Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Réseau OAM sécurisé et redondant

Les déploiements Contrail SD-WAN incluent un réseau overlay OAM sécurisé pour fournir des communications sécurisées de bout en bout entre les équipements sur site et CSO. Comme illustré sur la Figure 1, des tunnels OAM dédiés chiffrés par IPsec permettent aux équipements locaux d’envoyer du trafic de gestion, de routage et de journalisation en toute sécurité sur le réseau vers un hub de fournisseur. Le hub transfère ensuite ce trafic à CSO.

Figure 1 : tunnels OAM sécurisés Secure OAM Tunnels

Les sites situés dans les topologies de déploiement en étoile et de maillage dynamique doivent utiliser au moins un tunnel OAM sécurisé. Pour ce faire, définissez l’une des liaisons WAN à utiliser avec OAM lors du processus d’intégration du site.

Bonne pratique :

Nous vous recommandons de configurer au moins deux de vos liaisons WAN pour une utilisation en tant qu’OAM, comme illustré à la Figure 1.

Avec la topologie en étoile, chaque site spoke dispose désormais de deux ensembles de connexions au site du hub fournisseur : un tunnel de superposition dédié transportant des données et un tunnel de superposition IPsec dédié distinct transportant le trafic OAM, comme illustré sur la Figure 2.

Figure 2 : tunnels OAM dans la topologie OAM Tunnels in the Hub-and-Spoke Topology en étoile

Étant donné qu’une topologie de maillage dynamique normale n’inclut pas d’équipement de hub pour le trafic de données, il est nécessaire d’en ajouter un pour le trafic OAM sécurisé. Comme illustré sur la Figure 3, chaque site spoke dispose d’une nouvelle connexion : un tunnel de superposition IPsec dédié distinct qui achemine le trafic OAM vers le hub du fournisseur.

Figure 3 : Tunnels OAM dans la topologie OAM Tunnels in the Full Mesh Topology de maillage complet

OAM Provider Hub Design Options

Il existe deux façons d’implémenter le hub OAM, en fonction des exigences de conception. Comme illustré sur la Figure 4, les options sont les suivantes :

  • Les tunnels de données et OAM se terminent sur le même périphérique hub fournisseur, ce qui constitue une bonne option pour les petits déploiements, où le périphérique hub unique peut gérer à la fois les données et le trafic OAM.

  • Les tunnels de données et OAM se terminent sur des équipements de hub de fournisseur distincts : cette option peut être utile pour les déploiements plus importants où les ressources de l’équipement de hub principal sont nécessaires pour gérer les tunnels de superposition transportant le trafic de données ; un deuxième équipement de concentrateur peut être utilisé pour terminer les tunnels OAM.

    Figure 4 : Tunnels OAM - Options OAM Tunnels - Provider Hub Design Options de conception du hub fournisseur

    Remarques sur l’utilisation des options de conception de Provider Hub :

    • Un hub de fournisseur OAM peut prendre en charge plusieurs locataires ou être dédié à un seul locataire.

    • La connectivité entre le ou les hubs du fournisseur et CSO doit être privée et sécurisée, car elle n’est pas couverte par les tunnels OAM.

    • Nous vous recommandons d’implémenter plusieurs hubs de fournisseurs OAM pour assurer la redondance et éviter toute perte de gestion ou de surveillance des équipements locaux.

    • Lorsqu’un site spoke est multi-hébergé sur plusieurs périphériques, un tunnel OAM doit se terminer sur chaque hub. Aucune configuration n’est nécessaire dans CSO, si ce n’est la configuration du multihébergement et la spécification des deux hubs. CSO termine automatiquement un tunnel OAM sur chaque équipement central.

    • Les équipements locaux derrière NAT sont pris en charge pour les déploiements en étoile et de maillage dynamique.