公共和私有 IP 地址

私有 IP 地址

在 WAN 边缘路由器上，私有 IP 地址是分配给 SD-WAN 设备接口的 IP 地址。这是 NAT 之前的地址，尽管名称如此，但可以是公共地址(可公开路由)或私有地址 (RFC 1918)。

公共 IP 地址

vBond Orchestrator 检测到的 Post-NAT 地址。此地址可以是公共地址(可公开路由)或私有地址 (RFC 1918)。在没有 NAT 的情况下，SD-WAN 设备的私有和公共 IP 地址是相同的。

总行

TLOC 或传输位置是 WAN 边缘路由器连接到 WAN 传输网络的连接点。TLOC 由三元组唯一标识和表示，由系统 IP 地址、链路颜色和封装(通用路由封装 [GRE] 或 IPsec)组成。

颜色

颜色属性适用于广域网边缘路由器或 vManage 和 vSmart 控制器，有助于识别单个 TLOC;不同的 TLOC 被分配不同的颜色标签。图 10 中的示例 SD-WAN 拓扑对 Internet 传输 TLOC 使用称为 biz-internet 的公共颜色，对其他传输 TLOC 使用称为 mpls 的私有颜色。您不能在单个 WAN 边缘路由器上两次使用相同的颜色。

覆盖管理协议 (OMP)

OMP 路由协议，其结构类似于 BGP，管理 SD-WAN 覆盖网络。该协议在 vSmart 控制器之间以及 vSmart 控制器和 WAN 边缘路由器之间运行，其中控制平面信息(例如路由前缀、下一跃点路由、加密密钥和策略信息)通过安全 DTLS 或 TLS 连接进行交换。vSmart 控制器的作用类似于 BGP 路由反射器;它从广域网边缘路由器接收路由，处理并应用任何策略，然后将路由通告给覆盖网络中的其他广域网边缘路由器。

虚拟专用网络 (VPN)

在 SD-WAN 覆盖中，虚拟专用网络 (VPN) 提供分段，很像许多人已经熟悉的虚拟路由和转发实例 (VRF)。每个 VPN 彼此隔离，每个 VPN 都有自己的转发表。接口或子接口在单个 VPN 下明确配置，不能属于多个 VPN。标签用于 OMP 路由属性和数据包封装中，用于标识数据包所属的 VPN。

VPN 编号是一个四字节整数，值从 0 到 65535，但有几个 VPN 保留供内部使用，因此可以或应该配置的最大 VPN 是 65527。 WAN 中默认存在两个主要 VPN边缘设备和控制器，VPN 0 和 VPN 512。请注意，VPN 0 和 512 是唯一可以在 vManage 和 vSmart 控制器上配置的 VPN。对于 vBond 编排器，虽然可以配置更多的 VPN，但只有 VPN 0 和 512 是可用的，并且是唯一应该使用的。

VPN 0 为传输VPN。它包含连接到 WAN 传输的接口。与控制器的安全 DTLS/TLS 连接从此 VPN 启动。需要在此 VPN 内配置静态或默认路由或动态路由协议，以获得适当的下一跳信息，以便可以建立控制平面并且 IPsec 隧道流量可以到达远程站点。

VPN 512 为管理VPN。它承载进出 Cisco SD-WAN 设备的带外管理流量。此 VPN 被 OMP 忽略，并且不会跨覆盖网络传输。

除了已经定义的默认 VPN 之外，还需要创建一个或多个服务端 VPN，其中包含连接到本地站点网络并承载用户数据流量的接口。建议选择1-511范围内的业务VPN，但可以选择更高的值，只要不与默认和保留的VPN重叠即可。可以为 OSPF 或 BGP、虚拟路由器冗余协议 (VRRP)、QoS、流量整形或监管等功能启用服务 VPN。通过将从站点的 vSmart 控制器接收的 OMP 路由重新分配到服务端 VPN 路由协议中，可以将用户流量通过 IPsec 隧道定向到其他站点。反过来，通过将服务 VPN 路由发布到 OMP 路由协议中，可以将来自本地站点的路由发布到其他站点。

云杰通信&网络综合解决方案提供商，助力企业信息化建设、数字化转型、以及全球化互联。SD-WAN方案可实现全球访问加速、SaaS访问加速、海外视频加速、海外分支组网，有效提升国际间沟通效率，助力中国企业开拓国际市场。服务热线：13631779516，欢迎来电咨询。