云服务器内容精选

  • 典型组网 组网方案简介: 分支通过多条上行链路(多条有线链路、或者有线链路+LTE无线链路)出口和多总部/DC互联,分支、总部/DC的出口网关设备都必须为支持SD-WAN功能的AR设备。 图4 SD-WAN组网方案示意 适用场景: 海量小分支需要和多总部/DC通信,分支需要访问总部/DC的业务,分支和总部/DC部署单链路或者多链路上行互联。需要智能选路,根据业务、应用选择链路质量优的链路优先发送,同时需要支持链路的自动切换和回切。 组网方案关键点: 分支支持单机部署,也可以双机部署;双机部署时每台设备至少连接一条上行链路。 总部、分支等所有站点都必须部署支持SD-WAN功能的AR设备;如果总部已有网关,则也必须旁挂、或者串联AR的设备。
  • 逻辑架构 图1 SD-WAN架构图 服务架构如图 SD-WAN架构图所示,主要包括管理层、控制层和网络层。每层具备明确的核心组件并承担不同的功能。 第三方BSS/OSS 华为乾坤开放了北向API接口,可以纳入到现有的BSS/OSS等第三方业务编排系统,实现广域网络的灵活集成和定制。 管理/控制层 SD-WAN互联方案的网络编排,除了华为乾坤云平台,还需要部署RR的角色(路由反射器,也叫区域控制器)。因为涉及到动态路由的按需发布,因此除了对VPN模型的编排外,还需要考虑RR模型的部署、业务配置。 华为乾坤云平台作为网络编排和控制层的核心,对网络业务进行抽象,实现网络业务的编排和控制,并对网络业务进行自动发放。RR在华为乾坤云平台的指导下,基于用户定义的VPN拓扑策略,进行出口设备之间的VPN路由和隧道信息按需分发。云平台对整网路径的控制结果首先需要传递给RR,RR实现对全网出口设备的VPN路由、隧道信息的控制和传播,因此RR是网络管理/控制层的重要组成部分。 网络层 网络层主要由物理设备组成,是企业WAN的基础物理组网。当前SD-WAN方案仅支持AR设备作为出口设备。 从网络功能层次划分,SD-WAN网络可以分为Underlay网络和Overlay网络。 Underlay网络:物理网络,是由路由器等网络设备通过运营商提供的物理线路互联组成的WAN,常见类型有MSTP专线、MPLS VPN以及Internet等。 Overlay网络:虚拟网络,是在一张物理网络上构建出一张或多张虚拟的逻辑网络。不同的虚拟网络虽然共享物理网络中的设备和线路,但虚拟网络中的业务与物理网络中的业务相互解耦。虚拟网络的多实例化,既可以服务于同一租户的不同业务(如多个部门),也可以服务于不同租户。 从网络设备的功能定位划分,网络层主要由Edge和GW两类设备构成。 Edge:是站点的出口CPE设备(Customer Premise Equipment)。Edge的本质是SD-WAN隧道的发起和终结点,也可以看做SD-WAN网络的边界点。Edge之间的Overlay隧道可以构建在任意的有线或者无线的Underlay WAN网络上。 GW:是连接SD-WAN站点和其他网络(如传统VPN)的网关设备。通过GW可以实现SD-WAN网络与传统网络、公有云网络间的互通。
  • 背景信息 随着分支办公、分支连锁场景越来越多,分支网络不仅要访问Internet,还要访问总部/数据中心(DC)、甚至其它分支机构。此类场景我们统称为多园区/分支互联场景,需要部署出口互联的园区网络。传统分支接入总部网络一般采用“专线”方式,其成本高、部署效率低,显然无法满足企业发展诉求。当前,企业分支可以选择通过Internet接入总部网络,同时为保证网络互联安全性和可靠性,可以部署IPsec VPN或SD-WAN方案。 本章主要介绍了SD-WAN互联方案,SD-WAN属于一种动态的VPN,可以按需在站点间建立隧道,动态发布路由。SD-WAN通过在站点间建立GRE隧道来创建VPN通道,同时支持在GRE隧道上进行IPsec加密,以实现隧道的加密安全。另外SD-WAN可以基于应用、策略选择质量较优的链路发送数据,实现基于应用、策略的智能选路。 如果有以下场景诉求,建议选择SD-WAN方案: 分支、总部站点多链路上行,分支、总部需要多隧道建链实现多VPN隧道的主备或者负载分担。 有多区域/多中心站点(每个区域相当于一个总部),需要跨区域进行分层互联的复杂互联场景。 园区间有多部门业务隔离的诉求,对WAN侧也需要进行隔离,需要部署多VPN的互联。 需要基于应用、链路质量进行智能选路。