云服务器内容精选
-
组网需求 在一些大型的分支连锁或者分支办公场景中,分支的网络不仅需要访问Internet,还需要访问总部或者数据中心;同时,分支的网络有可能通过专线或者VPN接入到总部网。分支需要访问总部/数据中心的业务,分支和总部/数据中心部署单链路或者多链路上行互联。需要智能选路,根据业务、应用选择链路质量优的链路优先发送,同时需要支持链路的自动切换和回切。分支之间不需要互访。 基于上述诉求,可采用SD-WAN的Hub-Spoke组网方案完成网络部署和运维。如果客户没有IT人员,可以选择由MSP进行代建和代维。如果客户有IT人员,可以选择由租户进行自建和自维。 该企业网络架构如图1所示。 图1 企业网络架构图 分支通过多条上行链路出口和多总部/数据中心互联。 总部、分支等所有站点都必须部署支持SD-WAN功能的AR设备。 分支支持单机部署,也可以双机部署;双机部署时每台设备至少连接一条上行链路。 父主题: 仅SD-WAN组网(Hub-Spoke组网)
-
组网需求 企业的分支之间存在大量的协同作业,如VoIP语音业务和视频会议业务等高价值的应用,对于网络丢包、时延和抖动等网络性能具有很高的要求,此类业务需要分支间能直接互通。 针对语音、视频等实时性要求比较高的业务,希望可以选择链路质量更优的MPLS专线;对其它大流量类的办公业务,希望可以同时负载到专线和Internet上,以充分利用线路带宽。当链路质量不满足业务诉求时,业务流量切换至满足业务诉求的链路上;链路质量恢复后,业务流量可以回切至原链路。MPLS专线和Internet都会使用多个运营商的网络,希望优先走同运营商网络,以减少跨运营商间的网络时延和抖动。 基于上述诉求,可采用SD-WAN的Full-Mesh组网方案完成网络部署和运维。如果客户没有IT人员,可以选择由MSP进行代建和代维。如果客户有IT人员,可以选择由租户进行自建和自维。 该企业网络架构如图1所示。 图1 企业网络架构图 父主题: 仅SD-WAN组网(Full-Mesh组网)
-
典型组网 组网方案简介: 分支通过多条上行链路(多条有线链路、或者有线链路+LTE无线链路)出口和多总部/DC互联,分支、总部/DC的出口网关设备都必须为支持SD-WAN功能的AR设备。 图4 SD-WAN组网方案示意 适用场景: 海量小分支需要和多总部/DC通信,分支需要访问总部/DC的业务,分支和总部/DC部署单链路或者多链路上行互联。需要智能选路,根据业务、应用选择链路质量优的链路优先发送,同时需要支持链路的自动切换和回切。 组网方案关键点: 分支支持单机部署,也可以双机部署;双机部署时每台设备至少连接一条上行链路。 总部、分支等所有站点都必须部署支持SD-WAN功能的AR设备;如果总部已有网关,则也必须旁挂、或者串联AR的设备。
-
背景信息 随着分支办公、分支连锁场景越来越多,分支网络不仅要访问Internet,还要访问总部/数据中心(DC)、甚至其它分支机构。此类场景我们统称为多园区/分支互联场景,需要部署出口互联的园区网络。传统分支接入总部网络一般采用“专线”方式,其成本高、部署效率低,显然无法满足企业发展诉求。当前,企业分支可以选择通过Internet接入总部网络,同时为保证网络互联安全性和可靠性,可以部署IPsec VPN或SD-WAN方案。 本章主要介绍了SD-WAN互联方案,SD-WAN属于一种动态的VPN,可以按需在站点间建立隧道,动态发布路由。SD-WAN通过在站点间建立GRE隧道来创建VPN通道,同时支持在GRE隧道上进行IPsec加密,以实现隧道的加密安全。另外SD-WAN可以基于应用、策略选择质量较优的链路发送数据,实现基于应用、策略的智能选路。 如果有以下场景诉求,建议选择SD-WAN方案: 分支、总部站点多链路上行,分支、总部需要多隧道建链实现多VPN隧道的主备或者负载分担。 有多区域/多中心站点(每个区域相当于一个总部),需要跨区域进行分层互联的复杂互联场景。 园区间有多部门业务隔离的诉求,对WAN侧也需要进行隔离,需要部署多VPN的互联。 需要基于应用、链路质量进行智能选路。
-
逻辑架构 图1 SD-WAN架构图 服务架构如图 SD-WAN架构图所示,主要包括管理层、控制层和网络层。每层具备明确的核心组件并承担不同的功能。 第三方BSS/OSS 华为乾坤开放了北向API接口,可以纳入到现有的BSS/OSS等第三方业务编排系统,实现广域网络的灵活集成和定制。 管理/控制层 SD-WAN互联方案的网络编排,除了华为乾坤云平台,还需要部署RR的角色(路由反射器,也叫区域控制器)。因为涉及到动态路由的按需发布,因此除了对VPN模型的编排外,还需要考虑RR模型的部署、业务配置。 华为乾坤云平台作为网络编排和控制层的核心,对网络业务进行抽象,实现网络业务的编排和控制,并对网络业务进行自动发放。RR在华为乾坤云平台的指导下,基于用户定义的VPN拓扑策略,进行出口设备之间的VPN路由和隧道信息按需分发。云平台对整网路径的控制结果首先需要传递给RR,RR实现对全网出口设备的VPN路由、隧道信息的控制和传播,因此RR是网络管理/控制层的重要组成部分。 网络层 网络层主要由物理设备组成,是企业WAN的基础物理组网。当前SD-WAN方案仅支持AR设备作为出口设备。 从网络功能层次划分,SD-WAN网络可以分为Underlay网络和Overlay网络。 Underlay网络:物理网络,是由路由器等网络设备通过运营商提供的物理线路互联组成的WAN,常见类型有MSTP专线、MPLS VPN以及Internet等。 Overlay网络:虚拟网络,是在一张物理网络上构建出一张或多张虚拟的逻辑网络。不同的虚拟网络虽然共享物理网络中的设备和线路,但虚拟网络中的业务与物理网络中的业务相互解耦。虚拟网络的多实例化,既可以服务于同一租户的不同业务(如多个部门),也可以服务于不同租户。 从网络设备的功能定位划分,网络层主要由Edge和GW两类设备构成。 Edge:是站点的出口CPE设备(Customer Premise Equipment)。Edge的本质是SD-WAN隧道的发起和终结点,也可以看做SD-WAN网络的边界点。Edge之间的Overlay隧道可以构建在任意的有线或者无线的Underlay WAN网络上。 GW:是连接SD-WAN站点和其他网络(如传统VPN)的网关设备。通过GW可以实现SD-WAN网络与传统网络、公有云网络间的互通。
-
网络互通基本配置 SD-WAN针对AR设备的网络业务主要支持如下配置: WAN口配置:支持以太、LTE、Eth-Trunk、ATM口配置。 支持NTP、GRE、IPsec等基础配置。 路由协议配置:支持静态路由配置、OSPF路由配置、BGP路由配置。 站点间路由发布:支持连接RR站点自动配置BGP路由配置。 LAN口配置:支持以太接口、接口VLAN、Eth-trunk、DHCP、DHCP Relay、DNS等配置。 WLAN配置:支持SSID、射频配置。
-
广域优化 FEC(Forward Error Correction)是一种增加数据通讯可信度的数据编码技术,通过流分类识别指定数据流,为其增加携带校验信息的冗余包,如果网络中出现了报文丢失或者报文损伤,则通过冗余包还原报文。该技术优化的典型应用场景: 智能视频安防系统 智能视频安防系统应用的非常广泛,城市里部署大量摄像头,通过网络连接到数据中心进行监测、存储分析。连锁企业通过智能视频安防系统,把数据回传到总部进行监测、存储和分析。这种应用场景的特点是,多个站点的流量汇聚到同一站点,只有上行流量。通过Internet链路网络质量无法保证,可能会出现丢包,导致视频花屏、卡顿,影响视频质量,这就需要在摄像头区域出口、数据中心出口部署广域优化功能,保证视频质量。 视频会议 企业多个站点(分支或总部)都向位于数据中心的服务器建立连接,通过连接到同一站点(数据中心),通过数据中心的会议服务器,把多方的流量互相转发。这种场景既有分支到数据中心的流量,也有数据中心到各个分支的流量,是双向流量。通过Internet链路网络质量无法保证,可能会出现丢包,导致视频花屏、卡顿,影响视频质量,这就需要在视频终端的站点出口、数据中心出口部署广域优化的抗丢包功能,保证视频质量。
-
站点上网(Site to Internet) SD-WAN站点上网业务主要支持以下场景配置: 本地上网:站点的上网流量从本地CPE的Underlay链路直接出局上网。 集中上网:所有站点的上网流量都通过Overlay的EVPN隧道发送到集中上网的站点后出局上网。 混合上网: 默认集中上网+指定应用本地上网 默认采用集中上网的方式,对于特定流量/应用可指定从本地访问Internet,减少访问延迟。 默认本地上网+指定应用集中上网 默认采用本地上网的方式,对于特定流量/应用可指定从集中网关访问Internet,便于集中管控。 默认本地上网+集中备份上网 默认采用本地上网的方式,当本地Internet链路故障时,流量从集中网关访问Internet。 默认集中上网+本地备份上网 默认采用集中上网的方式,当Overlay通道故障时,流量从本地Internet链路上网。
-
多云互联 当前企业应用上云越来越多,企业部署SD-WAN系统,需要通过华为乾坤云平台实现企业分支和公有云的互通。SD-WAN多云互联方案支持公有云部署vCPE,将公有云作为SD-WAN网络中的站点,实现企业总部、分支、公有云互联网络的统一管理。 支持AR1000V在华为云和亚马逊云上自动化开局。 支持云站点关联RR,通过路由反射器向其他SD-WAN站点互相通告路由。 支持配置Underlay路由,实现云站点与其他SD-WAN站点的Underlay网络互通。 支持加入VN,将云站点加入所在的部门VN。 支持构建拓扑,将云站点与其他SD-WAN站点构建拓扑,建立Overlay隧道,实现Overlay网络的互通。 支持云站点与VPC互联,华为云支持Host VPC方案,亚马逊云支持Host VPC方案和Transit VPC方案。
-
站点间互联(Site to Site) 支持创建虚拟网络VN,用于不同业务的隔离,并提供基于VN的Hub-Spoke,Full-Mesh以及Partial-Mesh的组网互通方式。 在Hub-Spoke网络中,总部与分支间建立Hub-Spoke隧道,分支到分支的数据流经由总部传输,支持最多16个Hub的冗余组网设置。 在Full-Mesh网络中,分支与分支机构间建立Spoke-Spoke隧道,实现分支机构与分支机构之间的直接通信。如果分支数量较多,支持动态隧道功能按需建立隧道。 站点可以选择部署CPE单网关或双网关,同时支持多链路混合方式接入网络,保障网络连接可靠性。
-
Native IPv6 支持在LAN侧提供基本的IPv6配置能力,通过Underlay将各分支的IPv6网络连接在一起。 支持Overlay LAN侧配置DHCPv6,IPv6静态路由,OSPFv3。 支持Underlay配置IPv6静态路由,BGP+。 支持通过本地出局将LAN侧IPv6网络与Underlay IPv6网络连通。 支持Underlay配置IPv6 over IPv4 GRE 或者IPv6 over IPv4 GRE over IPsec隧道。
-
特性 特性 说明 灵活大规模组网 基于EVPN协议的隧道方案,引入独立的分布式控制组件RR,增加拓扑编排组件,实现每个VPN不同的拓扑编排功能,增大规模组网能力。 IPv4 over IPv6 在Underlay网络为IPv6时,站点LAN侧IPv4业务可以通过SD-WAN EVPN建立的overlay隧道互通。 基于应用的智能选路 凭借强大的应用识别引擎和链路质量探测引擎,实现了基于应用优先级、链路质量、负载均衡、带宽占用率的智能选路,选择最优链路进行业务转发,保障关键业务质量,充分利用带宽,实现负载均衡。 基于FEC技术的音视频优化 FEC(Forward Error Correction,前向错误纠正)技术通过配置流策略的方式,对报文丢包进行优化。FEC通过流分类拦截指定数据流,增加携带校验信息的冗余包,并在接收端进行校验。如果网络中出现了丢包或者报文损伤,则通过冗余包还原报文,从而提升音视频应用体验。 多路包复制(双发选收)抗丢包技术 发送端CPE对数据包进行复制,把原始包和复制包通过多条链路中的两条一起发送。如果一条链路上有丢包,则接收端CPE通过另一条链路上的冗余包还原,从而不用重传。适用流量小,可靠性要求高的业务,例如紧急呼叫,付款业务,工业场景PLC业务。 逐包负载分担是提升链路利用率的技术 逐包负载分担技术可以将单条流的报文分担到多条链路上,充分使用多条链路。在站点有多条出口链路时,可以加速大文件传输。适用FTP/HTTP下载大文件,数据备份等业务。 丰富的北向API iMaster NCE-Campus支持丰富的北向API,满足客户对于SD-WAN方案的集成和灵活定制Portal界面的需要。 完全零配置开局 支持邮件开局、U盘开局、DHCP开局、注册查询中心开局、自动开局,网关设备自动注册到iMaster NCE-Campus,自动获取离线配置,完成网络部署。 全网应用质量可视 提供丰富的质量统计信息,可以实时查看站点内、站点间的链路质量、应用质量、吞吐量等情况,统计数据图形化动态展示,网络情况一目了然。 高性价比CPE 推出高性价比的NetEngine AR系列企业路由器款型。 简单易用的iMaster NCE-Campus系统界面 提供基于模板批量配置、导航式策略配置、页面简洁、表达丰富统计内容的iMaster NCE-Campus系统界面。 iMaster NCE-Campus集群系统异地容灾 支持在两个地域部署两套独立的iMaster NCE-Campus集群系统,系统之间建立心跳、数据通信链路,主集群的数据实时备份到备集群。在主集群发生重大故障无法恢复的时候,可以把备集群切换成新的主集群,从而继续提供业务服务。 Overlay隧道自动化编排 采用EVPN实现站点间Overlay隧道的动态建立,用户只需要完成Underlay网络的WAN侧链路配置和虚拟网络配置,iMaster NCE-Campus根据WAN侧链路配置自动完成隧道编排,无需用户手动配置,大大简化了网络部署配置。 多租户高性能GW 支持运营商部署多租户高性能的CPE作为GW设备,为企业租户提供与传统专线网络对接业务和POP组网业务。 系统安全部署 支持CPE的证书安全存储和证书更换、更新等安全机制;支持CPE与iMaster NCE-Campus、CPE与RR之间双向证书认证;支持CPE与CPE之间的数据平面中IPSec SA动态协商机制;支持对故障设备进行隔离。安全防护功能,支持IPS、AV、URL远程查询。 SD-WAN IPv6场景 支持在站点WAN侧为IPv4、IPv6或双栈的Underlay网络上构建SD-WAN网络,支持站点LAN侧部署IPv4和IPv6业务。 SD-WAN云部署 支持SD-WAN站点通过IPSec接入公有云VPN Gateway。支持Host VPC方式在公有云部署vCPE,支持Transit VPC方式在公有云部署vCPE。
-
网络层 从业务角度来说,企业的分支、总部和数据中心以及在云上部署的IT基础设施等都可以统称为企业的站点。用于不同站点WAN互联的网络设备以及中间的WAN一起构成了SD-WAN的网络层。 从网络功能层次划分,企业SD-WAN网络可以分为Underlay网络和Overlay网络两层。 Underlay网络:即物理网络,是由路由器等网络设备通过运营商提供的物理线路互联组成的WAN,常见类型有MSTP专线、MPLS VPN以及Internet等。 Overlay网络:即虚拟网络,是通过引入IP以及软件技术,在同一张物理网络上构建出的一张或者多张虚拟的逻辑网络。不同的虚拟网络虽然共享物理网络中的设备和线路,但是虚拟网络中的业务与物理网络中的物理组网和互联技术相互解耦。虚拟网络的多实例化,既可以服务于同一租户的不同业务(如多个部门),也可以服务于不同租户,是SD-WAN网络层的核心组网技术。 从网络设备的功能定位划分,企业SD-WAN的网络层主要由Edge和GW两种类型的设备构成。 Edge:是企业SD-WAN站点的出口CPE设备。Edge的本质是SD-WAN隧道的发起和终结点,也可以看做是SD-WAN网络的边界点。Edge之间的Overlay隧道可以构建在任意的有线或者无线的Underlay WAN网络上。 GW:是联接企业SD-WAN站点和其他网络(如传统VPN)的网关设备。通过GW可以实现SD-WAN网络到企业传统网络、公有云网络的互通。
-
管理层 网络控制器是管理层的核心部件,是SD-WAN解决方案的 智慧大脑 ,具有网络编排、管理能力,通过已有的Portal界面,进行SD-WAN端到端业务处理。 网络编排:负责SD-WAN面向业务的网络模型抽象、编排和配置自动化发放,主要包括企业WAN组网和各种网络策略相关的业务编排。网络控制器通过对企业WAN进行网络模型的抽象和定义,屏蔽了SD-WAN部署和实现的技术细节,使WAN网络配置和业务发放更加简易、灵活。 网络管理:通过网络管理功能实现了对企业WAN的网络层设备的统一管理与运维,主要包括统一配置网络业务;采集设备的告警和日志等故障信息;基于链路、应用、网络的性能数据采集、统计和分析;基于网络拓扑、告警管理、性能监控等方式多维度统计和呈现运维信息。
-
企业自建 对于实力雄厚的大型企业,可以选择部署一套自己的iMaster NCE-Campus系统,管理SD-WAN网络。大型企业有分支站点分布广、业务类型多样,对专线质量要求高等特点,面临业务流量爆炸式增长冲击专线带宽,关键应用体验差,运维困难等难题。大型企业的分支站点数量规模有两种情况,一种是分支站点数量少,且不存在跨国分布情况,推荐采用单层组网,如图1所示;一种是数量比较大(例如超过500个分支站点),在一个国家广泛内分布在多个地域,或者虽然分支站点数量少但是存在跨国分布情况推荐采用分层组网,如图2所示。 图1 单层组网场景 iMaster NCE-Campus可以在数据中心部署,推荐使用异地容灾部署方案,保障控制系统高可靠性。 总部和分支可以采用双CPE网关MPLS和Internet混合链路接入网络,满足对专线的高质量要求,无法使用有线链路接入网络的站点,还可以采用5G接入网络。单层组网中的所有站点属于同一个Overlay组网区域,Overlay组网拓扑可以采用Hub-Spoke组网模型或Full-Mesh组网模型。RR设备可以采用共部署模式,由总部或大型分支站点的CPE充当RR设备。也可以单独部署RR设备,参见分层组网场景。 可以通过配置多级QoS策略、基于带宽、基于应用的智能选路,满足保障关键业务体验、负载均衡高带宽利用率等诉求。 如果企业网络中存在未迁移到SD-WAN网络的传统分支站点,可以选择同时和传统专线网络、SD-WAN网络站点互通的SD-WAN站点,作为与传统分支站点互访的网关,完成企业网络的平滑转型。 可以通过零配置开局,业务自动编排下发,对链路和业务的多维度可视化管理、丰富的故障诊断和巡检工具,来解决海量分支带来的开局难、运维难的问题。 图2 分层组网场景 分层组网场景中的iMaster NCE-Campus部署,站点CPE接入WAN网络及典型业务、运维手段均和单层组网场景相同。 和单层组网不同的是,分层组网中的站点被划分为多个Overlay组网区域,每个Overlay网络区域可以选择各自的Overlay拓扑(Hub-Spoke或Full-Mesh)。RR设备推荐采用单独部署模式,每个区域单独部署RR,控制该区域内站点之间的路由交换。采用分层组网有利于网络扩展、减少站点访问网络时延的优点。 父主题: 典型应用场景
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
