Silver Peak SD-WAN 超大规模部署设计思路

由于一台 EC 目前最大吞吐量为 10Gbps,在一些超大规模部署中可能出现吞吐量大于 10Gbps 的需求,常见于 ISP 或全球性质跨国公司。这种情况就需要用到所谓的 Scale Out 设计,也称为 Horizontal Scale。我们假设一个场景:一个数据中心需要为所有远程站点提供 30Gbps 的 WAN 吞吐量,我们可以做如下设计:

继续阅读“Silver Peak SD-WAN 超大规模部署设计思路”

Silver Peak SD-WAN 跨VRF通信中DNAT的用法

测试目的:VRF Default 与 VRF IoT 的 IP 地址出现重叠,使用 DNAT 实现使相同 IP 地址的设备进行跨 VRF 通信。拓扑如下:

这里注意 VRF IoT 的网关地址为 10.100.100.254,不设定为 10.100.100.1 的原因是目前版本支持不同 VRF 下的 LAN IP overlap 但是不支持在同一设备上不同 VRF 的接口配置相同 IP 地址。

继续阅读“Silver Peak SD-WAN 跨VRF通信中DNAT的用法”

Silver Peak SD-WAN 不同VRF通过Hub LAN和WAN不同方向访问不同线路访问Internet

测试目的:在 Hub 站点的 LAN 和 WAN 接口有两条线路接入 Internet,VRF Default 通过 LAN 方向访问 Internet,VRF IoT 通过 WAN 方向访问Internet。在这种设计中需要注意的是在目前的版本中所有 WAN 接口都处于 VRF Default 中,无法修改。所以我们不能将 WAN 接口分配进入 VRF IoT。拓扑如下:

继续阅读“Silver Peak SD-WAN 不同VRF通过Hub LAN和WAN不同方向访问不同线路访问Internet”

Silver Peak SD-WAN 广域网优化 HTTPS Dedupe

在 Silver Peak SD-WAN 中广域网优化 (WANOpt) 被称为 Boost,其主要的功能是 Network Memory (或称为 dedupe),Tcp Acceleration 和 Compression (IP header & payload)。

下面的实验主要针对 HTTPS 进行 SSL/TLS decryption 然后 dedupe, 从而使得同样的数据在网络上传输的时候更高效,拓扑如下:

继续阅读“Silver Peak SD-WAN 广域网优化 HTTPS Dedupe”

Silver Peak SD-WAN 维持 End-to-End Overlay

在部署 SD-WAN 的时候我们需要尽量避免出现 asymmetric 的流量,asymmetric 会造成一些 WANOpt 功能失效或者防火墙阻拦流量通过。在 EC 上有一个选项叫做 Maintain end-to-end overlay mapping,该选项会让连接发起端的 EC 选择一个 Overlay tunnel,整个 Fabric 里面的其他 EC 在返回数据的时候会跳过策略查询并使用同样的 tunnel,从而使得来回的路径始终保持一致。实验拓扑如下:

继续阅读“Silver Peak SD-WAN 维持 End-to-End Overlay”

利用 TinyCA 和 TinyWeb 快速搭建 HTTPS 环境

搭建一个 HTTPS 环境需要一个 CA 和一个 HTTPS 服务器,TinyCA 可以在 Ubantu 上快速的安装并创建一个 Private CA,TinyWeb 可以在 Windows 平台上利用 TinyCA 签发证书从而搭建出 HTTPS 服务。

搭建 TinyCA

在 Ubantu 上使用 apt-get 安装 TinyCA

sudo apt-get update -y
sudo apt-get install -y tinyca

安装完成后在 terminal 使用 tinyca2 命令打开 GUI 界面,通过界面我们可以快速的创建一个自己的 CA。

继续阅读“利用 TinyCA 和 TinyWeb 快速搭建 HTTPS 环境”

Silver Peak SD-WAN 重分布默认路由到 BGP 和 OSPF

当我们需要将 SD-WAN fabric 里面的默认路由重分布到 BGP 或者 OSPF 时需要用到 Route Map,现阶段的 Route Map 缺少一些精细化的控制:

  • Prefix 里定义的如果是非默认路由,那么 Prefix 定义的是整个路由区间,例如 10.0.0.0/8 代表的是 /8 到 /32 所有的子网。现阶段缺少像 Cisco route-map 里 le ge 方式的精细化控制。
  • Prefix 里定义的如果只是默认路由,又要分成两种情况讨论
    • 如果重分布到 BGP 则只注入 0.0.0.0/0
    • 如果重分布到 OSPF 则会注入 0.0.0.0/0 及所有明细路由

实验拓扑如下:

继续阅读“Silver Peak SD-WAN 重分布默认路由到 BGP 和 OSPF”