带你读《思科软件定义访问 : 实现基于业务意图的园区网络》第二章软件定义访问体系结构2.3(二)

简介: 《思科软件定义访问 : 实现基于业务意图的园区网络》第二章软件定义访问体系结构2.3(二)

2.3.2         边缘节点

网络交换矩阵边缘节点(如图 2-6所示)负责将终端连接到网络交换矩阵,并封装/解封装和转发从这些终端到网络交换矩阵的通信。网络交换矩阵边缘节点在网络交换矩阵的外围运行,是用户连接和策略实施的所在地。需要注意的是,终端不必直接连接到网络交换矩阵的边缘节点,也可以连接到扩展节点。

有关网络交换矩阵边缘节点的重要注意事项是它们如何处理用于终端设备的子网。在默认情况下,在软件定义访问网络交换矩阵中承载的所有子网都是在边缘节点上设置的。例如,如果在给定的网络交换矩阵中设置了子网10.10.10.0/24,则该子网将在该网络交换矩阵中的所有边缘节点上进行定义,而位于该子网中的主机可以放在该网络交换矩阵内的任何边缘节点上。这实质上是在该网络交换矩阵的所有边缘节点之间拉伸了这些子网,从而简     化了 IP地址的分配,进而可以部署较少但掩码更大的IP子网。

image.png


2-6 网络交换矩阵边缘节点

软件定义访问网络交换矩阵边缘节点相当于传统的园区网络设计中的接入层交换机。边缘节点在实现三层访问设计的同时增加了以下网络交换矩阵功能。

(1)  终端注册。交换矩阵边缘节点检测到用户终端后,会将其添加到本地主机跟踪数据库(称为终端 EID表)。边缘节点设备还会发出 LISP映射注册消息,以便将检测到的终端通知控制平面节点并将其填充到中心主机跟踪数据库(HTDB)。

(2)  将用户映射到虚拟网络。通过将终端分配到与 LISP实例关联的VLAN,可将该终端放入虚拟网络。可以使用静态或动态802.1x方式将终端映射到 VLAN中。同时为其分配SGT以实现在交换矩阵边缘节点为终端提供网络分段和策略执行功能。

(3)  三层任播网关。在每个边缘节点使用通用网关(具有相同的 IPMAC地址),使终端共享同一个 EID子网,实现跨越不同 RLOC的最佳转发路径和移动性。

(4)  LISP 转发。与典型的基于路由的决策不同,网络交换矩阵边缘节点通过查询映射服务器来确定与目标IP关联的 RLOC,并使用该信息封装相关流量的 VXLAN报头。如果无法解析目标   RLOC,流量将被发送到默认的网络交换矩阵边缘节点,并使用边缘节点上的全局路由表来决定如何转发。从映射服务器接收到的响应存储在 LISP映射缓存中,它被合并到思科快速转发表中并安装在节点交换机硬件中。如果在网络交换矩阵边缘节点接收到未在本地连接的终端的VXLAN封装流量,接收边缘节点将通过发送 LISP征求映射请求到发送该流量的网络交换矩阵边缘节点来触发新的映射请求。这一机制解决了终端可能出现在不同的网络交换矩阵边缘节点交换机上的情况。

(5) XLAN封装/解封装。网络交换矩阵边缘节点使用与目标 IP地址关联的 RLOC流量封装 VXLAN报头。类似地,在目的地RLOC处接收的 VXLAN流量被解封装。流量的封装和解封装使端点的位置能够改变并且被网络中的不同边缘节点和RLOC封装,而端点本身不必在自身封装内改变其地址。

2.3.3          中间节点

网络交换矩阵的中间节点是纯粹的三层转发设备,属于将边缘节点与边界节点进行互联的三层网络的一部分,连接网络交换矩阵边缘节点和网络交换矩阵边界节点,为转发叠加网络流量提供基于三层的底层网络互联服务。

在使用核心层、分布层和接入层的三层园区设计中,中间节点相当于分布层交换机,但中间节点的数量并不限于单个设备层。中间节点仅在网络交换矩阵内部路由 IP流量。中间节点无须参与 VXLAN封装 /解封装或 LISP控制平面消息方面相关的操作,网络交换矩阵对于中间节点的要求仅仅是支持转发大尺寸 IP数据报文,以便能够传输内嵌了VXLAN信息的 IP数据报文。

相关文章
|
7天前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限。它通过设置一系列规则,控制谁可以访问特定资源、在什么条件下访问以及可以执行哪些操作。ACL 可以应用于路由器、防火墙等设备,分为标准、扩展、基于时间和基于用户等多种类型,广泛用于企业网络和互联网中,以增强安全性和精细管理。
42 7
|
24天前
|
人工智能 监控 安全
网络监控软件
【10月更文挑战第17天】
107 68
|
24天前
|
网络协议 安全 网络安全
|
9天前
|
存储 网络协议 安全
软件管理,磁盘存储,文件系统以及网络协议
【11月更文挑战第9天】本文介绍了软件管理、磁盘存储和网络协议等内容。软件管理包括软件生命周期管理和软件包管理,涉及需求分析、设计、实现、测试、发布、维护等阶段,以及软件包的安装、升级和依赖关系处理。磁盘存储部分讲解了磁盘的物理结构、分区与格式化、存储管理技术(如 RAID 和存储虚拟化)。网络协议部分涵盖了分层模型、重要协议(如 HTTP、TCP、IP)及其应用与安全。
|
11天前
|
存储 数据安全/隐私保护 云计算
多云网络环境:定义、优势与挑战
多云网络环境:定义、优势与挑战
27 5
|
10天前
|
运维 物联网 网络虚拟化
网络功能虚拟化(NFV):定义、原理及应用前景
网络功能虚拟化(NFV):定义、原理及应用前景
25 3
|
10天前
|
网络虚拟化 数据安全/隐私保护 数据中心
对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令
本文对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令,帮助网络工程师更好地理解和使用这两个品牌的产品。通过详细对比,展示了两者的相似之处和差异,强调了持续学习的重要性。
24 2
|
10天前
|
数据可视化 算法 安全
员工上网行为管理软件:S - PLUS 在网络统计分析中的应用
在数字化办公环境中,S-PLUS 员工上网行为管理软件通过精准的数据收集、深入的流量分析和直观的可视化呈现,有效帮助企业管理员工上网行为,保障网络安全和提高运营效率。
20 1
|
18天前
|
数据采集 监控 数据可视化
Fortran 在单位网络监控软件数据处理中的应用
在数字化办公环境中,Fortran 语言凭借其高效性和强大的数值计算能力,在单位网络监控软件的数据处理中展现出独特优势。本文介绍了 Fortran 在数据采集、预处理和分析可视化三个阶段的应用,展示了其在保障网络安全稳定运行和有效管理方面的价值。
45 10
|
7天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第39天】在数字化时代,网络安全和信息安全成为了我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,帮助读者更好地了解网络安全的重要性,并提供一些实用的技巧和方法来保护自己的信息安全。
20 2