SD-WAN组网中VPN的设计

发布时间:2022-02-01 13:00:01 作者:V小编阅读:0

[导读]:SD-WAN的核心是基于Underlay网络构建Overlay网络,实现站点间的互访。出于安全性的考虑,企业希望Overlay网络和Underlay网络之间要相互隔离,不同部门的业务之间也要相互隔离,...

SD-WAN的核心是基于Underlay网络构建Overlay网络,实现站点间的互访。出于安全性的考虑,企业希望Overlay网络和Underlay网络之间要相互隔离,不同部门的业务之间也要相互隔离,这就产生了业务隔离的诉求。SDWAN使用VPN技术实现业务隔离,每个VPN是一个独立的私有网络,多个不同的VPN实现了逻辑隔离,相互之间无法直接访问,保证了业务的安全性。

VPN的端到端隔离体现在站点上的VPN隔离和隧道中的VPN隔离两个方面。

1.站点上的VPN隔离

在站点上实现VPN隔离通常是采用传统的VRF(Virtual Routing andForwarding,虚拟路由转发)的方式,由于不同的VRF之间的转发表是独立的,互相无法访问,因此就能实现该站点上VPN之间的隔离,如图1所示。

SD-WAN组网中VPN的设计

图1 站点VPN隔离

(1)Underlay VPN

采用这种方式,CPE所有的WAN接口都单独部署在一个独立的VPN中,这样做一是为了实现CPE上Underlay网络和Overlay网络的隔离,二是为了规避不同运营商分配的IP地址可能发生冲突的问题。同时,Edge通过Underlay VPN向网络控制器进行注册。(

2)控制VPN

站点的CPE需要与远端的网络控制器建立连接。为此,专门在站点CPE上规划了一个独立的控制VPN,其中包含了一个Loopback接口,作为Edge的Router ID,与区域控制器建立BGP控制通道。

(3)业务VPN

业务VPN承载了企业每个站点的LAN侧业务,是企业WAN互通的业务实体。业务VPN可能是一个,也可能是多个,根据企业实际需要隔离的业务数量而定。在这些VPN上可以运行多种路由协议,如静态路由协议、OSPF协议和BGP等;可以在LAN侧部署VRRP,也可以部署QoS、应用选路、安全和WOC策略等网络增值服务。

2.隧道中的VPN隔离

隧道中的VPN隔离主要指的是在同一条Overlay隧道中隔离不同的VPN流量。通常情况下,企业不同部门之间的业务隔离通过VPN来实现,每个VPN对应一个VN(Virtual Network,虚拟网络),如图2所示。

SD-WAN组网中VPN的设计

图2 隧道VPN隔离

在两个需要通信的站点之间建立一条或者多条Overlay隧道,隧道的外层源IP和目的IP地址分别是源站点CPE和目的站点CPE所对应的WAN链路接口的IP地址。具体采用哪种隧道技术可以灵活选择,例如选择GRE(Generic RoutingEncapsulation,通用路由封装)协议、IPSec或VXLAN。

为了区分每个VPN在Overlay隧道中的业务流量,需要在隧道内为不同的VPN流量增加一个标识。通常是在报文中增加一个ID,ID的封装形式根据具体的隧道技术而定。例如,如果采用的是VXLAN隧道,那么可以使用VNI(VXLAN NetworkIdentifier,VXLAN网络标识符)来标识每个VPN;如果采用的是GRE隧道,那么可以使用GRE报文头中的Key字段来标识每个VPN。

以上就是SD-WAN组网中VPN的设计的介绍。如果你还有其他问题,欢迎进行咨询探讨,希望VeCloud的专业的解决方案,可以解决你目前遇到的问题。微云网络提供全球主机托管、服务器租用、MPLS VPN、SD-WAN等方面的专业服务,资源覆盖全球。欢迎咨询。

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:sales@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

标题:SD-WAN组网中VPN的设计

TAG标签:SD-WAN

地址:http://www.kd010.com/hyzs/633.html

上一篇:SD-WAN组网拓扑的多样性
下一篇:某测量仪器企业MPLS多分支组网方案

Vecloud云网络解决方案

点击获取方案