Một số trường hợp sử dụng:

Hình 3.14: Network Topology Overview

Với topology trên có hai trung tâm dữ liệu khác nhau (DCs) và 3 site chi nhánh. Mỗi trung
tâm dữ liệu có cả vận chuyển MPLS và vận chuyển internet. Với các chi nhánh ngoài việc truyền
tải bằng MPLS và Internet, còn có truyền tải LTE. Với các giá trị hostnames, Site ID, Router ID
và tiền tố mạng cũng được thấy trong sơ đồ. Địa chỉ phía dịch vụ có IP là 10.x.y.0/24, trong đó x
giá trị VPN phía dịch vụ và y giá trị Site ID. Đối với một vài trường hợp sử dụng đầu tiên, chúng
ta sẽ tập trung vào VPN 1. Do đó, tất cả các địa chỉ phía dịch vụ sẽ nằm trong các khối địa chỉ
10.1.Y.0/24. Các bộ điều khiển SD-WAN và System IP cũng được thể hiện trong sơ đồ này trên.
Với topo trên sẽ cho phép chúng ta các loại chính sách khác nhau, cách chúng được sử dụng với
cấu trúc SD-WAN giúp các quản trị viên mạng có thể áp dụng các chính sách này để giải quyết
các vấn đề.

Trường hợp 1: cách ly các nhánh từ xa với nhau

Trường hợp sử dụng đầu tiên chúng ta có thể biến cấu trúc từ full-mesh thành kiến trúc hub-
and-spoke, với các trung tâm dữ liệu là hub và các chi nhánh văn phòng là spoke. Các thiết kế
mạng như thế này thường được sử dụng vì nhiều lý do: trong nhiều loại mạng, đặc biệt là bảo
mật trong tài chính, không cần phải giao tiếp trực tiếp từ một chi nhánh này sang chi nhánh khác.
Do đó, cấu trúc của mạng có thể được thay đổi để phù hợp lưu lượng truy cập mong muốn. Hơn
nữa, nếu đây là một mạng lưới lớn bao gồm hàng trăm hoặc hàng ngàn spoke, các thiết bị được
triển khai tại các site chi nhánh có thể không xây dựng đường hầm cho tất cả các chi nhánh khác.
Theo cách này, các thiết bị tại các văn phòng chi nhánh không cần phải xử lý hàng trăm hoặc
hàng ngàn đường hầm IPSEC.

Để phù hợp với mục đích kinh doanh cũng như loại bỏ giao tiếp giữa các chi nhánh bằng
cách giảm số lượng các đường hầm được thiết lập, một Centralized policy có thể được tạo và áp
dụng để các chi nhánh sẽ chỉ xây dựng các đường hầm với các trung tâm dữ liệu (DCs). Vì mỗi
WAN Edge sẽ cố gắng xây dựng các đường hầm cho tất cả các TLOC mà nó nhận được từ
vSmart, một Centralized policy để hạn chế các TLOC được quảng bá cho các nhánh chỉ là
TLOCs từ DCS (nơi các nhánh vẫn nên xây dựng các kết nối kiểm soát của họ). Hình 6-5 minh
họa quá trình này.

Hình 3.15: Minh họa cho Control policies lọc TLOCS

Trong bước 1 của Hình 3., tất cả WAN Edge đều quảng bá các TLOCs của họ đến vSmart.
Trong Bước 2, vSmart quảng bá tất cả các TLOC đã nhận lại cho tất cả WAN Edge. Đối với DC
WAN Edge, điều này có nghĩa là bộ định tuyến nhận được tất cả các TLOCs trong bảng vSmart.
Đối với nhánh 1 và nhánh 2, control policy được áp dụng nhằm hạn chế quảng bá của TLOCS
chỉ T1 và T2 được học từ DCs. Lưu ý rằng các quảng bá mà DC WAN Edge nhận được ở Bước
2 chứa tất cả các TLOCs trong mạng {T1, T2, T3, T4, T5, T6}, khác với các TLOCs mà các chi
nhánh nhận được. Hiệu quả của chính sách này có thể được nhìn thấy trong bước 3 khi các data
plane được xây dựng. Tất cả các WAN Edge sẽ xây dựng các đường hầm data plane cho tất cả
các TLOC mà chúng đã nhận được từ các vSmart. Đối với DC WAN Edge, điều này có nghĩa là
các đường hầm sẽ được xây dựng là T3, T4, T5 và T6. Đối với các nhánh, các đường hầm sẽ chỉ
được xây dựng T1 và T2, sẽ không có đường hầm được xây dựng từ T3 đến T5 hoặc từ T4 đến
T6. Vì WAN Edge tại Chi nhánh 1 chưa bao giờ nhận được quảng bá cho T5 và T6, nên không
biết về các TLOC đó và sẽ không cố gắng xây dựng các đường hầm đó. Thực hiện hạn chế các
TLOCs được quảng bá là cách cơ bản để kiểm soát các đường hầm data plane được xây dựng
trong cấu trúc SD-WAN.Với trường hợp sử dụng trên ta có thể giới hạn được việc kết nối giữa
các chi nhánh giúp tăng bảo mật trong SD-WAN.

Trường hợp sử dụng 2: cho phép giao tiếp giữa các chi nhánh thông qua trung tâm dữ liệu
(DC)

Với trường hợp cho phép 2 chi nhánh trao đổi thông tin với nhau qua DC có 2 giải pháp để
thực hiện đó là: summarization và TLOC lists.

Sử dụng summarization, ngoài Centralized control policies được trình bày trong trường hợp
sử dụng trước trên, xây dựng theo nguyên tắc định tuyến phù hợp nhất và không cụ thể cho bất
kỳ công nghệ nào trong Cisco SD-WAN. Nếu một summarization network, chẳng hạn như
10.0.0.0/8 hoặc default (0.0.0.0/0) đã được quảng bá từ DCs, thì lưu lượng sẽ đi đến DC WAN
Edge. Các DC WAN Edge sau đó sẽ kiểm tra các bảng định tuyến của họ và đi theo tuyến đường
đến site chi nhánh. Đây là một cơ chế thiết kế phổ biến được sử dụng trong các triển khai WAN
của Hub-and-Spoke như với DMVPN Giai đoạn 1.

Hình 3.16: Giao tiếp giữa các chi nhánh bằng summarization

Khi WAN Edge trong nhánh 2 thực hiện tìm kiếm định tuyến để chuyển tiếp một gói đến
đích 10.1.103.1, khớp cụ thể nhất trong bảng định tuyến là tuyến mặc định. Tuyến mặc định
đang được quảng bá từ DC WAN Edge với System-IP là 10.0.10.1, do đó, gói được chuyển tiếp
đến bộ định tuyến đó. Khi gói đến DC WAN Edge, nó thực hiện tra cứu trên đích 10.1.103.1
trong bảng định tuyến của chính nó. Vì DC WAN Edge không có bất kỳ tuyến đường hoặc
TLOCs nào được lọc, nên nó có một tuyến đường cụ thể hơn đến 10.1.103.0/24 qua 10.0.103.1
và chuyển tiếp gói theo nhánh 3. Theo cách này, giao tiếp có thể được thiết lập thông qua DCs.
Bằng cách sử dụng một default hoặc summarization, mà không cần thay đổi cấu trúc SD-WAN
hoặc bất kỳ chính sách nào. Đối với trường hợp sử dụng này, chúng ta thêm một default vào DC
1 đang được quảng bá bởi DC1-Vedge1 và DC1-Vedge2. Nếu bạn có một default trong giao thức
định tuyến đang chạy, nó có thể được quảng bá trực tiếp vào OMP. Ngoài ra, bạn có thể cấu hình
định tuyến tĩnh và quảng bá vào OMP. Bất kể phương thức nào được sử dụng, một tuyến đường
khi quảng bá vào OMP, sau đó nó sẽ truyền đến các văn phòng chi nhánh.

Cho phép giao tiếp chi nhánh với chi nhánh với TLOC lists một công cụ định vị vận chuyển
(TLOC) để xác định các giao diện đường hầm trong cấu trúc SD-WAN và cũng đóng vai trò là
thuộc tính next-hop mà tất cả các tuyến dịch vụ mạng OMP. Khi các tuyến được quảng bá bởi
các WAN Edge đến vSmart (và được truyền bởi vSmart đến WAN Edge khác), mỗi tuyến OMP
được quảng bá với các TLOC là các giá trị next-hop. Bước 1, tất cả WAN Edge quảng bá tất cả
các tiền tố của họ cho bộ điều khiển vSmart với các bản cập nhật OMP. Trong bước 2, vSmart
phản hồi tất cả các tiền tố này cho tất cả WAN Edge khác, sử dụng các giá trị TLOC làm địa chỉ
next-hop.

Hình 3.17: OMP routes với các next-hop TLOCs được phản hồi qua vSmart
 Centralized control policies có thể được sử dụng để thao tác các thuộc tính TLOC được
quảng bá như OMP routes và thay đổi địa chỉ next-hop của OMP routes. Thông qua quá trình
này, Centralized control policies có thể là một công cụ rất mạnh mẽ để thực hiện kỹ thuật giao
thông trên cấu trúc SD-WAN. Đồng thời, quá trình này duy trì bằng cách áp dụng chính sách từ
một địa điểm duy nhất là vSmart. Để cho phép giao tiếp giữa các chi nhánh thông qua DC mà
không cần phải thêm một default route, chính sách từ trường hợp sử dụng trên sẽ được sửa đổi
một chút để thay vì bỏ các tuyến đường từ các chi nhánh khác, các tuyến đường thay vào đó
được quảng bá với các TLOC mới: các TLOCs của WAN Edge DC1. Hình dưới đây minh họa
hiệu quả của chính sách này đối với các tuyến được quảng bá từ Chi nhánh 3.

Hình 3.18: Cho phép giao tiếp từ chi nhánh đến chi nhánh với thao tác TLOC

Trong bước 1, tất cả các WAN Edge quảng bá tiền tố với bộ điều khiển VSMART. Trong
trường hợp của chi nhánh 3, điều này có nghĩa là tiền tố 10.1.103.0/24 trong VPN 1 được quảng
bá thông qua OMP là có thể truy cập thông qua TLOCs T5 và T6. Kết quả của quảng bá này có
thể được nhìn thấy trong bảng vSmart OMP. Trong bước 2, quảng bá này được phản hồi cho DC
WAN Edge. Tuy nhiên, khi tuyến đường được phản hồi cho WAN Edge của chi nhánh 2, một
Centralized control policies được áp dụng và các TLOCs (next- hop address) được ghi đè từ các
giá trị ban đầu của T5 và T6 (TLOCs của WAN Edge tại chi nhánh 3) đến TLOCs T1 và T2 (các
TLOCs của DC WAN Edge).
 Trong trường hợp sử dụng này, chúng ta đã khám phá hai cơ chế khác nhau để cho phép
giao tiếp với chi nhánh trong một cấu trúc SDWAN. Các TLOCs đã được lọc để cấm thiết lập
các đường hầm data plane. Trong trường hợp sử dụng Summarization, các tiền tố tóm tắt đã
được quảng bá từ trung tâm dữ liệu để rút lưu lượng, mà các WAN Edge chi nhánh không có các
tuyến cụ thể hơn, đến các DC. Lần lượt, các DC có thể sử dụng thông tin định tuyến cụ thể của
họ để chuyển tiếp lưu lượng truy cập đến đích cuối cùng. Trong trường hợp sử dụng TLOC lists,
cấu trúc của một danh sách TLOC đã được giới thiệu. Sử dụng hành động danh sách TLOC trong
Centralized control policies, OMP routes đã được thao tác để các tiền tố từ các nhánh từ xa được
quảng bá với các TLOC của các DC. Vì các WAN Edge đã nhận được quảng bá TLOC và đã xây
dựng các đường hầm cho các DC WAN Edge, OMP routes với các địa chỉ next-hop đã được sửa
đổi để có thể được sử dụng để chuyển tiếp lưu lượng truy cập

Ngoài ra còn rất nhiều trường hợp sử dụng Centralized control policies không được đề cập
đến ở trên nhưng có thể thấy việc áp dụng chúng có thể mang lại cho người quản trị rất nhiều lợi
ích.

Centralized policies ảnh hưởng đến data plane

Trong khi Control policies và VPN Membership policies được sử dụng để thao tác mặt
phẳng điều khiển, Data policies và Application aware routing trực tiếp ảnh hưởng đến việc
chuyển tiếp lưu lượng trong mặt phẳng dữ liệu.

 Centralized Data Policies: là một cách thức định tuyến dựa trên chính sách linh hoạt
và mạnh mẽ thường được sử dụng để thực hiện truy cập Internet trực tiếp (DIA) cho
các ứng dụng cụ thể, chèn dịch vụ mạng và mặt phẳng dữ liệu các thao tác như sao
chép gói và lỗi chuyển tiếp (FEC)
 Application Aware Routing: được sử dụng để dảm bảo rằng một loại lưu lượng truy
cập luôn được vận cuyển qua một liên kết WAN tiêu chuẩn.
 Cflowd policies: là một chính sách đặc biệt, các Centralized policies sẽ được chỉ
định đích nơi lưu trữ bản ghi để hệ thống bên ngoài có thể thực hiện phân tích.

Một số trường hợp sử dụng:

 Hình 3.19: Network Topology Overview

Mặc dù sơ đồ mạng trong Hình 3.19 giống với sơ đồ mạng được sử dụng ở Hình 3.16,
nhưng có một số thay đổi có trong sơ đồ này. Cụ thể, chi nhánh 2 sẽ chỉ ra các thiết bị đầu cuối
tương ứng với mỗi VPN và có thêm một server Payment được đặt tại DC1. Đối với một vài
trường hợp sử dụng đầu tiên trong phần này, em sẽ tập trung vào VPN 1 và địa chỉ dịch vụ bên
cạnh sẽ nằm trong các khối địa chỉ 10.1.Y.0/24. Với sơ đồ trên sẽ cho phép chúng ta tìm hiểu các
loại chính sách khác nhau, cách chúng tương tác với cấu trúc SD-WAN và cách các quản trị viên
mạng có thể áp dụng các chính sách này để giải quyết các vấn đề.

Trường hợp 1: Truy cập Internet trực tiếp cho người dùng khách