Tweet
Trong thế giới SD-WAN, Policy không chỉ là các dòng lệnh cấu hình đơn thuần, mà là công cụ để quản trị viên điều phối toàn bộ hành vi của mạng từ một điểm tập trung.
1. Phân loại Policy theo chức năng
Có hai loại chính mà chúng ta cần phân biệt rõ:
Cả Control Policy và Data Policy đều được chia thành hai dạng triển khai:
Ngoài hai loại trên, chúng ta còn có một "vũ khí" cực mạnh là Application-Aware Policy. Chính sách này cho phép hệ thống kiểm soát luồng traffic dựa trên chất lượng đường truyền.
Khi bạn thao tác trên giao diện đồ họa (GUI) của vManage, cấu trúc chính sách sẽ bao gồm 3 phần chính:
1. Phân loại Policy theo chức năng
Có hai loại chính mà chúng ta cần phân biệt rõ:
- Control (Routing) Policy: Tác động trực tiếp đến việc trao đổi thông tin định tuyến trong mặt phẳng điều khiển (Control Plane). Bạn có thể hình dung nó tương đương với việc cấu hình các Route-policy trong giao thức định tuyến truyền thống để thay đổi cách các router nhìn nhận đường đi.
- Data Policy: Tác động đến luồng dữ liệu thực tế (Traffic) trong mặt phẳng dữ liệu (Data Plane). Nó tương tự như Access-list (ACL) hoặc các bộ lọc Firewall, quyết định gói tin nào được đi, gói tin nào bị chặn hoặc đi qua đường nào.
Cả Control Policy và Data Policy đều được chia thành hai dạng triển khai:
- Centralized Policy (Chính sách tập trung): Đây là "linh hồn" của SD-WAN. Bạn xây dựng chính sách trên vManage, sau đó chính sách này được đẩy xuống và lưu trữ tại vSmart. vSmart sẽ quảng bá các quyết định này đến các thiết bị vEdge (Cisco Edge). Chính sách này có tác động trên phạm vi toàn mạng.
- Localized Policy (Chính sách cục bộ): Chính sách này được cấu hình trực tiếp trên từng thiết bị vEdge thông qua giao diện dòng lệnh (CLI) hoặc qua Template từ vManage. Nó chỉ có giá trị và tác động duy nhất trên thiết bị cục bộ đó (tương tự như một ACL truyền thống trên Router).
Ngoài hai loại trên, chúng ta còn có một "vũ khí" cực mạnh là Application-Aware Policy. Chính sách này cho phép hệ thống kiểm soát luồng traffic dựa trên chất lượng đường truyền.
- Ví dụ: Bạn định nghĩa rằng traffic họp Zoom/Teams (Voice/Video) chỉ được phép chạy qua Tunnel nếu đường truyền đó có độ trễ (latency) dưới 150ms và độ mất gói (loss) dưới 1%. Nếu đường truyền hiện tại không đạt SLA này, vSmart sẽ điều hướng traffic sang một đường truyền khác tốt hơn.
Khi bạn thao tác trên giao diện đồ họa (GUI) của vManage, cấu trúc chính sách sẽ bao gồm 3 phần chính:
- Lists (Danh sách): Gom nhóm các đối tượng (IP, App, Site, TLOC, VPN...) để quản lý tập trung. Thay vì viết rule cho từng IP, bạn chỉ cần gọi tên "List_Ke_Toan".
- Policy Definition (Định nghĩa): Thiết lập quy tắc Match-Action (Khớp và Hành động).
- App-route: Chọn đường theo SLA.
- Control/Data Policy: Điều khiển định tuyến và luồng dữ liệu.
- VPN Membership: Kiểm soát router nào được tham gia vào VPN nào.
- Policy Application (Áp dụng): Gán chính sách đã định nghĩa vào các Site list cụ thể để kích hoạt hiệu lực.