自学思科SD-WAN Segmentation
目录:
- 章节1:当今部署segmentation分段的挑战
- 章节2:SD-WAN 客户端vEdge的接口和安全分区
- 章节3:End-to-End Segmentation
- 章节4:标签Labels
- 章节5:拓扑架构
一、当今部署segmentation分段(VRF)的挑战
选项1: 服务提供商已交付费用/限制性
- 成本高:每段MPLS VPN
- 限制:仅仅MPLS,不混合WAN
选项2:DIY 复杂度/规模
- 复杂性:逐跳细分(VRF)
- 不可扩展性:按段路由
二、SD-WAN 客户端vEdge的接口和安全分区
- Transport(VPN0):两个sub-IF接口, MPLS、Internet
- Service(VPNn):默认是1个
- 带外管理(VPN512):ssh或telnet
- VPN之前彼此隔离,每个VPN都有自己的路由表
- OMP自动通告VPN内的可达性
三、End-to-End Segmentation
- 无需依赖底层传输即可在整个结构上实现网段连接
- 接口和子接口(802.1Q labels标签)已映射VPN, 以区分不同客户的路由
- vEdge路由器维护每个VPN路由器,以实现完全控制平面分离
- 标签用于将数据包映射到VPN中以实现完整的数据平面分离
四、 标签Labels
标准 RFC4023
- 在原始数据加上标签, 以区分不同客户的路由
- 在入栈(vEdge进入tunnel)的时候加入标签,在出栈的时候剖离标签
- 在整个过程当中,数据加密
五、 拓扑架构
- 1. 全互联
- 2.点对多点
- 3.部分互联
- 4.区域互联
- 5.点对点
- 6.零互联,DIA(本地直接intenet访问,无任何tunnel)