01思科SD-WAN架构概念和基本术语介绍
思科SD-WAN架构概念和基本术语介绍目录:[*]章节1:传统广域网架构
[*]章节2:当今思科和广域网挑战
[*]章节3:思科SD-WAN解决方案概述
[*]章节4:思科SD-WAN产品集成计划
[*]章节5:思科SD-WAN优势
[*]章节6:思科SD-WAN术语
[*]章节7:思科SD-WAN控制器部署
前言:
[*]思科考试增加课程DNA、SD-WAN、网络自动化;
[*]2017年思科收购Viptela(专门做SD-WAN),目前SD-WAN市场份额第一,VMware第二差距较小;
[*]思科新一代中高端路由器中直接集成SD-WAN技术,如ISR4000、ASR1000等,存在很大优势;
[*]思科、VMware都存在基于云的软件的SD-WAN产品;
[*]预测在未来7/8年内在软件定于广域网领域没有新的技术,SD-WAN技术主打。
一、传统广域网架构大型企业(如金融类企业银行)一般至少2~3个数据中心,异地灾备, 那么分支机构是通过什么方式连接数据中心访问其资源,目前有:
[*]1. 数字电路,专线独享,资金充足;
[*]2. MPLS VPN,实施简单,安全性较高(与互联网不同线路),相对专线价格较便宜,可实现全国全互联(近十年跨地域广域网首选);
[*]3. IPSec VPN,在公网上为两个点私有网络提供安全通信通道,通过加密通道保证连接的安全,安全性较低、稳定性较差(延迟较差、抖动率)、费用较低。
以上就是典型的传统广域网架构:
[*]控制和数据平面是相同设备
[*]Peer-to-peer控制平面
[*]路由协议为所有N2复杂网路代理
[*]本地化管理
[*]不可扩展
[*]不能支持多种传输
二、当今思科和广域网挑战常见的业务和IT趋势:
[*]公司应用程序正在迁移到云端(私有云或公有云) ,国内较多就是阿里云、腾讯云,国外就是AWS; 在云部署资源,那么如何连接到云端的网络,最简单就是MPLS VPN/IPSec VPN
[*]互联网边缘正在移到远程站点;
[*]商业移动设备、BYOD和来宾访问预计会给企业LAN(wifi)和WAN带来压力;
[*]一些高带宽的应用程序
广域网的挑战:
[*]造价高
[*]操作复杂(需要懂路由、安全等设备配置)
[*]规模有限
[*]带宽不足
[*]受限的应用意识
[*]高可用心问题
[*]零散的安全性
[*]云应用未就绪
三、思科SD-WAN解决方案概述 ==================================================================================3.1 控制平面:vManage控制设备;vSmart是给vEdge下发路由策略(通常放置在云端)
[*]便于fabric发现
[*]在vEdge之间分发控制平面信息
[*]将数据平面和可识别应用程序的路由策略分配到vEdge路由器
[*]实施控制平面策略
[*]大大降低了控制平面的复杂性
[*]高度弹性
3.2 编排平面vBond(通常放置在云端)
[*]编排控制和管理平面
[*]证书认证第一要点
[*]将vSmarts/vManage列表分配给所有vEdge路由器
[*]便于NAT穿越
[*]需要公共IP地址,可以位于1:1NAT之后
[*]高度弹性
[*]多租户或单租户
3.3 控制平面:vManage控制设备(通常放置在云端)
[*]Day0,Day1和Day2操作的单一管理平台
[*]集中配置
[*]多租户或单租户
[*]策略和模板
[*]故障排除和监控
[*]软件升级
[*]GUI和RBAC
[*]程序接口(REST,NETCONF)
[*]高度弹性
3.4 数据平面,放置在客户端
[*]广域网边缘路由器
[*]通过远程vEdge路由器提供安全的数据平面
[*]通过vSmart控制器(OMP协议)建立安全控制平面
[*]实现数据平面和应用感知路由策略(传统网络只能通过防火墙实现)
[*]导出性能统计
[*]支持传统的路由协议,如OSPF、BGP和VRRP
[*]支持ZTP零接触部署
[*]物理或虚拟条件(100Mb、1Gb、10Gb、20Gb+)
3.5 可编程接口APIS
[*]对vMange管理的各个方面进行程序控制
[*]安全的HTTPS接口
[*]GET,PUT,POST,DELETE方法
[*]认证和授权
[*]批量API调用
[*]Python脚本
3.6 分析工具vAnalytics(费用较高)
[*]基于云的分析引擎
[*]可选解决方案元素
[*]分析fabric遥测
[*]产能预测
[*]违反SLA的趋势
[*]利用率异常检测
[*]应用Qoe
[*]运营商评分
[*]数据匿名化
[*]选择加入的客户模型
四、思科SD-WAN产品集成计划viptela主要产品线有两条:
[*]1条,在国外,思科云可直接部署,独立运营团队;
[*]1条,在中国viptela不支持思科云方式部署,只支持自建三件套(),
融合阶段一 :
[*]优点:维持Viptela既有产品模式和支持体系。
[*]技术细节: 平台,维持既有xEdge ; 管理系统,vManage。
融合阶段二:
[*] 优点:Viptela SD-WAN功能在ISR/ASR1K路由器上运行。
[*] 技术细节:平台,vEdge功能集成在所有IOS-XE平台,包括ISR,CSR,ENCS,ASR1K; 管理系统,vManage实现统一管理。
融合阶段三(初步设想阶段):
[*]优点:端到端集成在DNA整体解决方案中。
[*]技术细节:管理系统 ①DNA Center与vManage集成②全面的DNA Center功能:Assurance,SDA和SD-WAN部署流程的集成。
五、思科SD-WAN优势
[*]企业上云:云端应用访问体验优化,公有云和私有云整合;
[*]应用体验优化:关键应用的自动识别,使用体验的优化;
[*]降低专线成本:专网线路资源整合,线路带宽利用率提高,互联网线路替代专线线路;
[*]简化运维:设备自动上线和统一管理,灵活的策略部署;
[*]网络安全性:多租用的隔离,集成的安全功能,区域性安全中心的流量调度。
六、思科SD-WAN术语6.1Transport Side-传输层-连接到底层/WAN网络的控制器或vEdge接口
[*]始终未VPN0底层网络
[*]除非使用拆分隧道,否则通常以隧道方式对流量进行加密
6.2Service Side-服务端-vEdge接口连接到LAN
[*]VPN1-510 (511-512保留)客户内网私网
[*]从原始来源转发的流量
6.3TLOC-组成传输侧连接的实体的集合
[*]System-IP:IPV4地址(非路由标识符)
[*]颜色:本地vEdge上的接口标识符
[*]专用TLOS:位于NAT内部的接口上的IP地址
[*]公用TLOS:位于NAT外部的接口上的IP地址
[*]如果连接不受NAT限制,则专用/公用可以相同
6.4vRoute-在服务端学习/连接的路由
[*]由OMP手机的带有属性标记的vRoute
6.5 OMP-Overlay管理协议,自动开启无法关闭
[*]管理上层域的动态路由协议
[*]分发路由,加密和策略的集成机制
6.6 Site-ID-确定广告前缀的源位置
[*]在每个vEdge上配置
[*]不必是唯一的,但是假定相同的位置
[*]提出OMP和TLOC的必须配置
6.7 System-IP-OMP端点的唯一标识符
[*]32位点十进制表示法(ipv4地址)
[*]逻辑上是VPN0回送地址,称为“系统”
[*]系统接口是OMP的终止点
6.8 Organization-Name组织名称-定义要在证书身份验证过程中匹配的OU
[*]双向传送的OU用于身份验证b/t控制和vEdge节点
[*]可以设置为任何值,只要在Viptela SEN域中保持一致即可
6.9 TLOCS,Colors,Site-IDs和Carriers
[*]TLOC Color颜色用作于以下各项的静态标识符:边缘设备上的TLOC接口; 底层网络附件
[*]使用的特定颜色分类为“私人”或“公共”: 私人颜色{mpls,private1-6,以太网}; 所有其他颜色都是公共的
[*]私人和公共颜色非常重要
[*]颜色设置适用于:vEdge到vEdge的通信;vEdge到控制器的通信
[*]如果站点ID相同其颜色公开:使用私人信息
[*]运营商的设置是决定私有/公共IP/端口的最终影响者:使用在两个端点使用私有颜色,并且您需要在它们之前的会话以在公共IP/端口之间建立的情况
七、思科SD-WAN控制器部署 列举控制平面元素------建立控制层面------建立数据层面7.1 多种建设模式:
[*]cisco Cloud模式:中国目前不支持
[*]云托管:MSP模式
[*]企业自建:私有云模式
7.2 多种部署模式:
[*]私有云部署模式:ESXI或KVM, 服务器在公司内网,一般两份镜像
[*]公有云部署模式:国外AWS或Azure;国内阿里云、腾讯云全面支持
7.3vManage 部署
[*]云或内部部署;
[*]独立的界面用于控制和管理;
[*]分离控制和管理的VPNs:基于区域的安全性;
[*]最少的配置已进行启动:Connectivity连接性,SystemIP系统IP,Site ID站点的ID,Org-Name组织名称,vBond IP;
[*]虚拟机导入时需要存在两个网络NIC0和NIC1,分别对应VPN0和VPN512;
[*]VPN0是underlay底层带内网络,私网映射到公网IP,与vBand、vSmart在同一个子网内;VPN512是带外网络,可以理解为设备网管口
[*]VPN 0用于建立DTLS连接;VPN 512用作控制器的OOB管理。
7.4vBand部署
[*]云或内部部署;
[*]独立的界面用于控制和管理;
[*]分离控制和管理的VPNs:基于区域的安全性;
[*]最少的配置已进行启动:Connectivity连接性,SystemIP系统IP,Site ID站点的ID,Org-Name组织名称,vBond IP(本地);
[*]虚拟机导入时需要存在两个网络NIC0和NIC1,分别对应VPN0和VPN512;
[*]VPN0是underlay底层带内网络,私网映射到公网IP;对外公开的公网地址;注册时使用;
[*]VPN512是带外网络,可以理解为设备网管口
7.5vSmart部署
[*]云或内部部署;
[*]虚拟机或容器;
[*]分离控制和管理端口;
[*]分离控制和管理的VPNs:基于区域的安全性;
[*]最少的配置已进行启动:Connectivity连接性,SystemIP系统IP,Site ID站点的ID,Org-Name组织名称,vBond IP;
[*]vSmart需要单独一个镜像,vManage、vBand通常为同一个镜像
作者:CARLOS_CHIANG
出处:http://www.cnblogs.com/yaoyaojcy/
{:6_290:} 學習學習,感謝樓主的分享! 非常受用谢谢分享 谢谢分享 谢谢分享{:6_280:}{:6_280:}{:6_280:} 谢谢分享{:6_265:}{:6_265:}{:6_265:} 谢谢分享{:6_264:}{:6_264:}{:6_264:} 谢谢分享{:6_269:}{:6_269:}{:6_269:}{:6_269:} 谢谢分享{:6_295:}{:6_295:}{:6_295:} 谢谢分享{:6_290:}{:6_290:}{:6_290:} 谢谢分享{:6_283:}{:6_283:}{:6_283:} 666 feichanghao,xiexie!!!!
非常受用谢谢分享
页:
[1]
2