The Cisco SD-WAN Solution
思科SD-WAN各组件
GLAB思科CCIE课程拓扑设计
- 为什么需要实现 Cisco SD-WAN SEN
- 传统的网络已经变得越来越复杂,不能满足现有的企业扩展的需求
- Cisco SD-WAN Secure Extensible Network (SEN),可以提供快速部署
- 降低企业成本,部署简单,快速安全
- 灵活应对复杂企业site之间的数据安全传输需求
- 传统网络带来的设计上的挑战
- 成本高:传统网络面临很多设备的配置和维护;互联需要考虑昂贵的传输链路
- 太复杂:每个节点都要配置安全策略,尤其远程站点管理起来更加复杂
- 网络主机、网路设备、传输设备之间的流量没有明显的界限
- 策略是配置在网络中的每一个节点上的
- 安全是复杂耗时的部署过程,当然也是分布式在每个节点上做的安全策略
- 周期长:多站点互联依赖中间的传输链路,申请使用周期很长
- 难管理:传输链路归ISP管理,出问题需要ISP配合监控和配置
- 面对新形势下的需求,传统网络更加不能承受
- 严格的端到端安全
- 不通的传输网络
- 托管在多个数据中心的云应用高带宽的需求
- 移动终端用户持续增长
- 拓扑中不固定的any到any的连接
- 特殊业务的特殊需求
GLAB思科CCIE课程拓扑设计
- SD-WAN解决方案特点
- 思科SD-WAN是基于软件来定义广域网的连接,将数据和控制分开
- 重新定义了企业的广域网连接,使用通用的路由架构来实现网络的三层连接
- 虚拟化了企业边界原先使用硬件的路由设备
- 以Overlay的方式,运行在基础架构中的物理设备(路由器、交换机、防火墙),也可以是虚拟设备(vEdge、vRouter、vFw)
- 使用路由通告来形成整个网络控制层需要的表项
- 将网络传输从上层的网络服务分离出来,让管理员专注于用户和用户,或者主机之间的应用
- 使用VRF隔离三层流量,实现同一客户不通业务流量隔离,或者不同客户不通业务的隔离
- 端到端的双向连接、安全加密通讯
- 可以实现控制层面的服务器托管网策略和数据层面的策略集中配置
- Overylay网络保证不会收到传输端的攻击
- 策略可以在控制器上灵活配置,实现各种应用需求
- 集中管理、集中配置策略,简化运维步骤,提供了可视化的排错视图
- SD-WAN重要组件介绍
- vSmart Controllers(控制层面)
- 集中控制的服务器托管网大脑,管理、配置、监控SD-WAN的控制层面
- 收集路由信息,通过控制层把信息反射给其他路由器(注意:不处理任何数据层面的流量,主要参与控制层的信息)
- 解决了传统网络中full-mesh的路由架构带来复杂架构下的挑战
- 保证整个Overlay网络安全传输(RSA和证书实现数据的加密保护)
- 考虑冗余,可以部署多个vSmart Controllers,多个也可以实现负载均衡,一个domain最多可以配置20个controllers
- 部署多个vSmart的时候,所有vSmart配置要保持同步,接口和地址、system ID、hostname可以不一致
- vBond负载协调监控多个vSmart之间的状态,负责控制vSmart之间的切换
- vEdge验证成功,会跟vSmart之间建立一个永久的DTLS隧道,建立加密的安全通讯
- DTLS隧道中的信息包含,形成网络拓扑所需要的路由信息和计算到达每个目标的最佳路由
- OMP(Overylay Management Protocol)协议来实现SD-WAN的路由收敛,形成OMP路由
- OMP协议跟BGP很像,在DTLS中传递,包含:routers、next-hop、keys、policy
- 通过预安装的证书,配合vBond对online的vEdge设备进行验证,验证通过才能建立DTLS隧道,才能传输OMP
- 接受数据层面加密数据需要用到的key,并把key反射给相关的其他vEdge路由器
- 强大的policy引擎,可以提供入站和出站的策略来影响:路由信息、访问控制、分段、外联网等其他网络需求
- 可以支持Netconf and CLI的管理方式
- vSmart以虚拟机的方式安装在ESXi虚拟化平台上
- vSmart初始启动的时候,可以配置最小信息:比如IP地址和vBond,让vSmart和vManage建立连接同步CFG配置,也可以手动通过console进行vSmart的配置
- vBond Orchestrator
- 当vEdge设备接入Overlay网络的时候,配合vSmart一起工作,进行自动验证
- 主要管理vEdge和vSmart之间的连通性,解决vEdge或者vSmart在NAT后面的网络情况
- 密钥是都是自动分发交换,简化维护密钥的工作
- vBond负载协调监控多个vSmart之间的状态,负责控制vSmart之间的切换和负载均衡
- vBond必须配置公网IP地址,才能保证NAT的环境vEdge和vSmart之间的连通性
- vBond和vSmart之间的DTLS隧道是永久的;和vEdge之间的隧道是临时的,验证完成就不需要建立这个隧道,就是按需建立
- 可以部署多个vBond,实现冗余和负载
- 可以在其中一个vEdge上激活vBond功能
- vManage NMS(管理层面)
- 提供简单但是功能强大的仪表板,用来监控Overlay网络中所有网络设备的性能
- 同时也可以提供内置的配置的模板,简单轻松实现配置,然后把配置推送给路由器
- 用来存储证书和配置文件,当vEdge online的时候,vManage会把配置和证书推给vEdge
- 对于vEdge来说,vManage还可以签署证书、生成引导配置,还可以注销vEdge设备
- 提供集中的软件安装、升级,可以单个也可以批量管理
- 集中配置和管理整个网络,一般建议安装在中心站点的DC的一台物理服务器上
- vEdge Router(数据层面)
- 和vSmart之间建立DTLS隧道,协商控制层面的OMP协议
- 在各个远程Site的设备,可以在边界,也可以放在某个NAT设备的后面
- 可以是物理设备、或者虚拟机软件called vEdge Clould Router
- 主要负责各个Site之间的数据层面的转发
- 支持和网络现有的设备之间运行OSPF、BGP路由协议、VLAN、Qos、VRRP、BFD、ACL、路由策略等标准协议
- 存放数据层转发必须的RIB/FIB(CPU转发的表)表项
- 可以支持Netconf and CLI的管理方式
- SD-AVC(SD-Application Visibility and Control)
- SD-AVC网络服务作为一个容器运行在vManage里面
- 使用NBAR2和其他组件作用在设备上
- 提供网络应用流量识别并可视化分析,基于应用感知的路由、防火墙和QOS策略等
- 是一个基于网络层次的分析工具
- vContainer Host
- 为了解决单个vSmart的部署压力,可以部署基于容器的vSmart
- vContainer Host是一个虚拟机,可以运行多个vSmart容器
- 且容器之间相互独立,可以部署在不同的网络中
- 一般是把vContainer Host部署在AWS上
- 也可以部署在ESXI和KVM(可以直接下到vmdk或qcow2的文件导入)
- 其他SaaS软件服务
- CloudExpress service:提供的SaaS服务,为每个应用程序提供清晰的定制服务,比如对office365优化
- vAnalytics:是一个思科托管的SaaS服务,主要帮助客户深入分析运营商、隧道、应用程序特征
关注公众号↑↑↑:IT运维大本营,获取60个G的《网工大礼包》
服务器托管,北京服务器托管,服务器租用 http://www.fwqtg.net
机房租用,北京机房租用,IDC机房托管, http://www.fwqtg.net
编程学习的思考 2023-10-21 14:50:29 星期六(初稿) 大家好!自从大一开始进入计算机科学与技术专业学习,便就开始踏入编程的学习之旅。又是一个秋季,整整三年了! 三年以来,自然是有不少成长,现在回想,这一路中也遇到很多的挫折,也受到过许多”愚蠢…
