cancelar
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Comunicados
Community Live

Arquitectura de políticas SD-WAN

104
Apresentações
0
Útil
0
Comentários

2021-11-15 11_51_55-Cisco SD-WAN  Policies.png

 

 

Las Centralized Polices y Localized Polices están dividida en dos: Control Plane  y Data Plane, las dos son definidas en el vManage y solamente tiene de coincidencias hasta ese punto.

Para las políticas de Control Plane se aplica para enrutamiento en el overlay (vSmart) y cuando hablamos de las políticas en el Data Plane nos referimos a el flujo de tráfico de datos y cómo estas son afectadas por medio de las VPNs; podemos decir que es equivalente a una lista de control de acceso (ACL) y filtros de firewall.

 

polices arquitectura.png

 

 

Centralized Control Policies

En el caso de las Centralized Control Policies utilizamos el protocolo Netconf e incluso podemos utilizar Yang para escribir estas políticas en el vSmart y cuando tenga la configuración que recibe por estos dos protocolos mencionados ira a hacer el pushed(empujar) de las políticas.

El enforcement es por medio del vSmart, manipulación del fabric con ayuda del protocolo OMP (recibe y propaga enrutamiento) dependiendo las políticas que tiene el vSmart.

Esto se aplica para el enrutamiento que se da en el trafico afectando las informaciones de almacenamiento en las tablas de enrutamiento del vSmart y también que se anuncia hacia los Wan Edges.

Dentro de las Centralized Control Polices podemos encontrar a nivel de vManage a Topology Policies

contropolicy.png

Control policy, hacen referencia al tipo de topologia, ejemplo podemos formar una topologia hub and spoke, regionales, partial mesh, full mesh que es por defecto

VPN Membership Policy, es la comunicación entre las VPNs

Como sabemos cuándo exportamos información de los Wan Edges van todos encriptados, encapsulados y dentro de estas informaciones llevan el encabezado de las VPNs las mismas podemos manipular y direccionar para donde queremos que ellas viajen (nodos diferentes) una semejanza de esta seria las Private Vlan.

 

Localized Control Policies

localpolicy1.png

 

Esta política se aprovisiona de manera local en este caso serían los Wan Edges. Afecta el nivel de comportamiento a nivel de enrutamiento a nivel local (Site). El enforcement va directamente en el Wan Edge, como podemos observar en la imagen (Fig1) no está más el vSmart y tiene el protocolo Netconf entre el vmanage y el Wan Edge, son políticas donde las configuraciones son a nivel device template.

 

Centralized Data Policies

Las políticas Centralized Data Policies se aplica al flujo de tráfico de datos a través de las VPNs en el overlay, permite y restringe el acceso basado en diversos parámetros tales como, por ejemplo: puertos, dirección de origen/destino, protocolos, etc.

El enforcement es a nivel de Wan Edge, mismo pasando por el vSmart para empujar y enforcement de las políticas del Wan Edge (viptela y/o Cisco) Tenemos 2 comandos para ver que el vSmart está empujando las políticas:

Viptela #Show policy from-vsmart

Dispositivos Cisco #Show sd-wan policy from-vsmart

Dentro de las Centralized Data Polices

trafficrules.png

 

App-Aware Routing Policy, El propósito principal de la política de enrutamiento con reconocimiento de aplicaciones es optimizar la ruta para el tráfico de datos que transmiten los Wan Edges. Las características para tener una mejor ruta incluyen la pérdida de paquetes, latencia, fluctuación, carga, costo y el ancho de banda de un enlace.

Datapolicy (Traffic Data)  Este tipo de política de datos se proporciona localmente mediante listas de acceso. Le permite clasificar el tráfico y asignar diferentes clases a diferentes colas. También le permite reflejar el tráfico y controlar la velocidad a la que se transmite y recibe el tráfico de datos.

cFlowd, es equivalente al netflow, como lo conocemos es definir un servidor remoto donde mandamos información para un posible análisis. Cflowd monitorea el tráfico que fluye a través de los dispositivos Cisco vEdge en el overlay network y exporta la información del flujo a un recopilador, donde puede ser procesada por un analizador IPFIX.

 

 

Localized Data Polices

localpolicy2.png

 

Esta política permite aplicar listas de acceso ACLs a una o varias interfaces de una Wan Edge router y afecta la forma en que una interfaz específica maneja el tráfico de datos que está transmitiendo y recibiendo, nos permite aplicar class of service (CoS), quality of service (QoS) policing (vigilancia), clasificar paquetes de datos y priorizar las propiedades de transmisión para diferentes clases. También puede aprovisionar la duplicación de paquetes.

Las local Policy se dividen en dos:

  • Tradicionales: CoS, QoS, ACLs,
  • Security:  zombies firewall, advanced malware

 

Conclusion:

En pocas palabras decimos que en Centralized Control Policies actúa en el vSmart y se queda con la configuración es decir el enforcement es local, mientras que Centralized Data Policies el enforcement es empujado al Wan Edge

La diferencia entre uno y otro es que puedo manipular la parte del Control Plane a nivel de vSmart a través de las actualizaciones del OMP y la Centralized Data Policies el enforcement es a nivel Wan Edge para el Date Plane para comenzar a manipular el reenvió de tráfico.

La política localizada se refiere a una política que se aprovisiona localmente a través de la CLI en los dispositivos Cisco vEdge o mediante una plantilla de dispositivo Cisco vManage.

 

Nota:

Tenemos muchas documentaciones con términos técnicos que no siempre vamos a poder traducir al español a mi entender porque crea más confusión o simplemente no existe. Y ya es hora de tener vivencia con el idioma Ingles que es la realidad de nuestra profesión jejeje =).

Les comento que el TAC de Cisco tiene más personas que hablan español a día de hoy, pero no se confundan el formato está hecho para hablar INGLES.

 

Referencias

https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/policies/vedge/policies-book/Policy-basics.html

https://sdwan-docs.cisco.com/Product_Documentation/Software_Features/SD-WAN_Release_16.2/06Policy_Basics/05Localized_Data_Policy

 

Diccionario

Wan Edge =  Device cisco y/o  viptela

Overlay network = La red superpuesta

Localized Policies = La política localizada

Centralized Policies = La política centralizada

 

 

 

 

 

Criar
Reconheça Seus Colegas
Content for Community-Ad

 Ask to Expert