SD-WAN组网中隧道设计

SD-WAN的核心特征是IP Overlay，在站点之间是通过IP Overlay隧道承载和传送业务数据的，因此对IP Overlay隧道技术的选择尤其重要。在选择具体的技术之前，需要先对SD-WAN隧道的技术特征进行深入分析。

1．SD-WAN隧道设计原则

原则上讲，选择SD-WAN隧道技术可以不拘泥于某种具体的IP Overlay技术，VXLAN或者基于传统的GRE和IPSec隧道技术理论上都是可行的。但是无论是哪种方式，需要遵循如下设计原则，才能满足SD-WAN的组网方案的需要。

(1）与Underlay解耦，不依赖具体的运营商WAN组网技术

SD-WAN的组网技术本质是采用了IP Overlay进行企业站点的WAN互联，与具体的WAN物理组网技术解耦，只需要WAN提供可达的IP路由即可。因此，SD-WAN的隧道必须基于IP隧道技术构建，比如常用的IPSec、GRE和VXLAN等都是可选技术，并且可以根据需要进行必要的扩展。

（2）支持IPSec等加密技术

SD-WAN支持混合WAN，隧道需要在因特网等不安全的WAN链路上运行，因此必须支持加密技术，IPSec就是最常用的IP加密技术。针对某些安全WAN链路，用户可以选择不加密。

（3）支持VPN隔离

SD-WAN需要支持企业多租户以及单租户内多个部门的VPN隔离，因此需要在隧道技术上支持VPN逻辑隔离，即通过VPN标识进行隔离。

（4）支持NAT穿越

由于IPv4地址资源耗尽，很多站点不具备公网IP地址，只能通过NAT后的公网IP地址进行通信。SD-WAN需要提供类似STUN（Session Traversal Utilities forNAT，NAT会话穿越效用）的机制进行广域网的NAT穿越，此外，在CPE之间的Overlay隧道报文的封装也需要支持NAT穿越。而标准的VXLAN不支持NAT穿越，因而需要对其进行改造。

（5）扩展性好，支持多种IP Overlay封装格式

WAN的IP分组技术多种多样，当前主流的是IPv4技术，未来将逐渐被IPv6技术代替，同时也不断涌现出SRv6等新技术，SD-WAN在隧道封装格式方面需要具备良好的可扩展性，能够按照站点之间实际互通的WAN IP技术灵活替换隧道封装格式。

（6）封装效率高

IP Overlay的隧道封装格式需要简洁高效、没有冗余，做到“增之一分则太长，减之一分则太短”，从而避免隧道封装占用太多的网络带宽资源。

2．IP Overlay隧道技术

下面简单介绍VXLAN、GRE以及IPSec等几个通用的IP Overlay隧道技术的原理，然后给出具体的SD-WAN隧道设计建议。

（1）VXLAN

VXLAN是由IETF（Internet Engineering Task Force，因特网工程任务组）定义的NVO3（Network Virtualizaiton over Layer 3，跨三层网络虚拟化）标准技术之一，采用MAC in UDP的报文封装格式，将二层报文用三层协议进行封装，可实现二层网络在三层范围内的扩展，它本质上是一种隧道技术。VXLAN网络模型如图1所示。

图1 VXLAN网络模型

VXLAN隧道在三层网络基础上构建虚拟网络的基本结构如下。

VTEP是VXLAN的边缘设备，也是VXLAN隧道的起点和终点，对VXLAN报文进行封装和解封装。VXLAN报文中，源IP地址为源端VTEP的IP地址，目的IP地址为目的端VTEP的IP地址。一对VTEP地址就对应着一条VXLAN隧道。

VNI类似传统网络中的VLAN ID，用于区分同一VN内的不同子网，VNI不同的用户不能直接进行二层通信。VNI由24 bit的字段组成，可提供多达约1600万个子网的标识。

BD：BD在VXLAN中，将VNI以一对一的方式映射到BD，同一个BD内的用户可以进行二次通信。

作为一种网络虚拟化技术，VXLAN在隧道源端VTEP上将主机发出的数据报文封装在UDP中，封装时使用物理网络的IP、MAC（Media Access Control，媒体接入控制）作为Outer Header，在隧道目的端VTEP上进行解封装，然后将数据发送给目标主机。VXLAN报文封装的格式如图2所示。

图2 VXLAN报文的封装格式

VXLAN报文的各个字段说明如表5-1所示。

表5-1 VXLAN报文的各个字段说明

从VXLAN的网络模型和报文结构可以看出，VXLAN有以下几个特点。

与当前普遍通过12 bit VLAN ID来进行二层隔离的方式相比，通过24 bit的VNI可以支持多达约1600万个VXLAN段的网络隔离，可满足海量租户的需求。

VNI为VXLAN自有的封装格式，可以将其与其他业务灵活关联，比如和VPN实例关联，可以支持L2VPN、L3VPN等复杂业务。

除VXLAN边缘设备，网络中的其他设备不需要识别主机的MAC地址。

通过采用MAC in UDP的封装形式来延伸二层网络，实现了物理网络和虚拟网络的解耦，租户可以规划自己的虚拟网络，不需要考虑物理网络IP地址和BD的限制，大大降低了网络管理的难度。

VXLAN封装的UDP源端口信息，由内层的流信息经哈希计算得到，Underlay网络不需要解析内层报文就可进行负载分担，提高网络吞吐量。

综合来说，VXLAN具备良好的扩展性，同时支持二层和三层网络；但是在数据加密和NAT穿越方面仍然存在“先天不足”，如果要作为SD-WAN隧道协议，仍然需要和IPSec等传统加密协议结合。

（2）GRE/NVGREGRE是一种传统的IP over IP的隧道技术，虽然历史悠久，但是仍然在业界中存在广泛的应用。简单地说，GRE是一种协议的封装格式。它规定了如何用一种网络协议去封装另一种网络协议。GRE封装后的报文格式如图3所示。

图3 GRE封装后的报文格式

Delivery Header：封装的外部协议报文头（如IP报文头），即隧道所处网络的协议数据头，是实现一种协议报文穿越另一种协议网络的传输工具。

GRE Header：对数据报文进行封装后加入的数据，包含GRE协议本身以及和负载协议有关的信息。

Payload Packet：需要封装和传输的数据报文，被称为净荷（Payload）。系统收到一个净荷后，首先使用封装协议对这个净荷进行GRE封装，加上GRE报文头，使其成为GRE报文；然后再把封装好的原始报文和GRE报文头封装在IP报文中，这样就可完全由IP层负责此报文的转发了。

与VXLAN不同的是，NVGRE没有采用标准传输协议（TCP/UDP），而是借助GRE封装二层报文。NVGRE使用GRE报文头Key字段的前24 bit作为租户网络标识符，与VXLAN一样可以支持约1600万个虚拟网络。此外，NVGRE与VXLAN的区别还体现在如何对流量进行负载分担，因为NVGRE使用了GRE隧道封装，通过GRE扩展字段FlowID进行流量负载分担，这就要求物理网络能够识别GRE隧道的扩展信息。NVGRE不需要依赖泛洪和IP组播进行学习，而是以一种更灵活的方式进行广播，但是这需要硬件/供应商的支持。此外，NVGRE与VXLAN在报文分片方面也存在差异，NVGRE支持减小数据包最大传输单元以减小内部虚拟网络数据包的大小，不要求传输网支持传输大型帧。NVGRE的报文格式如图4所示。

图4 NVGRE报文格式

Outer Ethernet Header：即外层以太报文头，将外层帧中的源以太地址设置为关联NVGRE终端的MAC地址，目的以太地址设置为下一跳IP地址目的NVE（Network Virtualization Edge，网络虚拟边缘设备）的MAC地址。目的终端可以在或不在相同的物理子网中。外层VLAN（Virtual Local Area Network，虚拟局域网）标签可选，可用于流量管理和广播扩展。

Outer IPv4 Header：即外层IP报文头，IPv4和IPv6都可以作为GRE的传送协议。外层帧中的IP地址被称为PA（Provider Address，供应商地址）。

GRE Header：即GRE报文头，关键的字段说明如下。

C（Checksum）和S（Sequence Number）字段必须设置为0。

K字段必须为1。32 bit的Key字段用于承载VSID和可选的FlowID。

Protocol Type：协议类型字段设置为0x6558（透明以太桥）。

Virtual Subnet ID (VSID）：Key字段的前24 bit用作VSID。

FlowID：Key字段的后8 bit是FlowID，是可选字段。如果没有生成FlowID，则必须设置为0。从GRE/NVGRE的技术原理看，GRE也具备很好的通用性以及很强的协议扩展能力，同样可以结合IPSec等传统加密协议一起使用，通过适当的扩展，满足SD-WAN隧道所有的功能需求。

以上就是SD-WAN组网中隧道设计的介绍。如果你还有其他问题，欢迎进行咨询探讨，希望VeCloud的专业的解决方案，可以解决你目前遇到的问题。微云网络提供全球主机托管、服务器租用、MPLS VPN、SD-WAN等方面的专业服务，资源覆盖全球。欢迎咨询。