SD-WAN三面方案设计流程(企业侧)
1管理面
1.1 全景
1.2 vCPE开局方式
vCPE开局由网络管理员一个配置(不需要施工人员):
1、网络管理员根据现有服务器组网情况,配置开局配置(ESN和设备名称和Underlay入网配置,并导出打包);
2、 网络管理员通过内部服务器或虚拟机管理平台登录到服务器;
3、 在服务器上从控制器提供的FTP资源中心下载开局资源,包括系统镜像和开局配置;
4、 创建虚拟机并指定系统镜像和挂载的开局配置包;
5、 虚拟机成功创建后,自动根据开局配置包,配置设备ESN和设备名称和Underlay配置,并根据配置尝试连接到控制器;
6、 控制器授权成功后,下发Overlay配置,CPE根据配置接入HUB组建Overlay网络。
1.3 CPE部署配置
配置vNIC接口
操作流程:
1、 部署人员授权进入物理机虚拟化平台,为新创建的虚拟机依次绑定管理口和多组业务口,默认第一个绑定的口为管理口(提供指导手册);
2、 运行VM虚拟机,串口进入执行初检脚本(检查系统信息(授权状态、资源状态、配置状态)、软件版本、管理口IP、关键进程状态),并确保初检成功。
1.4 vCPE开局配置
配置要求:
1、 支持配置静态/动态IP地址,包括WAN侧和LAN侧;
2、 支持配置网络接入带宽和接入类型;
3、 支持配置Underlay路由协议,包括WAN侧(根据运营商需求,如OSPF和BGP,全局地址族)和LAN侧(根据实际组网,如LAN侧路由双归/负载);
4、 支持Underlay连接性检查,如Ping controller成功。
1.5 vCPE Overlay配置(略)
1.5.1 创建通道
配置SPOKE与HUB的Overlay网络通道,如GRE/mGRE/IPSeC/SSL等,属于基础Overlay骨干网络的一部分,在其上运行组网控制协议,如OSPF/BGP,同时承载数据传输。
1.5.2 配置路由
1.5.3 配置策略
下发应用转发策略,包括线路质量要求、转发方式以及WAN优化策略。
2 控制面
2.1 隧道接入HUB
[Hub] interface tunnel 0/0/0
[Hub-Tunnel0/0/0] tunnel-protocol gre p2mp
[Hub-Tunnel0/0/0] source GigabitEthernet 1/0/0
[Hub-Tunnel0/0/0] nhrp entry multicast dynamic
[Hub-Tunnel0/0/0] quit
[Spoke1] interface tunnel 0/0/0
[Spoke1-Tunnel0/0/0] tunnel-protocol gre p2mp
[Spoke1-Tunnel0/0/0] source GigabitEthernet 1/0/0
[Spoke1-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register
[Spoke1-Tunnel0/0/0] quit
Controller 下发静态mGRE接口配置,并在不同的接口上配置NHRP Client或Server,绑定mGRE接口到某物理口(保持与实际线路对应), Client配置尽量保持同运营商建立隧道,但支持跨运营商建立。
HUB需要满足支持公网访问的IP地址(或Static NAT);SPOKE CPE需要满足支持不同TUN关联相同的Source(后续扩展),但不要求绑定多个NHRP Client(Secondary IP)。
2.2 建立控制隧道
1、NHRP注册
由SPOKE CPE发送NHRP Register报文向HUB CPE注册,注册报文将触发HUB & SPOKE CPE 形成mGRE p2mp多播域
备注:NHRP报文仍然走静态mGRE接口,加GRE封装出,数据通过F-Stack经慢转发送出,网络中涉及防火墙等NAT设备,需要考虑NAT和Internet安全性问题。
2、mGRE p2mp域关联NHRP域
mGRE特性与普通GRE特性相同,在逻辑上可以理解为一个“接口组”或“聚合口”,通过关联NHRP动态形成多个p2p域,在转发特性上支持广播和多播特性。
3、NAT穿越
大多数控制协议不具备NAT穿越能力,在控制报文经过NAT设备时,SIP/SPORT将发生变化,导致控制协议无法协商成功。对于这种情况,一种是要求NAT设备支持Static NAT;一种是要求协议具备NAT穿越能力,为满足通用NAT转发方式,需要数据流支持L4特性,如加UDP封装,并且协议自身能成功识别NAT组网(如协议封装中携带私网IP),并成功建联。
备注1:通用UDP穿越由外层隧道保障。
备注2:控制隧道建立后,由NHRP保持固定隧道关系,控制隧道可复用作为业务隧道。
2.3 运行路由协议
Hub] bgp 100
[Hub-bgp] aggregate-address 10.0.0.0/8 /*发布静态聚合路由[可选]*/
[Hub-bgp] peer 10.1.1.1 as-number 60036 /*LAN侧BGP*/
[Hub-bgp] peer 172.16.1.2 as-number 100 /*Overlay侧BGP TUN0*/
[Hub-bgp] peer 172.16.1.2 reflect-client /*IBGP路由反射*/
[Hub-bgp] peer 172.16.1.2 nexthop-self /*修改下一跳指向HUB*/
[Hub-bgp] peer 172.16.2.2 as-number 100 /*Overlay侧BGP TUN1*/
[Hub-bgp] peer 172.16.2.2 reflect-client /*IBGP路由反射*/
[Hub-bgp] peer 172.16.2.2 nexthop-self /*修改下一跳指向HUB*/
[Hub-bgp] quit
[Spoke1] bgp 100
[Spoke1-bgp] peer 10.2.1.2 as-number 60036 /*LAN侧BGP*/
[Spoke1-bgp] peer 172.16.1.1 as-number 100 /*Overlay侧BGP TUN0*/
[Spoke1-bgp] peer 172.16.2.1 as-number 100 /*Overlay侧BGP TUN1*/
[Spoke1-bgp] quit
2.4 生成Overlay路由
2.5 SaaS及应用路由
用户需求:SaaS优化
满足某些流量通过固定线路进入国际出口。
现HUB-SPOKE组网中,通过Overlay路由打通私网路由,如果将某类应用路由,如Office365引入Overlay网络,那么流量仍然需要通过HUB才能访问。
某些国际应用,将通过国际线路进行数据访问,国内如将北京做为HUB(路由国际出口),将无法达到快速进入国际线路,满足最快访问的需求。此时要求将某些特定流量将另一个HUB(如香港),作为国际出口。
精细导流
某些细流量导流通过应用路由方式进行,实现方式包括:1、传统策略路由方式(优点:技术成熟,稳定性好,缺点:基于ACL五元组形式,扩展性不够);2、流策略应用模板(优点:满足所有流分类及策略应用;缺点:新技术,新挑战)。
3 转发面
3.1 全景
3.1 业务流
3.1.1 Overlay LAN侧BGP流量
流量类型: BGP—LAN—BGP
通信地址: IP1—IP2
内部处理:
入: LAN—Flow—DPI—Filter—Qos Class—Trap—F-Stack—Socket—BGP
出:BGP—Socket—F-Stack—Flow—DPI—Qos Class—Forwarding—[Qos] —LAN
3.1.2 Overlay WAN侧BGP流量
流量类型: BGP—Overlay—BGP
通信地址: Tun0—Tun0
内部处理:
入:WAN—Flow—DPI—Filter—Qos Class—IP Local—IPSec—mGre—Flow—DPI—Qos Class —Reforwarding—Trap—F-Stack—Socket—BGP
出:BGP—Soket—F-Stack—Flow—DPI—Qos Class—mGre—[IPSeC]—Flow—DPI—Qos Class —Reforwarding—Qos
3.1.3 Overlay WAN侧NHRP流量
流量类型: NHRP—Overlay—NHRP
通信地址: Raw Protocol—Raw Protocol
内部处理:
入:WAN—Flow—DPI—Filter—Qos Class—IP Local—IPSeC—mGre—[Flow—DPI—Qos Class] —F-Stack—NHRP
出:NHRP—F-Stack—Flow—DPI—Qos Class—mGre—[IPSeC] —Reforwarding —Qos
3.1.4 跨Overlay通信的LAN侧互访流量
流量类型: Host1—LAN—Overlay—LAN—Host2
通信地址: 10.101.10.20—10.101.20.20
内部处理:
入:WAN—Flow—DPI—[Filter]—Qos Class—IP Local—IPSeC—mGre—Flow—DPI—Qos Class—Reforwarding—[Qos] —LAN—Host2
出:Host1—LAN—Flow—DPI—Filter—Qos Class—Forwarding—mGre—[IPSeC] —Flow—DPI—Qos Class —Reforwarding —Qos
3.1.5 Overlay网关(HUB)流量
流量类型: Host3—LAN—Overlay1—Overlay2—LAN—Host2
通信地址: 10.101.30.20—10.101.10.20
内部处理:
入出:WAN—Flow—DPI—[Filter]—Qos Class—IP Local—IPSeC—mGre—Flow—DPI—Qos Class—Reforwarding—mGre—IPSeC—Flow—DPI—Qos Class —Reforwarding—Qos-WAN
3.1.6 跨Overlay通信的SaaS流量
流量类型: Host2—LAN—Overlay—WAN—Server
通信地址: 10.101.30.20—10.101.10.20
内部处理:
出:Host2—LAN—Flow—DPI—Filter—Qos Class—Application Policy Routing—mGre—[IPSeC] —[Flow—DPI—Qos Class —Reforwarding—Qos
入:WAN—Flow—DPI—[Filter]—Qos Class—IP Local—IPSeC—mGre—Flow—DPI—Qos Class—Reforwarding—[Qos] —LAN—Host2