SD-WAN组网中路由方案设计

发布时间:2022-02-05 13:00:40 作者:华为阅读:0

[导读]:路由方案设计是SD-WAN组网方案的核心。优秀的路由方案可以保证业务的畅通,同时在网络出现故障时,借助路由的收敛能使网络转发及时恢复正常,从而保证业务的体验不受影响。SD-WAN的路由方案基于BGP...

路由方案设计是SD-WAN组网方案的核心。优秀的路由方案可以保证业务的畅通,同时在网络出现故障时,借助路由的收敛能使网络转发及时恢复正常,从而保证业务的体验不受影响。

SD-WAN的路由方案基于BGP EVPN技术构建,同时又为了满足WAN的NAT穿越等特殊场景,做了局部的增强设计。下面介绍BGP EVPN的技术原理。

1.EVPN原理

EVPN由RFC 7432(BGP MPLS-Based Ethernet VPN)定义。EVPN的设计初衷是作为一种用于二层网络互联的VPN技术,采用了类似于BGP/ MPLS IP VPN的机制,通过扩展BGP的UPDATE报文,使控制层面承担起不同站点的二层网络间的MAC地址学习和发布。

EVPN采用MP-BGP通告MAC/IP的可达性,其策略控制类似于传统的MPLSVPN,非常灵活。MP-BGP为EVPN定义了一套通用的控制层面,引入了一个新的子地址族,即EVPN地址族,并新增了一种NLRI(Network Layer ReachabilityInformation,网络层可达信息),即EVPN NLRI。

EVPN NLRI定义了多种BGP EVPN路由类型,其中最初的Type 2路由用于携带二层MAC/IP路由;随着EVPN技术的扩展,EVPN也被用来传递IP三层路由信息,Type 5路由就是IP前缀路由,主要用于通告引入的外部路由,在以SD-WAN的三层互联为主的网络中将发挥重要作用。

(1)EVPN的主要概念

EVI:即EVPN Instance,表示EVPN实例。EVI使用VNI标识。VNI相同的实例属于同一个二层BD或者三层VPN。

VPN-Target:VPN-Target属性控制EVPN路由的收发,每个VPN实例关联一个或多个VPN-Target。

VTEP:EVPN的网关设备,位于EVPN的边缘,是EVPN中IP Overlay隧道的端点。在SD-WAN中,Edge和GW可以作为EVPN的边缘网关设备。

(2)EVPN控制层面的工作机制

BGP新增EVPN子地址族用于协商BGP EVPN邻居。部署IBGP(Internal BorderGateway Protocol,内部边界网关协议)时,为简化全连接配置,可以引入路由反射器。所有站点都只和路由反射器建立BGP对等体关系。路由反射器发现并接收VTEP发起的BGP连接后形成客户机列表,将从某个VTEP收到的路由反射给其他所有的VTEP。路由反射器可以独立设置,即路由反射器采用独立的设备,也可以同已有CPE合设,即路由反射器与CPE采用同一台设备(总部CPE),如图1所示。

SD-WAN组网中路由方案设计

图1 EVPN控制层面的工作机制

EVPN路由在发布时,会携带RD(Route Distinguisher,路由标识符)和VPNTarget(也称为Route Target)。RD用来区分不同的EVPN路由。VPN Target是一种BGP扩展团体属性,用于控制EVPN路由的发布与接收。也就是说,VPNTarget定义了本端的EVPN路由可以被哪些对端接收,以及本端是否接收对端发来的EVPN路由。

EVPN中的设备属于同一个AS(Autonomous System,自治系统)时,为了避免在所有VTEP之间建立IBGP对等体,可以将核心设备配置为RR。此时,RR需要发布、接收EVPN路由,但不需要封装、解封装VXLAN报文。RR的部署可以大大减轻网络的部署难度。

EVPN是一种“IP in IP”技术,是在IP网络基础之上构建的一种Overlay架构。当一个站点接收到远端站点通告的Type 5路由,并且此路由经过VRF的Route Target策略检查,获得通过可以下发时,EVPN也会尝试跟对端的下一跳IP地址建立IPOverlay隧道。此隧道用于三层转发时的外层加封装。

总之,EVPN继承了MP-BGP和IP Overlay的优势,具有如下优点。

简化配置:通过MP-BGP实现边缘网关自动发现、IP Overlay隧道自动建立、EVPN路由与IP Overlay隧道自动关联,不需要用户手工配置,降低了网络部署的难度。

控制平面与转发平面分离:控制平面负责发布路由信息,转发平面负责转发报文,分工明确,易于管理。

基于纯IP Overlay技术构建,具备良好的网络互通性和可扩展性。

凭借上述优势,EVPN技术在数据中心网络中得到了广泛的应用,EVPN的这些技术特点和优势同样是SD-WAN组网所需要的。

2.基于EVPN的SD-WAN路由增强方案

不同于数据中心或者园区网络,企业WAN组网更加灵活多变,同时存在多个WAN链路互联以及广域NAT穿越等问题,传统的BGP EVPN协议封装无法解决这些问题,需要进行新的扩展和增强。

具体来说,如果企业站点CPE位于NAT设备之后,CPE不具备公网的IP地址,站点之间无法直接互联互通。同时由于混合WAN的存在,每个站点可以存在多个互通的WAN接口,这些都给SD-WAN直接使用BGP EVPN带来了新的技术挑战。为了解决上述问题,SD-WAN的路由机制在沿用了BGP EVPN基于Type 5传播网段前缀路由基本机制的基础上,对于SD-WAN路由的下一跳等关键信息进行了增强扩展,SD-WAN路由不仅携带一个WAN接口的IP地址作为下一跳,还可以携带多个WAN接口的IP地址以及NAT前后的IP地址信息作为下一跳。路由方案的设计原则见图2。

SD-WAN组网中路由方案设计

图2 路由方案的设计原则

扩展后的CPE与RR之间的BGP UPDATE的路由承载内容具体如下。

(1)VPN路由

来自于分支站点的VPN路由信息,来源主要是CPE上相关VPN的LAN侧路由,同时携带了下一跳TNP的信息,还有Origin、Originator、Preference、Site ID Tag和VPN标识等常见的BGP参数信息。

(2)下一跳TNP路由

下一跳TNP路由主要描述了CPE的WAN接口与TNP相关的可达性信息,如TNP的公网IP地址、私网IP地址、Site ID以及相应的路由优先级信息,只有VPN路由相关的TNP信息可达时,该VPN路由才会被导入CPE的转发表。TNP作为SD-WAN隧道的端点,关键信息是Site ID、CPE ID、TN以及隧道封装信息(比如GRE或者IPSec)。除此之外,TNP还携带TNP的私有IP地址、公网IP地址、运营商、优先级、Site ID以及权重等信息。

总体来看,由于SD-WAN的网络规模可能会比较大,它往往由成百上千的分支站点组成,为了避免站点之间的路由邻居数过多导致网络很难扩展,考虑在网络中部署区域控制器。区域控制器具有RR的功能,负责站点之间跨越广域交换路由。在EVPN RR和CPE之间,一般选择部署BGP来传播SD-WAN的Overlay VPN路由,具体包括站点VPN路由前缀、下一跳TNP路由信息以及用于CPE之间数据通道的数据加密所需的IPSec相关密钥等信息。

站点通常有多个上行的链路,站点间往往有多个隧道,且这些隧道是动态的。由于传统的路由是基于隧道与下一跳建立的,因此,Underlay链路状态的变化、站点间的隧道变化等会导致全网路由的震荡。为了解决这个问题,考虑在BGP控制平面引入路由下一跳分离的机制,将传统的Overlay路由前缀加下一跳IP的路由传播方式,转变成Overlay路由前缀加下一跳站点以及独立发布下一跳站点路由的方式,这样无论链路、隧道如何变化,路由的状态还会保持稳定。

如图3所示,针对单个CPE,建议的路由的部署方案如下。

SD-WAN组网中路由方案设计

图3 路由的部署方案

LAN侧路由:CPE的LAN侧接口支持部署传统的静态路由协议、OSPF协议或者eBGP(external Border Gateway Protocol,外部边界网关协议),具体采用哪一种,由LAN侧对接的网络设备的路由部署方式决定,双方保持一致即可。具体的配置需要由网络管理员在网络控制器上人工指定。

内联隧道路由:同一个CPE内部的不同VPN之间可能需要路由互通,比如Underlay VPN与某个业务VPN之间需要建立一个隧道,称为内联隧道,系统内部编排默认为一种固定的路由协议,比如OSPF协议,不需要网络管理员配置。

互联链路路由:当站点部署双CPE时,需要在CPE间建立一个互联链路,用于两个CPE上同一个VPN的路由互通。默认采用某种固定的路由协议,比如OSPF协议,该配置也由网络控制器自动编排。

WAN侧Overlay路由:一般部署EVPN,和区域控制器建立BGP邻居,实现Overlay网络域路由的传播,该配置由系统自动编排。

WAN侧Underlay路由:类似LAN侧路由部署方式,CPE的WAN接口支持部署传统的静态路由协议、OSPF协议或者eBGP,具体采用哪一种,由WAN侧Underlay网络对接的网络设备的路由部署方式决定,双方保持一致即可。具体的配置需要由网络管理员在网络控制器上人工指定。

以上就是SD-WAN组网中路由方案设计的介绍。如果你还有其他问题,欢迎进行咨询探讨,希望VeCloud的专业的解决方案,可以解决你目前遇到的问题。微云网络提供全球主机托管、服务器租用、MPLS VPN、SD-WAN等方面的专业服务,资源覆盖全球。欢迎咨询。

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:sales@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

标题:SD-WAN组网中路由方案设计

TAG标签:SD-WAN

地址:http://www.kd010.com/hyzs/637.html

上一篇:汽车配件制造商MPLS双线组网方案
下一篇:在线外语教育企业MPLS组网方案

Vecloud云网络解决方案

点击获取方案