iMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书文档版本01发布日期2020-07-08华为技术有限公司版权所有 华为技术有限公司2020 保留一切权利非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播商标声明 和其他华为商标均为华为技术有限公司的商标本文档提及的其他所有商标或注册商标,由各自的所有人拥有注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证由于产品版本升级或其他原因,本文档内容会不定期进行更新除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼 邮编:518129网址:客户服务邮箱:support@客户服务:4008302118文档版本01 (2020-07-08)版权所有 华为技术有限公司iiMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书目 录目 录1 概述 11.1 产生背景 11.2 主要功能介绍 11.3 技术特色 22 组网和业务部署 32.1 LANWAN融合典型组网场景 32.2 业务部署USECASE 52.2.1 LAN/WAN站点设备统一开局自动化上线 52.2.2 总部分支用户认证接入,并跨站点VPN安全互访 52.2.3 用户站点出口支持多链路出口智能选路 63 关键技术原理 73.1 路由和VPN设计 73.1.1 VPN设计 73.1.2 路由设计 93.2 智能选路 123.2.1 功能和原理 123.2.2 链路质量监测 153.2.3 选路流程说明 183.3 按需访问Internet 203.3.1 本地上网 213.3.2 集中上网 223.3.3 混合上网 244 典型应用场景 264.1 金融行业应用场景 265 场景约束 286 缩略语表/Acronyms and Abbreviations 29文档版本01 (2020-07-08)版权所有 华为技术有限公司iiiMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书1 概述1 概述1.1 产生背景1.2 主要功能介绍1.3 技术特色1.1 产生背景随着越来越多的企业分支有互联的需求,但是传统的专线网络开通存在租用费用昂贵、开局周期长、新增业务部署复杂耗时长等问题,无法满足快速开通、灵活部署的企业网络需求。
华为CloudCampus解决方案为了解决上述互联问题,iMaster NCE-Campus融合了SD-WAN技术,很好的解决了企业园区互联诉求1.2 主要功能介绍iMaster NCE-Campus作为华为CloudCampus解决方案核心部件,在原来的LAN分支业务基础上融合了SD-WAN技术,对企业互联业务实现全流程管理,提供了专线业务的自动化部署、智能选路策略配置、企业分支连接公有云,以及即插即用、可视化运维等能力l 专线自动化部署:在完成underlay路由配置后,选择站点间的组网模式(Hub-Spoke和Full-Mesh,iMaster NCE-Campus就可以根据拓扑模式自动使用BGP-EVPN技术在分支之间自动建立Overlay隧道;l 智能选路策略:当网络质量较差、无法保障正常业务需求时,通过iMaster NCE-Campus 编排智能策略路由SPR(Smart Policy Routing)业务并下发到CPE设备上,使其能主动探测链路质量并匹配业务的需求,从而选择一条最优链路转发业务数据,有效避免网络黑洞、网络震荡等问题通过定制智能选路策略,当发生链路拥塞、无法满足指定应用的要求时,可以将流量自动切换到备传输网络,确保关键应用的体验。
l 即插即用:CPE支持邮件开局,U盘开局,以及DHCP Option的开局模式通常使用邮件开局的模式,管理员只要在iMaster NCE-Campus使用界面完成ZTP开局的初始配置,并且配置好邮箱,现场人员通过打开邮件即可完成开局配置l 可视化运维:提供实时的VPN链路状态监控,运维人员能够很快定位出故障链路1.3 技术特色对于外部用户来说,LANWAN融合使用了统一的Portal进行业务发放和运维管理,确保体验不下降对内LANWAN融合采用微服务部署模式,SD-WAN作为iMaster NCE-Campus一个微服务,采用统一的平台,确保架构统一无冗余l 统一Portal实现E2E业务编排:基于VN(虚拟网络)封装实现端到端的LAN-WAN业务的向导式统一发放,包括:VN创建、WAN拓扑编排、LAN业务编排、出口互联配置、LANWAN策略;l 统一架构: 统一的微服务架构,合并原来SD-WAN和Campus相同的服务,基础网络,设备管理,运维监控等服务,但SD-WAN网络服务作为单独的微服务安装,可以根据客户的场景支持选装l 统一的安装部署模式:继承原来iMaster NCE-Campus部署模式,提供更灵活的基于服务的定制安装,LAN-WAN融合版本支持四机最小集群部署、和分布式部署(12虚机和24虚机);文档版本01 (2020-07-08)版权所有 华为技术有限公司2iMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书2 组网和业务部署2 组网和业务部署2.1 LANWAN融合典型组网场景2.2 业务部署USECASE2.1 LANWAN融合典型组网场景原来Campus园区场景在分支之间互联场景的时候,主推的方案是使用防火墙建立IPSEC VPN的方案,支持SD-WAN特性之后,根据客户对分支之间选路的诉求,可以使用AR使用SD-WAN的GRE over IPSEC隧道,进行智能选路。
推荐的3种组网模型如下:中小企业,本地互联场景组网(分支<200)大型企业,本地互联场景组网(分支>200):跨国企业,分布式区域中心组网场景2.2 业务部署USECASE2.2.1 LAN/WAN站点设备统一开局自动化上线主要部署如下:1. 设备安装上电2. 控制器添加站点和设备信息3. 配置网关设备的ZTP配置和邮件开局4. 其他接入设备从DHCP Option获取控制器地址上线5. 离线配置推送2.2.2 总部分支用户认证接入,并跨站点VPN安全互访主要步骤如下:1. 创建部门的VN和VPN实例,并将站点加入到VN2. WAN业务编排:创建EVPN拓扑(Hub/Spoke模式),总部做Hub点3. LAN业务编排:(1)在核心以业务Vlan创建subnet,开启dhcpServer;(2)SW放通业务Vlan;(3)AP以业务VLan创建SSID,指定认证模式4. LANWAN互联业务编排:(1)核心和GW的互联接口;(2)核心和GW的路由;2.2.3 用户站点出口支持多链路出口智能选路主要步骤如下:1. 进入VN,选择需要进行智能选路的部门2. 配置智能选路策略,包含流分类模板和策略优先级3. 配置切换指标,选择系统预定义的四类指标,或者选择自定义4. 关联智能选路策略的站点,策略只对被选择的站点生效5. 下发智能选路策略到站点,并设置策略开始执行时间文档版本01 (2020-07-08)版权所有 华为技术有限公司6iMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书3 关键技术原理3 关键技术原理3.1 路由和VPN设计3.2 智能选路3.3 按需访问Internet3.1 路由和VPN设计3.1.1 VPN设计SD-WAN通过VPN功能实现单租户多部门间的业务隔离。
VPN是SD-WAN上虚拟隔离网络的简称,每个VPN是一个独立的IP三层私有网络,多个不同的VPN端到端从连接站点的Tunnel到站点的CPE设备,都实现了彼此的逻辑隔离,互相无法直接访问具体到企业的多个部门隔离,就是针对每个部门分别规划定义一个VPN图 3‑21 SD-WAN VPN方案原理从实现角度,VPN的端到端的隔离体现在站点和overlay隧道VPN隔离两个部分:1. 站点VPN隔离站点上实现VPN标识的方式通常是采用传统的VRF方式,每个部门对应创建一个VRF,并且将该VPN,即企业相关部门的LAN侧接口放入到对应的VRF中由于不同的VRF之间的转发表是独立的,互相无法访问,因此就能实现该站点上VPN之间的业务隔离图 3‑22 SD-WAN 站点VPN方案设计− Underlay VPNCPE的所有的WAN接口,即Transport Port,都各自单独部署在一个独立的VPN中,也可以称之为underlay VPN,这样做的目的一个是实现了CPE上Underlay域和Overlay域的隔离,此外还规避了不同的运营商分配WAN IP地址可能的发生冲突的问题− 管理VPN站点的CPE设备需要发起向远端AC控制器的注册和相应的管理、控制通道的建立,为此,专门在站点CPE上规划了一个独立的管理VPN,其中包含了一个Loopback接口,该接口的IP地址在企业WAN网络内唯一标识,也是该CPE的Router ID。
分支CPE上电后,为了能够对远端的AC控制器进行访问,需要在管理VPN内配置缺省路由或者到AC控制器的精确路由,这些工作需要在CPE的即插即用开局阶段自动完成− 业务VPN除了上述两种基础的VPN,还有业务VPN,业务VPN承载了企业每个站点的LAN侧业务,是企业WAN互通的业务实体业务VPN的可能是一个,也可能是多个,根据企业实际需要隔离的业务数量而定这些VPN上可以使能多种路由协议,如静态路由、OSPF和BGP等;可以在LAN侧部署VRRP,可以部署QoS、应用选路、安全和WOC策略等网络增值服务为了与远端的站点实现VPN互通,需要跨域WAN互相学习双方的业务VPN路由;具体来说,两端站点将本地LAN侧的业务路由通过BGP协议传播给中间的路由反射器RR,然后借助BGP实现路由的互相学习2. 隧道VPN隔离首先,在两个需要进行通信的分支站点之间,建立一条或者多条SD-WAN Tunnel,两个站点之间共享一个Tunnel,该Tunnel的外层源和目的隧道封装IP地址分别是源站点CPE和目的站点CPE所对应的共享的WAN链路接口IP地址,而具体采用哪种IP隧道技术可以灵活选择,比如用GRE、IPSec、Vxlan等IP overlay隧道中选择一种。
为了区分每个VPN在共享的Tunnel的业务流量,需要在Tunnel内为不同的VPN的流量增加一个标识,具体做法通常是在报文中增加一个ID,ID的封装根据Tunnel的具体技术而定,比如如果Tunnel采用的是。