KHẢO SÁT KHÁI NIỆM CHÍNH SÁCH POLICY TRONG CÔNG NGHỆ SDWAN
Mục đích của chính sách trong SDWAN
Trong kiến trúc SDWAN, khái niệm chính sách là then chốt. Chính sách được dùng để triển khai những ý tưởng quản lý của cả hạ tầng SDWAN. Với SDWAN, chúng ta không cấu hình từng thiết bị đơn lẻ mà sẽ nhìn toàn bộ hạ tầng như một thực thể thống nhất.
Ví dụ: khi chúng ta cần thực hiện cơ chế active/standby chuyển hẳn sang active/active, chúng ta sẽ dùng chính sách để triển khai ý tưởng này.
Trong SDWAN policy có 2 loại chính sách: Centralized Policy & Localized Policy. Chính sách tập trung centralized policy ứng dụng trên toàn bộ SD-WAN fabric. Chính sách cục bộ Localized policy được đùng để điều khiển cục bộ riêng lẻ tại các biên của SD-WAN fabric - vEdge router Centralized policy gồm control policy hay còn gọi là topology policy và data policy hay còn gọi là traffic policy. Control policy điều khiển việc truyền bá thông tin định tuyến trong control plane bao gồm thao tác và lọc OMP routes,TLOC routes trước khi quảng bá đến các thành viên trong fabric. Các chính sách dữ liệu điều khiển phần truyền dữ liệu giữa các vEdge router với nhau.
Các chính sách tập trung - Centralized policy
Xét về chức năng, chúng ta có thể chia thành hai loại chính sách: control policy và data policy. Chính sách về điều khiển control policy (gọi là topology trong vManager GUI) hay chính sách về dữ liệu - data policy (gọi là lưu lượng policy trong vManager GUI).
Control policy được sử dụng để điều khiển cấu trúc SDWAN bằng cách thay đổi thông tin định tuyến được trao đổi qua OMP. Data policy sử dụng trực tiếp trên các WANEdge bằng cách chuyển tiếp lưu lượng thông qua SDWAN.
Một ví dụ của VPN membership là về các site. Nếu chúng ta có yêu cầu cho các site truy cập Internet nhưng không cho các site giao tiếp với nhau.
Centralized Data Policies: Là các chính sách dữ liệu tập trung mà phạm vi ảnh hưởng là đến toàn bộ hạ tầng SDWAN.
Application-Aware Routing Policies: Định tuyến theo ứng dụng. Theo chính sách này, mọi lưu lượng của một ứng dụng nào đó luôn được vận chuyển qua một liên kết WAN đáp ứng tối thiểu SLA.
Cflowd Policies : là một loại policy tập trung đặc biệt, policy data chỉ định nơi lưu trữ bản ghi được xuất thông tin luồng trên hệ thống để ra ngoài phân tích.
Các chính sách cục bộ Localized policy
Các chính sách này chỉ ảnh hưởng đến một nốt. Các chính sách này điều khiển control plane và data plane. Điều khiển control plane gọi là route policies dùng lọc hoặc thao tác trao đổi hay học các giao thức định tuyến bên ngoài SDWAN qua giao thức BGP, OSPF EIGRP. Các chính sách định tuyến cục bộ có thể sử dụng để lọc route.
Các chính sách cục bộ dùng cho data plane là:
Quality of service: chất lượng dịch vụ QoS có thể được cấu hình trên vEdge, định hình, xếp hàng, chính sách, tắc nghẽn,…
ACLs: để lọc lưu lượng, đánh dấu or xét lưu lượng cho các QoS
Security: Zone-Based Firewall, ngăn chặn xăm nhập, lọc URL, bảo mật DNS
Các miền chính sách
Centralized polices kích hoạt trên controller vSmart và ảnh hưởng đến control plane của SDWAN. Localized policy được áp dụng cho các router vEdge riêng lẻ và ảnh hưởng đến domain định tuyến trong site của SDWAN
Có thể phân biệt Centralized data policy và localized data policy:
Centralized data policy ảnh hưởng đến chuyển tiếp dữ liệu trên SDWAN
Localized data policy có thể áp dụng trong phạm vi hẹp như các cổng của router.
Xây dựng chính sách CISCO SD-WAN POLICY
Bước 1: Đinh danh danh sách group, ACLs, IP prefix list & AS. Tạo những lists chỉ ra những nhóm “Group of Interest”. Như là: IP prefix list, Site list, TLOC list, VPN list….
Bước 2: Xác định route map. Định nghĩa policy, là cấu trúc thứ tự của các điều kiện thỏa và các hành động để chỉ ra cách xử lý dữ liệu của các đối tượng mà được list trong bước 1.
Bước 3: Áp dụng route map. Một route map có thể áp dụng trong 1 số cách khác nhau, như interface để cấu hình policy routing trong data plane or neighbor để update trong mặt phẳng điều khiển. Áp dụng chính sách. Mỗi policy có thể áp dụng bằng nhiều cách như site-list hay VPN list định nghĩa trong bước 1.
CÁC KIỂU DANH SÁCH TRONG SDWAN POLICY
Danh sách là khối xây dựng nền tảng của các chính sách. Danh sách cho phép sự linh hoạt và khả năng mở rộng cả về cách đối sánh các mục và cách các hành động được thực hiện trong chính sách Cisco SD-WAN. Cisco SD-WAN có nhiều loại danh sách khác nhau có thể được sử dụng để đối sánh các nhóm quan tâm khác nhau trong mặt phẳng điều khiển và mặt phẳng dữ liệu
Nguyễn Khang Em & Lê Hồng Phúc PKT VnPro
Mục đích của chính sách trong SDWAN
Trong kiến trúc SDWAN, khái niệm chính sách là then chốt. Chính sách được dùng để triển khai những ý tưởng quản lý của cả hạ tầng SDWAN. Với SDWAN, chúng ta không cấu hình từng thiết bị đơn lẻ mà sẽ nhìn toàn bộ hạ tầng như một thực thể thống nhất.
Ví dụ: khi chúng ta cần thực hiện cơ chế active/standby chuyển hẳn sang active/active, chúng ta sẽ dùng chính sách để triển khai ý tưởng này.
Trong SDWAN policy có 2 loại chính sách: Centralized Policy & Localized Policy. Chính sách tập trung centralized policy ứng dụng trên toàn bộ SD-WAN fabric. Chính sách cục bộ Localized policy được đùng để điều khiển cục bộ riêng lẻ tại các biên của SD-WAN fabric - vEdge router Centralized policy gồm control policy hay còn gọi là topology policy và data policy hay còn gọi là traffic policy. Control policy điều khiển việc truyền bá thông tin định tuyến trong control plane bao gồm thao tác và lọc OMP routes,TLOC routes trước khi quảng bá đến các thành viên trong fabric. Các chính sách dữ liệu điều khiển phần truyền dữ liệu giữa các vEdge router với nhau.
- Control policy được sử dụng để tác động nhầm thay đổi thông tin định tuyến được trao đổi bởi giao thức OMP trong control plane giữa controllers với nhau và giữa controllers với vEdge router.
- Data policy được sử dụng để tác động vào traffic forwarding ở data plane giữa các vEdge router với nhau.
Các chính sách tập trung - Centralized policy
Xét về chức năng, chúng ta có thể chia thành hai loại chính sách: control policy và data policy. Chính sách về điều khiển control policy (gọi là topology trong vManager GUI) hay chính sách về dữ liệu - data policy (gọi là lưu lượng policy trong vManager GUI).
Control policy được sử dụng để điều khiển cấu trúc SDWAN bằng cách thay đổi thông tin định tuyến được trao đổi qua OMP. Data policy sử dụng trực tiếp trên các WANEdge bằng cách chuyển tiếp lưu lượng thông qua SDWAN.
- Control policies: được sử dụng cho ứng dụng, site này ưu tiên hơn site khác
- VNP membership policies: dùng để giới hạn phân phối thông tin định tuyến
Một ví dụ của VPN membership là về các site. Nếu chúng ta có yêu cầu cho các site truy cập Internet nhưng không cho các site giao tiếp với nhau.
Centralized Data Policies: Là các chính sách dữ liệu tập trung mà phạm vi ảnh hưởng là đến toàn bộ hạ tầng SDWAN.
Application-Aware Routing Policies: Định tuyến theo ứng dụng. Theo chính sách này, mọi lưu lượng của một ứng dụng nào đó luôn được vận chuyển qua một liên kết WAN đáp ứng tối thiểu SLA.
Cflowd Policies : là một loại policy tập trung đặc biệt, policy data chỉ định nơi lưu trữ bản ghi được xuất thông tin luồng trên hệ thống để ra ngoài phân tích.
Các chính sách cục bộ Localized policy
Các chính sách này chỉ ảnh hưởng đến một nốt. Các chính sách này điều khiển control plane và data plane. Điều khiển control plane gọi là route policies dùng lọc hoặc thao tác trao đổi hay học các giao thức định tuyến bên ngoài SDWAN qua giao thức BGP, OSPF EIGRP. Các chính sách định tuyến cục bộ có thể sử dụng để lọc route.
Các chính sách cục bộ dùng cho data plane là:
Quality of service: chất lượng dịch vụ QoS có thể được cấu hình trên vEdge, định hình, xếp hàng, chính sách, tắc nghẽn,…
ACLs: để lọc lưu lượng, đánh dấu or xét lưu lượng cho các QoS
Security: Zone-Based Firewall, ngăn chặn xăm nhập, lọc URL, bảo mật DNS
Các miền chính sách
Centralized polices kích hoạt trên controller vSmart và ảnh hưởng đến control plane của SDWAN. Localized policy được áp dụng cho các router vEdge riêng lẻ và ảnh hưởng đến domain định tuyến trong site của SDWAN
Có thể phân biệt Centralized data policy và localized data policy:
Centralized data policy ảnh hưởng đến chuyển tiếp dữ liệu trên SDWAN
Localized data policy có thể áp dụng trong phạm vi hẹp như các cổng của router.
Xây dựng chính sách CISCO SD-WAN POLICY
Bước 1: Đinh danh danh sách group, ACLs, IP prefix list & AS. Tạo những lists chỉ ra những nhóm “Group of Interest”. Như là: IP prefix list, Site list, TLOC list, VPN list….
Bước 2: Xác định route map. Định nghĩa policy, là cấu trúc thứ tự của các điều kiện thỏa và các hành động để chỉ ra cách xử lý dữ liệu của các đối tượng mà được list trong bước 1.
Bước 3: Áp dụng route map. Một route map có thể áp dụng trong 1 số cách khác nhau, như interface để cấu hình policy routing trong data plane or neighbor để update trong mặt phẳng điều khiển. Áp dụng chính sách. Mỗi policy có thể áp dụng bằng nhiều cách như site-list hay VPN list định nghĩa trong bước 1.
CÁC KIỂU DANH SÁCH TRONG SDWAN POLICY
Danh sách là khối xây dựng nền tảng của các chính sách. Danh sách cho phép sự linh hoạt và khả năng mở rộng cả về cách đối sánh các mục và cách các hành động được thực hiện trong chính sách Cisco SD-WAN. Cisco SD-WAN có nhiều loại danh sách khác nhau có thể được sử dụng để đối sánh các nhóm quan tâm khác nhau trong mặt phẳng điều khiển và mặt phẳng dữ liệu
- Application List: có thể khớp với một ứng dụng hay một nhóm các ứng dụng.
- Color list: có thể chỉ định cụ thể một màu hay nhiều màu. Danh sách này có thể sử dụng trong control plan & data plane.
- Prefix list: được sử dụng để chỉ định một loạt các tuyến đường, kí hiệu CIDR.
- Data prefix list: danh sách tiền tố dữ liệu rất giống với prefix-list.
- Site list: danh sách các site trong SDWAN, gọi là site ID.
- Policers
- SLA: sử dụng với App-Aware Routing policy về các điều khoản trễ, mất gói, chập chờn,…
- TLOC list: Danh sách TLOC là một tập hợp các địa chỉ next-hop
- VPN list : Danh sách VPN là danh sách các VPN phía dịch vụ (hoặc VRF)
Nguyễn Khang Em & Lê Hồng Phúc PKT VnPro