Silver Peak SD-WAN 广域网优化 HTTPS Dedupe

在 Silver Peak SD-WAN 中广域网优化 (WANOpt) 被称为 Boost,其主要的功能是 Network Memory (或称为 dedupe),Tcp Acceleration 和 Compression (IP header & payload)。

下面的实验主要针对 HTTPS 进行 SSL/TLS decryption 然后 dedupe, 从而使得同样的数据在网络上传输的时候更高效,拓扑如下:

继续阅读“Silver Peak SD-WAN 广域网优化 HTTPS Dedupe”

Silver Peak SD-WAN 维持 End-to-End Overlay

在部署 SD-WAN 的时候我们需要尽量避免出现 asymmetric 的流量,asymmetric 会造成一些 WANOpt 功能失效或者防火墙阻拦流量通过。在 EC 上有一个选项叫做 Maintain end-to-end overlay mapping,该选项会让连接发起端的 EC 选择一个 Overlay tunnel,整个 Fabric 里面的其他 EC 在返回数据的时候会跳过策略查询并使用同样的 tunnel,从而使得来回的路径始终保持一致。实验拓扑如下:

继续阅读“Silver Peak SD-WAN 维持 End-to-End Overlay”

利用 TinyCA 和 TinyWeb 快速搭建 HTTPS 环境

搭建一个 HTTPS 环境需要一个 CA 和一个 HTTPS 服务器,TinyCA 可以在 Ubantu 上快速的安装并创建一个 Private CA,TinyWeb 可以在 Windows 平台上利用 TinyCA 签发证书从而搭建出 HTTPS 服务。

搭建 TinyCA

在 Ubantu 上使用 apt-get 安装 TinyCA

sudo apt-get update -y
sudo apt-get install -y tinyca

安装完成后在 terminal 使用 tinyca2 命令打开 GUI 界面,通过界面我们可以快速的创建一个自己的 CA。

继续阅读“利用 TinyCA 和 TinyWeb 快速搭建 HTTPS 环境”

Silver Peak SD-WAN 重分布默认路由到 BGP 和 OSPF

当我们需要将 SD-WAN fabric 里面的默认路由重分布到 BGP 或者 OSPF 时需要用到 Route Map,现阶段的 Route Map 缺少一些精细化的控制:

  • Prefix 里定义的如果是非默认路由,那么 Prefix 定义的是整个路由区间,例如 10.0.0.0/8 代表的是 /8 到 /32 所有的子网。现阶段缺少像 Cisco route-map 里 le ge 方式的精细化控制。
  • Prefix 里定义的如果只是默认路由,又要分成两种情况讨论
    • 如果重分布到 BGP 则只注入 0.0.0.0/0
    • 如果重分布到 OSPF 则会注入 0.0.0.0/0 及所有明细路由

实验拓扑如下:

继续阅读“Silver Peak SD-WAN 重分布默认路由到 BGP 和 OSPF”

Silver Peak SD-WAN BGP over IPsec 的配置

各个厂商在解决 BGP over IPsec 的时候都比较统一的使用了 Virtual Tunnel Interface (VTI) 的方案,即在物理接口上建立 IPsec 以后再在 VTI 接口上建立 BGP 连接进行路由交换。Silver Peak 同样也支持使用 VTI 的方法,使用这种方法我们可以实现 EC 和 EC 之间,EC 和 Cloud 之间,EC 和其他网络设备之间实现 BGP over IPsec:

  • EC 和 EC 之间实现 BGP over IPsec 以后我们就可以将不同的 Silver Peak SD-WAN fabric 互联
  • EC 和 Cloud 之间现实 BGP over IPsec 以后我们就可以和 Cloud 之间实现互联
  • EC 和其他网络设备之间实现 BGP over IPsec 以后我们就可以和 Non SD-WAN fabric 或者和其他厂商的 SD-WAN fabric 实现互联

我们将配置 EC 与 EC 之间, EC 与 Cisco 路由器之间的 BGP over IPsec,实验拓扑如下:

继续阅读“Silver Peak SD-WAN BGP over IPsec 的配置”

Cisco IOS IPsec 配置专题(5) – IPsec PMTUD 详解

在 《Cisco IOS IPsec 配置专题(3) – 使用 Crypto Map 时 Fragmentation 的问题》中我们介绍了 PMTUD 在避免 fragmentation 时的作用但是并没有深入的对 PMTUD 的实际部署进行分析,当我们在使用 IPsec 的时候这里有两类 PMTUD 需要讨论,第一种是普通的 Path PMTUD,另一种是 IPsec PMTUD。

在 RFC 4301 中规定了每一个 IPsec SA 都需要包含一个 Path MTU,这个 Path MTU 代表的是该 IPsec 可以承载的最大未加密载荷 (plaintext packet size)。该 MTU 可以被称为 IPsec Path MTU 或 SA Path MTU,它的计算方式是 IPsec 的源出站接口 MTU 减去最大的 IPsec overhead(IPsec 的 overhead 由配置的具体加密算法等决定),如下图:

继续阅读“Cisco IOS IPsec 配置专题(5) – IPsec PMTUD 详解”

Silver Peak SD-WAN Regional Routing 功能对 Hub & Spoke 拓扑带来的影响

我们在之前的文章《Silver Peak SD-WAN Hub & Spoke 配置方法》中介绍了如何在 SD-WAN 中搭建一个 Hub & Spoke 的拓扑,其中最值得注意的地方就是 Hub 不会将从 Spoke 学到的路由重分布到 SD-WAN fabric 里面去,我们需要在 Hub 手动创建路由器条目并进行重分布。在最新的版本里面 Silver Peak 加入了一个叫 Regional Routing 的功能,该功能带来了很多便利,其中一个就是 Hub 会自动将从 Spoke 学到的路由重分布出去。下面我们来具体配置一下,拓扑如下:

继续阅读“Silver Peak SD-WAN Regional Routing 功能对 Hub & Spoke 拓扑带来的影响”