Các thành phần trong Cisco SD-WAN
1. Kiến trúc
Phần này giới thiệu các thành phần khác nhau tạo nên kiến trúc Cisco SD-WAN cũng như các thành phần tùy chọn được triển khai. Ở cấp độ cao, các thành phần này có thể được nhóm lại với nhau theo mục đích mà chúng đóng vai trò trong giải pháp Cisco SD-WAN:
· Data plane
· Management plane
· Control plane
· Orchestration plane
Trong các mạng truyền thống ngày nay, management plane, data plane và control plane đều nằm trên cùng một router và chúng cùng nhau tạo điều kiện giao tiếp trong mạng. Trên một router truyền thống, chúng ta có dòng (xử lý chuyển đổi và chuyển tiếp các gói dữ liệu của chúng ta), một mô-đun CPU (xử lý việc tính toán bảng tuyến đường và mạng quảng cáo của chúng tôi với phần còn lại của mạng) và giao diện dòng lệnh (CLI) được sử dụng để lập trình bộ định tuyến. Trên CLI, chúng ta nhập các lệnh và các lệnh đó lập trình CPU và line card để hoạt động theo ý định của chúng ta. Mỗi router trong mạng có ba thành phần này. Khi ta nhìn vào một mạng truyền thống, ta có một số router, mỗi router cần được lập trình độc lập để đạt được trạng thái hoạt động mong muốn cho mạng của ta. Khi các mạng này lớn hơn, số lượng can thiệp của con người cần thiết để cấu hình môi trường này tăng lên đáng kể, có khả năng tạo ra sự phức tạp. Mỗi router phải tính toán bảng định tuyến của riêng nó từ góc độ mạng của nó. Ví dụ: giả sử ta có một mạng với 6.000 route. Bất cứ khi nào có sự thay đổi trong mạng, mỗi router sẽ phải xử lý các bản cập nhật định tuyến này cho từng tuyến có khả năng xảy ra. Điều này đòi hỏi router phải có các yêu cầu cần thiết về CPU và bộ nhớ để xử lý các bản cập nhật này, do đó tạo ra rất nhiều chi phí. Việc điều chỉnh bảng định tuyến trên một mạng với số lượng lớn các trang web và tuyến đường có thể nhanh chóng trở nên rất phức tạp để đạt được kết quả mong muốn - có thể là toàn bộ lưới, trung tâm và nói, một phần lưới, v.v. Ngoài ra, vì mỗi router được lập trình riêng lẻ, khi ta lập trình mạng trên cơ sở từng bộ định tuyến, ta có nguy cơ dẫn đến kết quả không mong muốn do thiết kế không phù hợp hoặc lỗi của kỹ sư trên CLI.
Hình 1.1: Kiến trúc phân phối của Cisco SD-WAN
Kiến trúc này khác với mạng truyền thống ở chỗ nó cho phép ta hỗ trợ các mạng quy mô lớn trong khi giảm chi phí hoạt động và tính toán. Giải pháp này tách data plane, control plane và management với nhau. Vì control planee biết về tất cả các tuyến và nút trên mạng, ta chỉ phải tính toán bảng định tuyến một lần và có thể phân phối bảng định tuyến này cho tất cả các nút cần thiết dưới dạng một bản cập nhật định tuyến duy nhất thay vì yêu cầu mọi bộ định tuyến gửi các bản cập nhật định tuyến cho những người khác. Điều này làm giảm đáng kể chi phí trên mạng và cho phép ta giảm tài nguyên cần thiết trên bộ định tuyến để ta có thể mang lại các tính năng và khả năng bổ sung cho các thiết bị cạnh của mình. Bởi vì ta có cái nhìn đầy đủ về mạng, ta có thể tạo một chính sách mạng chung trên toàn bộ kết cấu SD-WAN với nhu cầu về mặt phẳng quản lý phải lập trình nó một lần. Khi các thiết bị mới được thêm vào mạng, chúng cũng nhận được chính sách tương tự, đảm bảo mạng hoạt động như mong đợi.
2. Các thành phần
2.1. Data plane
Data plane là nơi chứa SD-WAN overlay và là lớp chuyển tiếp các user, server và các lưu lượng khác. Cả Ipv4 và Ipv6 đều được hỗ trợ trong truyền tải dữ liệu. Ngoài ra còn có các policy data (như là QoS, Application – Aware Routing, vv...) được thực thi trong data plane.
Mỗi router sẽ hình thành các kết nối data plane với các router khác trong SD-WAN overlay nhằm mục đích vận chuyển lưu lượng truy cập của người dùng. Kết nối data plane chỉ được thiết lập giữa các thiết bị trên data plane. Các đường hầm này được bảo mật thông qua Internet Protocol Security (IPsec). Như đã mô tả trước đây, data plane có phân đoạn gốc. Địa chỉ IPv4 / IPv6 ban đầu được đóng gói bằng cách sử dụng RFC 4023. Bằng cách sử dụng RFC 4023, ta có segment trên SD-WAN overlay. Segment cho phép quản trị viên mạng xây dựng các phiên bản riêng biệt của data plane, tùy thuộc vào các yêu cầu và quy định nghiệp vụ. Gói dữ liệu gốc được đóng gói bằng IPsec, cung cấp mã hóa và xác thực.
Hình 2.1: Format gói tin của Cisco SD-WAN
WAN Edges có bảo mật tích hợp để ngăn chặn truy cập trái phép từ mạng. Các giao diện hướng tới mạng WAN chỉ cho phép kết nối từ các nguồn đã được xác thực, chẳng hạn như các phần tử mặt phẳng điều khiển và mặt phẳng quản lý. Các giao diện này rõ ràng chỉ cho phép các kết nối IPsec từ WAN Edges khác trong kết cấu. Các WAN Edges tìm hiểu các thiết bị mặt phẳng dữ liệu khác này từ các phần tử mặt phẳng điều khiển trong giải pháp. Theo mặc định, tường lửa giao diện WAN trên WAN Edge sẽ chặn mọi thứ không được phép một cách rõ ràng. Các dịch vụ đến có thể được kích hoạt là SSH, NETCONF, NTP, OSPF, BGP và STUN. Các dịch vụ gửi đi được phép là DHCP, DNS và ICMP.
Bidirectional Forwarding Detection (BFD) được sử dụng bên trong các đường hầm IPsec giữa tất cả các WAN Edge. BFD gửi các gói Hello để kiểm tra liên kết có còn hoạt động hay không cũng như mất gói, chập chờn và trễ. BFD hoạt động ở echo mode, có nghĩa là neighbor không thực sự tham gia vào quá trình xử lý gói BFD; thay vào đó, nó chỉ đơn giản được gửi lại cho người gửi ban đầu. Điều này làm giảm đáng kể tác động lên CPU, vì neighbor không cần xử lý các gói tin. Để so sánh, neighbor tham gia vào việc xử lý các gói BFD và CPU của neighbor ở xa đang bận với một số quá trình xử lý khác, thì có thể có sự chậm trễ trong việc phản hồi gói BFD. Bằng cách loại bỏ điều này, ta có thể giảm thời gian phát hiện sự cố và cải thiện trải nghiệm người dùng. Không thể tắt BFD, nhưng bộ hẹn giờ có thể được điều chỉnh trong kết cấu SD-WAN để xác định và phản hồi bất hợp pháp cho các sự cố tiềm ẩn nhanh hơn. Một ưu điểm khác của việc sử dụng echo mode là gói tin gốc được gửi lại cho người gửi ban đầu và từ thông tin này, WAN Edge có một cái nhìn toàn cảnh về quá trình truyền tải.
Khi WAN Edge ban đầu được kết nối với mạng, trước tiên nó sẽ cố gắng kết nối với máy chủ Plug and Play (PNP) hoặc Máy chủ Zero Touch Provisioning (ZTP). Quá trình này sẽ trong đó router kết nối với orchestration plane và xác thực về tất cả các thành phần khác nhau trong mạng. Khi mặt phẳng điều khiển được thiết lập, bước cuối cùng là xây dựng kết nối mặt phẳng dữ liệu với tất cả các Cạnh WAN khác. Theo mặc định, một cấu trúc liên kết đầy đủ sẽ được xây dựng, mặc dù chính sách có thể được xây dựng để giới hạn các kết nối mặt phẳng dữ liệu và ảnh hưởng đến cấu trúc liên kết định tuyến. Cũng cần lưu ý rằng nếu không có PNP hoặc ZTP, có các tùy chọn khác có sẵn để khởi động cấu hình theo cách thủ công bằng CLI hoặc ổ USB.
Có hai phương pháp triển khai - vật lý và ảo. Các nền tảng vật lý được hỗ trợ là Cisco Integrated Services Router (ISR), Cisco Advanced Services Router (ASR) và Cisco vEdges. Nền tảng ảo được hỗ trợ trên các đám mây công cộng hoặc riêng tư. Các nền tảng ảo được hỗ trợ là Cisco Cloud Services Router (CSR1000v) chạy XE SD-WAN và Cisco vEdge Cloud. Tại thời điểm này, các đám mây công cộng được hỗ trợ là Amazon Web Services, Google Cloud và Microsoft Azure. Nền tảng ảo cũng có thể được triển khai trên đám mây riêng, có thể chạy trên VMware ESXi hoặc KVM hypervisor. Nếu trường hợp sử dụng yêu cầu, các nền tảng ảo cũng có thể được hỗ trợ tại chi nhánh thông qua Hệ thống Điện toán Mạng Doanh nghiệp của Cisco (ENCS) và Nền tảng Dịch vụ Đám mây của Cisco (CSP). Các nền tảng này mở ra cánh cửa để cung cấp chuỗi dịch vụ với VNF - bao gồm tường lửa và các thiết bị ảo của bên thứ ba
2.2. Management plane
Như đã đề cập trước đây, các thiết bị mạng trước đây sẽ được quản lý thông qua CLI một cách độc lập. Tuy nhiên, Cisco SD-WAN giới thiệu vManage, là một hệ thống quản lý mạng (NMS) cung cấp một giao diện duy nhất để quản lý giải pháp SD-WAN. vManage có thể được sử dụng để giới thiệu, cung cấp, tạo chính sách, quản lý phần mềm, khắc phục sự cố và giám sát. Mặc dù vManage có một bộ tính năng phong phú, phù hợp hơn là giao tiếp với vManage thông qua một API, vManage cũng hỗ trợ giao tiếp qua REST và NETCONF. Bằng cách có một API đầy đủ, người dùng có thể xây dựng và sử dụng các tập lệnh và giao diện với vManage theo cách tự động. API này cũng cho phép người dùng sử dụng các bộ công cụ hiện có và trong tương lai để tích hợp. vManage cung cấp một bảng điều khiển trực quan và dễ sử dụng. Khi lần đầu tiên đăng nhập vào vManage, ta sẽ được xem các số liệu thống kê phác thảo trạng thái hiện tại của mạng. vManage cũng có khả năng mở rộng cao, tùy thuộc vào nhu cầu của môi trường. Khi vManage được phân cụm, dự phòng có thể được cung cấp, với nhiều cụm được triển khai trong khu vực hoặc toàn cầu. Một cụm đơn được tạo thành từ ba hoặc nhiều NMS vManage nhưng phải luôn là một số lẻ để tránh tình huống chia rẽ. Một cụm vManage có thể quản lý tới 6.000 WAN Edge, với mỗi nút cụm xử lý 2.000 WAN Edge.
vManage có thể sử dụng nhiều nguồn xác thực gồm RADIUS, TACACS và SAML2.0 cho kết nối người dùng bên ngoài. Theo mặc định, vManage được triển khai ở chế độ đơn lẻ, tuy nhiên nếu được yêu cầu đòi hỏi hỗ trợ của mô hình nhà cung cấp dịch vụ, chế độ thuê nhiều người cũng được hỗ trợ.
Tất cả các cấu hình cho kết nối SD-WAN phải được thực hiện thông qua vManage để duy trì sự thống nhất và có khả năng mở rộng. Các cấu hình thiết bị được tích hợp trong vManage thông qua các Feature Template hoặc CLI. Các chính sách, kiểm soát những thứ như cấu trúc liên kết mạng, định tuyến, QoS và bảo mật, cũng được định cấu hình tại đây. Khi cần thiết, vManage cũng là nơi xử lý sự cố và giám sát hệ thống mạng. Quản trị viên mạng có thể mô phỏng luồng lưu lượng để hiển thị đường dẫn dữ liệu, khắc phục sự cố suy giảm mạng WAN và truy cập cấu hình và bảng định tuyến của tất cả các thiết bị. Điều này làm giảm đáng kể các hoạt động vì không còn cần phải đăng nhập vào từng WAN Edge riêng lẻ. Thay vào đó, việc khắc phục sự cố có thể được thực hiện thông qua một trang tổng quan.
Mỗi WAN Edge sẽ tạo một kết nối management plane duy nhất tới vManage. Nếu thiết bị có sẵn nhiều phương tiện truyền tải, chỉ một phương tiện sẽ được sử dụng để kết nối mặt phẳng quản lý với vManage. Nếu một cụm được đặt sẵn, thì kết nối điều khiển sẽ được cân bằng tải trên các nút cụm. Nếu một transport management plane được sử dụng gặp sự cố, thì WAN Edge sẽ nhanh chóng mất kết nối với vManage và mọi thay đổi được thực hiện sẽ được đẩy khi thiết bị kết nối lại.
Thành phần cuối cùng trong management plane là vAnalytics. vAnalytics cung cấp cho quản trị viên phân tích dự đoán để cung cấp thông tin chi tiết về mạng WAN. Ta có thể xem các ứng dụng mới có thể tương tác như thế nào trên mạng WAN của ta trước khi thực sự triển khai chúng, cho phép doanh nghiệp phân quyền kết nối. vAnalytics nhập dữ liệu từ mạng và sử dụng học máy để dự đoán xu hướng về dung lượng. vAnalytics yêu cầu cấp phép bổ sung và không được bật theo mặc định. Điều quan trọng cần lưu ý là vManage nên được sử dụng cho chế độ xem dữ liệu thô, thời gian thực của mạng, trong khi vAnalytics nên được sử dụng như một công cụ để xem xét hiệu suất lịch sử của mạng — cung cấp thông tin chi tiết về các điều chỉnh mạng trong tương lai.
2.3. Control plane
Thành phần của control plane là vSmart. vSmart là bộ não của cấu trúc mạng SD-WAN. vSmart chịu trách nhiệm thực hiện các chính sách control plane, chính sách dữ liệu tập trung, chuỗi dịch vụ và cấu trúc liên kết VPN. vSmart cũng xử lý bảo mật và mã hóa cấu trúc bằng cách cung cấp quản lý khóa.
Tách control plane ra khỏi data và management plane cho phép giải pháp đạt được quy mô lớn hơn trong khi đơn giản hóa hoạt động mạng. Nếu ta nhìn vào các giao thức định tuyến trạng thái liên kết truyền thống như OSPF và IS-IS, mỗi bộ định tuyến biết về trạng thái của toàn mạng và tính toán bảng định tuyến của riêng nó dựa trên thông tin cơ sở dữ liệu trạng thái liên kết. Điều này có thể rất tốn CPU và chỉ cung cấp một cái nhìn hạn chế, tự trị về mạng. Các giao thức định tuyến theo vectơ khoảng cách hoạt động hơi khác ở chỗ chúng chỉ biết những gì hàng xóm của chúng nói với chúng về phần còn lại của mạng. Đổi lại, họ có thể đưa ra các quyết định định tuyến không tối ưu vì họ không có bức tranh toàn cảnh về mạng. Với giải pháp Cisco SD-WAN, tất cả thông tin định tuyến đều được học bởi tất cả các vSmart. vSmarts sau đó tính toán bảng định tuyến và phân phối nó đến các Cạnh WAN. Vì vSmart có một bức tranh toàn cảnh về trạng thái mạng, ta có thể đơn giản hóa việc tính toán đường dẫn tốt nhất và giảm độ phức tạp của toàn bộ mạng trong khi vẫn tăng quy mô. Một WAN Edge có thể kết nối với tối đa ba vSmart cùng một lúc nhưng chỉ cần kết nối với một vSmart để nhận thông tin chính sách
Giao thức vSmart sử dụng để truyền đạt tất cả thông tin này được gọi là Overlay Management Protocol (OMP). Mặc dù OMP xử lý việc định tuyến, nhưng sẽ là một điều bất lợi nếu coi nó đơn giản là một giao thức định tuyến. Như vậy, OMP được sử dụng để quản lý và kiểm soát overlay ngoài việc định tuyến (quản lý khóa, cập nhật cấu hình, v.v.), OMP chạy giữa vSmart và WAN Edges bên trong một đường hầm bảo mật. Khi một chính sách được xây dựng thông qua bình diện quản lý, chính sách này sẽ được phân phối tới vSmart qua NETCONF và vSmart sẽ phân phối chính sách này thông qua bản cập nhật OMP cho WAN Edges.
Hình 2.2: Tổng quan về Control Plane and Data Plane của Cisco
Trong giải pháp Cisco SD-WAN, OMP là một giao thức mới, được giới thiệu như là trái tim của mạng ảo trung chuyển overlay. OMP là một giao thức chạy bên trong các đường hầm TLS hoặc DTLS giữa router vEdge và vSmart controller. OMP là một giao thức điều khiển được dùng để trao đổi các thông tin định tuyến, chính sách và các thông tin quản trị giữa vSmart controller và vEdge router.
Mặc định, giao thức OMP được bật lên, vì vậy ta không cần cấu hình cho phép giao thức này trên vEdge và vSmart. Khi các thiết bị đã xác thực với nhau xong, các đường hầm DTLS và TLS sẽ được tạo ra, ngay sau đó giao thức OMP sẽ thiết lập các quan hệ láng giềng giữa hai thiết bị và trao đổi các thông tin định tuyến.
OMP quảng bá ba kiểu route sau: OMP route, TLOC route và Service route.
OMP tự động thực hiện redistribute các kiểu route sau: Connected, Static, OSPF interarea và OSPF intra-area.
Với BGP và OSPF external routes, chúng ta cần cấu hình tường mình redistribution và trong OMP
vSmart hoạt động tương tự như định tuyến BGP trong iBGP. VSmart nhận thông tin định tuyến từ mỗi WAN Edge và có thể áp dụng các chính sách trước khi quảng bá thông tin này trở lại các WAN Edge khác. vSmart cũng là nơi các cấu trúc liên kết khác nhau được xác định trên mỗi VPN. Chính sách kiểm soát được xác định trong management plane, management plane sau đó sẽ phân phối chính sách và vSmart áp dụng chính sách cho kết cấu. Trong ví dụ này, việc sửa đổi cấu trúc liên kết đạt được bằng cách thao tác với những tuyến nào được phân phối và cách mặt phẳng dữ liệu được xây dựng giữa các WAN Edge.
Control plane cũng chịu trách nhiệm mã hóa gói tin. Trong các công nghệ WAN cũ hơn, việc bảo mật mạng đòi hỏi một lượng công suất xử lý đáng kể, vì mỗi thiết bị sẽ tính toán các key mã hóa của riêng mình và phân phối các key này cho các đồng nghiệp bằng cách sử dụng một giao thức như ISAKMP / IKE. Trong Cisco SD-WAN, trao đổi và phân phối key đã được chuyển đến vSmart. Mỗi WAN Edge sẽ tính toán các khóa riêng của mình trên mỗi lần truyền tải và phân phối các khóa này tới vSmart. Sau đó vSmart sẽ phân phối chúng đến từng WAN Edge, tùy thuộc vào chính sách đã xác định. Ngoài ra, khi key hết hạn thì vSmart sẽ tính toán và phản hồi lại key.
Nếu có tình huống trong đó control connection đã được thiết lập nhưng do sự cố, bị mất, thì kết nối data plane sẽ vẫn tiếp tục hoạt động. Theo mặc định, WAN Edge sẽ tiếp tục chuyển tiếp lưu lượng trong data plane trong 12 giờ, sử dụng trạng thái cuối cùng trong bảng định tuyến. Khi control connection được thiết lập lại, WAN Edges sẽ được cập nhật với bất kỳ thay đổi chính sách nào được thực hiện trong thời gian ngừng hoạt động. Khi kết nối điều khiển được khôi phục, bảng route sẽ được xóa và bảng route mới nhận được sẽ được cài đặt. Điều này sẽ gây ra sự cố là không forward packet trong một khoảng thời gian.
2.4. Orchestration plane
Thành phần cuối cùng và có lẽ là quan trọng nhất trong giải pháp Cisco SD-WAN là vBond. Thành phần này rất quan trọng vì nó cung cấp xác thực ban đầu cho sự tham gia trên fabric và hoạt động như chất keo để phát hiện và kết hợp tất cả các thành phần khác lại với nhau. Nhiều máy chủ vBond có thể được triển khai để đạt được tính sẵn sàng cao. Mặc dù WAN Edge chỉ có thể trỏ tới một vBond duy nhất. Nên để WAN Edge sử dụng DNS có bản ghi dữ liệu tất cả IP vBond. Khi WAN Edge cố gắng giải quyết DNS cho vBond thì nó sẽ nhận từng IP và làm tuần tự với từng IP cho đến khi control connection thành công.
Khi một WAN Edge lần đầu tham gia overlay, điều duy nhất nó biết là vBond. Nó nhận thông tin này thông qua 1 trong 2 phương pháp sau:
· Automated Device Provisioning
· Manual configuration
Automated Device Provisioning
Automated device provisioning cho các thiết bị vEdge được gọi là Zero-Touch Provisioning (ZTP) và cho các thiết bị IOS XE SDWAN thì được gọi là Plug and Play (PnP). Quá trình này mà bắt khi router WAN Edge bật nguồn lần đầu tiên. Router vEdge cố gắng kết nối vơi máy chủ ZTP với hostname ztp.viptela.com nơi đó nó sẽ lấy thông tin của vBond. Đối với Router SD-WAN IOS XE, nó cố gắng kết nối với máy chủ PnP bằng tên máy chủ devicehelper.cisco.com. Sau khi thu được thông tin về vBond orchestrator, sau đó nó có thể tạo kết nối với bộ điều khiển vManage và vSmart để có được cấu hình đầy đủ và tham gia vào mạng overlay.
Hình 2.3: Automated device provisioning cho các thiết bị WAN Edge
Có một số yêu cầu đối với việc Automated device provisioning
- Bộ định tuyến WAN Edge sẽ có thể lấy địa chỉ IP thông qua DHCP hoặc sử dụng IP Tự động (chỉ vEdge) để tìm ra IP.
- Các gateway router WAN Edge trong mạng phải có khả năng truy cập máy chủ DNS công cộng và có thể truy cập ztp.viptela.com đối với thiết bị vEdge và devicehelper.cisco.com đối với thiết bị IOS XE SD-WAN. Máy chủ ZTP có thể được triển khai tại chỗ nhưng máy chủ PnP yêu cầu truy cập Internet.
- Thiết bị SD-WAN cần được nhập chính xác vào cổng PnP tại https://software.cisco.com và được liên kết với cấu hình bộ điều khiển xác định tên máy chủ vBond hoặc thông tin địa chỉ IP.
- Trong vMange, phải có một template cấu hình thiết bị cho router WAN Edge. IP hệ thống và ID site cần được bao gồm trong template thiết bị này để quá trình hoạt động. Quá trình ZTP hoặc PnP không thể thành công nếu không có điều này
Manual configuration
Với phương pháp cấu hình thủ công thì cấu hình kết nối và thông tin nhận dạng tối thiểu cùng với địa chỉ IP hoặc tên máy chủ trỏ về vBond. Bộ định tuyến WAN Edge cố gắng kết nối với bộ điều phối vBond và tìm ra các bộ điều khiển mạng khác từ đó. Để ta kích hoạt thành công bộ định tuyến WAN Edge, có một số thứ cần được định cấu hình trên bộ định tuyến WAN Edge:
- Cấu hình địa chỉ IP và địa chỉ gateway trên interface kết nối với transport network hoặc là cấu hình DHCP để có được IP và địa chỉ gateway. WAN Edge sẽ có thể kết nối vBond thông qua mạng.
- Cấu hình địa chỉ IP vBond hoặc tên máy chủ. Nếu ta cấu hình hostname, bộ định tuyến WAN Edge cần có khả năng giải quyết nó. Ta thực hiện việc này bằng cách cấu hình địa chỉ máy chủ DNS hợp lệ hoặc ánh xạ địa chỉ IP tên máy chủ tĩnh trong VPN 0.
- Cấu hình organization name, địa chỉ IP hệ thống và ID site.
WAN Edge sẽ cố gắng tạo kết nối tạm thời với vBond qua mỗi transport. Khi kết nối control plane bật và đến vSmart và vManage, kết nối với vBond sẽ bị ngắt. Tại thời điểm WAN Edge kết nối với vBond, nó sẽ trải qua một quá trình xác thực. Mỗi thành phần xác thực lẫn nhau và nếu thành công, một đường hầm bảo mật lớp truyền tải dữ liệu (DTLS) được thiết lập. Sau đó vBond sẽ phân phối thông tin kết nối cho vSmart và vManage tới WAN Edge. Đây là lý do tại sao vBond về cơ bản được coi là chất kết dính của mạng, vì nó cho tất cả các thành phần biết về nhau.
Một chức năng còn lại mà vBond cung cấp là network address translation (NAT).Theo mặc định, vBond hoạt động như một STUN server (RFC 5389). WAN Edge hoạt động như một STUN client. Điều này có nghĩa là vBond có thể phát hiện khi nào WAN Edges nằm sau một thiết bị NAT như firewall. Khi WAN Edge thiết lập đường hầm DTLS của nó, interface IP mà nó biết về sẽ được ghi vào IP header bên ngoài và được ghi chú trong phần payload của message. Khi vBond nhận được thông tin này, nó sẽ thực hiện thao tác XOR so sánh hai giá trị. Nếu hai giá trị khác nhau, có thể suy ra rằng NAT đang ở trong đường truyền của WAN Edge (vì IP header bên ngoài đã được thay đổi thành địa chỉ IP NAT và không còn khớp với địa chỉ IP được ghi chú trong phần tải của gói). vBond sẽ truyền thông tin này trở lại WAN Edge và WAN Edge có thể truyền thông tin này đến phần còn lại của các thành phần overlay - cuối cùng cho phép thiết lập kết nối mặt phẳng dữ liệu thông qua thiết bị NAT.
Hình 2.4: Phương pháp phát hiện NAT STUN