SD-WAN组网中VPN的设计

SD-WAN的核心是基于Underlay网络构建Overlay网络，实现站点间的互访。出于安全性的考虑，企业希望Overlay网络和Underlay网络之间要相互隔离，不同部门的业务之间也要相互隔离，这就产生了业务隔离的诉求。SDWAN使用VPN技术实现业务隔离，每个VPN是一个独立的私有网络，多个不同的VPN实现了逻辑隔离，相互之间无法直接访问，保证了业务的安全性。

VPN的端到端隔离体现在站点上的VPN隔离和隧道中的VPN隔离两个方面。

1．站点上的VPN隔离

在站点上实现VPN隔离通常是采用传统的VRF（Virtual Routing andForwarding，虚拟路由转发）的方式，由于不同的VRF之间的转发表是独立的，互相无法访问，因此就能实现该站点上VPN之间的隔离，如图1所示。

图1 站点VPN隔离

（1）Underlay VPN

采用这种方式，CPE所有的WAN接口都单独部署在一个独立的VPN中，这样做一是为了实现CPE上Underlay网络和Overlay网络的隔离，二是为了规避不同运营商分配的IP地址可能发生冲突的问题。同时，Edge通过Underlay VPN向网络控制器进行注册。（

2）控制VPN

站点的CPE需要与远端的网络控制器建立连接。为此，专门在站点CPE上规划了一个独立的控制VPN，其中包含了一个Loopback接口，作为Edge的Router ID，与区域控制器建立BGP控制通道。

（3）业务VPN

业务VPN承载了企业每个站点的LAN侧业务，是企业WAN互通的业务实体。业务VPN可能是一个，也可能是多个，根据企业实际需要隔离的业务数量而定。在这些VPN上可以运行多种路由协议，如静态路由协议、OSPF协议和BGP等；可以在LAN侧部署VRRP，也可以部署QoS、应用选路、安全和WOC策略等网络增值服务。

2．隧道中的VPN隔离

隧道中的VPN隔离主要指的是在同一条Overlay隧道中隔离不同的VPN流量。通常情况下，企业不同部门之间的业务隔离通过VPN来实现，每个VPN对应一个VN（Virtual Network，虚拟网络），如图2所示。

图2 隧道VPN隔离

在两个需要通信的站点之间建立一条或者多条Overlay隧道，隧道的外层源IP和目的IP地址分别是源站点CPE和目的站点CPE所对应的WAN链路接口的IP地址。具体采用哪种隧道技术可以灵活选择，例如选择GRE（Generic RoutingEncapsulation，通用路由封装）协议、IPSec或VXLAN。

为了区分每个VPN在Overlay隧道中的业务流量，需要在隧道内为不同的VPN流量增加一个标识。通常是在报文中增加一个ID，ID的封装形式根据具体的隧道技术而定。例如，如果采用的是VXLAN隧道，那么可以使用VNI（VXLAN NetworkIdentifier，VXLAN网络标识符）来标识每个VPN；如果采用的是GRE隧道，那么可以使用GRE报文头中的Key字段来标识每个VPN。

以上就是SD-WAN组网中VPN的设计的介绍。如果你还有其他问题，欢迎进行咨询探讨，希望VeCloud的专业的解决方案，可以解决你目前遇到的问题。微云网络提供全球主机托管、服务器租用、MPLS VPN、SD-WAN等方面的专业服务，资源覆盖全球。欢迎咨询。