感觉没找到啥好的材料,自己写一篇吧。

贴几份有用的链接

强烈推荐第一个!
https://carpe-dm***.com/category/networking/viptela/

https://www.grandmetric.com/2018/02/19/cisco-viptela-sd-wan-components-connectivity-viptela-part-1/
https://www.grandmetric.com/blog/2018/03/19/cisco-viptela-sd-wan-components-connectivity-part-2/
https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2019/pdf/BRKRST-2558.pdf
https://www.cisco.com/c/dam/assets/global/CN/solutions/industry/segment_sol/enterprise/programs/2018/cin_fy19q2_en_workshop_ppt.pdf

ViptelaSD-WAN概念_第1张图片ViptelaSD-WAN概念_第2张图片

介绍一下各个术语。SD-WAN和最重要的原理就是将数据层面与控制管理层面分离了开来。
其中管理层面就是vManage,控制层面是vSmart,数据层面是vEdge或者cEdge。

vManage的作用:
ViptelaSD-WAN概念_第3张图片

翻译过来就是

  • day0 day1 day2 的运维都需要vManage
  • 多宿主(我们可以理解为功能上,或者需求上需要把整个sdwan提供的服务进行逻辑的分割)
  • policy 和 template (这两个很重要,后面会讲)
  • 排错,监控
  • 升级
  • Role base access control
  • 可以试用rest 或者netconf

vSmart的作用
ViptelaSD-WAN概念_第4张图片
就是control plane,我们可以理解为主要的作用就是传播路由协议。我在别的视频里有的大神解析过,这有点想iBGP,而vSmart有点像BGP的路由反射器。

vBond的作用
ViptelaSD-WAN概念_第5张图片
又叫耦合层,实际上就是存储了各个vEdge的信息,保证他们的证书和序列号是valid的。同时因为园区网现在有大量的NAT,vBond也会保存这些信息。高度概括:就是负责所有device(controller,router)的onboarding
这个链接里这个哥们总结的非常好https://carpe-dm*.com/2018/10/13/sd-wan-deep-dive-vbond/
The vBond holds the information needed to authenticate the vEdges/cEdges that wish to join the fabric, as well as the the list of vManage and vSmart controllers to pass along to those routers.**

ViptelaSD-WAN概念_第6张图片

SD-WAN 术语
ViptelaSD-WAN概念_第7张图片
Site-ID:鉴别source location,实际上类似OTV里面的site id,就如同一个数据中西的site id肯定是一样的

System IP:类似于普通路由协议中的loopback interface
Organization Name:在证书认证过程中的时候用的

OMP: Overlay Management Plane
ViptelaSD-WAN概念_第8张图片

  • 基于TCP的协议
  • 这是在vEdge/cEdege 与vSmart之间运行的,是个DTLS的隧道,Edge之间因为只有数据层面,是没有这个OMP存在的
  • 利用address family来宣告TLOC(实际意义上的下一条)
  • 分发IPSec的encryption key,和data app-aware policies
  • 补一份OMP的细节,可以看到非常多种类的路由
    ViptelaSD-WAN概念_第9张图片

TLOCs Transport Locators
ViptelaSD-WAN概念_第10张图片
TLOC是经由vSmart通过类似路由反射器的方式传递给各个vEdge的,TLOCs里面比较重要的几个元素:System IP,color,和ipsec加密各种参数

TLOC的color
ViptelaSD-WAN概念_第11张图片

这是个非常有趣的概念,重点在前两个:

  1. TLOC interface on edge device (实际上就是system ip)
  2. underlay network attachment (底层的网络使用的是什么介质)

下面这个图就解释的很形象了

ViptelaSD-WAN概念_第12张图片

以下这幅图比较重要
OMP的更新:

  1. 可达性 IP subnets和TLOC,bgp ospf connected static等路由
  2. IPSec的秘钥
  3. 策略(这个之后详细解释)

控制层面用DTLS隧道保护,数据层面IPSec保护。数据层面的ipsec tunnel用bfd监控。

ViptelaSD-WAN概念_第13张图片

SD-WAN的多宿主环境是通过下面这种方式实现的,其中LBL是label的意思。。。查了10分钟。。。这个图会在应用场景再做解释
ViptelaSD-WAN概念_第14张图片

SD-WAN数据加密方式,前面说过,这是OMP传输的一种属性,有趣的是使用的方式。加密仍然是使用对称秘钥,不过这个秘钥是peer生成的。每一对秘钥,是基于底层传输层来生成的。
ViptelaSD-WAN概念_第15张图片

三种证书的部署方式

ViptelaSD-WAN概念_第16张图片

我先跳过template等配置,讲OMP的概念

可以看到vSmart其实就是个路由反射器,只不过传输的路由多种多样,但也和IOS里面的有点类似,address family 各种路由协议的路由。
ViptelaSD-WAN概念_第17张图片
传播的信息一个分四种

  1. vRoute 就是背后的传统的路由协议宣告的网段
  2. TLOC 把这个理解为下一跳,不过有IPSec的一些key的信息
  3. Services
  4. Policies
    ViptelaSD-WAN概念_第18张图片

OMP传输的路由也是有选路顺序的

到时候我们会看到vEdge的配置实例,基于每个“虚拟私有网络”配置的。
ViptelaSD-WAN概念_第19张图片
这个图的“虚拟私有网络” 0 很有意思,截下来一目了然。
ViptelaSD-WAN概念_第20张图片

Plicies 策略
我们详细看策略的概念
分四种策略
数据层面
控制层面
app-aware policy (用applicationSLA来判断)
v-p-n membership策略 (fabric routing+ 分段多宿主)
ViptelaSD-WAN概念_第21张图片

控制策略组成部分。
ViptelaSD-WAN概念_第22张图片
其中最常见的应用场景就是hub-spoke还是spoke-spoke的连接方式。有些流量需要经过公司总部的防火墙进行过滤检查,有些访客流量可以直接通过spoke spoke直接internet出去

ViptelaSD-WAN概念_第23张图片

数据策略

ViptelaSD-WAN概念_第24张图片
简单的理解为更改选路,比如基于QoS让语音流量经过MPLS,不重要的流量经过internet

应用感知策略
ViptelaSD-WAN概念_第25张图片

接下来一篇我会截取如何安装vSmart vManage vEdge的步骤。