------------恢复内容开始------------
思科SD-WAN控制层面连接的建立过程
目录:
- 章节1:控制层面白名单
- 章节2:DTLS和TLS基础结构
- 章节3:控制器身份验证和信任
- 章节4:控制平面建立1
- 章节5:vEdge路由器身份和信任
- 章节6:控制平面建立2
- 章节7:vEdge云身份
- 章节8:控制平面建立3
- 章节9:控制器部署
- 章节10:端口处理和防火墙
- 章节11:LAB:系统培养实验室
一、控制层面白名单
大型企业(如金融类企业银行)一般至少2~3个数据中心,异地灾备, 那么分支机构是通过什么方式连接数据中心访问其资源,目前有:
- 1. 数字电路,专线独享,资金充足;
- 2. MPLS VPN,实施简单,安全性较高(与互联网不同线路),相对专线价格较便宜,可实现全国全互联(近十年跨地域广域网首选);
- 3. IPSec VPN,在公网上为两个点私有网络提供安全通信通道,通过加密通道保证连接的安全,安全性较低、稳定性较差(延迟较差、抖动率)、费用较低。
二、DTLS和TLS基础结构
常见的业务和IT趋势:
- 公司应用程序正在迁移到云端(私有云或公有云) ,国内较多就是阿里云、腾讯云,国外就是AWS; 在云部署资源,那么如何连接到云端的网络,最简单就是MPLS VPN/IPSec VPN
- 互联网边缘正在移到远程站点;
- 商业移动设备、BYOD和来宾访问预计会给企业LAN(wifi)和WAN带来压力;
- 一些高带宽的应用程序
广域网的挑战:
- 造价高
- 操作复杂(需要懂路由、安全等设备配置)
- 规模有限
- 带宽不足
- 受限的应用意识
- 高可用心问题
- 零散的安全性
- 云应用未就绪
三、控制器身份验证和信任
==================================================================================
3.1 控制平面:vManage控制设备;vSmart是给vEdge下发路由策略(通常放置在云端)
- 便于fabric发现
- 在vEdge之间分发控制平面信息
- 将数据平面和可识别应用程序的路由策略分配到vEdge路由器
- 实施控制平面策略
- 大大降低了控制平面的复杂性
- 高度弹性
3.2 编排平面vBond(通常放置在云端)
- 编排控制和管理平面
- 认证第一要点
- 将vSmarts/vManage列表分配给所有vEdge路由器
- 便于NAT穿越
- 需要公共IP地址,可以位于1:1NAT之后
- 高度弹性
- 多租户或单租户
3.3 控制平面:vManage控制设备(通常放置在云端)
- Day0,Day1和Day2操作的单一管理平台
- 集中配置
- 多租户或单租户
- 策略和模板
- 故障排除和监控
- 软件升级
- GUI和RBAC
- 程序接口(REST,NETCONF)
- 高度弹性
3.3 数据平面,放置在客户端
- 广域网边缘路由器
- 通过远程vEdge路由器提供安全的数据平面
- 通过vSmart控制器(OMP协议)建立安全控制平面
- 实现数据平面和应用感知路由策略(传统网络只能通过防火墙实现)
- 导出性能统计
- 支持传统的路由协议,如OSPF、BGP和VRRP
- 支持ZTP零接触部署
- 物理或虚拟条件(100Mb、1Gb、10Gb、20Gb+)
3.4 程序化APIS
3.5 分析工具
四、思科SD-WAN产品集成计划
五、术语和关键功能
六、思科SD-WAN控制器部署
.....
。。。。。。。
------------恢复内容结束------------
标签:章节,WAN,思科,控制,平面,vEdge,SD 来源: https://www.cnblogs.com/yaoyaojcy/p/14270206.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。