华为SD-WAN解决方案提供多种组网模型-电子发烧友网

本文主要介绍了SD-WAN的总体架构和关键技术：ZTP开局、灵活组网、智能选路、广域优化、安全、运维与监控等。

SD-WAN 总体架构

华为SD-WAN解决方案总体架构如图1-1所示，主要包括：管理层、控制层和网络层。每层具备明确的核心组件并承担不同的功能。图1-1 华为SD-WAN解决方案总体架构

管理层：网络控制器是管理层的核心部件，是SD-WAN解决方案的智慧大脑，具有网络编排、管理能力，通过已有的Portal界面，进行SD-WAN端到端业务处理。

控制层：RR（SD-WAN Route Reflector，SD-WAN路由反射器），是控制层的核心产品组件，主要负责集中控制SD-WAN网络层的路由转发和拓扑定义。

网络层：从业务角度来说，企业的分支、总部和数据中心以及在云上部署的IT基础设施等都可以统称为企业的站点。用于不同站点WAN互联的网络设备以及中间的WAN一起构成了SD-WAN的网络层。

SD-WAN 关键技术

安全可靠的系统通道

SD-WAN解决方案的各个产品组件需要协同运作来共同实现SD-WAN解决方案的各种功能。逻辑上抽象为如下三个系统通道，如图1-2所示，实现不同类型的数据逻辑隔离，业务互不影响。

图1-2 SD-WAN系统通道

多场景ZTP开局，设备即插即用

传统分支网络的开局存在技术门槛高、易出错、耗时长的问题。SD-WAN解决方案提供多种ZTP开局方式，来满足不同场景的诉求。当前支持的开局方式如表1-1所示，开局流程如图1-3所示。

表1-1 ZTP开局方式开局方式适用场景

邮件开局适用于到现场进行开局的场景。网络管理员将开局邮件发送到指定邮箱，开局人员在收到开局邮件后，通过点击邮件中的URL，设备自动完成开局部署。

U盘开局适合于在库房批量开局的场景。设备管理员在库房对CPE进行导入配置操作后，开局人员只需对CPE进行连线，插入U盘后设备上电。

DHCP Option开局仅适用于CPE通过DHCP接入的场景。站点开局人员只需对CPE进行连线上电，无须其他额外操作。

图1-3 ZTP开局流程

灵活组网，满足不同网络需求

LAN侧组网

华为SD-WAN解决方案提供FE、GE、XGE、Eth-Trunk等丰富的接口进行LAN侧对接，并支持二层、三层2种对接场景。

LAN侧二层对接

对于规模较小的站点，当内部网络结构比较简单时，CPE通常通过二层方式连接站点的内部网络。当前支持四种组网方式，如图1-4所示。

图1-4 LAN侧二层组网

LAN侧三层对接

对于较大的企业站点，站点网络有着较复杂的网络结构，网络设施比较复杂，不仅由众多的路由器、交换机构建而成，而且会伴随着分层结构和多网络设计。SD-WAN路由器可以通过静态路由、BGP和OSPF路由的方式打通与LAN侧的三层联接，并提供图1-5所示三种组网。图1-5 LAN侧三层组网

WAN侧组网

华为SD-WAN解决方案提供以太接口、LTE/5G接口、xDSL接口等丰富的WAN侧接口。根据SD-WAN站点内部署的CPE数量以及CPE的WAN侧连接链路数量，提供多种组网模型。

部署单CPE组网

对于小型站点可以选择部署单CPE设备，如图1-6所示。图1-6 单CPE组网

部署双CPE组网

对于可靠性要求较高的站点建议选择部署双CPE设备，如图1-7所示，以提供设备级冗余。图1-7 双CPE组网

Overlay隧道按需构建

SD-WAN站点通过在Underlay网络上构建Overlay隧道实现站点间的互通。企业WAN的拓扑模型，主要分为单层网络模型和分层网络模型两种。按照网络的拓扑进行细分，单层网络模型进一步又可以划分为Hub-spoke、Full-mesh和Partial-mesh方式，具体如图1-8所示。

图1-8 企业WAN的拓扑模型

应用智能选路，保障关键应用，提升带宽利用率

SD-WAN的一个重要特性就是可以根据应用诉求进行智能选路，即能够实时监控网络的质量，并根据应用的SLA要求，在多条不同网络质量的WAN链路上，动态、自动地选择符合应用的SLA要求的网络路径，同时兼顾WAN网络的整体使用效率。

SD-WAN解决方案提供如下智能选路算法。

链路质量选路

不同应用对链路质量的要求不同，比如语音和视频业务对时延、丢包率的容忍度较低，一般要求时延在150ms以内，丢包率低于1%；则可将语音和视频业务的主选链路配置为质量较好的MPLS链路，备选链路配置为Internet链路，并配置业务的SLA要求，按照链路SLA进行选路。

如图1-9所示，在MPLS链路/网络没有发生拥塞时质量较好，此时语音选择在MPLS链路上传输。当由于拥塞导致MPLS质量下降时，CPE通过实时的链路质量检测，在检测到链路SLA变差并达到语音所能容忍的SLA边界时，将语音流量调整到符合SLA要求的负载较轻的Internet链路上。另外在MPLS链路由于故障断链时，SD-WAN CPE实时检测到链路故障，及时地将MPLS链路上所有业务迁移到Internet链路上，保证业务不受MPLS链路故障的影响。

负载分担选路

在企业有多条链路时，希望能够充分利用线路带宽，基于链路带宽进行负载分担选路，此时可配置负载均衡方式的选路调度方式。图1-10 负载分担选路

如图1-10所示，企业分别购买了不同运营商的两条MPLS链路，运营商A的100M的MPLS和运营商B的50M的MPLS，则可将语音业务的主选链路设置为这两条MPLS链路。在两条链路质量均满足语音业务SLA的前提下，语音业务可以以负载分担的方式跑在两条MPLS链路上，充分利用线路带宽。

应用优先级选路

如果在同一条链路上有多种业务报文，为了在链路拥塞时优先保证高优先级应用的使用，在发生拥塞时低优先级应用避让高优先级应用，此时可使用优先级选路。比如语音和视频以及文件传输都在MPLS上，在链路带宽不够时优先保证语音和视频业务不受影响。

如图1-11所示，由于MPLS线路质量相对Internet链路好，为充分利用MPLS链路，将语音和FTP业务的主选链路均选择为MPLS，备选链路为Internet。设置语音业务的优先级高于FTP。初始时，语音和FTP均选择MPLS链路，随着语音业务和FTP业务的增加，MPLS链路出现拥塞，为保证语音业务的体验，将FTP业务逐步迁移到Internet链路，在MPLS拥塞解除后停止迁移。另外，为充分利用MPLS带宽，可以配置在MPLS恢复时将FTP业务逐步迁移回MPLS链路。

带宽利用率选路

如果在同一条链路上有多种业务报文，为了在链路拥塞时优先保证高优先级应用的使用，在线路带宽利用率达到一个阈值后时，低优先级应用避让高优先级应用同时选择其他满足要求的链路转发，此时可使用带宽利用率选路。比如语音和文件传输都在MPLS上，在链路带宽利用率超过阈值上限时，优先保证语音业务不受影响。

如图1-12所示，由于MPLS线路质量相对Internet链路好，为充分利用MPLS链路，将语音和FTP业务的主选链路均选择为MPLS，备选链路为Internet。设置语音业务的优先级高于FTP，并且设置MPLS链路切换的阈值上限为70%、阈值下限为50%。初始时，语音和FTP均选择MPLS链路，随着语音业务和FTP业务的增加，MPLS链路出现拥塞，当MPLS链路的带宽利用率超过70%时，为保证语音业务的体验，将FTP业务逐步迁移到Internet链路。另外，为充分利用MPLS带宽，当MPLS链路的带宽利用率小于50%时，将FTP业务逐步迁移回MPLS链路。

广域网优化，提升应用的访问体验

随着音视频分辨率的提升，音视频会议和视频监控技术应用更加广泛，音视频对带宽和时延的要求也在迅速增长。企业数据流量WAN侧比重逐渐加大，造成了企业租用线路的费用大幅提升。而Internet线路质量也带来了企业应用体验问题，为了解决这些问题，企业网络需要引入广域链路优化技术来优化应用的访问体验，并且降低企业带宽费用。

FEC优化

FEC（Forward Error Correction，前向错误纠正）通过配置流策略的方式，对报文丢包进行优化。FEC通过流分类拦截指定数据流，增加携带校验信息的冗余包，并在接收端进行校验。如果网络中出现了丢包或者报文损伤，则通过冗余包还原报文。

多路包复制

多路包复制（双发选收）是一种抗丢包技术。发送端CPE对数据包进行复制，把原始包和复制包通过多条链路中的两条一起发送。如果一条链路上有丢包，则接收端CPE通过另一条链路上的冗余包还原，从而不用重传。适用于流量小、高可靠的业务。例如：VoIP、付款业务等。

逐包负载分担

当某条流特别大（即大象流），一条链路承载不了，但是其他链路空闲。逐包负载分担可以将大象流分担到多条链路上，提升链路利用率。在有多条出口链路的站点中，对加速大文件传输有很好的效果，常见的应用有：FTP/HTTP下载大文件、数据备份复制等。

主动防御，构建端到端安全保障

SD-WAN解决方案从系统安全、业务安全、组件安全三个方面，如图1-15所示来保证安全。

系统安全：是SD-WAN解决方案必备的基础安全能力，系统在初始化之后就自动具备这些能力，使得SD-WAN解决方案系统能够安全、可靠地运转。

业务安全：是单独部署的安全功能，根据企业用户实际的业务安全需求，灵活选择合适的安全防护措施。

组件安全：iMaster NCE、CPE、RR组件本身提供的安全功能以及在组件部署时需要考虑的安全因素。

可视化运维与监控，提升运维效率