SD-WAN三面方案设计流程（企业侧）

最新推荐文章于 2023-11-28 17:45:16 发布

没有合适的

最新推荐文章于 2023-11-28 17:45:16 发布

阅读量1.4k

点赞数

分类专栏： SD-WAN

本文链接：https://blog.csdn.net/fdasasfasfdasf/article/details/89294954

版权

SD-WAN 专栏收录该内容

5 篇文章 7 订阅

订阅专栏

1管理面

1.1 全景

在这里插入图片描述

1.2 vCPE开局方式

在这里插入图片描述
vCPE开局由网络管理员一个配置（不需要施工人员）：
1、网络管理员根据现有服务器组网情况，配置开局配置(ESN和设备名称和Underlay入网配置，并导出打包)；
2、网络管理员通过内部服务器或虚拟机管理平台登录到服务器；
3、在服务器上从控制器提供的FTP资源中心下载开局资源，包括系统镜像和开局配置；
4、创建虚拟机并指定系统镜像和挂载的开局配置包；
5、虚拟机成功创建后，自动根据开局配置包，配置设备ESN和设备名称和Underlay配置，并根据配置尝试连接到控制器；
6、控制器授权成功后，下发Overlay配置，CPE根据配置接入HUB组建Overlay网络。

1.3 CPE部署配置

操作用途备注1、创建虚拟机及资源搭建vCPE或Controller执行环境创建时指定镜像和ZTP配置包2、配置vNIC接口虚拟网络接入物理网络由VM平台提供引导配置
配置vNIC接口
在这里插入图片描述
操作流程：
1、部署人员授权进入物理机虚拟化平台，为新创建的虚拟机依次绑定管理口和多组业务口，默认第一个绑定的口为管理口（提供指导手册）；
2、运行VM虚拟机，串口进入执行初检脚本（检查系统信息（授权状态、资源状态、配置状态）、软件版本、管理口IP、关键进程状态），并确保初检成功。

1.4 vCPE开局配置

在这里插入图片描述
配置要求：
1、支持配置静态/动态IP地址，包括WAN侧和LAN侧；
2、支持配置网络接入带宽和接入类型；
3、支持配置Underlay路由协议，包括WAN侧（根据运营商需求，如OSPF和BGP，全局地址族）和LAN侧（根据实际组网，如LAN侧路由双归/负载）；
4、支持Underlay连接性检查，如Ping controller成功。

1.5 vCPE Overlay配置(略)

1.5.1 创建通道

在这里插入图片描述
配置SPOKE与HUB的Overlay网络通道，如GRE/mGRE/IPSeC/SSL等，属于基础Overlay骨干网络的一部分，在其上运行组网控制协议，如OSPF/BGP，同时承载数据传输。

1.5.2 配置路由

在这里插入图片描述

1.5.3 配置策略

在这里插入图片描述
下发应用转发策略，包括线路质量要求、转发方式以及WAN优化策略。

2 控制面

2.1 隧道接入HUB

[Hub] interface tunnel 0/0/0
[Hub-Tunnel0/0/0] tunnel-protocol gre p2mp
[Hub-Tunnel0/0/0] source GigabitEthernet 1/0/0
[Hub-Tunnel0/0/0] nhrp entry multicast dynamic
[Hub-Tunnel0/0/0] quit
[Spoke1] interface tunnel 0/0/0
[Spoke1-Tunnel0/0/0] tunnel-protocol gre p2mp
[Spoke1-Tunnel0/0/0] source GigabitEthernet 1/0/0
[Spoke1-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register
[Spoke1-Tunnel0/0/0] quit

在这里插入图片描述

Controller 下发静态mGRE接口配置，并在不同的接口上配置NHRP Client或Server，绑定mGRE接口到某物理口（保持与实际线路对应）， Client配置尽量保持同运营商建立隧道，但支持跨运营商建立。

HUB需要满足支持公网访问的IP地址（或Static NAT）；SPOKE CPE需要满足支持不同TUN关联相同的Source（后续扩展），但不要求绑定多个NHRP Client（Secondary IP）。

2.2 建立控制隧道

1、NHRP注册
在这里插入图片描述
由SPOKE CPE发送NHRP Register报文向HUB CPE注册，注册报文将触发HUB & SPOKE CPE 形成mGRE p2mp多播域
备注：NHRP报文仍然走静态mGRE接口，加GRE封装出，数据通过F-Stack经慢转发送出，网络中涉及防火墙等NAT设备，需要考虑NAT和Internet安全性问题。
2、mGRE p2mp域关联NHRP域
在这里插入图片描述
mGRE特性与普通GRE特性相同，在逻辑上可以理解为一个“接口组”或“聚合口”，通过关联NHRP动态形成多个p2p域，在转发特性上支持广播和多播特性。
3、NAT穿越

大多数控制协议不具备NAT穿越能力，在控制报文经过NAT设备时，SIP/SPORT将发生变化，导致控制协议无法协商成功。对于这种情况，一种是要求NAT设备支持Static NAT；一种是要求协议具备NAT穿越能力，为满足通用NAT转发方式，需要数据流支持L4特性，如加UDP封装，并且协议自身能成功识别NAT组网（如协议封装中携带私网IP），并成功建联。

备注1：通用UDP穿越由外层隧道保障。
备注2：控制隧道建立后，由NHRP保持固定隧道关系，控制隧道可复用作为业务隧道。

2.3 运行路由协议

Hub] bgp 100
[Hub-bgp] aggregate-address 10.0.0.0/8   /*发布静态聚合路由[可选]*/
[Hub-bgp] peer 10.1.1.1 as-number 60036  /*LAN侧BGP*/
[Hub-bgp] peer 172.16.1.2 as-number 100  /*Overlay侧BGP TUN0*/
[Hub-bgp] peer 172.16.1.2 reflect-client /*IBGP路由反射*/
[Hub-bgp] peer 172.16.1.2 nexthop-self   /*修改下一跳指向HUB*/
[Hub-bgp] peer 172.16.2.2 as-number 100  /*Overlay侧BGP TUN1*/
[Hub-bgp] peer 172.16.2.2 reflect-client /*IBGP路由反射*/
[Hub-bgp] peer 172.16.2.2 nexthop-self   /*修改下一跳指向HUB*/
[Hub-bgp] quit
[Spoke1] bgp 100
[Spoke1-bgp] peer 10.2.1.2 as-number 60036  /*LAN侧BGP*/
[Spoke1-bgp] peer 172.16.1.1 as-number 100 /*Overlay侧BGP TUN0*/
[Spoke1-bgp] peer 172.16.2.1 as-number 100 /*Overlay侧BGP TUN1*/
[Spoke1-bgp] quit

在这里插入图片描述

2.4 生成Overlay路由

在这里插入图片描述

2.5 SaaS及应用路由

用户需求：SaaS优化
满足某些流量通过固定线路进入国际出口。
在这里插入图片描述
现HUB-SPOKE组网中，通过Overlay路由打通私网路由，如果将某类应用路由,如Office365引入Overlay网络，那么流量仍然需要通过HUB才能访问。
某些国际应用，将通过国际线路进行数据访问，国内如将北京做为HUB（路由国际出口），将无法达到快速进入国际线路，满足最快访问的需求。此时要求将某些特定流量将另一个HUB（如香港），作为国际出口。
精细导流
在这里插入图片描述
某些细流量导流通过应用路由方式进行，实现方式包括：1、传统策略路由方式（优点：技术成熟，稳定性好，缺点：基于ACL五元组形式，扩展性不够）；2、流策略应用模板(优点：满足所有流分类及策略应用；缺点：新技术，新挑战)。

3 转发面

3.1 全景

在这里插入图片描述

3.1 业务流

3.1.1 Overlay LAN侧BGP流量

在这里插入图片描述

流量类型： BGP—LAN—BGP
通信地址： IP1—IP2
内部处理：
入： LAN—Flow—DPI—Filter—Qos Class—Trap—F-Stack—Socket—BGP
出：BGP—Socket—F-Stack—Flow—DPI—Qos Class—Forwarding—[Qos] —LAN

3.1.2 Overlay WAN侧BGP流量

在这里插入图片描述

流量类型： BGP—Overlay—BGP
通信地址： Tun0—Tun0
内部处理：
入：WAN—Flow—DPI—Filter—Qos Class—IP Local—IPSec—mGre—Flow—DPI—Qos Class —Reforwarding—Trap—F-Stack—Socket—BGP
出：BGP—Soket—F-Stack—Flow—DPI—Qos Class—mGre—[IPSeC]—Flow—DPI—Qos Class —Reforwarding—Qos

3.1.3 Overlay WAN侧NHRP流量

在这里插入图片描述

流量类型： NHRP—Overlay—NHRP
通信地址： Raw Protocol—Raw Protocol
内部处理：
入：WAN—Flow—DPI—Filter—Qos Class—IP Local—IPSeC—mGre—[Flow—DPI—Qos Class] —F-Stack—NHRP
出：NHRP—F-Stack—Flow—DPI—Qos Class—mGre—[IPSeC] —Reforwarding —Qos

3.1.4 跨Overlay通信的LAN侧互访流量

在这里插入图片描述
流量类型： Host1—LAN—Overlay—LAN—Host2
通信地址： 10.101.10.20—10.101.20.20
内部处理：
入：WAN—Flow—DPI—[Filter]—Qos Class—IP Local—IPSeC—mGre—Flow—DPI—Qos Class—Reforwarding—[Qos] —LAN—Host2
出：Host1—LAN—Flow—DPI—Filter—Qos Class—Forwarding—mGre—[IPSeC] —Flow—DPI—Qos Class —Reforwarding —Qos

3.1.5 Overlay网关(HUB)流量

在这里插入图片描述
流量类型： Host3—LAN—Overlay1—Overlay2—LAN—Host2
通信地址： 10.101.30.20—10.101.10.20
内部处理：
入出：WAN—Flow—DPI—[Filter]—Qos Class—IP Local—IPSeC—mGre—Flow—DPI—Qos Class—Reforwarding—mGre—IPSeC—Flow—DPI—Qos Class —Reforwarding—Qos-WAN

3.1.6 跨Overlay通信的SaaS流量

在这里插入图片描述

流量类型： Host2—LAN—Overlay—WAN—Server
通信地址： 10.101.30.20—10.101.10.20
内部处理：
出：Host2—LAN—Flow—DPI—Filter—Qos Class—Application Policy Routing—mGre—[IPSeC] —[Flow—DPI—Qos Class —Reforwarding—Qos
入：WAN—Flow—DPI—[Filter]—Qos Class—IP Local—IPSeC—mGre—Flow—DPI—Qos Class—Reforwarding—[Qos] —LAN—Host2