輸

二、當今思科和廣域網挑戰

常見的業務和IT趨勢:

  • 公司應用程序正在遷移到雲端(私有雲或公有雲) ,國內較多就是阿里雲、騰訊雲,國外就是AWS; 在雲部署資源,那么如何連接到雲端的網絡,最簡單就是MPLS VPN/IPSec VPN
  • 互聯網邊緣正在移到遠程站點;
  • 商業移動設備、BYOD和來賓訪問預計會給企業LAN(wifi)和WAN帶來壓力;
  • 一些高帶寬的應用程序

廣域網的挑戰:

  • 造價高
  • 操作復雜(需要懂路由、安全等設備配置)
  • 規模有限
  • 帶寬不足
  • 受限的應用意識
  • 高可用心問題
  • 零散的安全性
  • 雲應用未就緒

三、思科SD-WAN解決方案概述

 ==================================================================================

3.1 控制平面:vManage控制設備;vSmart是給vEdge下發路由策略(通常放置在雲端)

  • 便於fabric發現
  • 在vEdge之間分發控制平面信息
  • 將數據平面和可識別應用程序的路由策略分配到vEdge路由器
  • 實施控制平面策略
  • 大大降低了控制平面的復雜性
  • 高度彈性

3.2 編排平面vBond(通常放置在雲端)

  • 編排控制和管理平面
  • 證書認證第一要點
  • 將vSmarts/vManage列表分配給所有vEdge路由器
  • 便於NAT穿越
  • 需要公共IP地址,可以位於1:1NAT之后
  • 高度彈性
  • 多租戶或單租戶

3.3 控制平面:vManage控制設備(通常放置在雲端)

  • Day0,Day1和Day2操作的單一管理平台
  • 集中配置
  • 多租戶或單租戶
  • 策略和模板
  • 故障排除和監控
  • 軟件升級
  • GUI和RBAC
  • 程序接口(REST,NETCONF)
  • 高度彈性

3.4 數據平面,放置在客戶端

  • 廣域網邊緣路由器
  • 通過遠程vEdge路由器提供安全的數據平面
  • 通過vSmart控制器(OMP協議)建立安全控制平面
  • 實現數據平面和應用感知路由策略(傳統網絡只能通過防火牆實現)
  • 導出性能統計
  • 支持傳統的路由協議,如OSPF、BGP和VRRP
  • 支持ZTP零接觸部署
  • 物理或虛擬條件(100Mb、1Gb、10Gb、20Gb+)

3.5 可編程接口APIS

  • 對vMange管理的各個方面進行程序控制
  • 安全的HTTPS接口
  • GET,PUT,POST,DELETE方法
  • 認證和授權
  • 批量API調用
  • Python腳本

3.6 分析工具vAnalytics  (費用較高)

  • 基於雲的分析引擎
  • 可選解決方案元素
  • 分析fabric遙測
  • 產能預測
  • 違反SLA的趨勢
  • 利用率異常檢測
  • 應用Qoe
  • 運營商評分
  • 數據匿名化
  • 選擇加入的客戶模型

四、思科SD-WAN產品集成計划

viptela主要產品線有兩條:

  • 1條,在國外,思科雲可直接部署,獨立運營團隊;
  • 1條,在中國viptela不支持思科雲方式部署,只支持自建三件套(),

融合階段一 :

  • 優點:維持Viptela既有產品模式和支持體系。
  • 技術細節: 平台,維持既有xEdge ; 管理系統,vManage。

融合階段二

  •  優點:Viptela SD-WAN功能在ISR/ASR1K路由器上運行。
  •  技術細節:平台,vEdge功能集成在所有IOS-XE平台,包括ISR,CSR,ENCS,ASR1K; 管理系統,vManage實現統一管理。

融合階段三(初步設想階段)

  • 優點:端到端集成在DNA整體解決方案中。
  • 技術細節:管理系統 ①DNA Center與vManage集成②全面的DNA Center功能:Assurance,SDA和SD-WAN部署流程的集成。

五、思科SD-WAN優勢

  • 企業上雲:雲端應用訪問體驗優化,公有雲和私有雲整合;
  • 應用體驗優化:關鍵應用的自動識別,使用體驗的優化;
  • 降低專線成本:專網線路資源整合,線路帶寬利用率提高,互聯網線路替代專線線路;
  • 簡化運維:設備自動上線和統一管理,靈活的策略部署;
  • 網絡安全性:多租用的隔離,集成的安全功能,區域性安全中心的流量調度。

六、思科SD-WAN術語

6.1  Transport Side-傳輸層-連接到底層/WAN網絡的控制器或vEdge接口

  • 始終未VPN0  底層網絡
  • 除非使用拆分隧道,否則通常以隧道方式對流量進行加密

6.2  Service Side-服務端-vEdge接口連接到LAN

  • VPN1-510 (511-512保留)  客戶內網私網
  • 從原始來源轉發的流量

6.3  TLOC-組成傳輸側連接的實體的集合

  • System-IP:IPV4地址(非路由標識符)
  • 顏色:本地vEdge上的接口標識符
  • 專用TLOS:位於NAT內部的接口上的IP地址
  • 公用TLOS:位於NAT外部的接口上的IP地址
  • 如果連接不受NAT限制,則專用/公用可以相同

6.4  vRoute-在服務端學習/連接的路由

  • 由OMP手機的帶有屬性標記的vRoute

6.5 OMP-Overlay管理協議,自動開啟無法關閉

  • 管理上層域的動態路由協議
  • 分發路由,加密和策略的集成機制 

6.6 Site-ID-確定廣告前綴的源位置

  • 在每個vEdge上配置
  • 不必是唯一的,但是假定相同的位置
  • 提出OMP和TLOC的必須配置

6.7 System-IP-OMP端點的唯一標識符

  • 32位點十進制表示法(ipv4地址)
  • 邏輯上是VPN0回送地址,稱為“系統”
  • 系統接口是OMP的終止點

6.8 Organization-Name組織名稱-定義要在證書身份驗證過程中匹配的OU

  • 雙向傳送的OU用於身份驗證b/t控制和vEdge節點
  • 可以設置為任何值,只要在Viptela SEN域中保持一致即可

6.9 TLOCS,Colors,Site-IDs和Carriers

  • TLOC Color顏色用作於以下各項的靜態標識符:邊緣設備上的TLOC接口; 底層網絡附件
  • 使用的特定顏色分類為“私人”或“公共”: 私人顏色{mpls,private1-6,以太網}; 所有其他顏色都是公共的
  • 私人和公共顏色非常重要
  • 顏色設置適用於:vEdge到vEdge的通信;vEdge到控制器的通信
  • 如果站點ID相同其顏色公開:使用私人信息
  • 運營商的設置是決定私有/公共IP/端口的最終影響者:使用在兩個端點使用私有顏色,並且您需要在它們之前的會話以在公共IP/端口之間建立的情況  

七、思科SD-WAN控制器部署 

列舉控制平面元素------建立控制層面------建立數據層面

7.1 多種建設模式:

  • cisco Cloud模式:中國目前不支持
  • 雲托管:MSP模式 
  • 企業自建:私有雲模式

 

7.2 多種部署模式:

  • 私有雲部署模式:ESXI或KVM, 服務器在公司內網,一般兩份鏡像
  • 公有雲部署模式:國外AWS或Azure;國內阿里雲、騰訊雲全面支持

7.3  vManage 部署

  • 雲或內部部署;
  • 獨立的界面用於控制和管理;
  • 分離控制和管理的VPNs:基於區域的安全性;
  • 最少的配置已進行啟動:Connectivity連接性,SystemIP系統IP,Site ID站點的ID,Org-Name組織名稱,vBond IP;
  • 虛擬機導入時需要存在兩個網絡NIC0和NIC1,分別對應VPN0和VPN512;
  • VPN0是underlay底層帶內網絡,私網映射到公網IP,與vBand、vSmart在同一個子網內;VPN512是帶外網絡,可以理解為設備網管口
  • VPN 0用於建立DTLS連接;VPN 512用作控制器的OOB管理。

 

7.4  vBand部署

  • 雲或內部部署;
  • 獨立的界面用於控制和管理;
  • 分離控制和管理的VPNs:基於區域的安全性;
  • 最少的配置已進行啟動:Connectivity連接性,SystemIP系統IP,Site ID站點的ID,Org-Name組織名稱,vBond IP(本地);
  • 虛擬機導入時需要存在兩個網絡NIC0和NIC1,分別對應VPN0和VPN512;
  • VPN0是underlay底層帶內網絡,私網映射到公網IP;對外公開的公網地址;注冊時使用;
  • VPN512是帶外網絡,可以理解為設備網管口

 

7.5  vSmart部署

  • 雲或內部部署;
  • 虛擬機或容器;
  • 分離控制和管理端口;
  • 分離控制和管理的VPNs:基於區域的安全性;
  • 最少的配置已進行啟動:Connectivity連接性,SystemIP系統IP,Site ID站點的ID,Org-Name組織名稱,vBond IP;
  • vSmart需要單獨一個鏡像,vManage、vBand通常為同一個鏡像

 

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 自學思科SD-WAN控制層面 自學思科SD-WAN數據層面 自學思科SD-WAN理論知識(共13篇) 自學思科SD-WAN設備集、產品線 SD-WAN介紹 SD-WAN基本介紹 自學思科SD-WAN OMP協議原理詳解(Overlay Management Protocol) 自學思科SD-WAN策略框架-集中式控制策略 自學思科SD-WAN Application Aware Routing(AAR)應用感知路由 自學思科SD-WAN Zone Based Firewall(ZBF)區域防火牆
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM