產(chǎn)生背景

云計算技術(shù)的發(fā)展引發(fā)了IT產(chǎn)業(yè)的變革，互聯(lián)網(wǎng)+帶動了傳統(tǒng)行業(yè)的轉(zhuǎn)型，to B的互聯(lián)網(wǎng)化在2014年趕超了to C。聚焦于企業(yè)市場和廣域網(wǎng)范疇的SDWAN(Software Defined Wide Area Network，軟件定義廣域網(wǎng))服務(wù)正是在這樣的行業(yè)背景和期待中產(chǎn)生。

SDWAN是將SDN技術(shù)應(yīng)用到WAN場景中的一種VPN技術(shù)。SDWAN技術(shù)旨在幫助用戶降低廣域網(wǎng)的開支、提升網(wǎng)絡(luò)連接的靈活性，為分散在廣闊地理范圍內(nèi)的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)等提供安全可靠的互聯(lián)服務(wù)。

技術(shù)優(yōu)點

SDWAN具有如下特點：

降低網(wǎng)絡(luò)部署的費用：引入點到多點的SDWAN隧道，節(jié)約了設(shè)備性能。本地站點設(shè)備與多個遠端站點設(shè)備之間只需要建立一條隧道，使低性能設(shè)備也能支持Full-Mesh組網(wǎng)。

簡化網(wǎng)絡(luò)部署和維護，方便網(wǎng)絡(luò)快速部署：

兩臺設(shè)備間只需要建立一個BGP鄰居，通過一個BGP鄰居來承載所有VPN的私網(wǎng)路由。

引入RR(Route Reflector，路由反射器)，在RR上基于路由策略靈活控制用戶業(yè)務(wù)拓撲。

引入密鑰通告機制，取消設(shè)備間的IPsec IKE協(xié)商，通過控制器集中在RR上部署IPsec策略，通過RR將IPsec SA直接下發(fā)給各站點設(shè)備，有效減輕設(shè)備的IPsec協(xié)商壓力。

引入STUN協(xié)議，通過STUN協(xié)議實現(xiàn)在具有NAT轉(zhuǎn)換的動態(tài)IP地址的分支間建立隧道。

提供更好的用戶體驗：通過VPN實例實現(xiàn)用戶之間的隔離，通過IPsec實現(xiàn)對用戶數(shù)據(jù)的安全傳輸

SDWAN技術(shù)實現(xiàn)

SDWAN網(wǎng)絡(luò)模型示意圖

SDWAN的典型網(wǎng)絡(luò)模型包含如下部分：

CPE(Customer Premise Equipment，用戶端設(shè)備)：用戶網(wǎng)絡(luò)的邊緣設(shè)備。

RR(Route Reflector，路由反射器)：用于在CPE之間反射TTE信息和私網(wǎng)路由等。

TN(Transport Network，傳輸網(wǎng)絡(luò))：運營商提供的廣域接入網(wǎng)絡(luò)，用來實現(xiàn)分支站點之間的互聯(lián)，主要包括運營商專線網(wǎng)絡(luò)和Internet公用網(wǎng)絡(luò)等。傳輸網(wǎng)絡(luò)可以通過TN ID或傳輸網(wǎng)絡(luò)的名稱來標識。TN是構(gòu)建SDWAN Overlay網(wǎng)絡(luò)的基礎(chǔ)。

RD(Routing Domain，路由域)：由彼此之間路由可達的不同傳輸網(wǎng)絡(luò)構(gòu)成的區(qū)域。只能在位于同一個路由域內(nèi)的CPE之間或CPE與RR之間建立SDWAN隧道。

Site ID：站點ID，是分支站點在SDWAN網(wǎng)絡(luò)中的唯一標識，通常用一串數(shù)字表示，由網(wǎng)絡(luò)控制器統(tǒng)一自動分配。

Device ID：設(shè)備ID，是支持SDWAN功能的設(shè)備(SDWAN設(shè)備)在站點內(nèi)的唯一標識，由網(wǎng)絡(luò)管理員統(tǒng)一分配。一個站點通常包含一臺或兩臺SDWAN設(shè)備。

System IP：設(shè)備的系統(tǒng)IP地址，由網(wǎng)絡(luò)管理員統(tǒng)一分配。通常采用設(shè)備上某個Loopback接口的IP地址作為System IP。

Interface ID：設(shè)備接口ID，由網(wǎng)絡(luò)管理員統(tǒng)一分配。同一臺設(shè)備上，不同隧道接口的接口ID不同。

SDWAN隧道：兩個SDWAN設(shè)備之間的點到多點邏輯通道。不同站點之間通過SDWAN隧道傳輸數(shù)據(jù)報文等，實現(xiàn)不同站點之間的互聯(lián)。隧道的物理出接口是CPE/RR上的廣域網(wǎng)接口，該廣域網(wǎng)接口所屬的TN在同一個RD內(nèi)，即兩端的廣域網(wǎng)接口可以在Underlay網(wǎng)絡(luò)層面互通。兩個站點可以通過多個不同運營商的TN進行互聯(lián)，因此站點之間可以建立多個不同的隧道。

SSL(Secure Sockets Layer，安全套接字層)連接：在SDWAN網(wǎng)絡(luò)中，CPE與RR之間建立SSL連接，通過該連接交互TTE信息，實現(xiàn)控制通道的建立。

TTE(Transport Tunnel Endpoint，傳輸隧道端點)：SDWAN設(shè)備接入傳輸網(wǎng)的連接點和SDWAN隧道的端點。設(shè)備的TTE信息主要包括Site ID、TN ID、Private IP Address、Public IP Address和隧道的封裝類型等。TTE ID由Site ID、Device ID和Interface ID組成，用來唯一標識一個TTE。TTE ID作為TTE的屬性，通過BGP路由發(fā)布給其它網(wǎng)絡(luò)節(jié)點。

TTE連接：兩個TTE之間的點到點邏輯連接

審核編輯：湯梓紅