產(chǎn)生背景

云計(jì)算技術(shù)的發(fā)展引發(fā)了IT產(chǎn)業(yè)的變革，互聯(lián)網(wǎng)+帶動了傳統(tǒng)行業(yè)的轉(zhuǎn)型，to B的互聯(lián)網(wǎng)化在2014年趕超了to C。聚焦于企業(yè)市場和廣域網(wǎng)范疇的SDWAN(Software Defined Wide Area Network，軟件定義廣域網(wǎng))服務(wù)正是在這樣的行業(yè)背景和期待中產(chǎn)生。

SDWAN是將SDN技術(shù)應(yīng)用到WAN場景中的一種VPN技術(shù)。SDWAN技術(shù)旨在幫助用戶降低廣域網(wǎng)的開支、提升網(wǎng)絡(luò)連接的靈活性，為分散在廣闊地理范圍內(nèi)的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)等提供安全可靠的互聯(lián)服務(wù)。

技術(shù)優(yōu)點(diǎn)

SDWAN具有如下特點(diǎn)：

降低網(wǎng)絡(luò)部署的費(fèi)用：引入點(diǎn)到多點(diǎn)的SDWAN隧道，節(jié)約了設(shè)備性能。本地站點(diǎn)設(shè)備與多個(gè)遠(yuǎn)端站點(diǎn)設(shè)備之間只需要建立一條隧道，使低性能設(shè)備也能支持Full-Mesh組網(wǎng)。

簡化網(wǎng)絡(luò)部署和維護(hù)，方便網(wǎng)絡(luò)快速部署：

兩臺設(shè)備間只需要建立一個(gè)BGP鄰居，通過一個(gè)BGP鄰居來承載所有VPN的私網(wǎng)路由。

引入RR(Route Reflector，路由反射器)，在RR上基于路由策略靈活控制用戶業(yè)務(wù)拓?fù)洹?/p>

引入密鑰通告機(jī)制，取消設(shè)備間的IPsec IKE協(xié)商，通過控制器集中在RR上部署IPsec策略，通過RR將IPsec SA直接下發(fā)給各站點(diǎn)設(shè)備，有效減輕設(shè)備的IPsec協(xié)商壓力。

引入STUN協(xié)議，通過STUN協(xié)議實(shí)現(xiàn)在具有NAT轉(zhuǎn)換的動態(tài)IP地址的分支間建立隧道。

提供更好的用戶體驗(yàn)：通過VPN實(shí)例實(shí)現(xiàn)用戶之間的隔離，通過IPsec實(shí)現(xiàn)對用戶數(shù)據(jù)的安全傳輸

SDWAN技術(shù)實(shí)現(xiàn)

SDWAN網(wǎng)絡(luò)模型示意圖

SDWAN的典型網(wǎng)絡(luò)模型包含如下部分：

CPE(Customer Premise Equipment，用戶端設(shè)備)：用戶網(wǎng)絡(luò)的邊緣設(shè)備。

RR(Route Reflector，路由反射器)：用于在CPE之間反射TTE信息和私網(wǎng)路由等。

TN(Transport Network，傳輸網(wǎng)絡(luò))：運(yùn)營商提供的廣域接入網(wǎng)絡(luò)，用來實(shí)現(xiàn)分支站點(diǎn)之間的互聯(lián)，主要包括運(yùn)營商專線網(wǎng)絡(luò)和Internet公用網(wǎng)絡(luò)等。傳輸網(wǎng)絡(luò)可以通過TN ID或傳輸網(wǎng)絡(luò)的名稱來標(biāo)識。TN是構(gòu)建SDWAN Overlay網(wǎng)絡(luò)的基礎(chǔ)。

RD(Routing Domain，路由域)：由彼此之間路由可達(dá)的不同傳輸網(wǎng)絡(luò)構(gòu)成的區(qū)域。只能在位于同一個(gè)路由域內(nèi)的CPE之間或CPE與RR之間建立SDWAN隧道。

Site ID：站點(diǎn)ID，是分支站點(diǎn)在SDWAN網(wǎng)絡(luò)中的唯一標(biāo)識，通常用一串?dāng)?shù)字表示，由網(wǎng)絡(luò)控制器統(tǒng)一自動分配。

Device ID：設(shè)備ID，是支持SDWAN功能的設(shè)備(SDWAN設(shè)備)在站點(diǎn)內(nèi)的唯一標(biāo)識，由網(wǎng)絡(luò)管理員統(tǒng)一分配。一個(gè)站點(diǎn)通常包含一臺或兩臺SDWAN設(shè)備。

System IP：設(shè)備的系統(tǒng)IP地址，由網(wǎng)絡(luò)管理員統(tǒng)一分配。通常采用設(shè)備上某個(gè)Loopback接口的IP地址作為System IP。

Interface ID：設(shè)備接口ID，由網(wǎng)絡(luò)管理員統(tǒng)一分配。同一臺設(shè)備上，不同隧道接口的接口ID不同。

SDWAN隧道：兩個(gè)SDWAN設(shè)備之間的點(diǎn)到多點(diǎn)邏輯通道。不同站點(diǎn)之間通過SDWAN隧道傳輸數(shù)據(jù)報(bào)文等，實(shí)現(xiàn)不同站點(diǎn)之間的互聯(lián)。隧道的物理出接口是CPE/RR上的廣域網(wǎng)接口，該廣域網(wǎng)接口所屬的TN在同一個(gè)RD內(nèi)，即兩端的廣域網(wǎng)接口可以在Underlay網(wǎng)絡(luò)層面互通。兩個(gè)站點(diǎn)可以通過多個(gè)不同運(yùn)營商的TN進(jìn)行互聯(lián)，因此站點(diǎn)之間可以建立多個(gè)不同的隧道。

SSL(Secure Sockets Layer，安全套接字層)連接：在SDWAN網(wǎng)絡(luò)中，CPE與RR之間建立SSL連接，通過該連接交互TTE信息，實(shí)現(xiàn)控制通道的建立。

TTE(Transport Tunnel Endpoint，傳輸隧道端點(diǎn))：SDWAN設(shè)備接入傳輸網(wǎng)的連接點(diǎn)和SDWAN隧道的端點(diǎn)。設(shè)備的TTE信息主要包括Site ID、TN ID、Private IP Address、Public IP Address和隧道的封裝類型等。TTE ID由Site ID、Device ID和Interface ID組成，用來唯一標(biāo)識一個(gè)TTE。TTE ID作為TTE的屬性，通過BGP路由發(fā)布給其它網(wǎng)絡(luò)節(jié)點(diǎn)。

TTE連接：兩個(gè)TTE之間的點(diǎn)到點(diǎn)邏輯連接

審核編輯：湯梓紅