Tweet
🔍 Kiến trúc chính sách trong Cisco SD-WAN – Bức tranh toàn cảnh
1. Hai loại chính sách: Centralized vs Localized
📌 A. Centralized Policies – Chính sách tập trung
Được thiết kế và áp dụng từ vSmart Controller, centralized policies điều khiển cách các router WAN (vEdge hoặc cEdge) tương tác với nhau trên toàn mạng. Chúng bao gồm: ● Control Policy & VPN Membership Policy
📌 B. Localized Policies – Chính sách cục bộ
Được cấu hình và áp dụng trực tiếp trên từng thiết bị thông qua Device Template. ● Local Control Policy
🔄 Cơ chế cấu hình và triển khai
1. Define & Configure qua netconf
🧠 Ví dụ minh họa:
✅ Tổng kết nhanh
Nếu bạn đang làm việc với Cisco SD-WAN (trước đây là Viptela), nắm chắc kiến trúc này chính là chìa khóa để kiểm soát lưu lượng, bảo mật dữ liệu, và tối ưu trải nghiệm người dùng trong mạng WAN hiện đại.
1. Hai loại chính sách: Centralized vs Localized
📌 A. Centralized Policies – Chính sách tập trung
Được thiết kế và áp dụng từ vSmart Controller, centralized policies điều khiển cách các router WAN (vEdge hoặc cEdge) tương tác với nhau trên toàn mạng. Chúng bao gồm: ● Control Policy & VPN Membership Policy
- Xác định topology (mô hình liên kết) giữa các site, như Full Mesh, Hub-and-Spoke.
- Chính sách VPN Membership định nghĩa các thiết bị nào thuộc về VPN nào (mỗi VPN là một không gian mạng riêng biệt).
- App-Aware Routing: định tuyến dựa vào loại ứng dụng (qua DPI – Deep Packet Inspection).
- Data Policy: điều khiển hành vi của lưu lượng như forward/drop/mirror/redirect.
- cFlow Template: định nghĩa cấu trúc ghi nhận lưu lượng cho việc giám sát và phân tích NetFlow.
Chính sách này sau khi định nghĩa sẽ được gửi đến các thiết bị qua OMP (Overlay Management Protocol) và lưu tạm tại phần gọi là Policy RIB.
📌 B. Localized Policies – Chính sách cục bộ
Được cấu hình và áp dụng trực tiếp trên từng thiết bị thông qua Device Template. ● Local Control Policy
- Dành cho các giao thức định tuyến truyền thống như OSPF, BGP.
- Điều khiển redistribution, route-map, filter...
- Cấu hình QoS, Access Control List (ACL) để kiểm soát lưu lượng ngay tại từng node.
- Gồm ZBFW (Zone-Based Firewall), UTD (Unified Threat Defense) và các tính năng IDS/IPS nội tại.
🔄 Cơ chế cấu hình và triển khai
1. Define & Configure qua netconf
- Toàn bộ chính sách và template được định nghĩa trong vManage GUI hoặc CLI.
- vManage sử dụng NETCONF/YANG để cấu hình thiết bị và push chính sách.
- Chính sách tập trung được truyền đến vSmart để điều phối.
- Chính sách được phân phối từ vSmart đến các thiết bị vEdge/cEdge.
- Template định nghĩa các policy cục bộ được áp trực tiếp vào thiết bị.
🧠 Ví dụ minh họa:
Bạn có một hệ thống gồm các site chi nhánh (branch) và trung tâm dữ liệu (DC).
- Bạn dùng Control Policy để thiết lập Hub-and-Spoke giữa Branch và DC.
- Dùng App-Aware Routing để route lưu lượng Office365 qua link DIA, còn voice/video thì qua MPLS.
- Trên từng thiết bị, bạn triển khai QoS và ZBFW để kiểm soát băng thông và bảo vệ chống lại tấn công.
✅ Tổng kết nhanh
- Centralized Policy: toàn mạng, điều khiển overlay.
- Localized Policy: từng thiết bị, điều khiển underlay + bảo mật.
- vManage định nghĩa, vSmart điều phối, vEdge/cEdge thực thi.
Nếu bạn đang làm việc với Cisco SD-WAN (trước đây là Viptela), nắm chắc kiến trúc này chính là chìa khóa để kiểm soát lưu lượng, bảo mật dữ liệu, và tối ưu trải nghiệm người dùng trong mạng WAN hiện đại.