编辑推荐: |
本文主要介绍了SD-WAN的架构模型、业务路径及路由模型,希望对您有帮助。 本文来自于CSDN,由火龙果软件Linda编辑推荐。 |
|
前言
SD-WAN定义(百科)
SD-WAN定义(自我理解)
一种使用软件定义技术保障WAN侧的通信质量,使用Overlay技术打通企业私有网络,以提速降成本为目标。实现重点包括可视化运维、轻部署、易扩展,多以虚拟化、服务化【组件化】对外体现。
一、架构模型
管理面
管理面定义:用户视角来管理和控制SD-WAN网络。
根据定义,管理面流量分为两个部分:监控管理和业务控制(按理划分到控制面较为合适,但业务控制器用户存在一定的参与,并且与EMS处于相同层次)。
监控管理:负责网络监测和控制,监测包括流量统计、计费管理、线路状态、设备使用率、日志等;控制包括入网授权、设备升级等。分为在线监控和离线控制,前者为设备正常运维部分,通常使用NetConf(tls)保护数据安全性;后者为设备开局运维部分,通常使用加密邮件或USB开局。
业务控制:负责网络业务支撑,如路由集中分发、NAT穿越辅助、类NHRP查询服务、线路切换等,与具体业务需求相关。
管理中心更多从用户视角抽象网络,技术实现上转化为网管或控制器的方式,目前网管基本可以代表用户视角,但不能完全表达,部分组网业务仍需要用户配合。
第三方CPE由第三方网管负责,需求上可能存在轻度逻辑关联,故第三方网管可能开放部分API接入管理中心。
控制面
控制面定义:将用户视角转换为技术视角,并保障业务面通畅的控制管道。与传统的MPU/SPU/LPU类似,SD-WAN控制面将传统MPU抽象,可上浮集中控制、可下沉分散控制、或混合控制。
集中控制: 业务控制器作为主控单元,各CPE通过主控单元交互控制信息,如路由由控制器收集计算后分发;如CPE查询GIP及隧道、私网映射关系等。类SDN厂商习惯这种组网方式,原因是CPE和控制器通信协议可自定义,灵活扩展各类需求,控制器可采用通用服务器模型,实现方式多样,同时CPE仅需要侧重业务面的功能,更轻量级。
分散控制:各CPE自协商的方式来达到全网控制的目地,属于传统组网方式(不同点在于属于Overlay组网,部分控制协议需要考虑时延和带宽的限制)。根据企业组网的特点,通常采用中心分层组网,各站点和中心进行控制面协商,包括路由或证书。
混合控制:根据各公司技术情况,部分控制业务采用集中控制模型,部分控制业务采用分散控制模型。
业务面
业务面定义:广义:支撑用户组网和办公的网络设备、线路可以称为业务面;狭义:转发面组网。SD-WAN业务面一般不涉控制器和网管,由若干CPE组成Overlay网络,包括LAN侧组网。
业务面组网采用Overlay方式组网,CPE间通过VPN进行互联,Fixed VPN属于长连接VPN,承载控制面业务和业务面(数据面)业务;Temporary
VPN属于临时连接VPN,流量触发创建,无控制业务,当然此临时VPN连接受限于组网方式,包括转发策略、NAT等。
业务面由于路径或管理原因,存在多HUB组网,HUB间可采用多级层次组网或扁平组网。相同HUB域业务流量在本HUB内转发,跨HUB域流量经多个HUB中转,需要保证HUB在性能上和带宽上需求。
二、业务路径
流量路径
整体方案采用DVPN+智能选路组网。
DVPN:由流量触发动态建立VPN隧道,按华为采用DSVPN方案,这里去除了S(智能),目地是建立VPN不需要智能(比如是否在NAT之后,是否传输质量能满足需求),由流量触发尝试创建即可。而S(智能)部分体现在智能选路上。
智能选路:而非智能寻路,由转发面在流量转发时和选择一条符合用户应用的转发路径,而选择的输入依赖于应用识别+质量检测。智能选路的前提至少是存在多条路径达到通信条件,如路由可达,VPN就绪。
更高级的智能是根据全网质量数据规划传输路径,这在SD-WAN服务商中心侧需要重点考虑的部分,而企业自建侧更多的考虑通信站点间多条路径下的选路方式,做得好的,可以将中心HUB一起纳入智能选路方案中。
上述流量举例将中心HUB作为一条可选路径的选路方案,CPE1到CPE2初始流量经HUB中转,后续流量经CPE1学习到CPE2全局信息后,动态创建VPN,如果此VPN满足某应用101的传输质量,则流量经CPE1-CPE2
VPN传输;不满足某应用的201流量则仍是经HUB中转。此方式在路由设计时需要将HUB和CPE2纳入负载路由范畴,所以控制面保持多条路径的可负载性和可达性,而由转发面由智能选路决策具体出口和下一跳。
转发路径
LAN侧
LAN流量经L2处理后入L3处理流程,如果是本机报文,则经协议栈上交到APP;如果是转发报文,流量经转发选路后可能回到LAN侧,或者经VPN封装后走WAN侧出去。
WAN侧
WAN侧流量为VPN流量,经L2处理后,上交到本机进行VPN解封装,然后再决定是否是本机(如Overlay的OSPF流量)或者需要转发,转发的流量可能回到LAN侧(中心站侧网络),或者再次经VPN封装后传输到其它CPE。
应用侧
OSPF邻居为Overlay侧的邻居,则在转发后交VPN封装出,否则转发后由本地LAN侧出。
三、路由模型
路由协议
目地:打通Underlay和Overlay路由,指导报文转发。
Underlay层受限于企业入网方式,一般与运营商需要打通路由,可以使用动态路由协议或静态路由方式;或者与企业内部核心交换机打通路由,此方式CPE下挂到企业LAN侧,“搭桥”入网。
Overlay层根据企业组网规模或网络拓扑选择不同的路由协议,一般以BGP和OSPF为主,路由协议覆盖LAN侧和Overlay侧(TUN)口。企业自建一般为以中心HUB辐射的星型组网,转发模式有Full
Mesh方式和HUB集中转发模式。如果存在私网隔离需求,而路由协议和转发面需要支持VRF,但企业内多为L3组网,较少有L2组网需求。
路由表项
TUN或VPN隧道一般根据静态配置绑定会话,或者通过动态方式获取私公网映射关系建立动态会话,此过程属于TUN驱动在封装私网数据后的处理,参照华为方案,可采用NHRP方式或中心查询方式。
四、参考文档
1、SD-WAN生态技术报告;
2、华为SD-WAN配置手册;
3、华三AD-WAN应用案例。
|