带你读《思科软件定义访问 : 实现基于业务意图的园区网络》第二章软件定义访问体系结构2.3(三)

2.3.4         边界节点

网络交换矩阵边界节点将软件定义访问网络交换矩阵连接到传统的三层网络或不同的网络交换矩阵站点。网络交换矩阵边界节点负责将网络情境(用户 /   设备映射和身份标识)从一个网络交换矩阵站点转换到另一个网络交换矩阵站点或传统网络。当封装在不同的网络交换矩阵站点上进行时,网络情境的转换通常是1:1   映射的。网络交换矩阵边界节点是不同网络交换矩阵站点的控制平面交换策略信息的设备,也是软件定义访问网络交换矩阵域和外部网络之间的网关。

网络交换矩阵有两种边界节点(如图 2-7所示),实现不同的功能,一个用于内部网络,一个用于外部网络。网络交换矩阵边界节点一方面可配置为特定网络(如共享服务网络)地址的网关,称为内部边界节点,内部边界节点用于通告已定义的子网集,如一组分支站点或数据中心。

另一方面,它也可配置为用于互联网连接或者网络交换矩阵流量出口的默认边界角色,称为外部边界节点。外部边界节点用于通告未知的目标(通常是互联网),类似于默认    路由的功能。在软件定义访问网络交换矩阵中,可以存在任意数量的内部边界节点。每个软件定义访问网络交换矩阵所支持的外部边界节点总数为 2或  4,具体取决于所选边界节点的类型。

带你读《思科软件定义访问 : 实现基于业务意图的园区网络》第二章软件定义访问体系结构2.3(三)

图 2-7 网络交换矩阵边界节点

边界节点还可以结合上述两种角色作为任意边界节点(同时作为内部边界节点和外部边界节点)。当采用中转过渡区域进行控制平面互联时,软件定义访问可以实现具有本地站点服务的更大规模的分布式园区部署。

边界节点实现以下功能。

(1)  终端 EID子网通告。软件定义访问将边界网关协议BGP)配置为首选的路由协议,用于通告网络交换矩阵外部的终端EID前缀并转发从网络交换矩阵外部经边界节点发往内部终端 EID子网的流量。这些终端EID前缀只出现在边界节点的路由表中,而在网络交换矩阵的其他各处,则使用网络交换矩阵控制平面节点来访问终端 EID信息。

(2)  网络交换矩阵流量出口。执行 LISP代理隧道路由器功能,默认网络交换矩阵边界节点是网络交换矩阵边缘节点的默认网关。此出口也可以是连接到一组已经明确定义了IP子网的非默认网络交换矩阵的边界节点,此时需要网络交换矩阵边界节点将这些子网信息通告到网络交换矩阵内部。

(3)  LISP实例到VRF的映射。网络交换矩阵边界节点可以使用外部 VRF实例将网络虚拟化从网络交换矩阵内部扩展到外部。

(4)  安全策略映射。网络交换矩阵边界节点还会在流量离开网络交换矩阵时维护可扩   展组信息标签。通过使用可扩展组标签交换协议(SXP)将 VXLAN   报头中的可扩展组标签传输到支持思科 TrustSec的设备,或者使用内联标记将可扩展组标签直接映射到数据分组中的思科元数据(CMD)字段,可扩展组标签信息可以从网络交换矩阵边界节点传播到外部网络,反之亦然,从而实现与思科 TrustSec解决方案的无缝集成。

2.3.5          扩展节点

软件定义访问网络交换矩阵的扩展节点(如图 2-8   所示)用于将网络下游的非网络交换矩阵二层网络设备附加到软件定义访问网络交换矩阵(因此称为扩展结构)。扩展节点一般是小型交换机(如紧凑型交换机、工业以太网交换机或楼宇自动化交换机),通过二层网络连接到网络交换矩阵的边缘节点。连接到扩展节点的设备使用网络交换矩阵边缘节点与外部子网进行通信。

   带你读《思科软件定义访问 : 实现基于业务意图的园区网络》第二章软件定义访问体系结构2.3(三)

图 2-8 网络交换矩阵扩展节点

扩展节点是在纯二层模式下运行的小型交换机,本身不支持网络交换矩阵。这些二层交换机通过传统的二层方法连接到网络交换矩阵的边缘节点。在扩展节点交换机上配置的VLAN/IP子网将获得类似于网络交换矩阵提供的策略分段和自动化的好处。网络交换矩阵使用 802.1q二层中继链路将子网扩展到软件定义访问扩展节点。这允许扩展节点执行正常的本地转发。当流量离开扩展节点到达其连接的网络交换矩阵边缘节点时,将从网络交换矩阵的集中式策略和可扩展性中受益。

上一篇:云上安全保护伞--SLS威胁情报集成实战


下一篇:阿里云服务器使用ubuntu16.04 server 配置可视化桌面环境