Tweet
TLOCs và Colors trong Cisco Catalyst SD-WAN
Trong Cisco SD-WAN, mỗi WAN transport tunnel được định danh bởi một TLOC (Transport Locator), và trong TLOC có một thuộc tính rất quan trọng: Color.
Color không phải là “màu sắc” hiển thị, mà là thông tin nhận dạng loại kết nối WAN (ví dụ MPLS, Internet, LTE, Metro Ethernet…). 1. Phân loại Color: Private vs. Public
Cisco SD-WAN chia Color thành hai nhóm:
Sự phân loại này cực kỳ quan trọng, vì nó quyết định cách WAN Edge routers thiết lập IPsec tunnel giữa nhau và với Controllers.
2. Cách Cisco SD-WAN chọn địa chỉ khi tạo tunnel
Dựa vào Color hai phía, WAN Edge sẽ biết nên dùng địa chỉ Private IP hay Public IP:
→ Điều này giúp SD-WAN linh hoạt khi triển khai ở môi trường hỗn hợp MPLS, Metro-E, Internet, LTE. 3. NAT và vai trò của SD-WAN Validator
Trong thực tế, WAN Edge hoặc Controllers có thể nằm sau NAT. Khi đó:
SD-WAN Validator hoạt động như STUN server, giúp thiết bị tự phát hiện địa chỉ/port đã bị NAT translate. Thông tin này sau đó được quảng bá kèm theo TLOC để các thiết bị khác biết cách kết nối. 4. Restrict keyword và kiểm soát BFD session
Mặc định, WAN Edge sẽ cố gắng kết nối đến tất cả các TLOC, kể cả khác color. Điều này tạo tính linh hoạt, ví dụ site A xài MPLS có thể trực tiếp nói chuyện với site B chỉ có Internet.
Tuy nhiên, trong nhiều tình huống, chúng ta muốn giới hạn kết nối theo từng loại transport. Lúc này ta dùng lệnh:
color mpls restrict
Ý nghĩa:
Điều này thường được bật cho private transport để tránh việc MPLS → Internet không mong muốn. 5. BFD trong Cisco SD-WAN
Mỗi tunnel trong SD-WAN đều tự động chạy BFD (Bidirectional Forwarding Detection) để:
BFD chạy ở chế độ echo, nghĩa là gói BFD được gửi đi và đối phương trả lại nguyên trạng, không cần xử lý.
Tóm gọn ý chính
Trong Cisco SD-WAN, mỗi WAN transport tunnel được định danh bởi một TLOC (Transport Locator), và trong TLOC có một thuộc tính rất quan trọng: Color.
Color không phải là “màu sắc” hiển thị, mà là thông tin nhận dạng loại kết nối WAN (ví dụ MPLS, Internet, LTE, Metro Ethernet…). 1. Phân loại Color: Private vs. Public
Cisco SD-WAN chia Color thành hai nhóm:
- Private colors: gồm mpls, metro-ethernet, private1-6.
→ Đặc trưng: không dùng NAT, thường dành cho các kết nối WAN nội bộ, leased line, MPLS. - Public colors: gồm lte, biz-internet, public-internet, gold, silver, bronze, blue, green, red, custom1-3…
→ Đặc trưng: có thể đi qua NAT, dùng cho kết nối Internet công cộng.
Sự phân loại này cực kỳ quan trọng, vì nó quyết định cách WAN Edge routers thiết lập IPsec tunnel giữa nhau và với Controllers.
2. Cách Cisco SD-WAN chọn địa chỉ khi tạo tunnel
Dựa vào Color hai phía, WAN Edge sẽ biết nên dùng địa chỉ Private IP hay Public IP:
- Nếu cả hai bên đều là Private → sử dụng private IP và port để dựng tunnel.
- Nếu một bên Private, một bên Public → bắt buộc dùng public IP/port.
- Nếu cả hai bên Public → dùng public IP/port làm nguồn và đích tunnel.
→ Điều này giúp SD-WAN linh hoạt khi triển khai ở môi trường hỗn hợp MPLS, Metro-E, Internet, LTE. 3. NAT và vai trò của SD-WAN Validator
Trong thực tế, WAN Edge hoặc Controllers có thể nằm sau NAT. Khi đó:
- Private IP: là IP gán cho interface trên WAN Edge (có thể là RFC1918 hoặc public IP).
- Public IP: là địa chỉ sau khi NAT, được phát hiện nhờ SD-WAN Validator.
SD-WAN Validator hoạt động như STUN server, giúp thiết bị tự phát hiện địa chỉ/port đã bị NAT translate. Thông tin này sau đó được quảng bá kèm theo TLOC để các thiết bị khác biết cách kết nối. 4. Restrict keyword và kiểm soát BFD session
Mặc định, WAN Edge sẽ cố gắng kết nối đến tất cả các TLOC, kể cả khác color. Điều này tạo tính linh hoạt, ví dụ site A xài MPLS có thể trực tiếp nói chuyện với site B chỉ có Internet.
Tuy nhiên, trong nhiều tình huống, chúng ta muốn giới hạn kết nối theo từng loại transport. Lúc này ta dùng lệnh:
color mpls restrict
Ý nghĩa:
- Chỉ cho phép TLOC mpls tạo BFD session với mpls bên kia.
- Ngăn việc MPLS tự kết nối với Internet hoặc LTE.
Điều này thường được bật cho private transport để tránh việc MPLS → Internet không mong muốn. 5. BFD trong Cisco SD-WAN
Mỗi tunnel trong SD-WAN đều tự động chạy BFD (Bidirectional Forwarding Detection) để:
- Kiểm tra liveness của đường đi.
- Đo lường loss, latency, jitter phục vụ Application-Aware Routing (AAR).
- Phát hiện nhanh sự cố (mất điện, mất kết nối vật lý).
BFD chạy ở chế độ echo, nghĩa là gói BFD được gửi đi và đối phương trả lại nguyên trạng, không cần xử lý.
Tóm gọn ý chính
- Color = thuộc tính định danh loại transport trong TLOC.
- Phân loại thành Private (mpls, metro-ethernet, private1-6) và Public (các loại khác).
- Private ↔ Private → dùng Private IP.
- Private ↔ Public hoặc Public ↔ Public → dùng Public IP.
- SD-WAN Validator phát hiện NAT và công bố địa chỉ Post-NAT.
- Restrict keyword giúp khóa tunnel theo cùng loại transport.
- BFD chạy mặc định trên mọi tunnel để đo chất lượng và phát hiện sự cố.
Attached Files