带你读《思科软件定义访问 : 实现基于业务意图的园区网络》第二章软件定义访问体系结构2.3(三)

简介: 带你读《思科软件定义访问 : 实现基于业务意图的园区网络》第二章软件定义访问体系结构2.3

2.3.4         边界节点

网络交换矩阵边界节点将软件定义访问网络交换矩阵连接到传统的三层网络或不同的网络交换矩阵站点。网络交换矩阵边界节点负责将网络情境(用户 /   设备映射和身份标识)从一个网络交换矩阵站点转换到另一个网络交换矩阵站点或传统网络。当封装在不同的网络交换矩阵站点上进行时,网络情境的转换通常是1:1   映射的。网络交换矩阵边界节点是不同网络交换矩阵站点的控制平面交换策略信息的设备,也是软件定义访问网络交换矩阵域和外部网络之间的网关。

网络交换矩阵有两种边界节点(如图 2-7所示,实现不同的功能,一个用于内部网络,一个用于外部网络。网络交换矩阵边界节点一方面可配置为特定网络(如共享服务网络)地址的网关,称为内部边界节点,内部边界节点用于通告已定义的子网集,如一组分支站点或数据中心。

另一方面,它也可配置为用于互联网连接或者网络交换矩阵流量出口的默认边界角色,称为外部边界节点。外部边界节点用于通告未知的目标(通常是互联网,类似于默认    路由的功能。在软件定义访问网络交换矩阵中,可以存在任意数量的内部边界节点。每个软件定义访问网络交换矩阵所支持的外部边界节点总数为 2或  4,具体取决于所选边界节点的类型。

image.png

2-7 网络交换矩阵边界节点

边界节点还可以结合上述两种角色作为任意边界节点(同时作为内部边界节点和外部边界节点。当采用中转过渡区域进行控制平面互联时,软件定义访问可以实现具有本地站点服务的更大规模的分布式园区部署。

边界节点实现以下功能。

(1)  终端 EID子网通告。软件定义访问将边界网关协议BGP配置为首选的路由协议,用于通告网络交换矩阵外部的终端EID前缀并转发从网络交换矩阵外部经边界节点发往内部终端 EID子网的流量。这些终端EID前缀只出现在边界节点的路由表中,而在网络交换矩阵的其他各处,则使用网络交换矩阵控制平面节点来访问终端 EID信息。

(2)  网络交换矩阵流量出口。执行 LISP代理隧道路由器功能,默认网络交换矩阵边界节点是网络交换矩阵边缘节点的默认网关。此出口也可以是连接到一组已经明确定义了IP子网的非默认网络交换矩阵的边界节点,此时需要网络交换矩阵边界节点将这些子网信息通告到网络交换矩阵内部。

(3)  LISP实例到VRF的映射。网络交换矩阵边界节点可以使用外部 VRF实例将网络虚拟化从网络交换矩阵内部扩展到外部。

(4)  安全策略映射。网络交换矩阵边界节点还会在流量离开网络交换矩阵时维护可扩   展组信息标签。通过使用可扩展组标签交换协议(SXPVXLAN   报头中的可扩展组标签传输到支持思科 TrustSec的设备,或者使用内联标记将可扩展组标签直接映射到数据分组中的思科元数据(CMD)字段,可扩展组标签信息可以从网络交换矩阵边界节点传播到外部网络,反之亦然,从而实现与思科 TrustSec解决方案的无缝集成。

2.3.5          扩展节点

软件定义访问网络交换矩阵的扩展节点(如图 2-8   所示)用于将网络下游的非网络交换矩阵二层网络设备附加到软件定义访问网络交换矩阵(因此称为扩展结构。扩展节点一般是小型交换机(如紧凑型交换机、工业以太网交换机或楼宇自动化交换机,通过二层网络连接到网络交换矩阵的边缘节点。连接到扩展节点的设备使用网络交换矩阵边缘节点与外部子网进行通信。

  image.png

2-8 网络交换矩阵扩展节点

扩展节点是在纯二层模式下运行的小型交换机,本身不支持网络交换矩阵。这些二层交换机通过传统的二层方法连接到网络交换矩阵的边缘节点。在扩展节点交换机上配置的VLAN/IP子网将获得类似于网络交换矩阵提供的策略分段和自动化的好处。网络交换矩阵使802.1q二层中继链路将子网扩展到软件定义访问扩展节点。这允许扩展节点执行正常的本地转发。当流量离开扩展节点到达其连接的网络交换矩阵边缘节点时,将从网络交换矩阵的集中式策略和可扩展性中受益。

相关文章
|
8天前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限。它通过设置一系列规则,控制谁可以访问特定资源、在什么条件下访问以及可以执行哪些操作。ACL 可以应用于路由器、防火墙等设备,分为标准、扩展、基于时间和基于用户等多种类型,广泛用于企业网络和互联网中,以增强安全性和精细管理。
45 7
|
25天前
|
人工智能 监控 安全
网络监控软件
【10月更文挑战第17天】
108 68
|
25天前
|
网络协议 安全 网络安全
|
10天前
|
存储 网络协议 安全
软件管理,磁盘存储,文件系统以及网络协议
【11月更文挑战第9天】本文介绍了软件管理、磁盘存储和网络协议等内容。软件管理包括软件生命周期管理和软件包管理,涉及需求分析、设计、实现、测试、发布、维护等阶段,以及软件包的安装、升级和依赖关系处理。磁盘存储部分讲解了磁盘的物理结构、分区与格式化、存储管理技术(如 RAID 和存储虚拟化)。网络协议部分涵盖了分层模型、重要协议(如 HTTP、TCP、IP)及其应用与安全。
|
11天前
|
网络虚拟化 数据安全/隐私保护 数据中心
对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令
本文对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令,帮助网络工程师更好地理解和使用这两个品牌的产品。通过详细对比,展示了两者的相似之处和差异,强调了持续学习的重要性。
25 2
|
11天前
|
数据可视化 算法 安全
员工上网行为管理软件:S - PLUS 在网络统计分析中的应用
在数字化办公环境中,S-PLUS 员工上网行为管理软件通过精准的数据收集、深入的流量分析和直观的可视化呈现,有效帮助企业管理员工上网行为,保障网络安全和提高运营效率。
21 1
|
19天前
|
数据采集 监控 数据可视化
Fortran 在单位网络监控软件数据处理中的应用
在数字化办公环境中,Fortran 语言凭借其高效性和强大的数值计算能力,在单位网络监控软件的数据处理中展现出独特优势。本文介绍了 Fortran 在数据采集、预处理和分析可视化三个阶段的应用,展示了其在保障网络安全稳定运行和有效管理方面的价值。
47 10
|
1月前
|
网络协议 Ubuntu 前端开发
好好的容器突然起不来,经定位是容器内无法访问外网了?测试又说没改网络配置,该如何定位网络问题
本文记录了一次解决前端应用集成到主应用后出现502错误的问题。通过与测试人员的沟通,最终发现是DNS配置问题导致的。文章详细描述了问题的背景、沟通过程、解决方案,并总结了相关知识点和经验教训,帮助读者学习如何分析和定位网络问题。
103 0
|
7天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第40天】在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术以及安全意识等方面的知识,帮助读者更好地了解网络安全的重要性,并提供一些实用的技巧和建议,以保护个人和组织的信息安全。
29 6
|
1天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的知识,并提供一些实用的技巧和建议,帮助读者更好地保护自己的网络安全和信息安全。

热门文章

最新文章

下一篇
无影云桌面