文章引讀

01.楔子

02.企業(yè)多分支組網(wǎng)的演進(jìn)

? 2.1 傳統(tǒng)Hub-Spoke VPN組網(wǎng)

? 2.2 傳統(tǒng)動態(tài)VPN組網(wǎng)

? 2.3 SDWAN 1.0: 面向企業(yè)的SDWAN

? 2.4 SDWAN 2.0: 面向服務(wù)提供商的SDWAN

? 2.5 SDWAN 3.0: 領(lǐng)灣 面向企業(yè)與服務(wù)提供商相結(jié)合的SDWAN

03.多種組網(wǎng)方式的比較

01

寫在前面的話

網(wǎng)絡(luò)世界永恒的話題,就是組網(wǎng)。從局域網(wǎng),城域網(wǎng)到廣域網(wǎng),每個細(xì)分領(lǐng)域都有說不完的話題。今天,我們把話題聚焦在企業(yè)多分支互聯(lián)的組網(wǎng)上。

企業(yè)多分支的組網(wǎng),用通俗的話講,就是企業(yè)的多個分支,通過虛擬專用網(wǎng)絡(luò)技術(shù),以Internet網(wǎng)絡(luò)為基礎(chǔ),進(jìn)行私有網(wǎng)絡(luò)互聯(lián)。當(dāng)然,也有土豪套餐,就是全程采用專線技術(shù),構(gòu)建企業(yè)自己的私有網(wǎng)絡(luò)。今天,我們暫不討論土豪套餐,重點關(guān)注前者。

02

企業(yè)多分支組網(wǎng)的演進(jìn)

2.1 傳統(tǒng)Hub-Spoke VPN組網(wǎng)

拓?fù)?

實際組網(wǎng)中最常見的是公司總部與多個分支機(jī)構(gòu)通過點到多點IPSec VPN互通,典型組網(wǎng)如下圖所示

數(shù)據(jù)面:

該場景的數(shù)據(jù)路徑通常分為兩種:

? 分支只與總部有數(shù)據(jù)交互,分支之間并不需要業(yè)務(wù)互通。

? 分支之間需要數(shù)據(jù)互通,需要總部中轉(zhuǎn)。

從數(shù)據(jù)路徑上分析,路徑二缺點很明顯:到總部中轉(zhuǎn)的代價是,浪費帶寬資源,浪費總部設(shè)備資源,延長數(shù)據(jù)路徑,增加故障點。

管理面:

從配置管理角度看,IPSec的底層配置邏輯還是略顯復(fù)雜,需要資深網(wǎng)工才能駕馭,能理解下圖,方能開工。

理解了配置原理,設(shè)計好了配置模板,再來看配置工作量:每添加一個分支,都要配置一遍。大規(guī)模部署,不得不考慮一下。

2.2 傳統(tǒng)動態(tài)VPN組網(wǎng)

傳統(tǒng)Hub-Spoke的組網(wǎng)模型,分支之間的流量需要繞行Hub,帶來了諸多缺陷,在多數(shù)場景是不允許的。

一種簡單的解決方案,就是需要通信的站點之間都建立IPSec隧道,流量按需選擇隧道,也就是Full-Mesh組網(wǎng)模型。但這種只是理論上的解決方案,配置管理指數(shù)級增長,且要求每個站點都具備公網(wǎng)IP,落地不切實際。

Cisco 推出的DMVPN解決方案,就是用來解決上述問題的,既解決Hub-Spoke的流量繞行缺陷,又解決了Full-Mesh的繁瑣配置及公網(wǎng)需求。其他硬件廠商都推出了類似的解決方案,Huawei的DSVPN,H3C的DVPN,Juniper的AC-VPN,Fortinet的ADVPN。

該方案是由幾個協(xié)議配合完成的,以Cisco的DMVPN為例,基本思路與流程如下:

先建立Hub-Spoke模型的IPSec隧道。Spoke與Spoke之間的隧道則是按需動態(tài)建立的,采用動態(tài)點對多點的GRE隧道技術(shù) – MGRE。Spoke與Spoke建立之前,必須知道對方的地址;這依賴NHRP(下一跳解析協(xié)議)來實現(xiàn)。NHRP,基于C/S模型,Hub端充當(dāng)Server,Spoke端充當(dāng)Client,Client端啟動后,會向Server端注冊,Server端會獲取和管理所有Client端的隧道信息。DMVPN,當(dāng)一個Spoke想向另一個Spoke發(fā)送數(shù)據(jù)時,首先需要到Server端查詢對端Spoke的信息,然后動態(tài)建立隧道,進(jìn)行數(shù)據(jù)傳輸;同時,需要進(jìn)行隧道?；?當(dāng)一段時間沒有數(shù)據(jù)后,隧道拆除。動態(tài)路由,動態(tài)路由協(xié)議需要運行在隧道上,用于站點之間的業(yè)務(wù)路由學(xué)習(xí)與更新。

技術(shù)復(fù)雜度再度升級,技術(shù)發(fā)燒友的福音,IT運維交付人員的噩夢。

2.3 SDWAN 1.0: 面向企業(yè)的SDWAN

面向企業(yè)的SDWAN解決方案是對傳統(tǒng)的IPSec VPN組網(wǎng)的延伸,在企業(yè)各個站點邊緣的CPE間建立隧道,無論是走Internet還是其他專線,都只提供Underlay的傳輸線路,企業(yè)的組網(wǎng)完全在服務(wù)提供商提供的網(wǎng)絡(luò)之上。從物理上來看,CPE可放在企業(yè)的總部/數(shù)據(jù)中心/分支網(wǎng),而從組網(wǎng)上來看,無論是Hub-Spoke還是Full Mesh,各站點間邏輯上都是一跳可達(dá)。

從數(shù)據(jù)路徑上看,面向企業(yè)的SDWAN模式,和傳統(tǒng)的VPN組網(wǎng)并沒有不同。那么,這種方案到底帶來了哪些改進(jìn)呢?概括起來,主要有以下幾個方面:

? 引入了控制器的角色,用于CPE的發(fā)現(xiàn)與管理,并動態(tài)向其下發(fā)用于建立隧道的信息,以及組網(wǎng)所需要的路由信息,大大的提高了配置效率。

? 增加了WAN鏈路的監(jiān)控,優(yōu)化選路以及鏈路的故障切換。

上述優(yōu)勢非常明顯,但也有明顯的不足,就是數(shù)通通路還是承載在公共網(wǎng)絡(luò)之上的,所有的鏈路優(yōu)化也是基于公共網(wǎng)絡(luò)的,在某些場景下,質(zhì)量與專線差別明顯。

2.4 SDWAN 2.0: 面向服務(wù)提供商的SDWAN

首先說明一下,SDWAN2.0并非SDWAN1.0簡單的升級版本,準(zhǔn)確的說,應(yīng)該是兩種不同的解決方案思路。所以,增加了”面向企業(yè)“和”面向服務(wù)提供商“的描述。

基本上,服務(wù)提供商已經(jīng)擁有了全國甚至全球范圍內(nèi)的骨干網(wǎng)節(jié)點,并能夠為企業(yè)提供MPLS VPN或其他專線接入,專用骨干網(wǎng)的服務(wù)質(zhì)量在絕大部分場景下優(yōu)于公共網(wǎng)絡(luò)的質(zhì)量。

面向服務(wù)提供商的SDWAN解決方案的思路是,利用已有的專用骨干網(wǎng),集中精力解決最后一公里的接入、優(yōu)化和管理。具體的實施方案通常是在各個骨干節(jié)點建立POP點,部署SDWAN網(wǎng)關(guān)設(shè)備,接入現(xiàn)有的專用骨干網(wǎng)。

面向企業(yè)端,為企業(yè)端的CPE提供IPSec接入。

該方案的組網(wǎng)方式與數(shù)據(jù)路徑較之前發(fā)生了較大的改變,CPE只需要與就近的POP點建立IPSec隧道,從而實現(xiàn)了個企業(yè)分支之間的互聯(lián)。其優(yōu)勢總結(jié)如下:

? 盡可能利用專用骨干網(wǎng),提升整體的網(wǎng)絡(luò)服務(wù)質(zhì)量。

? 簡化了CPE之間的隧道建立模式,每個分支節(jié)點只需要建立1條或2條(備份或負(fù)載分擔(dān))隧道,就能輕松完成Full-Mesh組網(wǎng)。

? 繼承了面向企業(yè)SDWAN中,控制器對于CPE的發(fā)現(xiàn)與管理,及隧道與路由策略的動態(tài)計算等優(yōu)勢。

? 繼承了面向企業(yè)SDWAN中,CPE WAN鏈路的監(jiān)控,優(yōu)化選路以及鏈路故障切換等優(yōu)勢。

但該方案也存在明顯的不足,就是POP點通常只會覆蓋一,二線城市,這樣,對于某些同城/省組網(wǎng)的時候,其網(wǎng)絡(luò)質(zhì)量就不如面向企業(yè)的SDWAN組網(wǎng)模式。因為同城之間,直接通過公共網(wǎng)絡(luò)互聯(lián),要比經(jīng)過POP點節(jié)省了網(wǎng)絡(luò)路徑的開銷。

2.5 SDWAN 3.0 LinkWAN

面向企業(yè)與服務(wù)提供商相結(jié)合的SDWAN

領(lǐng)灣提出的SDWAN 3.0,繼承了SDWAN 1.0和SDWAN 2.0的優(yōu)勢部分,同時解決了兩者不足的部分,為企業(yè)提供靈活、最佳的按需組網(wǎng)方式。

該方案的基本思路是,在同城或同省互聯(lián),且公共網(wǎng)絡(luò)的服務(wù)質(zhì)量可以滿足的場景下,采用CPE與CPE之間直接建立隧道的方式,其分支流量不經(jīng)過POP節(jié)點;同城/省內(nèi)的一臺/兩臺Hub節(jié)點接入到POP點,為該城/省內(nèi)其他分支訪問其他城/省的分支提供數(shù)據(jù)通路。其效果是,同城/省內(nèi)直接互訪,跨城/省經(jīng)過POP節(jié)點互訪,達(dá)到了不同場景下的路徑最優(yōu)化。

03

多種組網(wǎng)方式對比

下面按照配置管理、數(shù)據(jù)路徑、網(wǎng)絡(luò)健壯性、運行監(jiān)控等維度,進(jìn)行比較。

配置管理評估維度:

? 配置邏輯復(fù)雜度

? 配置工作量:隨著站點的增加,工作量的增加比例

數(shù)據(jù)路徑維度:

? 流量是否必須經(jīng)過Hub繞行

? 服務(wù)質(zhì)量對公網(wǎng)質(zhì)量的依賴程度

? WAN鏈路的優(yōu)化程度

網(wǎng)絡(luò)健壯性維度:

? 單點故障程度

? 運行監(jiān)控維度

? 全網(wǎng)可視化視圖監(jiān)控程度

? WAN鏈路質(zhì)量監(jiān)控,故障切換程度

上述比較可以看出,面向企業(yè)+服務(wù)提供商相結(jié)合的SDWAN組網(wǎng)方式,對于跨地域多分支的組網(wǎng),適應(yīng)能力更強(qiáng),應(yīng)用更靈活。

審核編輯：符乾江