​​点击返回：思科SD-WAN实战课​​

自学思科SD-WAN Segmentation

目录：

• 章节1：当今部署segmentation分段的挑战
• 章节2：SD-WAN 客户端vEdge的接口和安全分区
• 章节3：End-to-End Segmentation
• 章节4：标签Labels
• 章节5：拓扑架构

一、当今部署segmentation分段（VRF）的挑战

选项1： 服务提供商已交付费用/限制性 

• 成本高：每段MPLS VPN
• 限制：仅仅MPLS，不混合WAN

选项2：DIY 复杂度/规模

• 复杂性：逐跳细分（VRF）
• 不可扩展性：按段路由

二、SD-WAN 客户端vEdge的接口和安全分区

• Transport(VPN0)：两个sub-IF接口， MPLS、Internet
• Service(VPNn)：默认是1个
• 带外管理（VPN512）：ssh或telnet

• VPN之前彼此隔离，每个VPN都有自己的路由表
• OMP自动通告VPN内的可达性

三、End-to-End Segmentation

• 无需依赖底层传输即可在整个结构上实现网段连接
• 接口和子接口（802.1Q  labels标签）已映射VPN，  以区分不同客户的路由
• vEdge路由器维护每个VPN路由器，以实现完全控制平面分离
• 标签用于将数据包映射到VPN中以实现完整的数据平面分离

四、 标签Labels

标准 RFC4023

• 在原始数据加上标签， 以区分不同客户的路由
• 在入栈（vEdge进入tunnel）的时候加入标签，在出栈的时候剖离标签
• 在整个过程当中，数据加密

五、 拓扑架构

• 1. 全互联
• 2.点对多点
• 3.部分互联
• 4.区域互联
• 5.点对点
• 6.零互联，DIA（本地直接intenet访问，无任何tunnel）