SD-WAN控制器和广域网边缘路由器

控制器与广域边缘路由器的控制连接：

每个 vSmart 核心(多 8 个)和每个 vBond 编排器之间的永久性 DTLS 连接

每个 vManage 核心(多 8 个)和每个 vBond Orchestrator 之间的永久 DTLS 连接

每个 vManage 和每个 vSmart 控制器之间的永久性 TLS 或 DTLS 连接

vSmart 控制器之间的全状 TLS 或 DTLS 连接(每对都有 1 个连接)

vManage 集群实例之间的全状 TLS 或 DTLS 连接(每对都有 1 个连接)*

每个广域边缘和一个 vBond 之间的临时 DTLS 连接-每个传输一个连接

每个 WAN Edge 和一个 vManage 实例之间的永久性 TLS 或 DTLS 连接-只在传输上选择一个连接

默认情况下，每一个 WAN Edge 和两个 v??Smart 控制器之间的永久性 TLS 或 DTLS 连接-通过每个传输连接到每个控制器

对于 vManage 例如，一些集群实例是专门用于统计而不处理的 WAN Edge 在没有隧道接口的情况下，可以配置设备实例，因此不会为这些实例建立控制连接。

对于 vSmart 连接数取决于WAN的控制器 边缘路由器上的max-control-conections和max-omp-sessions配置。

授权列表模型

所有广域边缘设备和控制器都使用授权列表模型进行验证，设备必须在建立连接和允许访问络之前进行授权。

vManage 分发了两个授权列表，一个用于控制器，另一个用于控制器 WAN 边缘设备。

授权控制器列表：授权控制器列表是管理员手动将控制器添加到vmanage中 用户界面的结果。这个列表可以从 vManage 分发到控制器，然后从 vBond 分发到 vSmart 控制器。

WAN Edge 设备授权序列号列表：即插即用连接门户修改和检索WAN Edge 设备的数字签名授权序列号列表。该列表可由具有有效CCO账户和有权访问SD-WAN覆盖的正确智能账户和虚拟账户的用户执行 vManage 手动检索或自动同步。上传或同步文件 vManage 后，由 vManage 分发到所有控制器。

管理员可以通过广域边缘授权序列号列表来决定和配置每个广域边缘路由器的身份信任。选项如下：

有效性：路由器被授权 SD-WAN 完全运行在络中。

无效:路由器不在 SD-WAN 该网络获得授权，因此没有与控制器形成控制连接。

分段：路由器可以验证并与控制器连接，但是 OMP 不会向 WAN 边缘路由器发送任何路由、数据策略或 TLOC，因此，流量不会转发。这种状态允许您添加允许路由器的生产 SD-WAN 配置和测试路由器之前的络。

当 WAN Edge 加载或同步授权序列号列表 vManage 可选择验证设备。若在导入列表前选择复选框验证设备，则默认情况下所有设备均有效。如果不选择要验证的复选框，默认情况下所有设备都无效。您必须将每个设备配置为有效，然后路由器可以与控制器连接并添加 SD-WAN 网络。