在初始化这些组件时,通常会进行一系列标准配置。例如,系统配置中会定义主机名、系统IP、站点ID、组织名称以及vBond的ip地址。这些配置项不仅标识了设备的基本信息,还确保了设备间的正确通信和身份验证。VPN 0配置主要涉及接口IP地址和隧道接口下允许的服务,确保WAN隧道连接的安全性和功能性。VPN 512配置则用于带外管理接口,提供了额外的管理灵活性。
具体到服务配置,不同设备支持的service-name有所不同。vEdge路由器支持bgp、dhcp、dns、HTTPS等多种服务,而vSmart和vManage则有所限制。默认情况下,各设备会启用一些基本服务如DHCP、DNS和ICMP,但管理员可以根据需求进行调整。需要注意的是,某些服务如DHCP、DNS、NTP和STUN不能被禁止,而使用allow-service all命令会覆盖所有单个服务的允许或禁止设置。
在实际部署中,合理的配置不仅能够提高网络性能,还能增强安全性。例如,通过精确控制隧道接口下的服务类型,可以有效防止未经授权的访问和数据泄露。此外,vManage提供的集中管理功能,使得网络管理员能够轻松监控和调整网络状态,确保业务连续性和稳定性。
总的来说,CISCO SD-WAN的这三个核心组件通过协同工作,实现了网络的高效管理和智能控制。无论是初始化配置还是日常运维,理解这些组件的功能和配置要点,对于构建一个可靠、安全的现代化网络至关重要。通过细致的规划和合理的配置,企业可以充分利用SD-WAN的优势,提升网络性能和业务灵活性,满足不断变化的业务需求。
CISCO思科SDWAN的控制器主要有三个组件,分别为vManage、vBond和vSmart。其中,vManage属于管理平面,主要涉及设备管理、监控,设备配置与策略的定义和调用等功能。
vBond属于协调平面,可以视作一个编排器,负责协调Edge 路由器和控制器的连接,Edge要正常完成注册,首先都会找到vBond,因为该设备执行Edge 路由器与控制器之间的初始化身份验证,当身份验证成功,vBond将告知Edge路由器有关vManage和vSmart的信息,最终Edge路由器通过vBond的信息建立与vManage和vSmart的DTLS隧道。vSmart属于控制平面,相关策略的推送调用离不开vSmart的工作。
在初始化配置三个组件的时候,几乎都会设置如下内容
config ! system host-name vManage system-ip x.x.x.x site-id xxxx organization-name "SDWAN_Org_Name" vbond x.x.x.x ! vpn 0 interface eth0 ip address x.x.x.x/x no shutdown tunnel-interface allow-service all allow-service sshd allow-service netconf ! ! ip route 0.0.0.0/0 x.x.x.x vpn 512 interface eth1 ip address x.x.x.x/x no shutdown ! commit
可以看到主要包含了system配置、vpn0配置和vpn512配置。vpn512下的配置,主要是用来带外管理的接口配置,这里不过多介绍,system下的配置我们主要涉及了如下内容:
- host-name:示例中配置了系统主机名为vManage
- system-ip :系统IP,是vBond、vManage、vSmart、WAN Edge等设备都需要定义一个唯一的IP,地址位于我们的传输 VPN (VPN 0) 中,可以将其视作动态路由协议汇总的router ID。
- site-id :标识通告前缀的源位置,vManage、vSmart和Edge设备都需要配置,该ID不必具备唯一性,这也和OMP&TLOC工作有密切的关系。
- organization-name :定义了要在证书身份验证过程中匹配的OU,可以设置为任何内容,只要它在整个 Cisco SD-WAN域中保持一致。
- vbond:告知设备vbond的IP地址。若是在vbond自身配置,则需要跟一个“local”参数,表示该设备就是vbond自己。
vpn0中的配置比较简单,主要配置了接口的IP地址以及tunnel接口下允许的服务,以便在WAN隧道连接上允许或禁止的服务类型。值得注意的是,在 vEdge 路由器上,service-name 可以是 bgp、dhcp、dns、HTTPs、icmp、netconf、ntp、OSPF、sshd 和stun中的全部或其中之一。默认情况下,在 vEdge 路由器隧道接口上启用 DHCP、DNS、HTTPS 和 ICMP。
在vSmart控制器上,service-name 可以是 dhcp、dns、icmp、netconf、ntp、sshd 和stun中的全部或一项或多项。默认情况下,在 vSmart 控制器隧道接口上启用 DHCP、DNS 和 ICMP。
在vManage上,service-name 可以是 dhcp、dns、https、icmp、netconf、ntp、sshd 和stun中的全部或一种或多种。默认情况下,在 vManage隧道接口上启用 DHCP、DNS、ICMP 和 HTTPS。
vManage# show run vpn 0 vpn 0 interface eth0 ip address x.x.x.x/24 tunnel-interface allow-service dhcp allow-service dns allow-service icmp no allow-service sshd no allow-service netconf no allow-service ntp no allow-service stun allow-service https ! ...
注意:不能禁止DHCP、DNS、NTP 和 STUN服务。
配置allow-service all会覆盖任何允许或禁止单个服务的命令。
本站声明:网站内容来源于网络,如有侵权,请联系我们,我们将及时处理。
汇鑫科服隶属于北京通忆汇鑫科技有限公司, 成立于2007年,是一家互联网+、物联网、人工智能、大数据技术应用公司,专注于楼宇提供智能化产品与服务。致力服务写字楼内发展中的中小企业 ,2009年首创楼宇通信BOO模式,以驻地网运营模式为楼宇提供配套运营服务;汇鑫科服始终以客户管理效率为导向,一站式 ICT服务平台,提升写字楼办公场景的办公效率和体验;
