SD-WAN组网中隧道设计

发布时间:2022-02-03 13:00:57 作者:华为阅读:0

[导读]:SD-WAN的核心特征是IP Overlay,在站点之间是通过IP Overlay隧道承载和传送业务数据的,因此对IP Overlay隧道技术的选择尤其重要。在选择具体的技术之前,需要先对SD-WAN...

SD-WAN的核心特征是IP Overlay,在站点之间是通过IP Overlay隧道承载和传送业务数据的,因此对IP Overlay隧道技术的选择尤其重要。在选择具体的技术之前,需要先对SD-WAN隧道的技术特征进行深入分析。

1.SD-WAN隧道设计原则

原则上讲,选择SD-WAN隧道技术可以不拘泥于某种具体的IP Overlay技术,VXLAN或者基于传统的GRE和IPSec隧道技术理论上都是可行的。但是无论是哪种方式,需要遵循如下设计原则,才能满足SD-WAN的组网方案的需要。

(1)与Underlay解耦,不依赖具体的运营商WAN组网技术

SD-WAN的组网技术本质是采用了IP Overlay进行企业站点的WAN互联,与具体的WAN物理组网技术解耦,只需要WAN提供可达的IP路由即可。因此,SD-WAN的隧道必须基于IP隧道技术构建,比如常用的IPSec、GRE和VXLAN等都是可选技术,并且可以根据需要进行必要的扩展。

(2)支持IPSec等加密技术

SD-WAN支持混合WAN,隧道需要在因特网等不安全的WAN链路上运行,因此必须支持加密技术,IPSec就是最常用的IP加密技术。针对某些安全WAN链路,用户可以选择不加密。

(3)支持VPN隔离

SD-WAN需要支持企业多租户以及单租户内多个部门的VPN隔离,因此需要在隧道技术上支持VPN逻辑隔离,即通过VPN标识进行隔离。

(4)支持NAT穿越

由于IPv4地址资源耗尽,很多站点不具备公网IP地址,只能通过NAT后的公网IP地址进行通信。SD-WAN需要提供类似STUN(Session Traversal Utilities forNAT,NAT会话穿越效用)的机制进行广域网的NAT穿越,此外,在CPE之间的Overlay隧道报文的封装也需要支持NAT穿越。而标准的VXLAN不支持NAT穿越,因而需要对其进行改造。

(5)扩展性好,支持多种IP Overlay封装格式

WAN的IP分组技术多种多样,当前主流的是IPv4技术,未来将逐渐被IPv6技术代替,同时也不断涌现出SRv6等新技术,SD-WAN在隧道封装格式方面需要具备良好的可扩展性,能够按照站点之间实际互通的WAN IP技术灵活替换隧道封装格式。

(6)封装效率高

IP Overlay的隧道封装格式需要简洁高效、没有冗余,做到“增之一分则太长,减之一分则太短”,从而避免隧道封装占用太多的网络带宽资源。

2.IP Overlay隧道技术

下面简单介绍VXLAN、GRE以及IPSec等几个通用的IP Overlay隧道技术的原理,然后给出具体的SD-WAN隧道设计建议。

(1)VXLAN

VXLAN是由IETF(Internet Engineering Task Force,因特网工程任务组)定义的NVO3(Network Virtualizaiton over Layer 3,跨三层网络虚拟化)标准技术之一,采用MAC in UDP的报文封装格式,将二层报文用三层协议进行封装,可实现二层网络在三层范围内的扩展,它本质上是一种隧道技术。VXLAN网络模型如图1所示。

SD-WAN组网中隧道设计

图1 VXLAN网络模型

VXLAN隧道在三层网络基础上构建虚拟网络的基本结构如下。

VTEP是VXLAN的边缘设备,也是VXLAN隧道的起点和终点,对VXLAN报文进行封装和解封装。VXLAN报文中,源IP地址为源端VTEP的IP地址,目的IP地址为目的端VTEP的IP地址。一对VTEP地址就对应着一条VXLAN隧道。

VNI类似传统网络中的VLAN ID,用于区分同一VN内的不同子网,VNI不同的用户不能直接进行二层通信。VNI由24 bit的字段组成,可提供多达约1600万个子网的标识。

BD:BD在VXLAN中,将VNI以一对一的方式映射到BD,同一个BD内的用户可以进行二次通信。

作为一种网络虚拟化技术,VXLAN在隧道源端VTEP上将主机发出的数据报文封装在UDP中,封装时使用物理网络的IP、MAC(Media Access Control,媒体接入控制)作为Outer Header,在隧道目的端VTEP上进行解封装,然后将数据发送给目标主机。VXLAN报文封装的格式如图2所示。

SD-WAN组网中隧道设计

图2 VXLAN报文的封装格式

VXLAN报文的各个字段说明如表5-1所示。

表5-1 VXLAN报文的各个字段说明

SD-WAN组网中隧道设计

从VXLAN的网络模型和报文结构可以看出,VXLAN有以下几个特点。

与当前普遍通过12 bit VLAN ID来进行二层隔离的方式相比,通过24 bit的VNI可以支持多达约1600万个VXLAN段的网络隔离,可满足海量租户的需求。

VNI为VXLAN自有的封装格式,可以将其与其他业务灵活关联,比如和VPN实例关联,可以支持L2VPN、L3VPN等复杂业务。

除VXLAN边缘设备,网络中的其他设备不需要识别主机的MAC地址。

通过采用MAC in UDP的封装形式来延伸二层网络,实现了物理网络和虚拟网络的解耦,租户可以规划自己的虚拟网络,不需要考虑物理网络IP地址和BD的限制,大大降低了网络管理的难度。

VXLAN封装的UDP源端口信息,由内层的流信息经哈希计算得到,Underlay网络不需要解析内层报文就可进行负载分担,提高网络吞吐量。

综合来说,VXLAN具备良好的扩展性,同时支持二层和三层网络;但是在数据加密和NAT穿越方面仍然存在“先天不足”,如果要作为SD-WAN隧道协议,仍然需要和IPSec等传统加密协议结合。

(2)GRE/NVGREGRE是一种传统的IP over IP的隧道技术,虽然历史悠久,但是仍然在业界中存在广泛的应用。简单地说,GRE是一种协议的封装格式。它规定了如何用一种网络协议去封装另一种网络协议。GRE封装后的报文格式如图3所示。

SD-WAN组网中隧道设计

图3 GRE封装后的报文格式

Delivery Header:封装的外部协议报文头(如IP报文头),即隧道所处网络的协议数据头,是实现一种协议报文穿越另一种协议网络的传输工具。

GRE Header:对数据报文进行封装后加入的数据,包含GRE协议本身以及和负载协议有关的信息。

Payload Packet:需要封装和传输的数据报文,被称为净荷(Payload)。系统收到一个净荷后,首先使用封装协议对这个净荷进行GRE封装,加上GRE报文头,使其成为GRE报文;然后再把封装好的原始报文和GRE报文头封装在IP报文中,这样就可完全由IP层负责此报文的转发了。

与VXLAN不同的是,NVGRE没有采用标准传输协议(TCP/UDP),而是借助GRE封装二层报文。NVGRE使用GRE报文头Key字段的前24 bit作为租户网络标识符,与VXLAN一样可以支持约1600万个虚拟网络。此外,NVGRE与VXLAN的区别还体现在如何对流量进行负载分担,因为NVGRE使用了GRE隧道封装,通过GRE扩展字段FlowID进行流量负载分担,这就要求物理网络能够识别GRE隧道的扩展信息。NVGRE不需要依赖泛洪和IP组播进行学习,而是以一种更灵活的方式进行广播,但是这需要硬件/供应商的支持。此外,NVGRE与VXLAN在报文分片方面也存在差异,NVGRE支持减小数据包最大传输单元以减小内部虚拟网络数据包的大小,不要求传输网支持传输大型帧。NVGRE的报文格式如图4所示。

SD-WAN组网中隧道设计

图4 NVGRE报文格式

Outer Ethernet Header:即外层以太报文头,将外层帧中的源以太地址设置为关联NVGRE终端的MAC地址,目的以太地址设置为下一跳IP地址目的NVE(Network Virtualization Edge,网络虚拟边缘设备)的MAC地址。目的终端可以在或不在相同的物理子网中。外层VLAN(Virtual Local Area Network,虚拟局域网)标签可选,可用于流量管理和广播扩展。

Outer IPv4 Header:即外层IP报文头,IPv4和IPv6都可以作为GRE的传送协议。外层帧中的IP地址被称为PA(Provider Address,供应商地址)。

GRE Header:即GRE报文头,关键的字段说明如下。

C(Checksum)和S(Sequence Number)字段必须设置为0。

K字段必须为1。32 bit的Key字段用于承载VSID和可选的FlowID。

Protocol Type:协议类型字段设置为0x6558(透明以太桥)。

Virtual Subnet ID (VSID):Key字段的前24 bit用作VSID。

FlowID:Key字段的后8 bit是FlowID,是可选字段。如果没有生成FlowID,则必须设置为0。从GRE/NVGRE的技术原理看,GRE也具备很好的通用性以及很强的协议扩展能力,同样可以结合IPSec等传统加密协议一起使用,通过适当的扩展,满足SD-WAN隧道所有的功能需求。

以上就是SD-WAN组网中隧道设计的介绍。如果你还有其他问题,欢迎进行咨询探讨,希望VeCloud的专业的解决方案,可以解决你目前遇到的问题。Vecloud提供全球主机托管、服务器租用、MPLS VPN、SD-WAN等方面的专业服务,资源覆盖全球。欢迎咨询。

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:sales@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

标题:SD-WAN组网中隧道设计

TAG标签:SD-WAN

地址:http://www.kd010.com/hyzs/635.html

上一篇:某测量仪器企业MPLS VPN多分支组网方案
下一篇:汽车配件制造商MPLS VPN双线组网方案

Vecloud云网络解决方案

点击获取方案