微分支(Microbranch)
Microbranch 使接入点能够作为一个缩小版的分支网关,通过IPsec提供到总部站点的远程连接,非常适合远程办公和小型分支机构,例如一个小套间。它共享了许多与分支网关相同的基本功能,包括备份隧道到其他集群成员和数据中心优先级。然而,Microbranch 最多支持五个活跃的总部站点。
此外,Microbranch 支持云安全集成、基于策略的路由以及广域网健康检查等特点,但不支持动态路径引导(Dynamic Path Steering)。
Microbranch 提供三种不同的隧道模式,这些模式与SSID相关联:集中式2层、3层NATed 和3层路由。每种隧道类型可以在同一台 Microbranch 接入点上并行运行。下表显示了每种模式的能力。
| 3层路由 | 3层 NATed | 集中式2层 |
|---|---|---|
| 路由编排 本地子网/DHCP 与VPNC共享的子网(在数据中心内完全可路由) 互联网流量本地分流 基于路由开销的负载均衡 | 路由编排 本地子网/DHCP 服务 子网不与VPNC共享 互联网流量本地分流 基于路由开销的负载均衡 | 无路由编排 子网存在于VPNC上。 全隧道至VPNC (可以使用PBR进行分离隧道) 负载均衡在VPNC之间均匀分布 |
在上述拓扑中,由于VPNC是客户端的默认网关,因此2层模式需要Radius代理。在集中式2层模式下,VPNC需要一个VRRP虚拟IP地址,该地址将用作Radius代理的IP。如果组织使用3层模式并且需要启用Radius代理,则VPNC必须建立一个包含VRRP会话的2层连接。建议使用LACP连接以实现冗余。
在决定隧道方法时,请考虑以下因素:
3层路由 - AP根据其路由表进行决策,最多支持512条路由。因此,分支和总部的路由汇总显得尤为重要。这种方法是最佳选择,因为它减少了管理员的配置工作量,并使AP能够做出最优的路由决策(无需通过VPNC回流)。这是部署Microbranch AP的首选方案。
3层NAT - AP通过路由表来进行路由决策;然而,来自NATed SSID中的客户端的流量无法到达总部站点的资源。NATed SSIDs不会与SD-WAN fabric共享其子网。这是一种适用于访客SSID的方法。
集中式2层 (CL2) - 默认情况下,AP会将所有流量通过隧道传输到VPNC。每个分支站点的VLAN都驻留在VPNC上。AP可以根据PBR策略中断本地至互联网;然而,如果使用本地中断(local breakout),一般建议将所有内部IP地址段发送到VPNC,而将其他路由地址段发送到互联网。当设备需要2层邻接才能正常工作时,这种方法通常是推荐的。
Microbranch AP可以同时支持2层和3层模式。VPNC也同样能够兼容这两种模式;然而,如果使用2层,VPNC必须与其在L2上相邻,以启用上一节所述的VRRP功能。
2层隧道的编排与3层有所不同。2层隧道会为集群内所有成员建立连接,并根据客户端负载进行均衡。例如,如果一个hub站点有两个网关,Microbranch AP将分别与这两个VPNC建立隧道。当需要转发客户端流量时,AP会通过隧道将其发送到VPNC1,而下一个客户端的流量则被发送到VPNC2。
3层隧道同样会为每个VPNC建立一条独立的隧道;然而,流量的转发是基于路由开销进行的,而路由开销则根据叠加路由编排器动态调整。这与分支网关的工作方式相同。
