Page tree
Skip to end of metadata
Go to start of metadata

В данной инструкции рассмотрены основные функции решения. Подробнее некоторые детали решения описаны в официальной документации вендора.

Проверка сетевого доступа

Если VeloCloud Edge разворачивается  в инфраструктуре с межсетевым экраном на границе, необходимо добавить следующие разрешающие правила:

  • VCE в филиале:
    • исходящие подключения к оркестратору (VCO): TCP 443
    • исходящие подключения к шлюзам / контроллерам VCG: UDP 2426
    • исходящие подключения к SD-WAN Hub: UDP 2426
    • входящие подключения от других филиалов (Branch-to-Branch VPN): UDP
  • VCE в ЦОД:
    • исходящие подключения к оркестратору (VCO): TCP 443
    • исходящие подключения к шлюзам / контроллерам VCG: UDP 2426
    • входящие подключения от филиалов (Branch-to-Hub VPN): UDP

Указанные правила обеспечивают корректные функционирование решения и измерение характеристик канала.

Выбор топологии

Для удобства развертывания в этом разделе приведены примеры некоторых часто используемых топологий, которые применяются при подключении VCE в филиальной сети.

Трафик всех ISP терминирует VCE. В случае с отказоустойчивым кластером VCE резервируется добавлением второго устройства, которое будет обслуживать те же каналы, что и первое, если первое выйдет из строя. Для обмена keepalive (сообщения о доступности) оба VCE соединяются между собой HA-линком (патчкордом).

Интернет-филиал с одним коммутаторомИнтернет-филиал с отказоустойчивым кластером

В случае с L3-коммутаторами может добавиться динамическая маршрутизация, поддерживаются BGP и OSPF. Возможно резервирование посредством объединения двух VCE.

Интернет-филиал с L3-коммутатором

и динамической маршрутизацией

Интернет-филиал с 2 L3-коммутаторами,

динамической маршрутизацией и резервированием VCE

Перечень способов подключения гибридных филиалов довольно широк, но общей особенностью является необходимость сделать доступными некоторые публичные префиксы, если требуется использовать MPLS-канал вместе с VCG.

Интернет-филиал с 2 L2-коммутатором

и резервированием

Интернет-филиал с 2 L3-коммутаторами,

FHRP-протоколом и резервированием

Независимо от используемой схемы, при построении тоннелей через MPLS с firewall на пути следует разрешить на нем взаимодействие через протоколы и порты для построения оверлейных соединений; приводятся в начале этого документа.

Интеграция VCE в ЦОД

В ЦОД VCE играет роль хаба, терминируя оверлейные тоннели. О общем случае подключения из интернета проходят через пограничное устройство, обеспечивающее NAT-трансляции. Хабы возможно объединять в кластеры и балансировать нагрузку на основе анонсированных префиксов. Трафик разных «плечей» (MPLS и Интернет) можно принимать на выделенных физических интерфейсах и на одном.

  • No labels