Bvural41 1
Bvural41
Fethi Polat 1
Fethi Polat
Mt2Hizmet 1
Mt2Hizmet
Sevdamsın 1
Sevdamsın
Nedved35 1
Nedved35
Hikaye Ekle

Cisco SD-WAN Kontrol Bağlantıları

  • Konuyu başlatan Konuyu başlatan Nizam-ı Alem
  • Başlangıç tarihi Başlangıç tarihi
  • Cevaplar Cevaplar 1
  • Görüntüleme Görüntüleme 50

Ayyıldız2 | 2008 TR Yapısı • 1-99 Orta Emek Destan • Oto Avsız • 10 Temmuz 21:00 HEMEN TIKLA!

Cisco SD-WAN mimarisinin kontrol ve yönetim düzlemi işlevlerini WAN uç yönlendiricilerinden ayırdığını artık birçok kez gördük. Çözüm, bu işlevleri tüm ağ ortamını denetleyen merkezi yazılım tabanlı denetleyicilere uygular. Bu nedenle, bir vEdge yönlendiricisinin bakış açısından, kontrol ve yönetim düzlemi işlevleri cihaza iletilen uzak hizmetlerdir . Bu nedenle, her vEdge yönlendiricisi, Şekil 1'de görselleştirildiği gibi, her Cisco SD-WAN denetleyicisine güvenli kontrol bağlantıları kurmalı ve sürdürmelidir.

1746552476167.png


SD-WAN denetleyicileri, şirket içinde veya genel bir bulut sağlayıcısında barındırılan sanal makineler veya kapsayıcılar olarak çalışan yazılım varlıklarıdır. Her denetleyici çözümde farklı bir rol oynar ve çeşitli protokoller aracılığıyla vEdge yönlendiricileriyle etkileşime girer. Örneğin, vSmart, vEdge'ler arasında yönlendirme, TLOC ve hizmet bilgilerini iletmek için Cisco Overlay Management Protocol'ü (OMP) kullanır. vManage, yapılandırmaları cihazlara göndermek için NETCONF, veri toplamak için SNMP ve canlılığı algılamak için ICMP echo/reply kullanır.

Günümüzün yüksek kullanılabilirlik ve güvenlik standartlarını karşılamak için her SD-WAN denetleyicisi, WAN uç cihazlarıyla güvenli, dayanıklı ve zamanında bir şekilde etkileşime girer. Ancak, bir ağda birden fazla kontrol protokolü çalıştığında, her birinin en son güvenlik politikalarıyla uyumlu olduğundan emin olmak, hızla kontrolden çıkan karmaşık bir görevdir. Örneğin, BGP, OSPF, EIGRP, SNMP ve PIM çalıştıran geleneksel bir WAN ortamımız olduğunu varsayalım. Her protokolün güvenli olduğundan nasıl emin oluruz? Her biri anahtar değişimlerini farklı şekilde uygular, farklı şifreleme ve kimlik doğrulama algoritmalarını destekler ve farklı şekilde yapılandırılır. Bu nedenle Cisco SD-WAN, kontrol düzlemi protokollerini güvence altına alırken farklı, daha ölçeklenebilir bir yaklaşım benimsemiştir. Her WAN uç yönlendiricisi, her SD-WAN denetleyicisine bir veya daha fazla güvenli kontrol tüneli kurar. Tüneller, standart bir taşıma güvenlik protokolü (DTLS veya TLS) kullanılarak güvence altına alınır.

1746552488883.png


Daha sonra OMP, NETCONF, SNMP vb. gibi her kontrol düzlemi protokolü, Şekil 2'de görselleştirildiği gibi DTLS/TLS güvenli kontrol tünellerinden birinden geçer. Bu teknik,Bu protokollerin (OMP, SNMP, NETCONF, vb.) yerel güvenliği artık genel güvenlik açısından bir endişe kaynağı değildirÇünkü şifrelenmiş ve doğrulanmış güvenli tüneller aracılığıyla iletişim kuruluyor.

DTLS ve TLS​

Cisco SD-WAN, vEdges'in kontrol düzlemi tünelleri için kullandığı iki taşıma katmanı güvenlik protokolünü destekler: RFC 6347'de tanımlanan DTLS (Datagram Taşıma Katmanı Güvenliği) ve RFC 5246'da tanımlanan TLS (Taşıma Katmanı Güvenliği). Her iki protokol de birbirine çok benzer ve yüksek bir seviyeden bakıldığında her ikisi de aynı amaca hizmet eder: bir yönlendirici ile bir SD-WAN denetleyicisi arasında uçtan uca taşıma güvenliği sağlamak. Temel fark, DTLS'nin UDP kullanması ve TLS'nin TCP üzerinden çalışmasıdır. Bu, paket kaybını farklı şekilde ele aldıkları anlamına gelir. TLS, paket teslimi için öncelikle TCP'ye güvenir. Öte yandan, DTLS kendi sıra numaralarını, parça ofsetlerini ve yeniden iletimi uygular çünkü UDP paketlerin güvenilir bir şekilde teslim edilmesini garanti etmez. Sonuç olarak, TLS biraz daha güvenli ve güvenilirdir ancak daha yavaştır. DTLS biraz daha hızlı ve daha verimlidir ancak daha az güvenlidir. Ancak, farklar o kadar küçüktür ki pratikte hemen hemen aynıdırlar.

Varsayılan olarak, Cisco SD-WAN tüm kontrol düzlemi iletişimleri için DTLS'yi kullanır çünkü TLS'den daha hızlıdır ve cihazlar uzaktan yönetildiğinde gecikme önemlidir. Ancak çözüm, protokolü kolayca TLS'ye değiştirmemize olanak tanır.

vBond'a Bağlantıları Kontrol Et​

Orkestrasyon düzlemini temsil eden vBond denetleyicisiyle başlayarak, bir WAN kenar yönlendiricisinin kurduğu çeşitli kontrol bağlantılarını inceleyeceğiz.

Bir vEdge yönlendiricisini ilk kez yapılandırılmamış bir durumda çalıştırdığımızda, vBond'un IP adresini bulmaya çalışır. vBond orkestratörü, her şeyi bir arada tutan denetleyicidir - bu yüzden ona "orkestratör" denir. vBond, vEdge'lerin kimliğini doğrular, alt katmanda NAT'ın arkasında oturup oturmadıklarını, etki alanını kaç vSmart denetleyicisinin denetlediğini ve en önemlisi - vManage ve vSmart'ın IP adreslerinin ne olduğunu söyler.
Basitçe söylemek gerekirse, yapılandırılmamış bir vEdge yönlendiricisinin SD-WAN etki alanına katılmak için gereken bilgileri almak üzere vBond ile iletişime geçmesi gerekir. Ancak, yepyeni yapılandırılmamış bir yönlendirici, belirli bir kuruluş için vBond denetleyicisinin IP adresini nasıl bilebilir? Yönlendiricilerin orkestratörün IP'sini keşfetmek için kullanabileceği birkaç farklı dağıtım seçeneği vardır:
  • ZTP/PnP - Bir vEdge yönlendirici, IOS-XE cihazları için Cisco PnP (Tak ve Çalıştır) ve Viptela SD-WAN cihazları için ZTP (Sıfır dokunuşlu sağlama) adı verilen bir teknik kullanarak İnternet üzerinden vBond IP adresini otomatik olarak keşfedebilir. Çok yüksek bir seviyede, yönlendirici basitçe İnternet üzerinden devicehelper.cisco.com veya ztp.viptela.com'a bir sorgu yapar, seri/şasi numarasını ve sertifikasını sunar ve seri numarasıyla ilişkili vBond IP adresini ister.​
  • Önyükleme yapılandırması - Alternatif bir seçenek olarak, bir vEdge yönlendiricisi bir USB çubuğundan bir yapılandırma dosyası yükleyebilir. Yapılandırma dosyası vBond IP adresini, kuruluş adını ve vEdge'in üst katman yapısına başarıyla katılabilmesi için gereken her şeyi içerir.​
  • Manuel olarak - Ve tabii ki, her zaman işe yarayan, zamanla test edilmiş yöntem - bir ağ yöneticisi, yönlendiricinin CLI'si aracılığıyla vBond IP adresi ve kuruluş adı dahil her şeyi yapılandırabilir.​
Bu kursun SD-WAN Dağıtımı bölümünde her dağıtım seçeneğini ayrıntılı olarak ele alacağız. Şimdilik, bir vEdge yönlendiricisinin vBond orkestratörünün IP adresini bulmasından sonra ne olduğuna bakalım.

vEdge yönlendiricisi, her kullanılabilir taşıma arayüzü üzerinden vBond IP adresine bir DTLS kontrol düzlemi tüneli kurmaya çalışır. Şekil 3'te gösterilen örnekte, vEdge-1, İnternet üzerinden ve MPLS bulutu üzerinden orkestratöre bir DTLS kontrol bağlantısı oluşturmaya çalışacaktır. Her kontrol tüneli üzerinden kendini doğrulayacak ve herhangi bir yol boyunca bir NAT cihazının arkasında olup olmadığını bulacaktır. Sonunda, vBond diğer tüm SD-WAN denetleyicilerinin (vSmart ve vManage) IP adresleri ve portlarının bulunduğu bir listeyi geri gönderecektir.Daha sonra her iki DTLS kontrol bağlantısı da sonlandırılırçünkü vEdge yönlendiricisi, gerekli tüm bilgileri aldıktan sonra vBond'a kalıcı kontrol bağlantıları sürdürmesine gerek kalmaz.

1746552555600.png


Bu sırada vBond düzenleyicisi, vManage ve vSmart'a kimliği doğrulanmış WAN Edge yönlendiricisinden bir kontrol bağlantı isteği beklemeleri gerektiğini bildirecektir.

vManage'e Bağlantıları Kontrol Et​

Bir vEdge yönlendiricisi vBond'dan tüm SD-WAN denetleyicilerinin IP adreslerini içeren listeyi aldığında,vManage'e yalnızca bir taşıma üzerinden tek, kalıcı bir DTLS kontrol bağlantısı başlatırvEdge, en düşük port numarasına sahip arayüzden başlayarak her taşıma ağını dener ve ilk başarılı şekilde kurulan bağlantıyı kalıcı olarak korur.

Şekil 4'e bakarsak, tüm vEdge'lerin iki taşıma bağlantısı vardır, biri İnternet'e ve biri MPLS bulutuna. Ancak, vManage'e DTLS tüneli yalnızca İnternet üzerinden kurulur. Bir vEdge bu DTLS bağlantısı üzerinden vManage'e olan bağlantısını kaybederse, MPLS bulutuna bağlı diğer taşıma arayüzü üzerinden yeni bir bağlantı oluşturur.

1746552571759.png


Bu sırada vBond düzenleyicisi, vManage ve vSmart'a kimliği doğrulanmış WAN Edge yönlendiricisinden bir kontrol bağlantı isteği beklemeleri gerektiğini bildirecektir.

vManage'e Bağlantıları Kontrol Et​

Bir vEdge yönlendiricisi vBond'dan tüm SD-WAN denetleyicilerinin IP adreslerini içeren listeyi aldığında,vManage'e yalnızca bir taşıma üzerinden tek, kalıcı bir DTLS kontrol bağlantısı başlatırvEdge, en düşük port numarasına sahip arayüzden başlayarak her taşıma ağını dener ve ilk başarılı şekilde kurulan bağlantıyı kalıcı olarak korur.

Şekil 4'e bakarsak, tüm vEdge'lerin iki taşıma bağlantısı vardır, biri İnternet'e ve biri MPLS bulutuna. Ancak, vManage'e DTLS tüneli yalnızca İnternet üzerinden kurulur. Bir vEdge bu DTLS bağlantısı üzerinden vManage'e olan bağlantısını kaybederse, MPLS bulutuna bağlı diğer taşıma arayüzü üzerinden yeni bir bağlantı oluşturur.

1746552660732.png


Bir vEdge yönlendirici vSmart'a en az bir DTLS kontrol bağlantısı kurduğunda, tek bir OMP eşleme oturumu başlatır . Yönlendirici daha sonra yerel ağlarını, TLOC'lerini ve servis rotalarını OMP aracılığıyla denetleyiciye duyurur. Bilgileri aldıktan sonra, denetleyici merkezi RIB'yi (yönlendirme bilgi tabanı) tanımlanmış politikalara göre yeniden hesaplar ve rotaları OMP güncellemelerini kullanarak diğer tüm WAN Edge cihazlarına yeniden dağıtır.

Aşağıdaki çıktı, bir vEdge yönlendiricisinin her yerel renk üzerinde aynı vSmart denetleyicisine üç DTLS denetim bağlantısına sahip olduğu bir örneği göstermektedir.

vEdge-1# show control connections
PEER PEER
PEER PEER PEER PEER PRIV PEER PUB
TYPE PROT SYSTEM IP PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE
-------------------------------------------------------------------------------
vsmart dtls 1.1.1.30 10.1.1.30 12346 10.1.1.30 12346 mpls up
vsmart dtls 1.1.1.30 10.1.1.30 12346 10.1.1.30 12346 biz-internet up
vsmart dtls 1.1.1.30 10.1.1.30 12346 10.1.1.30 12346 lte up
vbond dtls 0.0.0.0 10.1.1.10 12346 10.1.1.10 12346 mpls up
vbond dtls 0.0.0.0 10.1.1.10 12346 10.1.1.10 12346 public-internet up
vbond dtls 0.0.0.0 10.1.1.10 12346 10.1.1.10 12346 lte up
vmanage dtls 1.1.1.20 10.1.1.20 12546 10.1.1.20 12546 biz-internet up
vSmart'a üç DTLS bağlantısı olmasına rağmen, yönlendirici denetleyiciyle yalnızca bir OMP eşleme oturumu kurmuştur; bu durum aşağıdaki çıktıda gösterilmiştir:

vEdge-1# show omp peers
R -> routes received
I -> routes installed
S -> routes sent
DOMAIN OVERLAY SITE
PEER TYPE ID ID ID STATE UPTIME R/I/S
-------------------------------------------------------------------------------
1.1.1.30 vsmart 1 1 1 up 0:05:08:57 94/56/4
OMP eşleme oturumunun IP uç noktalarının, aşağıdaki Şekil 6'da gösterildiği gibi vEdge ve denetleyicinin sistem IP adresleri olduğunu unutmayın.

1746552680541.png


OMP eşleştirme oturumu, geri döngü adresleri arasındaki bir BGP eşleştirme oturumuyla aynı şekilde çalışır. BGP eşleri arasında birden fazla IP yolu bulunsa da, BGP oturumu yalnızca bir tanedir ve yönlendirme tablosuna göre herhangi bir anda mevcut her IP yolunu kullanabilir. Benzer şekilde, bir OMP oturumu sistem IP adresleri arasında kurulur ve vEdge ile denetleyici arasında taşıma için mevcut her DTLS kontrol bağlantısını kullanabilir.

Kontrol bağlantıları genel bakışı​

Bir vEdge yönlendirici her SD-WAN denetleyicisine kontrol düzlemi bağlantıları kurduğunda ve vSmart'tan rota bilgilerini aldığında, tüm yerel WAN taşımalarındaki tüm uzak TLOC'lere IPsec/GRE tünelleri kurarak kaplama yapısına katılır.

Veri düzlemi IPsec tünelleri, SD-WAN denetleyicilerine giden DTLS kontrol düzlemi tünelleriyle karıştırılmamalıdır. Ayrıca, Taşıma Konum Belirleyicileri (TLOC'ler) kavramının denetleyiciler için geçerli olmadığını belirtmek önemlidir. Tüm SD-WAN denetleyicilerinin DTLS/TLS bağlantılarını sonlandıran tek bir sıradan L3 arabirimi vardır ve bu arabirimin TLOC yapılandırması (renk, kapsülleme türü, tünel grubu, vb.) yoktur.

1746552694339.png

  • Onboarding süreci boyunca her bağlı WAN taşıyıcısı üzerinden vBond orkestratörüne yalnızca bir geçici DTLS kontrol bağlantısı yapılır.
  • Tek bir WAN aktarımı üzerinden vManage'e tek bir kalıcı DTLS kontrol bağlantısı.
  • Her bağlı WAN taşıyıcısı üzerinden vSmart'a bir adet kalıcı DTLS/TLS kontrol bağlantısı;
  • IPsec tünelleri, her kullanılabilir WAN taşıması üzerinden farklı site kimliklerine sahip tüm bilinen uzak TLOC'lere açılır. Her IPsec tüneli üzerinden otomatik olarak bir BFD oturumu başlatılır ve devre dışı bırakılamaz.​
Bir vEdge'in kontrol düzlemi tünellerini kontrol etmek için aşağıda gösterildiği gibi show control connections komutunu kullanırız .

vEdge-1# show control connections
#some columns are omitted for clarity
PEER PEER
PEER PEER PEER PEER PRIV PEER PUB
TYPE PROT SYSTEM IP PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE
--------------------------------------------------------------------------------
vsmart dtls 1.1.1.30 10.1.1.30 12346 10.1.1.30 12346 mpls up
vsmart dtls 1.1.1.30 10.1.1.30 12346 10.1.1.30 12346 biz-internet up
vbond dtls 0.0.0.0 10.1.1.10 12346 10.1.1.10 12346 mpls up
vbond dtls 0.0.0.0 10.1.1.10 12346 10.1.1.10 12346 biz-internet up
vmanage dtls 1.1.1.20 10.1.1.20 12546 10.1.1.20 12546 biz-internet up
 
vEdge-1# show control connections
PEER PEER
PEER PEER PEER PEER PRIV PEER PUB
TYPE PROT SYSTEM IP PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE

Anlamsız kelime ve dahası
RED
 

Şu an konuyu görüntüleyenler (Toplam : 0, Üye: 0, Misafir: 0)

Geri
Üst