sd-wan技术详解全套.docx

sd-wan技术详解1、sd-wan可以把传统的路由、QOS,安全和广域网进行了融合，同 时引入Sdn控制器和nfv （nfv网络功能虚拟化，意思就是把以前的路 由和交换机等设备全部用一台服务器，虚拟出不同的系统还充当路由和 交换），通过Sdn控制器进行集中下发配置、和管理。2、Sd-Wan主要采用了 OVerlay技术，控制平面用bgp-evpn协议，转 发层面用ipsec隧道技术协议转发层面用v×lan,控制层面用evpnvxlan在数据传输安全方面要结合ipsec使用evpn采用mp-bge协议承载，在部署ibgp时一样要用到RR, 一般把 总部的做为RR3、Sd-Wan有一种新技术fee抗丢包技术：在正常的数据流中，fee携 带冗余校验报文，来记录报文摘要信息，在数据传过去即使丢包了，也 能通过这个来重新复原报文。4、sd-wan北向接口还是一样要用开放可编程的restful APl接口5、sd-wan不用改变以前公司的网络，例如以前的公司网络用的是mpls VPn或mstp、或拨号光猫都可以，只需要在运营商和公司连接的出口 处放一台gw设备就行了，如果需要安全就在gw旁挂一台防火墙租用 给各公司、nip等类似的设备就行了,因为传统设备不支持。VerIay,所 以才要gw设备来即满足以前的网络接入又能提供支持OVerlay6、这个Sdn控制器可以放在云上也可以放在总部，主要功能就负责一是网络编排：Sd-Wan站点创建，VPn创建，网络应用选路和QOSo二是网络控制用mp bgp evpn协议,实际中用bgp协议 还要用到路由 反射r VPN路由分发和过滤，三是网络管理：网络告警、日志、运维信息采集用netconf协议,http2.0 用于设备性能信息采集。7、Sdn控制器还集成了 Portal认证功能，但也可以支持其它厂商的。8、网络控制要传统的bgp协议承载，netconf协议给设备下发配置用 的是ssh协议承载,网络设备上线认证用https协议，9、sd-wan三步走：先建立管理通道用ssh承载netconf,再建立控制 通道用bgp承载bgp evpn,最后数据通道用ipsec加密。10> netconf协议 架构（netconf脚本用yang语言来写，类似于html 语言）：传输层:SSh tls So叩 beep消息层:hello rpc调用操作层:get-config内容层：status data/config data11、netconf三个功能：netconf管理网络设备：先dhcp获取到地址，再用ssh进行连接控制netconf给设备下发配置：netconf获取设备状态:CPU和内存等利用率，设备序列号注册信息等12、sd-wan初始化流程1：网管通过sdn控制器上的portal页面进行业务定制，调用restful 接口编排网络拓扑和Vlan划分：路由选路和QoS等。2:区域控制器上线，向sdn网络控制器注册，3:网络设备（各分支公司的出口 CPe）上线，向SDn控制器注册，Sdn控 制器为网络设备分配管理IP,然后通过IP来管理网络设备，让其被区 域控制器管理，为其分配对应的区域控制器管理，随后为每个网络设备 配置mpbgp路由，打通网络设备到区域控制器的路由。4：网络设备用bgp向区域控制器注册5:网络控制器对网管定义的策略，通过netconf协议传给区域控制器，进行站点间的VPn拓扑，路由和隧道等信息分发，各站点间的安全互联。13、站点cpe,也就是公司总部和分部的出口设备，这个设备现在是用 一个设备集成了，cpe：传统的路由出口设备ucpe： 一个盒式设备，里面有防火墙、路由器，IPS等功多个功能于一 体的设备VCPe设备：里面用软件虚拟出来防火墙、路由器，IPS等功多个功能于 一体的设备，简称VCPe设备。一般公司出口设备用cpe和Ucpe,公有云上的出口设备用vcpe设备。cpe设备要做成和mpls vpn的pe设备一样，用vrf来隔离开underlay 和overlay,然后建立bgp连接。14、VCPE开局常用的两种方法：第一种：首先厂家网管会发一封email给公司的网管，厂家网管在出厂 前就给Sdn和cpe设备配置好了，要么他配置了关联了这台esn序列号， 也可以选择不关联，如果不关联那就要指定的CPe款式，控制器会识别 这种类型的设备进行识别纳管，接着厂家会让厂家仓库出货给公司网管, 网络拿着这个email的内容进行操作就可以实现简单开局了，其本上不 用其它的操作，厂家网管都在email里配置好了。第二种：厂家网管在出厂前就给Sdn和CPe设备配置好了，并且关联了 些cpe的esn序列号，只要设备开机就会自动发布信息去找设置好的公 网上的一台类似于dhcp的注册中心服务器，类似于arp广播一样，然 后公司网管拿到这个设备后一开机就和公网上的那台dchp服务连接上 去了，服务器一看esn就对应上了，然后CPe就被控制了。15、Sd-Wan几种网络架构方式：单层的网络拓扑以下三种：hub-spoke公司各分支不可以直接互联，必须通过总部互联，例如连 锁酒店，都经统一访问总部数据库这种，而各分支间却没有过多了互联。full-mesh各分支站点可以直接互防，也可以和总部互联，主要用于分 支站点不多的公司，又对网速要求高的，例如VoiP视频会议。IOO个 分支以内的用这种。partial-mesh公司有部分分支不支持与各分支互联，就可以来固定一个 分支支持和各分支互联的做为跳板。例如分支3要访问分支2,可是2 不能和3互联，那3可以先访问L再从1上跳到2。分层的网络拓扑: 技术方案和hub-spoke或是full-mesh一样，区别在于：类似于总部和 别一个总部来连接，然后再连接一个大的总部，这个大的总部再和其它 大的总部连接。适用于跨国网络，比较大的。