《iMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书》由会员分享,可在线阅读,更多相关《iMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书(32页珍藏版)》请在金锄头文库上搜索。
1、iMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书文档版本01发布日期2020-07-08华为技术有限公司版权所有 华为技术有限公司2020。 保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。商标声明 和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标,由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明
2、或保证。由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼 邮编:518129网址:客户服务邮箱:support客户服务电话:4008302118文档版本01 (2020-07-08)版权所有 华为技术有限公司iiMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书目 录目 录1 概述11.1 产生背景11.2 主要功能介绍11.3 技术特色22 组网和业务部署32.1 LANWAN融合典型组网场景32.2 业
3、务部署USECASE52.2.1 LAN/WAN站点设备统一开局自动化上线52.2.2 总部分支用户认证接入,并跨站点VPN安全互访52.2.3 用户站点出口支持多链路出口智能选路63 关键技术原理73.1 路由和VPN设计73.1.1 VPN设计73.1.2 路由设计93.2 智能选路123.2.1 功能和原理123.2.2 链路质量监测153.2.3 选路流程说明183.3 按需访问Internet203.3.1 本地上网213.3.2 集中上网223.3.3 混合上网244 典型应用场景264.1 金融行业应用场景265 场景约束286 缩略语表/Acronyms and Abbrevi
4、ations29文档版本01 (2020-07-08)版权所有 华为技术有限公司iiiMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书1 概述1 概述1.1 产生背景1.2 主要功能介绍1.3 技术特色1.1 产生背景随着越来越多的企业分支有互联的需求,但是传统的专线网络开通存在租用费用昂贵、开局周期长、新增业务部署复杂耗时长等问题,无法满足快速开通、灵活部署的企业网络需求。华为CloudCampus解决方案为了解决上述互联问题,iMaster NCE-Campus融合了SD-WAN技术,很好的解决了企业园区互联诉求。1.2 主要功能介绍iMaster N
5、CE-Campus作为华为CloudCampus解决方案核心部件,在原来的LAN分支业务基础上融合了SD-WAN技术,对企业互联业务实现全流程管理,提供了专线业务的自动化部署、智能选路策略配置、企业分支连接公有云,以及即插即用、可视化运维等能力。l 专线自动化部署:在完成underlay路由配置后,选择站点间的组网模式(Hub-Spoke和Full-Mesh,iMaster NCE-Campus就可以根据拓扑模式自动使用BGP-EVPN技术在分支之间自动建立Overlay隧道;l 智能选路策略:当网络质量较差、无法保障正常业务需求时,通过iMaster NCE-Campus 编排智能策略路由S
6、PR(Smart Policy Routing)业务并下发到CPE设备上,使其能主动探测链路质量并匹配业务的需求,从而选择一条最优链路转发业务数据,有效避免网络黑洞、网络震荡等问题。通过定制智能选路策略,当发生链路拥塞、无法满足指定应用的要求时,可以将流量自动切换到备传输网络,确保关键应用的体验。l 即插即用:CPE支持邮件开局,U盘开局,以及DHCP Option的开局模式。通常使用邮件开局的模式,管理员只要在iMaster NCE-Campus使用界面完成ZTP开局的初始配置,并且配置好邮箱,现场人员通过打开邮件即可完成开局配置。l 可视化运维:提供实时的VPN链路状态监控,运维人员能够很
7、快定位出故障链路。1.3 技术特色对于外部用户来说,LANWAN融合使用了统一的Portal进行业务发放和运维管理,确保体验不下降。对内LANWAN融合采用微服务部署模式,SD-WAN作为iMaster NCE-Campus一个微服务,采用统一的平台,确保架构统一无冗余。l 统一Portal实现E2E业务编排:基于VN(虚拟网络)封装实现端到端的LAN-WAN业务的向导式统一发放,包括:VN创建、WAN拓扑编排、LAN业务编排、出口互联配置、LANWAN策略;l 统一架构: 统一的微服务架构,合并原来SD-WAN和Campus相同的服务,基础网络,设备管理,运维监控等服务,但SD-WAN网络服
8、务作为单独的微服务安装,可以根据客户的场景支持选装。l 统一的安装部署模式:继承原来iMaster NCE-Campus部署模式,提供更灵活的基于服务的定制安装,LAN-WAN融合版本支持四机最小集群部署、和分布式部署(12虚机和24虚机);文档版本01 (2020-07-08)版权所有 华为技术有限公司2iMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书2 组网和业务部署2 组网和业务部署2.1 LANWAN融合典型组网场景2.2 业务部署USECASE2.1 LANWAN融合典型组网场景原来Campus园区场景在分支之间互联场景的时候,主推的方案是使用
9、防火墙建立IPSEC VPN的方案,支持SD-WAN特性之后,根据客户对分支之间选路的诉求,可以使用AR使用SD-WAN的GRE over IPSEC隧道,进行智能选路。推荐的3种组网模型如下:中小企业,本地互联场景组网(分支200):跨国企业,分布式区域中心组网场景2.2 业务部署USECASE2.2.1 LAN/WAN站点设备统一开局自动化上线主要部署如下:1. 设备安装上电2. 控制器添加站点和设备信息3. 配置网关设备的ZTP配置和邮件开局4. 其他接入设备从DHCP Option获取控制器地址上线5. 离线配置推送2.2.2 总部分支用户认证接入,并跨站点VPN安全互访主要步骤如下:
10、1. 创建部门的VN和VPN实例,并将站点加入到VN2. WAN业务编排:创建EVPN拓扑(Hub/Spoke模式),总部做Hub点3. LAN业务编排:(1)在核心以业务Vlan创建subnet,开启dhcpServer;(2)SW放通业务Vlan;(3)AP以业务VLan创建SSID,指定认证模式4. LANWAN互联业务编排:(1)核心和GW的互联接口;(2)核心和GW的路由;2.2.3 用户站点出口支持多链路出口智能选路主要步骤如下:1. 进入VN,选择需要进行智能选路的部门2. 配置智能选路策略,包含流分类模板和策略优先级3. 配置切换指标,选择系统预定义的四类指标,或者选择自定义4
11、. 关联智能选路策略的站点,策略只对被选择的站点生效5. 下发智能选路策略到站点,并设置策略开始执行时间文档版本01 (2020-07-08)版权所有 华为技术有限公司6iMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书3 关键技术原理3 关键技术原理3.1 路由和VPN设计3.2 智能选路3.3 按需访问Internet3.1 路由和VPN设计3.1.1 VPN设计SD-WAN通过VPN功能实现单租户多部门间的业务隔离。VPN是SD-WAN上虚拟隔离网络的简称,每个VPN是一个独立的IP三层私有网络,多个不同的VPN端到端从连接站点的Tunnel到站点的
12、CPE设备,都实现了彼此的逻辑隔离,互相无法直接访问。具体到企业的多个部门隔离,就是针对每个部门分别规划定义一个VPN。图 321 SD-WAN VPN方案原理从实现角度,VPN的端到端的隔离体现在站点和overlay隧道VPN隔离两个部分:1. 站点VPN隔离站点上实现VPN标识的方式通常是采用传统的VRF方式,每个部门对应创建一个VRF,并且将该VPN,即企业相关部门的LAN侧接口放入到对应的VRF中。由于不同的VRF之间的转发表是独立的,互相无法访问,因此就能实现该站点上VPN之间的业务隔离。图 322 SD-WAN 站点VPN方案设计 Underlay VPNCPE的所有的WAN接口,
13、即Transport Port,都各自单独部署在一个独立的VPN中,也可以称之为underlay VPN,这样做的目的一个是实现了CPE上Underlay域和Overlay域的隔离,此外还规避了不同的运营商分配WAN IP地址可能的发生冲突的问题。 管理VPN站点的CPE设备需要发起向远端AC控制器的注册和相应的管理、控制通道的建立,为此,专门在站点CPE上规划了一个独立的管理VPN,其中包含了一个Loopback接口,该接口的IP地址在企业WAN网络内唯一标识,也是该CPE的Router ID。分支CPE上电后,为了能够对远端的AC控制器进行访问,需要在管理VPN内配置缺省路由或者到AC控制
14、器的精确路由,这些工作需要在CPE的即插即用开局阶段自动完成。 业务VPN除了上述两种基础的VPN,还有业务VPN,业务VPN承载了企业每个站点的LAN侧业务,是企业WAN互通的业务实体。业务VPN的可能是一个,也可能是多个,根据企业实际需要隔离的业务数量而定。这些VPN上可以使能多种路由协议,如静态路由、OSPF和BGP等;可以在LAN侧部署VRRP,可以部署QoS、应用选路、安全和WOC策略等网络增值服务。为了与远端的站点实现VPN互通,需要跨域WAN互相学习双方的业务VPN路由;具体来说,两端站点将本地LAN侧的业务路由通过BGP协议传播给中间的路由反射器RR,然后借助BGP实现路由的互相学习。2. 隧道VPN隔离首先,在两个需要进行通信的分支站点之间,建立一条或者多条SD-WAN Tunnel,两个站点之间共享一个Tunnel,该Tunnel的外层源和目的隧道封装IP地址分别是源站点CPE和目的站点CPE所对应的共享的WAN链路接口IP地址,而具体采用哪种IP隧道技术可以灵活选择,比如用GRE、IPSec、Vxlan等IP overlay隧道中选择一种。为了区分每个VPN在共享的Tunnel的业务流量,需要在Tunnel内为不同的VPN的流量增加一个标识,具体做法通常是在报文中增加一个ID,ID的封装根据Tunnel的具体技术而定,比如如果Tunnel采用的是
