文档首页/ 华为乾坤/ 云管理网络/ 网络部署/ SD-WAN互联/ SD-WAN方案介绍
更新时间:2024-07-04 GMT+08:00
查看PDF
分享

SD-WAN方案介绍

背景信息

随着分支办公、分支连锁场景越来越多,分支网络不仅要访问Internet,还要访问总部/数据中心(DC)、甚至其它分支机构。此类场景我们统称为多园区/分支互联场景,需要部署出口互联的园区网络。传统分支接入总部网络一般采用“专线”方式,其成本高、部署效率低,显然无法满足企业发展诉求。当前,企业分支可以选择通过Internet接入总部网络,同时为保证网络互联安全性和可靠性,可以部署IPsec VPN或SD-WAN方案。

本章主要介绍了SD-WAN互联方案,SD-WAN属于一种动态的VPN,可以按需在站点间建立隧道,动态发布路由。SD-WAN通过在站点间建立GRE隧道来创建VPN通道,同时支持在GRE隧道上进行IPsec加密,以实现隧道的加密安全。另外SD-WAN可以基于应用、策略选择质量较优的链路发送数据,实现基于应用、策略的智能选路。

如果有以下场景诉求,建议选择SD-WAN方案:

  • 分支、总部站点多链路上行,分支、总部需要多隧道建链实现多VPN隧道的主备或者负载分担。
  • 有多区域/多中心站点(每个区域相当于一个总部),需要跨区域进行分层互联的复杂互联场景。
  • 园区间有多部门业务隔离的诉求,对WAN侧也需要进行隔离,需要部署多VPN的互联。
  • 需要基于应用、链路质量进行智能选路。

逻辑架构

图1 SD-WAN架构图

服务架构如图 SD-WAN架构图所示,主要包括管理层、控制层和网络层。每层具备明确的核心组件并承担不同的功能。

  • 第三方BSS/OSS

    华为乾坤开放了北向API接口,可以纳入到现有的BSS/OSS等第三方业务编排系统,实现广域网络的灵活集成和定制。

  • 管理/控制层

    SD-WAN互联方案的网络编排,除了华为乾坤云平台,还需要部署RR的角色(路由反射器,也叫区域控制器)。因为涉及到动态路由的按需发布,因此除了对VPN模型的编排外,还需要考虑RR模型的部署、业务配置。

    华为乾坤云平台作为网络编排和控制层的核心,对网络业务进行抽象,实现网络业务的编排和控制,并对网络业务进行自动发放。RR在华为乾坤云平台的指导下,基于用户定义的VPN拓扑策略,进行出口设备之间的VPN路由和隧道信息按需分发。云平台对整网路径的控制结果首先需要传递给RR,RR实现对全网出口设备的VPN路由、隧道信息的控制和传播,因此RR是网络管理/控制层的重要组成部分。

  • 网络层

    网络层主要由物理设备组成,是企业WAN的基础物理组网。当前SD-WAN方案仅支持AR设备作为出口设备。

    从网络功能层次划分,SD-WAN网络可以分为Underlay网络和Overlay网络。

    • Underlay网络:物理网络,是由路由器等网络设备通过运营商提供的物理线路互联组成的WAN,常见类型有MSTP专线、MPLS VPN以及Internet等。
    • Overlay网络:虚拟网络,是在一张物理网络上构建出一张或多张虚拟的逻辑网络。不同的虚拟网络虽然共享物理网络中的设备和线路,但虚拟网络中的业务与物理网络中的业务相互解耦。虚拟网络的多实例化,既可以服务于同一租户的不同业务(如多个部门),也可以服务于不同租户。

    从网络设备的功能定位划分,网络层主要由Edge和GW两类设备构成。

    • Edge:是站点的出口CPE设备(Customer Premise Equipment)。Edge的本质是SD-WAN隧道的发起和终结点,也可以看做SD-WAN网络的边界点。Edge之间的Overlay隧道可以构建在任意的有线或者无线的Underlay WAN网络上。
    • GW:是连接SD-WAN站点和其他网络(如传统VPN)的网关设备。通过GW可以实现SD-WAN网络与传统网络、公有云网络间的互通。

互联拓扑模型

SD-WAN方案支持多种互联拓扑模型,包括Hub-Spoke、Mesh、分层组网,如图 互联拓扑模型所示,根据实际需求选择合适的拓扑模型。

  • Hub-Spoke模型可以适于大规模的分支互联,但分支的互访,也无法满足所有分支都可以互访,仅支持部分分支间互访,建议针对大型、有互访诉求的分支,按需开启互访的能力。
  • Mesh组网模型主要受限于整体网络的规模,无法适合海量分支场景下有分支互访的诉求,仅建议在少量分支互联的场景下应用(如分支站点<32个)。
  • 分层组网模型可以适用于大规模的分支互联,分层网络模型可以看作单层网络模型的叠加,WAN被划分成多个区域,多个区域又通过集中的骨干区域进行互联,从而实现海量站点之间跨区域的互访。
图2 互联拓扑模型

无论是Hub-Spoke模型、Mesh模型还是分层组网,SD-WAN网络中所有分支的出口设备仅支持AR设备。

出口组网模型

SD-WAN互联方案支持单AR和多AR作为出口设备,具体参见图 互联出口组网模型。如果组网复杂、对网络可靠性较高,推荐多AR部署。

图3 互联出口组网模型

典型组网

  • 组网方案简介:

    分支通过多条上行链路(多条有线链路、或者有线链路+LTE无线链路)出口和多总部/DC互联,分支、总部/DC的出口网关设备都必须为支持SD-WAN功能的AR设备。

    图4 SD-WAN组网方案示意
  • 适用场景:

    海量小分支需要和多总部/DC通信,分支需要访问总部/DC的业务,分支和总部/DC部署单链路或者多链路上行互联。需要智能选路,根据业务、应用选择链路质量优的链路优先发送,同时需要支持链路的自动切换和回切。

  • 组网方案关键点:
    • 分支支持单机部署,也可以双机部署;双机部署时每台设备至少连接一条上行链路。
    • 总部、分支等所有站点都必须部署支持SD-WAN功能的AR设备;如果总部已有网关,则也必须旁挂、或者串联AR的设备。
父主题: SD-WAN互联

相关文档