SD-WAN组网中路由方案设计

路由方案设计是SD-WAN组网方案的核心。优秀的路由方案可以保证业务的畅通，同时在网络出现故障时，借助路由的收敛能使网络转发及时恢复正常，从而保证业务的体验不受影响。

SD-WAN的路由方案基于BGP EVPN技术构建，同时又为了满足WAN的NAT穿越等特殊场景，做了局部的增强设计。下面介绍BGP EVPN的技术原理。

1．EVPN原理

EVPN由RFC 7432（BGP MPLS-Based Ethernet VPN）定义。EVPN的设计初衷是作为一种用于二层网络互联的VPN技术，采用了类似于BGP/ MPLS IP VPN的机制，通过扩展BGP的UPDATE报文，使控制层面承担起不同站点的二层网络间的MAC地址学习和发布。

EVPN采用MP-BGP通告MAC/IP的可达性，其策略控制类似于传统的MPLSVPN，非常灵活。MP-BGP为EVPN定义了一套通用的控制层面，引入了一个新的子地址族，即EVPN地址族，并新增了一种NLRI（Network Layer ReachabilityInformation，网络层可达信息），即EVPN NLRI。

EVPN NLRI定义了多种BGP EVPN路由类型，其中最初的Type 2路由用于携带二层MAC/IP路由；随着EVPN技术的扩展，EVPN也被用来传递IP三层路由信息，Type 5路由就是IP前缀路由，主要用于通告引入的外部路由，在以SD-WAN的三层互联为主的网络中将发挥重要作用。

（1）EVPN的主要概念

EVI：即EVPN Instance，表示EVPN实例。EVI使用VNI标识。VNI相同的实例属于同一个二层BD或者三层VPN。

VPN-Target：VPN-Target属性控制EVPN路由的收发，每个VPN实例关联一个或多个VPN-Target。

VTEP：EVPN的网关设备，位于EVPN的边缘，是EVPN中IP Overlay隧道的端点。在SD-WAN中，Edge和GW可以作为EVPN的边缘网关设备。

（2）EVPN控制层面的工作机制

BGP新增EVPN子地址族用于协商BGP EVPN邻居。部署IBGP（Internal BorderGateway Protocol，内部边界网关协议）时，为简化全连接配置，可以引入路由反射器。所有站点都只和路由反射器建立BGP对等体关系。路由反射器发现并接收VTEP发起的BGP连接后形成客户机列表，将从某个VTEP收到的路由反射给其他所有的VTEP。路由反射器可以独立设置，即路由反射器采用独立的设备，也可以同已有CPE合设，即路由反射器与CPE采用同一台设备（总部CPE），如图1所示。

图1 EVPN控制层面的工作机制

EVPN路由在发布时，会携带RD（Route Distinguisher，路由标识符）和VPNTarget（也称为Route Target）。RD用来区分不同的EVPN路由。VPN Target是一种BGP扩展团体属性，用于控制EVPN路由的发布与接收。也就是说，VPNTarget定义了本端的EVPN路由可以被哪些对端接收，以及本端是否接收对端发来的EVPN路由。

EVPN中的设备属于同一个AS（Autonomous System，自治系统）时，为了避免在所有VTEP之间建立IBGP对等体，可以将核心设备配置为RR。此时，RR需要发布、接收EVPN路由，但不需要封装、解封装VXLAN报文。RR的部署可以大大减轻网络的部署难度。

EVPN是一种“IP in IP”技术，是在IP网络基础之上构建的一种Overlay架构。当一个站点接收到远端站点通告的Type 5路由，并且此路由经过VRF的Route Target策略检查，获得通过可以下发时，EVPN也会尝试跟对端的下一跳IP地址建立IPOverlay隧道。此隧道用于三层转发时的外层加封装。

总之，EVPN继承了MP-BGP和IP Overlay的优势，具有如下优点。

简化配置：通过MP-BGP实现边缘网关自动发现、IP Overlay隧道自动建立、EVPN路由与IP Overlay隧道自动关联，不需要用户手工配置，降低了网络部署的难度。

控制平面与转发平面分离：控制平面负责发布路由信息，转发平面负责转发报文，分工明确，易于管理。

基于纯IP Overlay技术构建，具备良好的网络互通性和可扩展性。

凭借上述优势，EVPN技术在数据中心网络中得到了广泛的应用，EVPN的这些技术特点和优势同样是SD-WAN组网所需要的。

2．基于EVPN的SD-WAN路由增强方案

不同于数据中心或者园区网络，企业WAN组网更加灵活多变，同时存在多个WAN链路互联以及广域NAT穿越等问题，传统的BGP EVPN协议封装无法解决这些问题，需要进行新的扩展和增强。

具体来说，如果企业站点CPE位于NAT设备之后，CPE不具备公网的IP地址，站点之间无法直接互联互通。同时由于混合WAN的存在，每个站点可以存在多个互通的WAN接口，这些都给SD-WAN直接使用BGP EVPN带来了新的技术挑战。为了解决上述问题，SD-WAN的路由机制在沿用了BGP EVPN基于Type 5传播网段前缀路由基本机制的基础上，对于SD-WAN路由的下一跳等关键信息进行了增强扩展，SD-WAN路由不仅携带一个WAN接口的IP地址作为下一跳，还可以携带多个WAN接口的IP地址以及NAT前后的IP地址信息作为下一跳。路由方案的设计原则见图2。

图2 路由方案的设计原则

扩展后的CPE与RR之间的BGP UPDATE的路由承载内容具体如下。

（1）VPN路由

来自于分支站点的VPN路由信息，来源主要是CPE上相关VPN的LAN侧路由，同时携带了下一跳TNP的信息，还有Origin、Originator、Preference、Site ID Tag和VPN标识等常见的BGP参数信息。

（2）下一跳TNP路由

下一跳TNP路由主要描述了CPE的WAN接口与TNP相关的可达性信息，如TNP的公网IP地址、私网IP地址、Site ID以及相应的路由优先级信息，只有VPN路由相关的TNP信息可达时，该VPN路由才会被导入CPE的转发表。TNP作为SD-WAN隧道的端点，关键信息是Site ID、CPE ID、TN以及隧道封装信息（比如GRE或者IPSec）。除此之外，TNP还携带TNP的私有IP地址、公网IP地址、运营商、优先级、Site ID以及权重等信息。

总体来看，由于SD-WAN的网络规模可能会比较大，它往往由成百上千的分支站点组成，为了避免站点之间的路由邻居数过多导致网络很难扩展，考虑在网络中部署区域控制器。区域控制器具有RR的功能，负责站点之间跨越广域交换路由。在EVPN RR和CPE之间，一般选择部署BGP来传播SD-WAN的Overlay VPN路由，具体包括站点VPN路由前缀、下一跳TNP路由信息以及用于CPE之间数据通道的数据加密所需的IPSec相关密钥等信息。

站点通常有多个上行的链路，站点间往往有多个隧道，且这些隧道是动态的。由于传统的路由是基于隧道与下一跳建立的，因此，Underlay链路状态的变化、站点间的隧道变化等会导致全网路由的震荡。为了解决这个问题，考虑在BGP控制平面引入路由下一跳分离的机制，将传统的Overlay路由前缀加下一跳IP的路由传播方式，转变成Overlay路由前缀加下一跳站点以及独立发布下一跳站点路由的方式，这样无论链路、隧道如何变化，路由的状态还会保持稳定。

如图3所示，针对单个CPE，建议的路由的部署方案如下。

图3 路由的部署方案

LAN侧路由：CPE的LAN侧接口支持部署传统的静态路由协议、OSPF协议或者eBGP（external Border Gateway Protocol，外部边界网关协议），具体采用哪一种，由LAN侧对接的网络设备的路由部署方式决定，双方保持一致即可。具体的配置需要由网络管理员在网络控制器上人工指定。

内联隧道路由：同一个CPE内部的不同VPN之间可能需要路由互通，比如Underlay VPN与某个业务VPN之间需要建立一个隧道，称为内联隧道，系统内部编排默认为一种固定的路由协议，比如OSPF协议，不需要网络管理员配置。

互联链路路由：当站点部署双CPE时，需要在CPE间建立一个互联链路，用于两个CPE上同一个VPN的路由互通。默认采用某种固定的路由协议，比如OSPF协议，该配置也由网络控制器自动编排。

WAN侧Overlay路由：一般部署EVPN，和区域控制器建立BGP邻居，实现Overlay网络域路由的传播，该配置由系统自动编排。

WAN侧Underlay路由：类似LAN侧路由部署方式，CPE的WAN接口支持部署传统的静态路由协议、OSPF协议或者eBGP，具体采用哪一种，由WAN侧Underlay网络对接的网络设备的路由部署方式决定，双方保持一致即可。具体的配置需要由网络管理员在网络控制器上人工指定。

以上就是SD-WAN组网中路由方案设计的介绍。如果你还有其他问题，欢迎进行咨询探讨，希望VeCloud的专业的解决方案，可以解决你目前遇到的问题。微云网络提供全球主机托管、服务器租用、MPLS VPN、SD-WAN等方面的专业服务，资源覆盖全球。欢迎咨询。