SD-WAN解决方案

《SD-WAN解决方案》属于博主的“广域网”专栏，若想成为HCIE，对于广域网相关的知识需要非常了解，更多关于广域网的内容博主会更新在“广域网”专栏里，请持续关注！

一.前言

• 广域互联网经过多年的发展与演进，发生了重大的变化。过去的广域互联网主要以网络为中心，广域互联网上的应用整体上较少，网络作为广域互联网主要组成，占据了最核心的位置。但是随着云计算的崛起，应用的潜能被充分挖掘，广域互联网逐渐变为以应用为中心。
• 面对云计算对广域互联网的挑战，华为推出了SD-WAN解决方案。

二.企业广域互联网络发展趋势与挑战

1.云计算对企业广域互联的挑战

• 云计算被广泛应用之前，网络应用数量总体较少。网络服务质量只需要依靠带宽，对于业务流量无需精细管理，互联网主要以网络为中心构建。
• 云计算时代的到来使得网络应用的数量大大增加，企业面对激增的流量，很难在线路价格和业务质量之间找到平衡点。

2.多业务对企业广域互联的挑战

• 企业对于业务流量感知能力比较差，无法有效保障关键业务。同时对于业务流量的监控能力也不足，无法快速调整业务流量。

3.大量分支对企业广域互联的挑战

• 随着公司的发展，跨市、跨省、跨国的分支机构会越来越多，导致公司对于分支站点网络管理面临几个问题:
  • 分支过多导致运维成本过高。
  • 分支新业务开通周期较长。
  • 分支网络排错困难。

4.SD-WAN诞生

• SD-WAN(Software Defined Wide Area Network，软件定义广域网)技术能较好地解决云计算时代企业广域互联网络面临的挑战。
• SD-WAN是Software Defined和WAN的结合，表示将SDN的架构和理念应用于WAN，借助SDN来重塑WAN。

三.华为SD-WAN解决方案概述

1.华为SD-WAN解决方案

（1）华为SD-WAN解决方案概览

（2）华为SD-WAN解决方案架构

（3）华为iMaster NCE-WAN控制器框架图

（4）网络层概述

• 企业SD-WAN网络可以分为Underlay物理网络和Overlay虚拟网络两层，物理网络和虚拟网络完全解耦。
  • 物理网络:主要是指运营商提供或企业自建的Underlay WAN，包括专线/MPLS等网络。
  • 虚拟网络:又称为Overlay网络，SD-WAN通过引入IP Overlay虚拟化技术，在物理网络上构建出一张或者多张虚拟的Overlay网络。业务策略被部署在虚拟网络上，与物理网络解耦，从而将业务和WAN互联分离。

（5）EDGE概述

• EDGE本质上是SD-WAN网络的边界点，EDGE之间通过IP Overlay隧道技术互联。
• EDGE一般可以采用传统硬件设备，公有云上的站点可以部署软件虚拟设备。
• 企业所有的SD-WAN EDGE设备被iMaster NCE控制器统一纳管，由租户管理员管理和维护。

（6）RR概述

• RR全称为Router Reflector，用于传递BGP路由，同时减少BGP邻居数量。
• 在华为SD-WAN解决方案中，RR还有控制路由与网络拓扑的功能，因此在SD-WAN中，RR又被称为区域控制器。
• RR和EDGE都被iMaster NCE纳管。
• RR之间、RR和EDGE之间建立控制通道。
• RR在iMaster NCE的管理下工作，根据Overlay网络拓扑模型控制EDGE的路由收发，最终实现站点间按照用户设计的Overlay拓扑模式进行互访。

（7）GW概述

• 新建的SD-WAN站点往往要和企业的传统站点或者第三方业务进行互通，由于部分传统站点采用MPLS VPN互联，SD-WAN站点基于IP Overlay隧道互联，两者无法直接互通。
• SD-WAN GW(Gateway)同时具备SD-WAN和传统网络的连接能力，可以作为中间网关设备，实现两者的互联。

2.华为SD-WAN主要功能

（1）主要功能概述

• 华为SD-WAN解决方案主要提供如下功能:
  • 零配置开局，分钟级业务开通。
  • 转控分离，灵活组网。
  • 应用体验，业务可控可视。
  • 完整安全防御体系，业务安全无忧。

（2）ZTP概述

a.零配置开局概述

• 随着SDN、云计算等网络技术的发展，越来越多的企业网络采用云化管理方式，而站点部署大多仍采用由技术工程师现场开局的方式，存在开局成本高昂，开局周期长等问题。为了解决这些问题，华为公司推出了零配置开局(ZTP)功能。

b.ZTP开局方式介绍

（3）灵活组网概述

a.华为SD-WAN灵活组网概述

b.华为SD-WAN管理通道介绍

c.华为SD-WAN控制通道介绍

• 当iMaster NCE通过管理通道下发配置后，设备通过BGPEVPN协议建立控制通道。
• 控制通道的主要作用是传递TNP(TransportNetworkPort)，IPsec SA，客户业务路由等信息。
• 控制通道建立后，iMaster NCE通过在RR上部署策略控制路由传递与Overlay拓扑建立。

d.华为SD-WAN数据通道介绍

• 华为SD-WAN主要通过GRE或GRE Over IPsec建立数据通道。
• 设备基于BGP EVPN传递的TNP与IPsecSA建立GRE或GRE OverIPsec隧道。
• 设备基于BGP EVPN传递的业务路由转发数据。

（4）应用体验概述

a.华为SD-WAN应用体验概述

b.华为SD-WAN应用识别与选路介绍

• 华为SD-WAN通过SA(Service Awareness)识别应用，并通过SPR(Smart Policy Routing，智能策略路由实现智能选路。
  • SAC通过SA与FPI识别应用并分组流量。
  • SPR基于探测报文确定链路质量从而决定转发路径。

c.华为SD-WAN QoS与广域优化介绍

• 华为SD-WAN通过HQoS实现带宽控制与调度，通过FEC(Forward ErrorCorrection)/A-FEC(AdaptiveForward Error Correction)实现流量的广域优化。
  • HQoS基于多级队列实现层次化调度，不仅区分了业务，也区分了用户，实现了精细化的QoS服务。
  • FEC/A-FEC优化根据网络的丢包情况调整相关参数生成冗余包，并由对端设备对数据报文进行校验和重组。

（5）安全概述

a.华为SD-WAN安全概述

3.华为SD-WAN使用场景

（1）企业自建SD-WAN场景

（2）MSP转售SD-WAN场景

（3）运营商转售SD-WAN场景