什么是SD-WAN EVPN?
SD-WAN(Software-Defined Wide Area Network) EVPN(Ethernet Virtual Private Network)是一种通过扩展现有EVPN技术实现Overlay业务网络和Underlay传输网络分离的VPN解决方案。它是在BGP协议基础上定义了新的BGP SD-WAN路由,然后利用EVPN的IP前缀路由来互相通告各自的业务路由,打通Underlay网络的数据通道以及Overlay网络的业务路径,提升企业网络的性能。
SD-WAN、EVPN有什么关系?
SD-WAN简介
SD-WAN(Software-Defined Wide Area Network,软件定义的广域网),是一种低成本、易部署、易管理的,适用于小微企业的一种广域网解决方案。想要了解更多信息,请跳转SD-WAN查看更详细的介绍。
在过去,实现广域网大多是通过两种方式:专线和VPN。专线就是建立一条只属于企业的网络传输线路,费用可想而知是及其昂贵的,而且具有机动性差缺点。而通过VPN技术,在公有网络上建立虚拟的专用网络,也会造成极高的维护成本。实现低成本的目的,就要尽可能利旧,避免引入新硬件和大量的人工部署。SD-WAN的出现就是为了避免这两种情况,通过引入控制器和具有多种接口类型的硬件设备,让控制器通过公有网络直接控制硬件,通过软件能力实现对业务的主动识别,并为其安排适合的服务质量。
EVPN简介
广域网主要目的是实现跨地域的网络通信。对于一个企业来说,能够跨地域便捷的实现二层网络通信似乎是一件可望而不可求的事情。在过去虽然有L2VPN技术,但是由于其对远端MAC地址的学习严重依赖于ARP广播,造成带宽损耗大、性能差的后果。随着新技术和新场景的诞生,L2VPN已经不能满足越来越多的专线需求,因此业界提出了EVPN。
EVPN是Ethernet Virtual Private Network的简称,中文名叫基于以太的虚拟私有网络,是一种通过扩展BGP协议实现在控制面传递MAC信息一种VPN解决方案,突破了MAC地址学习能力对传统VPN网络的限制。想要了解更多信息,请跳转EVPN查看更详细的介绍。SD-WAN就是通过EVPN,在公有网络上实现了跨地域的二层网络连接。
为什么需要SD-WAN EVPN?
企业通常采用Hub-Spoke的组网方式将总部和多个分支网络进行相连,便于加强企业的通信安全。企业的总部地址一般采用静态的公网地址,而分支一般采用动态的公网地址接入Internet。在运营商接入服务场景中,需要实现CPE间数据传输,当组网规模庞大时,配置十分复杂。
传统方式的问题
通过IPSec或GRE over IPSec等技术构建VPN网络
分支之间无法相互获取公网地址,故分支间无法直接通信,数据需通过总部(Hub节点)中转。通过总部中转会带来一些其他的问题:
- 总部会产生较大的性能压力,消耗总部的CPU及内存资源;
- 分支之间的数据在总部中转会引入额外的数据流封装和解封装,引入额外的网络延迟;
- 随着IPSec网络规模的扩大,需要部署动态路由协议。由于动态路由协议依赖于组播和广播报文进行路由更新,而IPSec不支持广播和组播报文传输。
通过DSVPN 技术构建VPN网络
DSVPN (Dynamic Smart Virtual Private Network),即动态智能VPN方案来解决,通过下一跳解析协议NHRP(Next Hop Resolution Protocol)和mGRE(multipoint Generic Routing Encapsulation)相结合的方式解决了上述问题。但随着企业分支站点的数量逐渐增加,DSVPN方案的诸多限制将导致站点规模的扩展变的越来越困难。
SD-WAN EVPN技术的优势
解决了传统VPN网络资源耗费严重、部署困难、网络质量低的问题:
- 可以实现业务网络和传输网络的分离,且能保障数据快速安全传输。
- 可以实现站点间的隧道全链接,为业务网络的数据传输提供保障,减少配置的工作量,且降低了网络中链路的数量,提升了网络的性能。
- 可以实现业务流量的快速安全传输,为运营服务提供了良好的保障。
解决了DSVPN网络规格和组网的限制:
- 引入BGP协议,实现业务网络和底层传输网络的分离,隧道的建立不再依赖VPN,两个站点间的隧道数量=链路数,解除多VPN的限制,同时无需运行NHRP协议;不再基于链路建立BGP Peer,普通站点只需要和RR建立BGP Peer即可;密钥使用统一分发,不需要再运行IKE协商。
- 控制节点和数据节点解耦,通过路由策略实现网络拓扑的控制,可根据场景使用多种模式,如Hub-Spoke、Full-Mesh或混合模式,以适应更多的复杂场景。
SD-WAN EVPN的组成
SD-WAN EVPN是一种用于Overlay业务网络和底层传输网络分离以及业务网络路由和传输网络路由分离的VPN技术。SD-WAN EVPN技术采用类似于BGP/MPLS IP VPN的机制,通过扩展BGP协议,使用扩展后的可达性信息,使不同站点的底层传输网络互通,通过BGP的多VPN能力,统一控制协议,使路由统一发布,最终实现不同站点网络间的隧道封装信息从数据平面转移到控制平面。
SD-WAN EVPN的基本应用场景如下图所示。分支机构分布在不同城市,需要接入运营商网络实现广域互联。
SD-WAN EVPN应用场景
SD-WAN EVPN主要涉及如下表所示的关键部件:
部件 |
部件功能 |
部件用途 |
|---|---|---|
网络控制器(AC) |
负责网络业务编排。 |
控制整个SD-WAN网络。 |
区域控制器(RR) |
负责CPE之间BGP EVPN路由和SD-WAN隧道信息的分发。在当前方案中,区域控制器通常作为路由反射器(RR)。 |
转发网络中各CPE的信息。 |
CPE |
负责根据控制器下发的信息建立SD-WAN数据通道,并转发业务流量。 |
根据RR的信息,建立用于本站点和其他站点通信的隧道。 |
TN |
Transport Network,运营商提供的广域接入网络,实现企业的广域分支互联,主要包括运营商专线网络和Internet公用网络等,TN是构建SD-WAN Overlay网络的基础依赖。TNP(Transport Network Port),是CPE设备接入TN的WAN接口,关键信息包括:Site ID,Transport Network-ID,Public IP,Private IP和Tunnel Encapsulation等,由控制器下发给CPE。 |
运营商网络,实现SD-WAN EVPN的底层依赖。 |
SD-WAN EVPN主要涉及如下表所示的通道类型:
通道类型 |
通道功能 |
通道用途 |
|---|---|---|
NETCONF管理通道 |
在AC与RR、AC与CPE之间建立的管理通道,主要用于AC向RR、CPE下发System IP,以及AC向CPE分配其所属的RR。 |
用于网络控制器管理各部件。 |
DTLS管理通道 |
DTLS(Datagram Transport Layer Security)管理通道,在CPE与RR之间建立的管理通道,CPE和RR之间通过DTLS管理通道将各自的TNP(Transport Network Port)信息、SD-WAN隧道的SA(Security Association)参数通告对方,建立起CPE与RR之间的SD-WAN隧道。 |
用于让RR学习所有的CPE节点信息。 |
BGP SD-WAN控制通道 |
RR和CPE之间通过SD-WAN隧道交互BGP协议报文,建立起BGP SD-WAN控制通道。CPE通过BGP SD-WAN控制通道将自己的TNP信息、SD-WAN数据通道的SA参数以及本端的业务路由通告给RR;RR将CPE发来的TNP信息、SD-WAN数据通道的SA参数以及业务路由反射给其他CPE。 |
用于CPE学习其他CPE节点的信息以及所携带的业务路由信息。 |
SD-WAN数据通道 |
不同的CPE之间通过RR互相学习到对端的TNP信息、SD-WAN数据通道的SA参数以及业务路由,然后CPE之间创建SD-WAN数据通道,用于转发CPE之间的三层业务流量。 |
用于CPE之间的相互通信。 |
SD-WAN EVPN的整体方案架构如下图所示。
SD-WAN EVPN方案的架构示意图
SD-WAN EVPN是如何工作的?
SD-WAN EVPN工作机制
- 控制器上线实现纳管
控制器上线,网络管理员通过AC的Portal界面定义业务,调用RESTful接口通知AC的编排组件进行网络业务的编排。
- NETCONF管理通道建立
RR上线,向控制器注册:控制器为RR分配设备管理IP,下发TNP以及IPsec SA信息,下发DTLS服务器和开启侦听端口的的命令,下发静态路由使RR与CPE间路由可达。
CPE上线,向控制器注册:控制器为CPE分配设备管理IP,根据获取的CPE信息为CPE分配RR并下发对应RR的注册地址和端口号,下发TNP信息以及IPsec SA信息,下发静态路由使CPE与RR间路由可达。
- DTLS管理通道建立
CPE根据控制器下发的RR注册地址、TNP信息,主动发起DTLS连接。
DTLS管理通道建立示意图 - BGP SD-WAN控制通道建立
CPE通过DTLS连接,将自身的TNP和IPSec SA等信息通知RR,RR将自身的TNP信息和IPSec SA信息反向通知CPE设备。之后,RR与CPE之间将完成建立BGP SD-WAN控制通道。
BGP SD-WAN控制通道建立示意图 - SD-WAN数据通道建立
在AC的管理下,RR和CPE设备之间建立邻居关系(如MP-BGP)。此时,RR可接收到所有CPE的TNP信息和IPSec SA信息,通过RR反射给所有CPE后,CPE之间将相互学习到彼此的TNP信息。
当CPE1有LAN侧路由发布后,对端CPE2会通过RR学习到CPE1的LAN侧路由,从而实现建立CPE1与CPE2之间的SD-WAN数据通道。
SD-WAN数据通道建立示意图 - 业务编排
AC将网络管理员定义的面向业务的策略编排后通过NETCONF接口通知RR。RR基于网络管理员定义的策略,进行站点之间VPN拓扑、路由和隧道信息的分发,不同的站点之间实现安全按需的互联。
- 作者: 李晔帆、孟显海
- 最近更新: 2024-04-15
- 浏览次数: 4210
- 平均得分:
