安全和冗余的 OAM 网络
Contrail SD-WAN 部署包括一个安全的 OAM 叠加网络,用于在本地设备和 CSO 之间提供端到端的安全通信。 如图 1 所示,专用的 IPsec 加密 OAM 隧道使本地设备能够通过网络安全地将管理、路由和日志记录流量发送到提供商中心。然后,中心将该流量转发给 CSO。
中心辐射型和动态网格部署拓扑中的站点必须至少使用一个安全 OAM 隧道。为此,您可以在站点载入过程中设置其中一个 WAN 链接以用于 OAM。
我们建议至少将两个 WAN 链路设置为用作 OAM,如图 1 所示。
使用中心辐射型拓扑,每个分支站点现在都有两组与提供商中心站点的连接:一个承载数据的叠加隧道,以及一个单独的专用 IPsec 叠加隧道,承载 OAM 流量,如图 2 所示。
由于普通动态网格拓扑不包括用于数据流量的集线器设备,因此必须为安全 OAM 流量添加一个集线器设备。 如图 3 所示,每个分支站点都有一个新连接:一个单独的专用 IPsec 叠加隧道,将 OAM 流量传送到提供商中心。
OAM Provider Hub Design Options
有两种方法可以实现 OAM 中心,具体取决于设计要求。如图 4 所示,选项如下:
数据和 OAM 隧道在同一提供商中心设备上终止 - 对于小型部署来说,这是一个不错的选择,其中单个中心设备可以处理数据和 OAM 流量。
数据和 OAM 隧道在单独的提供商中心设备上终止 - 此选项对于需要主集线器设备的资源来为承载数据流量的叠加隧道提供服务的大型部署非常有用;第二个集线器设备可用于终止 OAM 隧道。
图 4:OAM 隧道 - 提供商中心设计选项有关提供商中心设计选项的使用说明:
OAM 提供商中心可以支持多个租户,也可以专用于单个租户。
从提供商中心到 CSO 的连接应该是专用和安全的,因为它不在 OAM 隧道范围内。
建议实现多个 OAM 提供程序中心以实现冗余,并确保不会丢失对本地设备的管理或监视。
当分支站点多宿主到多个中心设备时,每个中心设备上应终止一个 OAM 隧道。CSO 中除了配置多宿主和指定两个集线器外,不需要任何配置。CSO 会自动终止每个集线器设备上的一个 OAM 隧道。
NAT 后面的本地设备支持中心辐射型和动态网格部署。