As Centralized Polices e  Localized Polices são divididas em duas: Control Plane  e Data Plane, ambos são definidos no vManage e só tem coincidências até esse ponto.

Para as políticas do Control Plane, aplica-se ao roteamento no overlay (vSmart) e quando falamos de políticas no Plano de Dados, nos referimos ao fluxo de tráfego de dados e como estes são afetados pelas VPNs; podemos dizer que é equivalente a uma lista de controle de acesso (ACL) e filtros de firewall.

Centralized Control Policies

No caso das Centralized Control Policies, usamos o protocolo Netconf e podemos até usar o Yang para escrever essas políticas no vSmart e quando ele tiver a configuração que recebe através desses dois protocolos mencionados, ele fará o push das políticas.

A imposição é através do vSmart, manipulação da malha com a ajuda do protocolo OMP (recebe e propaga roteamento) dependendo das políticas que o vSmart possui.

Isso se aplica ao roteamento que ocorre no tráfego que afeta as informações de armazenamento nas tabelas de roteamento do vSmart e também que é anunciado para as Wan Edges.

Dentro das  Centralized Control Polices podemos encontrar a nivel de vManage a Topology Policies

Control policy, eles se referem ao tipo de topologia, por exemplo podemos formar uma topologia hub and spoke, regional, malha parcial, malha completa que é por padrão

VPN Membership Policy,é a comunicação entre as VPNs

Como sabemos quando exportamos informações dos Wan Edges, eles são todos criptografados, encapsulados e dentro dessa informação eles carregam o cabeçalho das VPNs, podemos manipulá-los e direcioná-los para onde queremos que eles trafeguem (nós diferentes) uma semelhança de esta seria a Vlan Privada.

Localized Control Policies

Esta política é provisionada localmente, neste caso seriam as Wan Edges. Ela afeta o nível de comportamento no nível de roteamento no nível local (Site). O enforcement vai direto para o Wan Edge, como podemos ver na imagem (Fig1) não existe mais o vSmart e ele tem o protocolo Netconf entre o vmanage e o Wan Edge, são políticas onde as configurações estão no nível do template do dispositivo .

Centralized Data Policies

As Centralized Data Policies aplicam-se ao fluxo de tráfego de dados através de VPNs no overlay, permitindo e restringindo o acesso com base em diversos parâmetros como: portas, endereço de origem/destino, protocolos, etc.

O enforcement está no nível Wan Edge, mesmo passando pelo vSmart para empurrar e fazer cumprir as políticas do Wan Edge (viptela e/ou Cisco) Temos 2 comandos para ver se o vSmart está empurrando as políticas:

Viptela #Mostrar política de-vsmart

Dispositivos Cisco #Show sd-wan policy from-vsmart

Dentro das  Centralized Data Polices

App-Aware Routing Policy, O principal objetivo da política de roteamento com reconhecimento de aplicativo é otimizar o caminho para o tráfego de dados que as Wan Edges transmitem. As características para um caminho melhor incluem perda de pacotes, latência, jitter, carga, custo e largura de banda de um link.

Datapolicy (Traffic Data)  Esse tipo de política de dados é fornecido localmente por meio de listas de acesso. Ele permite classificar o tráfego e atribuir diferentes classes a diferentes filas. Também permite espelhar o tráfego e controlar a velocidade com que o tráfego de dados é transmitido e recebido.

cFlowd, é equivalente a netflow, pois sabemos que é definir um servidor remoto para onde enviamos informações para possíveis análises. O Cflowd monitora o tráfego que flui pelos dispositivos Cisco vEdge na rede de sobreposição e exporta as informações de fluxo para um coletor, onde podem ser processadas por um analisador IPFIX.

Localized Data Polices

Esta política permite aplicar listas de acesso ACLs a uma ou mais interfaces de um roteador Wan Edge e afeta a maneira como uma interface específica trata o tráfego de dados que está transmitindo e recebendo, permite aplicar classe de serviço (CoS), policiamento de qualidade de serviço (QoS) (vigilância), classificar pacotes de dados e priorizar propriedades de transmissão para diferentes classes. Você também pode provisionar o espelhamento de pacotes.

As local Policy se dividem em dois

• Tradicionais: CoS, QoS, ACLs,
• Security:  zombies firewall, advanced malware

Conclusion:

Em poucas palavras, dizemos que nas Centralized Control Policies ele atua no vSmart e fica com a configuração, ou seja, a imposição é local, enquanto nas Centralized Data Policies a imposição é enviada para o Wan Edge.

A diferença entre um e outro é que posso manipular a parte do Control Plane Control Plane no nível vSmart através das atualizações do OMP e das Centralized Data Policies, a imposição está no nível Wan Edge para o Date Plane começar a manipular o encaminhamento de tráfego .

A política localizada refere-se a uma política provisionada localmente por meio da CLI em dispositivos Cisco vEdge ou por meio de um modelo de dispositivo Cisco vManage.

Nota:

Temos muitas documentações com termos técnicos que nem sempre vamos conseguir traduzir para o portugues, na minha opinião, porque cria mais confusão ou simplesmente não existe. E chegou a hora de vivenciar a língua inglesa, que é a realidade da nossa profissão hehehe =).

Digo para vocês que o Cisco TAC hoje tem mais pessoas que falam espanhol/portugues, mas não se confunda, o formato é feito para falar INGLÊS.

Referencias

https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/policies/vedge/policies-book/Policy-basics.html

https://sdwan-docs.cisco.com/Product_Documentation/Software_Features/SD-WAN_Release_16.2/06Policy_Basics/05Localized_Data_Policy

Dicionário

Wan Edge =  Device cisco e/ou  viptela

Overlay network = rede de sobreposição

Localized Policies = Políticas localizadas

Centralized Policies = Políticas centralizadas