HCIE培训（Datacom）SDWAN解决方案设计理论+实战理解

WOLFLAB官方微信：17316362402，华为认证HCIE培训（Datacom）考试+学习可咨询WOLFLAB网络技术实验室，了解HCIE培训价格、HCIE培训考试费用、HCIE培训就业等问题！

广域互联网经过多年的发展与演进，发生了重大的变化。过去的广域互联网主要以网络为中心，广域互联网上的应用整体上较少，网络作为广域互联网主要组成，占据了最核心的位置。但是随着云计算的崛起，应用的潜能被充分挖掘，广域互联网逐渐变为以应用为中心。

面对云计算对广域互联网的挑战，华为推出了SD-WAN解决方案。

HCIE培训（Datacom）SDW的背景：

云计算的广泛应用导致网络中的应用激增，传统网络面临以下挑战：

①传统广域网络的改造主要依赖于提高带宽，无法针对业务流量做更加精细化的管理，无法保障语音、视频等关键业务；

②如果贵公司规模较大，分部数量较多，导致运维成本提高、业务开通周期较长、排错困难；

SD-WAN（软件定义广域网）技术能较好地解决云计算时代企业广域互联网络面临的挑战，SD-WAN是SDN和WAN的结合，表示将SDN的理念应用在WAN上，用SDN重塑WAN。

HCIE培训（Datacom）SD-WAN的优势：

①通过零配置开局（ZTP）等方式，实现分支的快速部署和上线，提高部署效率；（分支机构的运维人员可以通过邮件、U盘、DHCP的方式自动开局并且被控制器所纳管）

②基于不同的应用类型，动态调整流量的路径，实现灵活便捷的调度方式；（智能选路）

③集中管控，全网状态可视化，提供自动化、智能化运维能力；（通过控制器进行集中的管理和运维）

④提供广域优化、安全等增值业务，实现业务快速发放等等；（使用FEC/A-FEC技术，路由器自带防火墙，控制器快速下发配置）

HCIE培训（Datacom）SD-WAN解决方案的架构：

管理层：控制器对企业互联业务全流程精细管理，南向通过NETCONF实现对网络设备的纳管，北向提供标准RESTful接口与第三方应用对接。（总部和分支的边界的AR路由器需要被控制器所纳管，管理员才能够在控制器中管理各个站点并且下发配置）

控制层：控制器与分布式控制组件配合，负责区域内不同站点间的路由传递，实现区域间网络的互联互通。（为了实现总部和分支机构，或者是分支机构和分支机构的互访，需要在AR边界路由器上建立BGP EVPN的邻居关系，将本站点的路由发布出去）

网络层：分支、总部和云平台之间通过高性价比的网络设备，采用Overlay技术，按需构建基于Internet、传统专线等任意链路的全网络联接。（购买专用的SDW的设备，接入到internet中，构建underlay、overlay的网络）

注意：华为的SD-WAN的控制器有两个，iMaster NCE-WAN/iMaster NCE-Campus（LAN-WAN融合）都可以被作为华为SD-WAN控制器使用。

HCIE培训（Datacom）网络层的基本概念：

CPE设备的分类和型号：

underlay网络：就是实际的物理TOP

overlay网络：就是VN（vpn-instance）

场景一：

①各个站点间的路由器需要被控制器所纳管；

②在控制器上做配置，让三台路由器跟RR（可有有无简化部署）建立BGP EVPN的邻居关系，三个站点会将本端的业务网段路由通过BGP EVPN发布出去(业务网段规划详见图），还有各个站点的相关信息（公网地址、SA等）；

③各个站点互相获取到信息之后，建立GRE OVER IPSEC的隧道；

④假设公司有两个部门讲师、顾问，总部有讲师和顾问，分支1有讲师部门，分支2有顾问部门；

⑤两个部门是无法互相访问的，此时可以通过创建不同的VN实现；

⑥总部下联交换机创建子接口，一个子接口作为讲师PC1的网关，一个作为顾问PC1的网关，并且将两个子接口划入到不同的VPN实例中，实现部门的隔离；

⑦分支1下联交换机的接口作为讲师PC2的网关，并且将接口划入到VPN实例讲师中，分支2下联交换机的接口作为顾问PC2的网关，并且将接口划入到VPN实例顾问中，

⑧根据在控制器上指定的各站点各VN的RT值，分支1会学习到192.168.2.0/24，分支2会学习到192.168.1.0/24的路由，总部的VPN实例讲师会学习到3.0/24，VPN实例顾问会学习到4.0/24；

⑨此时路由有了，讲师PC1访问讲师PC2走AR1和AR2之间建立的GRE OVER IPSEC的隧道；顾问PC1访问顾问PC2走AR1和AR3之间建立的GRE OVER IPSEC的隧道；

⑩此时实现一网多用，底层的物理TOP是固定不变的，在underlay网络的基础之上建立了两个讲师和顾问的overlay网络；

场景二：

①如果分支2也有讲师部门，AR3下联交换机创建子接口，一个子接口作为讲师PC3的网关，一个作为顾问PC2的网关，并且将两个子接口划入到不同的VPN实例中，实现部门的隔离；

②总部、分支1、分支2讲师部门都可以学到彼此的路由，此时针对讲师部门就是FULL-MESH的网络TOP，分支1访问分支2，直接走AR2和AR3建立的GRE OVER IPSEC的隧道；

③如果想要针对讲师部门实现HUB-SPOKE的模型，分支之间互访走总部，此时只需要在控制器上修改RT值即可；

总部：

ERT：1:1

IRT：3:3

分支1：

ERT：3:3

IRT：1:1

分支2：

ERT：3:3

IRT：1:1

EDGE：就是站点之间的边界路由器，被控制器纳管，建立BGP EVPN的邻居关系，实现一网多用、建立GRE OVER IPSEC的隧道；

RR：各站点间可以跟RR建立BGP EVPN邻居关系简化部署；

GW：用于SDW网络和传统网络对接的边界设备，课程不做重点讲解；

管理层用到的技术：

ZTP（零配置开局）：实现分支的快速部署和上线，提高部署效率

①邮件开局

管理员在控制器中配置ZTP文件（用来开局的文件，里面携带了控制器的地址和端口号）-----将该文件通过邮件的方式发送给分支站点的运维人员-----运维人员拿着电脑接到本站点的EDGE上-----运维人员点开邮件-----此时EDGE根据ZTP文件中的地址和端口号朝着控制器发送注册-----控制器看到该设备上线；

②U盘开局

如果分支站点的运维人员没有电脑，此时管理员在控制器中将ZTP文件下载到U盘中，邮寄到分支站点的运维人员，运维人员拿着U盘插入到EDGE上完成设备的开局；

③DHCP的方式开局

管理员在控制器中提前的配置好DHCP的option148选项（携带控制器地址和端口号），设备接入到网络中默认开启DHCP的功能，通过DHCP的方式获取到控制器的地址和端口，完成注册上线；

管理通道：

netconf：网络配置协议（实现自动化配置），设备开局之后被控制器纳管，管理员只需要在控制器上进行操作，相关的配置就会通过netconf这个协议进行配置的下发；

控制通道：

EDGE与RR建立BGP EVPN的邻居关系，RR会反射（站点间的路由、IPSEC的SA、TNP信息等）

数据隧道：

EDGE设备根据传递的TNP信息与IPSEC的SA信息等，建立GRE OVER IPSEC的隧道，保证站点间的互访；

TNP（Transport Network Port）：CPE接入Transport Network的WAN接口，关键信息包括：Site ID，EDGE Router ID，Transport network-ID，public IP，private IP，Tunnel Encapsulation等。---后续讲

HCIE培训（Datacom）考试咨询可联系WOLFLAB网络技术实验室预约免费试听，

WOLFLAB提供：思科认证｜华为认证

CCNA｜CCNP｜EI CCIE;HCIA｜HCIP｜HCIE Datacom｜VMware等培训