SD-WAN流量及路由模型-网络技术

捐助

SD-WAN流量及路由模型

2113 次浏览

2020-11-6

编辑推荐:

本文主要介绍了SD-WAN的架构模型、业务路径及路由模型，希望对您有帮助。
本文来自于CSDN，由火龙果软件Linda编辑推荐。

前言

SD-WAN定义（百科）

SD-WAN定义（自我理解）

一种使用软件定义技术保障WAN侧的通信质量，使用Overlay技术打通企业私有网络，以提速降成本为目标。实现重点包括可视化运维、轻部署、易扩展，多以虚拟化、服务化【组件化】对外体现。

一、架构模型

管理面

管理面定义：用户视角来管理和控制SD-WAN网络。

根据定义，管理面流量分为两个部分：监控管理和业务控制（按理划分到控制面较为合适，但业务控制器用户存在一定的参与，并且与EMS处于相同层次）。

监控管理：负责网络监测和控制，监测包括流量统计、计费管理、线路状态、设备使用率、日志等；控制包括入网授权、设备升级等。分为在线监控和离线控制，前者为设备正常运维部分，通常使用NetConf(tls)保护数据安全性；后者为设备开局运维部分，通常使用加密邮件或USB开局。

业务控制：负责网络业务支撑，如路由集中分发、NAT穿越辅助、类NHRP查询服务、线路切换等，与具体业务需求相关。

管理中心更多从用户视角抽象网络，技术实现上转化为网管或控制器的方式，目前网管基本可以代表用户视角，但不能完全表达，部分组网业务仍需要用户配合。

第三方CPE由第三方网管负责，需求上可能存在轻度逻辑关联，故第三方网管可能开放部分API接入管理中心。

控制面

控制面定义：将用户视角转换为技术视角，并保障业务面通畅的控制管道。与传统的MPU/SPU/LPU类似，SD-WAN控制面将传统MPU抽象，可上浮集中控制、可下沉分散控制、或混合控制。

集中控制：业务控制器作为主控单元，各CPE通过主控单元交互控制信息，如路由由控制器收集计算后分发；如CPE查询GIP及隧道、私网映射关系等。类SDN厂商习惯这种组网方式，原因是CPE和控制器通信协议可自定义，灵活扩展各类需求，控制器可采用通用服务器模型，实现方式多样，同时CPE仅需要侧重业务面的功能，更轻量级。

分散控制：各CPE自协商的方式来达到全网控制的目地，属于传统组网方式（不同点在于属于Overlay组网，部分控制协议需要考虑时延和带宽的限制）。根据企业组网的特点，通常采用中心分层组网，各站点和中心进行控制面协商，包括路由或证书。

混合控制：根据各公司技术情况，部分控制业务采用集中控制模型，部分控制业务采用分散控制模型。

业务面

业务面定义：广义：支撑用户组网和办公的网络设备、线路可以称为业务面；狭义：转发面组网。SD-WAN业务面一般不涉控制器和网管，由若干CPE组成Overlay网络，包括LAN侧组网。

业务面组网采用Overlay方式组网，CPE间通过VPN进行互联，Fixed VPN属于长连接VPN，承载控制面业务和业务面(数据面)业务；Temporary VPN属于临时连接VPN，流量触发创建，无控制业务，当然此临时VPN连接受限于组网方式，包括转发策略、NAT等。

业务面由于路径或管理原因，存在多HUB组网，HUB间可采用多级层次组网或扁平组网。相同HUB域业务流量在本HUB内转发，跨HUB域流量经多个HUB中转，需要保证HUB在性能上和带宽上需求。

二、业务路径

流量路径

整体方案采用DVPN+智能选路组网。

DVPN：由流量触发动态建立VPN隧道，按华为采用DSVPN方案，这里去除了S（智能），目地是建立VPN不需要智能（比如是否在NAT之后，是否传输质量能满足需求），由流量触发尝试创建即可。而S（智能）部分体现在智能选路上。

智能选路：而非智能寻路，由转发面在流量转发时和选择一条符合用户应用的转发路径，而选择的输入依赖于应用识别+质量检测。智能选路的前提至少是存在多条路径达到通信条件，如路由可达，VPN就绪。

更高级的智能是根据全网质量数据规划传输路径，这在SD-WAN服务商中心侧需要重点考虑的部分，而企业自建侧更多的考虑通信站点间多条路径下的选路方式，做得好的，可以将中心HUB一起纳入智能选路方案中。

上述流量举例将中心HUB作为一条可选路径的选路方案，CPE1到CPE2初始流量经HUB中转，后续流量经CPE1学习到CPE2全局信息后，动态创建VPN，如果此VPN满足某应用101的传输质量，则流量经CPE1-CPE2 VPN传输；不满足某应用的201流量则仍是经HUB中转。此方式在路由设计时需要将HUB和CPE2纳入负载路由范畴，所以控制面保持多条路径的可负载性和可达性，而由转发面由智能选路决策具体出口和下一跳。

转发路径

LAN侧

LAN流量经L2处理后入L3处理流程，如果是本机报文，则经协议栈上交到APP；如果是转发报文，流量经转发选路后可能回到LAN侧，或者经VPN封装后走WAN侧出去。

WAN侧

WAN侧流量为VPN流量，经L2处理后，上交到本机进行VPN解封装，然后再决定是否是本机（如Overlay的OSPF流量）或者需要转发，转发的流量可能回到LAN侧（中心站侧网络），或者再次经VPN封装后传输到其它CPE。

应用侧

OSPF邻居为Overlay侧的邻居，则在转发后交VPN封装出，否则转发后由本地LAN侧出。

三、路由模型

路由协议

目地：打通Underlay和Overlay路由，指导报文转发。

Underlay层受限于企业入网方式，一般与运营商需要打通路由，可以使用动态路由协议或静态路由方式；或者与企业内部核心交换机打通路由，此方式CPE下挂到企业LAN侧，“搭桥”入网。

Overlay层根据企业组网规模或网络拓扑选择不同的路由协议，一般以BGP和OSPF为主，路由协议覆盖LAN侧和Overlay侧（TUN）口。企业自建一般为以中心HUB辐射的星型组网，转发模式有Full Mesh方式和HUB集中转发模式。如果存在私网隔离需求，而路由协议和转发面需要支持VRF，但企业内多为L3组网，较少有L2组网需求。

路由表项