企业在部署SD-WAN之前,可能已经存在了很多采用传统网络技术(如MPLSVPN等)的站点,比如传统总部、数据中心以及分支站点,甚至包括某些采用异构VPN技术部署的云网络,都可以泛指为广义的传统站点。
当新建SD-WAN站点或把部分已有的传统站点改造成SD-WAN站点后,企业将在一段时间内,同时存在SD-WAN站点和传统站点这两类站点,且这两类站点间需要进行互通。由于SD-WAN网络域和传统网络域部署了不同的网络技术,前者是EVPN这样的Overlay VPN,后者是MPLS VPN这样的传统Underlay VPN,因而从控制平面到转发平面,两者都无法直接互通,这就需要允许SD-WAN站点与传统站点之间进行网络互通的解决方案。
总体来讲,与传统站点互通的方案主要分为两大类,如图1所示。
图1 与传统站点互通的方案
第一类是通过站点互通,即选取某个SD-WAN站点,将该站点与传统网络的连接打通,方案又可以进一步细分为站点背靠背互通和站点本地互通两种方式。
第二类是GW互通方案,即通过部署独立的IWG实现互通。IWG具备同时连接SD-WAN以及传统网络的能力,因此可以作为网关连通SD-WAN网络域和传统网络域,按照IWG与传统网络对接的技术不同,方案又可以进一步细分为Option A和Option B两种方式。总体而言,通过站点互通的方式比较适合单个企业自建自营的场景;而IWG具备多租户的能力,该GW设备不属于任何一个单独的企业,可以被多个租户共享。因此,IWG适合在运营商/MSP转售场景下,由运营商/MSP创建,作为一种可运营的服务,统一提供给有需要的租户。
下面以SD-WAN站点与传统的MPLS VPN站点互通为例,分别详细介绍这些方案的原理和特点。
一、通过站点互通
1.站点背靠背互通
当SD-WAN站点连接的WAN和传统站点连接的MPLS网络无法互通,即两类站点的Underlay网络无法直接互通时,可以分别选择一个SD-WAN站点和一个传统站点进行背靠背互通,这两个不同类型的站点从逻辑上可以看作一个网关站点。具体做法是在传统站点和SD-WAN站点的CPE上分别选择一个LAN侧接口,并通过一条专用的互通链路进行物理互联。在该链路上,按需运行BGP/ OSPF等协议,用来交换传统MPLS网络域和SD-WAN网络域的路由,并且将路由发布给各自域内的其他站点。这样,所有其他的SD-WAN站点和传统网络站点之间的互访也可以中转到该专用互通链路,从而实现所有SD-WAN站点和传统站点的互访,如图5-49所示。
图2通过互通链路互访
当一个企业有多个VPN并且同一个VPN的用户同时分布在SD-WAN和非SD-WAN两个网络中时,可以在该背靠背站点的互通链路上创建多个逻辑链路,每个逻辑链路分别加入不同VPN,实现多VPN下的业务互通。
2.站点本地互通
当SD-WAN站点连接的WAN和传统MPLS网络是同一张网络或可互通的网络,即两类站点的Underlay网络可以直接互通时,则可以借助SD-WAN站点的本地出局技术在该站点直接打通SD-WAN Overlay网络域与Underlay网络域,彼此学习路由,从而实现SD-WAN站点与传统站点的本地直接互通。基于上述的方案原理,根据客户实际的业务需要和组网特点,通过灵活的方案部署,又可以实现以下3种不同的场景。
(1)分布式本地互通
当所有SD-WAN站点的WAN和传统站点的MPLS网络在本地Underlay网络直接互通时,所有的SD-WAN站点都可以部署本地出局的互通方式,从而实现整个SD-WAN对传统站点的分布式互通。这种方式的优点是每个站点的互访流量可以直接本地转发,无须借助Overlay网络域到其他SD-WAN站点中转,转发效率高,如图3所示。
图3 分布式本地互通模型
(2)集中式互通
当某些SD-WAN站点无法通过本地出局访问传统网络时,可以选择一个能和传统站点进行本地出局互访的站点作为集中互通站点,集中访问站点通过Overlay网络域发布相应的路由,其他SD-WAN站点学习到路由后,将流量通过Overlay隧道转发到该集中互通站点,再通过该站点本地出局转发到传统网络站点。这种方式的优点是部署简单,互通流量集中,易于管控,如图4所示。
图4 集中式本地互通模型
(3)混合式互通基于上述分布式和集中式两种互通方式,可以提供混合式的站点互通,即具备与传统网络域直接互通条件的SD-WAN站点直接本地互通,而不具备与传统网络直接互通条件的SD-WAN站点通过可直接互通的SD-WAN站点进行中转集中互通。这种方式的优点是在满足了不同组网特点的SD-WAN站点访问传统网络需求的同时,提升了SD-WAN站点通过本地访问传统网络业务的可靠性。当SD-WAN站点的本地互通MPLS链路出现故障时,流量会自动切换到Overlay网络域,通过Overlay隧道中转给集中互访站点,通过这种混合方式,实现了访问传统站点业务的备份,保证了高可靠性。
二、通过IWG互通
运营商通过传统的MPLS VPN技术,在一张MPLS网络上同时为多个企业提供虚拟专线服务。当运营商面向企业提供全新的SD-WAN站点互联服务时,可在运营商自身的Underlay网络或第三方Underlay网络的基础上,构建SD-WAN Overlay隧道,实现企业新建的或改造后的SD-WAN站点互联互通。
如前文所述,如果某企业同时存在传统MPLS站点和SD-WAN站点,则存在互联互通的需求,这时运营商可以对所有的企业租户统一提供站点互联互通服务,即IWG服务。具体做法是,运营商自建具备多租户能力的IWG,该IWG设备具备同时和运营商传统MPLS VPN以及SD-WAN Overlay网络域互连的线路和互通的能力。IWG服务作为运营商对外提供的一种管理服务,可供企业租户按需通过SD-WAN网络控制器的界面订购。
与传统的MPLS VPN的跨域VPN方案类似,IWG作为SD-WAN的IP Overlay VPN网络域的ASBR(Autonomous System Border Router,自治系统边界路由器),与传统的MPLS VPN的网络ASBR(通常是PE兼做)之间也需要设计跨域互通,主要分为Option A和Option B两种互通方式。
1.Option A方式
传统MPLS VPN体系架构中跨域VPN OptionA方式的工作原理如下。
跨域的VPN在ASBR间通过专用的接口管理自己的VPN路由。
ASBR之间不需要运行MPLS,也不需要为跨域互通进行特殊配置。两个自治系统的边界ASBR直接相连,ASBR同时也是各自所在自治系统的PE。两个ASBR都把对端ASBR看作自己的CE,为每一个VPN创建一个VRF实例,使用eBGP/IGP(Interior Gateway Protocol,内部网关协议)方式向对端发布IP路由。
IWG的Option A方式的原理与上述原理类似。首先,针对每个租户的每个VPN,在SD-WAN的IWG和传统MPLS的PE上各创建一个VRF实例,并且在背靠背的物理互联链路上,相应地创建一对逻辑子接口,该子接口可以是以太子接口、VLAN子接口或VXLAN隧道子接口等;然后,分别在IWG和PE上将这些子接口绑定到对应的VRF实例上,有多少个VPN需要互通就创建多少个子接口;最后,在子接口上配置静态路由或动态路由协议(eBGP、OSPF协议等),完成企业SD-WAN网络域和传统MPLS网络域的路由交换,如图5所示。
图5 Option A方式
Option A方式的优点是简单易用,且VPN路由发布容易控制,安全可靠;缺点是可扩展性较差,业务开通效率较低,因为每新增一个VPN,除了在IWG部署业务外,还需要配置传统MPLS VPN的PE节点。IWG设备由SD-WAN网络控制器编排和配置,而PE设备属于Underlay骨干网设备,需要借助运营商的MPLS骨干网网管系统进行配置,这往往需要跨部门沟通和协调,同时为了避免Route Target策略等关键的VPN配置产生冲突,还需要双方协商网络设计,导致端到端业务开通效率低。
2.Option B方式
传统MPLS VPN体系结构中跨域VPN Option B方式的工作原理如图6所示。
图6 跨域VPN Option B方式的工作原理
在两个AS域的ASBR之间运行MP-eBGP,将VPNv4路由和标签信息传递给另外一个域,因为MP-eBGP在传递路由时要改变路由的下一跳,根据标签分配的原则,当一个路由的下一跳被改变时,必须在本地更换标签,因此ASBR在收到域内的VPN路由信息再向外发布时,必须给这些VPN路由信息重新分配标签,VPN路由信息伴随着新的标签被发布出去,而在ASBR本地,新旧标签之间产生了一个标签的交换操作。
对端的ASBR收到从MP-eBGP传来的VPN路由信息并保存到本地后,再继续向自己域内的PE扩散。当这个ASBR向域内的MP-IBGP邻居发布路由时,它可以选择不改变路由的下一跳,或是将路由的下一跳改为自己,如果改变了路由的下一跳,同上面的标签分配原则,也需要为这些VPN路由重新分配标签,在本地完成标签的交换操作。
IWG的Option B方式与上述原理类似,IWG与对端MPLS VPN的PE物理直连,彼此之间运行MP-eBGP,IWG将SD-WAN网络域的EVPN业务路由转换为VPNv4路由,通过MP-eBGP发送给对端的PE,同时接收对端发送的传统站点的VPNv4路由,本地转换为EVPN路由发送给SD-WAN网络域内站点,实现业务互通。Option B方式如图7所示。
图7 Option B方式
Option B方式的优点是配置简单,业务发放效率高,只需要在方案开始部署时,在ASBR-PE进行一次配置,即配置好IWG和PE之间的MP-eBGP邻居,所有的VPN都可复用一对BGP邻居。后续即使新增VPN,也无须再配置PE,业务开通自动化程度高。缺点是Option B方式的路由扩散原理比较复杂,不同企业的VPN路由会在域间扩散,需要借助Route Target策略做好不同租户间的路由控制和隔离,路由管控复杂度较高,运营商的运维复杂度高。
综上所述,Option A方式和Option B方式各有优缺点。Option A方式简单易用,但是扩展性和业务部署自动化程度不高,特别适用于网络和VPN规模不大的互通场景;Option B方式扩展性好,但是技术较复杂,运维挑战大,在需要大量的VPN互通且有频繁的VPN变化的互通场景下更加适用。在实际的应用中,不同的运营商应结合具体的场景和自身特点选择具体的方案。
3.可靠性设计
IWG是实现SD-WAN网络域和传统MPLS网络域互通的关键设备,所以必须保证部署冗余以及业务高可靠,具体方案如图8所示。
图8 IWG可靠性方案
运营商拥有跨地域的多个POP机房,且每个POP部署一个或者多个IWG。按照地域和可靠性要求,将IWG统一划分为多个接入区,每个接入区可以包含一个或者多个POP,因此包含多个IWG,每个接入区的IWG具备同等的可靠性水平。租户通过SD-WAN网络控制器为每个站点选择两个不同IWG接入区,其中一个作为主接入区,另外一个作为备接入区。SD-WAN网络控制器根据所选的IWG接入区,选出网络性能最优的主备IWG各一个。
IWG分别从对端PE学习到传统VPN的路由,在向SD-WAN网络域发布时,SD-WAN网络控制器编排主IWG发布的路由优先级高于备IWG发布的路由优先级,使得SD-WAN访问传统网络优先选择主IWG。同样,IWG设备通过BGP路由策略反向控制发布给传统MPLS网络域的路由,使传统MPLS网络从主IWG学习到的路由优先级高于从备IWG学习到的路由。
当主IWG发生故障,SD-WAN网络域的区域控制器感知到和主IWG之间的BGP发生故障,然后向SD-WAN网络域内所有站点发布撤销路由的消息,使得SD-WAN网络域访问传统网络的路由切换到备IWG。
以上就是SD-WAN站点与传统站点之间如何进行网络互通?的介绍。如果你还有其他问题,欢迎进行咨询探讨,希望Vecloud的专业的解决方案,可以解决你目前遇到的问题。Vecloud提供全球主机托管、服务器租用、MPLS VPN、SD-WAN等方面的专业服务,资源覆盖全球。欢迎咨询。
本文来源于华为产品资料