ViptelaSD-WAN概念

Posted 2021-03-21

感觉没找到啥好的材料，自己写一篇吧。

贴几份有用的链接

强烈推荐第一个！
https://carpe-dm***.com/category/networking/viptela/

https://www.grandmetric.com/2018/02/19/cisco-viptela-sd-wan-components-connectivity-viptela-part-1/
https://www.grandmetric.com/blog/2018/03/19/cisco-viptela-sd-wan-components-connectivity-part-2/
https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2019/pdf/BRKRST-2558.pdf
https://www.cisco.com/c/dam/assets/global/CN/solutions/industry/segment_sol/enterprise/programs/2018/cin_fy19q2_en_workshop_ppt.pdf

介绍一下各个术语。SD-WAN和最重要的原理就是将数据层面与控制管理层面分离了开来。
其中管理层面就是vManage，控制层面是vSmart，数据层面是vEdge或者cEdge。

vManage的作用：

翻译过来就是

• day0 day1 day2 的运维都需要vManage
• 多宿主（我们可以理解为功能上，或者需求上需要把整个sdwan提供的服务进行逻辑的分割）
• policy 和 template （这两个很重要，后面会讲）
• 排错，监控
• 升级
• Role base access control
• 可以试用rest 或者netconf

vSmart的作用

就是control plane，我们可以理解为主要的作用就是传播路由协议。我在别的视频里有的大神解析过，这有点想iBGP，而vSmart有点像BGP的路由反射器。

vBond的作用

又叫耦合层，实际上就是存储了各个vEdge的信息，保证他们的证书和序列号是valid的。同时因为园区网现在有大量的NAT，vBond也会保存这些信息。高度概括：就是负责所有device（controller，router）的onboarding
这个链接里这个哥们总结的非常好https://carpe-dm*.com/2018/10/13/sd-wan-deep-dive-vbond/
The vBond holds the information needed to authenticate the vEdges/cEdges that wish to join the fabric, as well as the the list of vManage and vSmart controllers to pass along to those routers.**

SD-WAN 术语

Site-ID：鉴别source location，实际上类似OTV里面的site id，就如同一个数据中西的site id肯定是一样的

System IP：类似于普通路由协议中的loopback interface
Organization Name：在证书认证过程中的时候用的

OMP: Overlay Management Plane

• 基于TCP的协议
• 这是在vEdge/cEdege 与vSmart之间运行的，是个DTLS的隧道，Edge之间因为只有数据层面，是没有这个OMP存在的
• 利用address family来宣告TLOC（实际意义上的下一条）
• 分发IPSec的encryption key，和data app-aware policies

• 补一份OMP的细节，可以看到非常多种类的路由
  

TLOCs Transport Locators

TLOC是经由vSmart通过类似路由反射器的方式传递给各个vEdge的，TLOCs里面比较重要的几个元素：System IP，color，和ipsec加密各种参数

TLOC的color

这是个非常有趣的概念，重点在前两个：

1. TLOC interface on edge device （实际上就是system ip）
2. underlay network attachment （底层的网络使用的是什么介质）

下面这个图就解释的很形象了

以下这幅图比较重要
OMP的更新：

1. 可达性 IP subnets和TLOC，bgp ospf connected static等路由
2. IPSec的秘钥
3. 策略（这个之后详细解释）

控制层面用DTLS隧道保护，数据层面IPSec保护。数据层面的ipsec tunnel用bfd监控。

SD-WAN的多宿主环境是通过下面这种方式实现的，其中LBL是label的意思。。。查了10分钟。。。这个图会在应用场景再做解释

SD-WAN数据加密方式，前面说过，这是OMP传输的一种属性，有趣的是使用的方式。加密仍然是使用对称秘钥，不过这个秘钥是peer生成的。每一对秘钥，是基于底层传输层来生成的。

三种证书的部署方式

我先跳过template等配置，讲OMP的概念

可以看到vSmart其实就是个路由反射器，只不过传输的路由多种多样，但也和ios里面的有点类似，address family 各种路由协议的路由。

传播的信息一个分四种

1. vRoute 就是背后的传统的路由协议宣告的网段
2. TLOC 把这个理解为下一跳，不过有IPSec的一些key的信息
3. Services
4. Policies
   

OMP传输的路由也是有选路顺序的

到时候我们会看到vEdge的配置实例，基于每个“虚拟私有网络”配置的。

这个图的“虚拟私有网络” 0 很有意思，截下来一目了然。

Plicies 策略
我们详细看策略的概念
分四种策略
数据层面
控制层面
app-aware policy （用applicationSLA来判断）
v-p-n membership策略 （fabric routing+ 分段多宿主）

控制策略组成部分。

其中最常见的应用场景就是hub-spoke还是spoke-spoke的连接方式。有些流量需要经过公司总部的防火墙进行过滤检查，有些访客流量可以直接通过spoke spoke直接internet出去

数据策略

简单的理解为更改选路，比如基于QoS让语音流量经过MPLS，不重要的流量经过internet

应用感知策略

接下来一篇我会截取如何安装vSmart vManage vEdge的步骤。