在 Silver Peak 的 BGP 配置中有一个 AS Path Propagate 的选项,我们来看一下它的用途,实验拓扑如下:
Silver Peak SD-WAN 自动化 RMA
设备 RMA 涉及到 license 的转移,配置的转移等等,这些过程以往都是手动执行的,然而Silver Peak 实现了自动化的 RMA。
首先我们将新的设备注册到 Cloud Portal 中,确保 Orchestrator 可以发现它,注意不要 approve。
Silver Peak SD-WAN Hub & Spoke 配置方法
Hub & Spoke 是一种常见的 WAN 拓扑,使用这种拓扑有两个地方需要考虑:
- Hub 和 Spoke 之间的通信
- Spoke 和 Spoke 之间的通信
Silver Peak SD-WAN Internet Backhaul 配置方法
在 SD-WAN 里用户接入 Internet 有两大类方式,分别为 local breakout 和 backhaul。使用 backhaul 的情景可能是一个站点本身没有接入 Internet 或者是公司的策略要求全部访问 Internet 的数据必须要经过一个中心站点。Backhaul 的数据流模型如下:
Silver Peak SD-WAN Zone Based Firewall 配置方法
Silver Peak 自身集成了 ZBFW 的功能,但是该功能使用的逻辑和我们平常使用的 FW 逻辑稍有不同,Silver Peak 的 ZBFW 策略配置不是 end-to-end 的。我们用实验来加以理解,拓扑如下:
Silver Peak SD-WAN Tunnel Exception (Label Based) 配置方法
除了之前介绍的使用 Tunnel Exception 的方式来抑制 tunnel 以外我们还可以使用另外一种基于 Label 的方式来抑制 tunnel。
回顾一下实验的拓扑:
继续阅读“Silver Peak SD-WAN Tunnel Exception (Label Based) 配置方法”
Silver Peak SD-WAN Tunnel Exception (Tunnel Based) 配置方法
Silver Peak 中可以使用 Tunnel Exception 功能对特定的 EC 之间的 underly tunnel 进行抑制。实验拓扑如下:
继续阅读“Silver Peak SD-WAN Tunnel Exception (Tunnel Based) 配置方法”
Silver Peak SD-WAN EdgeConnect 将 Orchestrator 作为 Proxy 连接 Cloud Portal
在 Silver Peak 的架构中 Orchesrator 和 EdgeConnect 都需要连接到位于 Internet 上的 Cloud Portal,三者直接有一些数据交换。然而在一些特殊的网络价格中 EdgeConnect (简称 EC)可能无法接入 Internet 从而无法连接到 Cloud Portal,这时我们可以将 Orchestrator (简称 Orch)作为一个 proxy,将 EC 的连接请求 proxy 到 Cloud Portal。架构如下:
继续阅读“Silver Peak SD-WAN EdgeConnect 将 Orchestrator 作为 Proxy 连接 Cloud Portal”
Silver Peak SD-WAN Inbound Port Forwarding 配置方法
在 EC 上我们可以配置 Inbound Port Forwarding 从而实现将 Internet 的 inbound 数据转发到内部网络,例如 DMZ。 配置 Inbound Port Forwarding 要求 EC 的接口不能为 harden,必须配置为 Stateful 或者 Stateful+SNAT。
EVE-NG 中搭建 Silver Peak 实验环境模板修改
Silver Peak Edge Connect Virtual (简称 ECV)可以支持 8 个接口,但是 EVE-NG 中默认的模板只有 4 个接口,我们需要对模板进行一下简单的修改。
进入 EC 模板
root@eve-ng:~# nano /opt/unetlab/html/templates/silveredge.yml
增加接口数量并修改接口名称
需要注意的是接口名称的顺序一定要按照图中的示例排列否则启动 ECV 后会发现接口名称和实际接口不对应。
console 部分默认为 telnet 可以修改为 vnc。