------------恢复内容开始------------
思科SD-WAN控制层面连接的建立过程
目录:
- 章节1:控制层面白名单
- 章节2:DTLS和TLS基础结构
- 章节3:控制器身份验证和信任
- 章节4:控制平面建立1
- 章节5:vEdge路由器身份和信任
- 章节6:控制平面建立2
- 章节7:vEdge云身份
- 章节8:控制平面建立3
- 章节9:控制器部署
- 章节10:端口处理和防火墙
- 章节11:LAB:系统培养实验室
一、控制层面白名单
大型企业(如金融类企业银行)一般至少2~3个数据中心,异地灾备, 那么分支机构是通过什么方式连接数据中心访问其资源,目前有:
- 1. 数字电路,专线独享,资金充足;
- 2. MPLS VPN,实施简单,安全性较高(与互联网不同线路),相对专线价格较便宜,可实现全国全互联(近十年跨地域广域网首选);
- 3. IPSec VPN,在公网上为两个点私有网络提供安全通信通道,通过加密通道保证连接的安全,安全性较低、稳定性较差(延迟较差、抖动率)、费用较低。
二、DTLS和TLS基础结构
常见的业务和IT趋势:
- 公司应用程序正在迁移到云端(私有云或公有云) ,国内较多就是阿里云、腾讯云,国外就是AWS; 在云部署资源,那么如何连接到云端的网络,最简单就是MPLS VPN/IPSec VPN
- 互联网边缘正在移到远程站点;
- 商业移动设备、BYOD和来宾访问预计会给企业LAN(wifi)和WAN带来压力;
- 一些高带宽的应用程序
广域网的挑战:
- 造价高
- 操作复杂(需要懂路由、安全等设备配置)
- 规模有限
- 带宽不足
- 受限的应用意识
- 高可用心问题
- 零散的安全性
- 云应用未就绪
三、控制器身份验证和信任
==================================================================================
3.1 控制平面:vManage控制设备;vSmart是给vEdge下发路由策略(通常放置在云端)
- 便于fabric发现
- 在vEdge之间分发控制平面信息
- 将数据平面和可识别应用程序的路由策略分配到vEdge路由器
- 实施控制平面策略
- 大大降低了控制平面的复杂性
- 高度弹性
3.2 编排平面vBond(通常放置在云端)
- 编排控制和管理平面
- 认证第一要点
- 将vSmarts/vManage列表分配给所有vEdge路由器
- 便于NAT穿越
- 需要公共IP地址,可以位于1:1NAT之后
- 高度弹性
- 多租户或单租户
3.3 控制平面:vManage控制设备(通常放置在云端)
- Day0,Day1和Day2操作的单一管理平台
- 集中配置
- 多租户或单租户
- 策略和模板
- 故障排除和监控
- 软件升级
- GUI和RBAC
- 程序接口(REST,NETCONF)
- 高度弹性
3.3 数据平面,放置在客户端
- 广域网边缘路由器
- 通过远程vEdge路由器提供安全的数据平面
- 通过vSmart控制器(OMP协议)建立安全控制平面
- 实现数据平面和应用感知路由策略(传统网络只能通过防火墙实现)
- 导出性能统计
- 支持传统的路由协议,如OSPF、BGP和VRRP
- 支持ZTP零接触部署
- 物理或虚拟条件(100Mb、1Gb、10Gb、20Gb+)
3.4 程序化APIS
3.5 分析工具
四、思科SD-WAN产品集成计划
五、术语和关键功能
六、思科SD-WAN控制器部署
.....
。。。。。。。
------------恢复内容结束------------