Comprar ou Renovar
Comprar ou Renovar
custom.ribbon_feed
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Criar um novo artigo
266
Apresentações
1
Útil
1
Comentários

SDWAN-VIPTELA: A JORNADA II

SamuelGLN
Spotlight
Spotlight

‎02-21-2024 09:41 AM - editado ‎02-21-2024 10:01 AM

Seguindo com os tópicos relacionados a solução SD-WAN da Cisco, neste irei falar sobre policies. Policies nada mais são do que a forma com que os administradores de redes configuram a SD-WAN fabric para atingir os objetivos desejados. Nesse artigo irei trazer um resumo das anotações que fiz durante os estudos para a prova ENSDWI.

Pois bem, conforme já vimos no artigo SDWAN-VIPTELA: A JORNADA I, a solução SD-WAN tem como diferencial a separação do data plane e control plane nos WAN Edge Routers, sendo o control plane centralizado nas controllers (vSmart). Do ponto de vista das policies essa arquitetura se mantém, além da separação entre centralized e localized Policy. Para o analista que atua diretamente na configuração da rede é muito importante entender quando e por que usar cada tipo de policy para que se obtenha o comportamento esperado do tráfego dentro da SD-WAN Fabric. 

 

SamuelGLN_0-1708531479168.pngFonte: https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/SDWAN/cisco-sdwan-design-guide.docx/_jcr_content/renditions/cisco-sdwan-design-guide_90.jpg

 

Conforme ilustra a imagem acima, toda a criação de policy é feita no Manager e enviada via netconf para a controller (Centralized Policy) ou direto ao Wan Edge (Localized Policy). De forma resumida para entendimento, podemos fazer as seguintes considerações:

Centralized Policy refere-se as policies configuradas na controller e com efeito global na rede SD-WAN, podendo ser control-policy, data-policy ou App-Aware policy. (falaremos de App-Aware em outro momento).

  • Centralized Control Policy: São usadas para manipular a propagação de rotas a nível de control plane, incluindo manipulação ou filtragem de OMP e TLOC routes. Esse tipo de policy permanece na controller e nunca é enviada aos WAN Edge Routers.
  • Centralized Data Policy: São usadas para manipular os pacotes (Dados) a nível de data plane. Podem restringir ou permitir pacotes baseando-se em: source and destination IP address/port, DSCP field e protocolo. Essas policies são aplicadas na controller enviadas ao WAN Edge Routers para que sejam executadas.

Note: Centralized Control Policy manipulam a estrutura da rede alterando como control plane exporta as informações. Centralized Data Policy manipulada diretamente o data plane alterando o encaminhamento de tráfego.

localized policies, assim como as centralized policies,  podem ser utilizadas para manipular control plane e data plane sendo divididas em dois tipos:

  • Traditional localized policies: Pode ser route policy, quality of service e access control lists (ACLs).
  • Security Policies: São features de suporte para alguns use cases como compliance, guest access, Direct Cloud Access (DCA) e Direct Internet Access (DIA).

Localized policies que afetam o control plane são as route policies. Essas podem ser utilizadas para filtrar rotas aprendidas ou enviadas para fora da SD-WAN fabric via protocolos como OSPF, BGP e EIGRP. Pode também ser utilizada para filtrar redistribuição de rota in e out entre os protocolos, inclusive para o OMP. Route policy é a única forma de manipular o control plane ao utilizar localized policies.

Localized policies que afetam o data plane podem ser:

  • Quality of service (QoS): Podem ser configuradas no WAN Edge para utilização de queueing, shaping, policing, congestion avoidance e congestion management.
  • Access Control List (ACL): Podem ser utilizadas para filtrar tráfego a nível da interface e para marcar ou remarcar tráfego para posterior aplicação de QoS.
  • Security Policy: Foram introduzidas inicialmente na versão 18.2 com a feature Zone-Based Firewall (ZBF). A partir da versão 19.2 esse tipo de policy suporta Application-Aware ZBFW, Intrusion Prevention, URL Filtering, Advanced Malware Protection (AMP) e DNS Security.

Note: Localized Data Policy é a única em que a ação de drop está disponível.

A figura a seguir mostra em formato de diagrama todos os tipos de policies da solução Cisco SD-WAN:

 

SamuelGLN_0-1708532235252.png

Figura 1.0 – Tipos de policies

 

Após esse overview, é muito importante também termos o entendimento de como elas são processadas e aplicadas pela controller e isso ocorre da seguinte forma:

  • Ao analisar as informações que possui, a controller irá processar as policies em ordem sequencial e assim que ocorrer um match para aquela informação a ação será executada e o restante da policy não é processada. Caso não ocorra nenhum match é utilizada a default action que por padrão é um reject.
  • Control Policy são unidirecionais, podendo ser aplicar na entrada ou na saida do vSmart. Caso necessário control policy em ambas direções, deve-se configurar duas control policies.
  • Data Policy são direcionais, podendo ser aplicada no tráfego recebido do service side do WAN Edge Router, tráfego recebido do transport side ou em ambos.
  • Deve-se aplicar apenas um tipo de policy em uma site list. Por exemplo, você pode ter uma control policy e uma data policy, ou uma control policy inbound e uma data policy outbound. Mas não pode ter duas data policies ou duas control pilicies outbound. (Falarei mais sobre o processo de criação de policies no próximo artigo)
  • Pelo fato de uma site list ser um grupo de vários sites. deve-se ter cuidado ao incluir um site em mais de uma site list. Se o mesmo site estiver em duas site list e o mesmo tipo de policy for aplicada em ambas, o comportamento do site será imprevisível.
  • Em um deploy multi-controller, cada controller atuará de forma independete para disseminar a informação para outro controller e para os WAN Edges Routers. Porém, todas policy devem ser idênticas e habilitadas em todas as controllers da rede.

A imagem a seguir mostra onde essas policies são configuradas, aplicadas e executadas:

 

SamuelGLN_4-1708534547450.png
Fonte: https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/policies/vedge/policies-book/policy-framework.html
 
Perceba que determinados tipos de Centralized Policy são configuradas e aplicadas na controller e então enviadas ao WAN Edge Router, via OMP, para que sejam executadas. Um ponto de ateção aqui é com realação a ação "Configure". Quando falamos de configuração referimos basicamente as linhas de comandos aplicadas na controller. Contudo, o processo de criação é feito no Manager. E esse processo é algo que irei trazer no próximo artigo para seguirmos com uma demonstração mais prática no canal Lo0
 
Para todos que leram até aqui deixo duas perguntas sobre o tema como forma de estudo e caso tenham dúvidas ou considerações, sintam-se a vontade para postar nos comentários.
 
1. In a typical Cisco SD-WAN deployment, all policies are administered on witch device?
    a. WAN Edge
    b. Controller (vSmart)
    c. Validator (vBond)
    d. Manager (vManager)
    e. vPolicy
 
2. Cisco SD-WAN policies use a "best match" (Or most specific match) matching logic.
    a. True
    b. False 
 
Se esse artigo te ajudou de alguma forma, peço que compartilhe e deixe seu kudos! 

Comunidade Cisco

Aprender. Compartilhar. Crescer.

Rótulos:
Comentários
marcelosilva140900
Level 1
Level 1
‎05-07-2024 07:16 AM

Conteúdo muito top Samuel.

Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Pergunte aos Especialistas Podcast Comunidades do Brasil Comunidade de FSO
Customers Also Viewed These Support Documents