产生背景
云计算技术的发展引发了IT产业的变革,互联网+带动了传统行业的转型,to B的互联网化在2014年赶超了to C。聚焦于企业市场和广域网范畴的SDWAN(Software Defined Wide Area Network,软件定义广域网)服务正是在这样的行业背景和期待中产生。
SDWAN是将SDN技术应用到WAN场景中的一种VPN技术。如图1-1所示,SDWAN技术旨在帮助用户降低广域网的开支、提升网络连接的灵活性,为分散在广阔地理范围内的企业网络、数据中心网络等提供安全可靠的互联服务。
技术优点
SDWAN具有如下特点:
- 降低网络部署的费用:引入点到多点的SDWAN隧道,节约了设备性能。本地站点设备与多个远端站点设备之间只需要建立一条隧道,使低性能设备也能支持Full-Mesh组网。
- 简化网络部署和维护,方便网络快速部署:
- 两台设备间只需要建立一个BGP邻居,通过一个BGP邻居来承载所有VPN的私网路由。
- 引入RR(Route Reflector,路由反射器),在RR上基于路由策略灵活控制用户业务拓扑。
- 引入密钥通告机制,取消设备间的IPsec IKE协商,通过控制器集中在RR上部署IPsec策略,通过RR将IPsec SA直接下发给各站点设备,有效减轻设备的IPsec协商压力。
- 引入STUN协议,通过STUN协议实现在具有NAT转换的动态IP地址的分支间建立隧道。
- 提供更好的用户体验:通过VPN实例实现用户之间的隔离,通过IPsec实现对用户数据的安全传输
SDWAN技术实现
SDWAN网络模型示意图
SDWAN的典型网络模型包含如下部分:
- CPE(Customer Premise Equipment,用户端设备):用户网络的边缘设备。
- RR(Route Reflector,路由反射器):用于在CPE之间反射TTE信息和私网路由等。
- TN(Transport Network,传输网络):运营商提供的广域接入网络,用来实现分支站点之间的互联,主要包括运营商专线网络和Internet公用网络等。传输网络可以通过TN ID或传输网络的名称来标识。TN是构建SDWAN Overlay网络的基础。
- RD(Routing Domain,路由域):由彼此之间路由可达的不同传输网络构成的区域。只能在位于同一个路由域内的CPE之间或CPE与RR之间建立SDWAN隧道。
- Site ID:站点ID,是分支站点在SDWAN网络中的唯一标识,通常用一串数字表示,由网络控制器统一自动分配。
- Device ID:设备ID,是支持SDWAN功能的设备(SDWAN设备)在站点内的唯一标识,由网络管理员统一分配。一个站点通常包含一台或两台SDWAN设备。
- System IP:设备的系统IP地址,由网络管理员统一分配。通常采用设备上某个Loopback接口的IP地址作为System IP。
- Interface ID:设备接口ID,由网络管理员统一分配。同一台设备上,不同隧道接口的接口ID不同。
- SDWAN隧道:两个SDWAN设备之间的点到多点逻辑通道。不同站点之间通过SDWAN隧道传输数据报文等,实现不同站点之间的互联。隧道的物理出接口是CPE/RR上的广域网接口,该广域网接口所属的TN在同一个RD内,即两端的广域网接口可以在Underlay网络层面互通。两个站点可以通过多个不同运营商的TN进行互联,因此站点之间可以建立多个不同的隧道。
- SSL(Secure Sockets Layer,安全套接字层)连接:在SDWAN网络中,CPE与RR之间建立SSL连接,通过该连接交互TTE信息,实现控制通道的建立。
- TTE(Transport Tunnel Endpoint,传输隧道端点):SDWAN设备接入传输网的连接点和SDWAN隧道的端点。设备的TTE信息主要包括Site ID、TN ID、Private IP Address、Public IP Address和隧道的封装类型等。TTE ID由Site ID、Device ID和Interface ID组成,用来唯一标识一个TTE。TTE ID作为TTE的属性,通过BGP路由发布给其它网络节点。
- TTE连接:两个TTE之间的点到点逻辑连接
点赞收藏,后期持续更新