WOLF-LAB沃尔夫网络实验室中国网络精英的发源地!
24小时咨询热线:173-1636-2402

技术文档

Technical documentation

您当前位置: 首页 > 技术文档 > 详情

HCIE培训(Datacom)SDWAN解决方案设计理论+实战理解

发布日期:2023-04-27 浏览次数:1875 来源:WOLFLAB

HCIE培训(Datacom)SDWAN解决方案设计理论+实战理解


WOLFLAB官方微信:17316362402,华为认证HCIE培训(Datacom)考试+学习可咨询WOLFLAB网络技术实验室,了解HCIE培训价格、HCIE培训考试费用、HCIE培训就业等问题!

广域互联网经过多年的发展与演进,发生了重大的变化。过去的广域互联网主要以网络为中心,广域互联网上的应用整体上较少,网络作为广域互联网主要组成,占据了最核心的位置。但是随着云计算的崛起,应用的潜能被充分挖掘,广域互联网逐渐变为以应用为中心。

华为认证HCIE培训课程.jpg

面对云计算对广域互联网的挑战,华为推出了SD-WAN解决方案。

 

HCIE培训(Datacom)SDW的背景:

云计算的广泛应用导致网络中的应用激增,传统网络面临以下挑战:

①传统广域网络的改造主要依赖于提高带宽,无法针对业务流量做更加精细化的管理,无法保障语音、视频等关键业务;

②如果贵公司规模较大,分部数量较多,导致运维成本提高、业务开通周期较长、排错困难;

 

SD-WAN(软件定义广域网)技术能较好地解决云计算时代企业广域互联网络面临的挑战,SD-WAN是SDN和WAN的结合,表示将SDN的理念应用在WAN上,用SDN重塑WAN。

 

HCIE培训(Datacom)SD-WAN的优势:

①通过零配置开局(ZTP)等方式,实现分支的快速部署和上线,提高部署效率;(分支机构的运维人员可以通过邮件、U盘、DHCP的方式自动开局并且被控制器所纳管)

②基于不同的应用类型,动态调整流量的路径,实现灵活便捷的调度方式;(智能选路)

③集中管控,全网状态可视化,提供自动化、智能化运维能力;(通过控制器进行集中的管理和运维)

④提供广域优化、安全等增值业务,实现业务快速发放等等;(使用FEC/A-FEC技术,路由器自带防火墙,控制器快速下发配置)


HCIE培训(Datacom)SD-WAN解决方案的架构:

图片1(25).png

管理层:控制器对企业互联业务全流程精细管理,南向通过NETCONF实现对网络设备的纳管,北向提供标准RESTful接口与第三方应用对接。(总部和分支的边界的AR路由器需要被控制器所纳管,管理员才能够在控制器中管理各个站点并且下发配置)

控制层:控制器与分布式控制组件配合,负责区域内不同站点间的路由传递,实现区域间网络的互联互通。(为了实现总部和分支机构,或者是分支机构和分支机构的互访,需要在AR边界路由器上建立BGP EVPN的邻居关系,将本站点的路由发布出去)

网络层:分支、总部和云平台之间通过高性价比的网络设备,采用Overlay技术,按需构建基于Internet、传统专线等任意链路的全网络联接。(购买专用的SDW的设备,接入到internet中,构建underlay、overlay的网络)

图片1(29).png

注意:华为的SD-WAN的控制器有两个,iMaster NCE-WAN/iMaster NCE-Campus(LAN-WAN融合)都可以被作为华为SD-WAN控制器使用。

 

HCIE培训(Datacom)网络层的基本概念:

SDW-WAN的网络


underlay的网络

物理TOP

overlay的网络

逻辑TOP(VN)



物理设备(CPE)


EDGE

被控制器纳管的站点边界设备,EDGE之间通过IP overlay的隧道互联;

GW

SD-WAN GW(Gateway)同时具备SD-WAN和传统网络的连接能力,可以作为中间网关设备,实现两者的互联。

RR(路由反射器)

为了简化部署,可以找一台RR,让EDGE与RR建立BGP EVPN的邻居关系,控制各站点路由的传递;


CPE设备的分类和型号:

图片1(31).png

underlay网络:就是实际的物理TOP

overlay网络:就是VN(vpn-instance)


场景一:

①各个站点间的路由器需要被控制器所纳管;

②在控制器上做配置,让三台路由器跟RR(可有有无简化部署)建立BGP EVPN的邻居关系,三个站点会将本端的业务网段路由通过BGP EVPN发布出去(业务网段规划详见图),还有各个站点的相关信息(公网地址、SA等);

③各个站点互相获取到信息之后,建立GRE OVER IPSEC的隧道;

④假设公司有两个部门讲师、顾问,总部有讲师和顾问,分支1有讲师部门,分支2有顾问部门;

⑤两个部门是无法互相访问的,此时可以通过创建不同的VN实现;

⑥总部下联交换机创建子接口,一个子接口作为讲师PC1的网关,一个作为顾问PC1的网关,并且将两个子接口划入到不同的VPN实例中,实现部门的隔离;

⑦分支1下联交换机的接口作为讲师PC2的网关,并且将接口划入到VPN实例讲师中,分支2下联交换机的接口作为顾问PC2的网关,并且将接口划入到VPN实例顾问中,

⑧根据在控制器上指定的各站点各VN的RT值,分支1会学习到192.168.2.0/24,分支2会学习到192.168.1.0/24的路由,总部的VPN实例讲师会学习到3.0/24,VPN实例顾问会学习到4.0/24;

⑨此时路由有了,讲师PC1访问讲师PC2走AR1和AR2之间建立的GRE OVER IPSEC的隧道;顾问PC1访问顾问PC2走AR1和AR3之间建立的GRE OVER IPSEC的隧道;

⑩此时实现一网多用,底层的物理TOP是固定不变的,在underlay网络的基础之上建立了两个讲师和顾问的overlay网络;

 

场景二:

图片1(32).png

①如果分支2也有讲师部门,AR3下联交换机创建子接口,一个子接口作为讲师PC3的网关,一个作为顾问PC2的网关,并且将两个子接口划入到不同的VPN实例中,实现部门的隔离;

②总部、分支1、分支2讲师部门都可以学到彼此的路由,此时针对讲师部门就是FULL-MESH的网络TOP,分支1访问分支2,直接走AR2和AR3建立的GRE OVER IPSEC的隧道;

③如果想要针对讲师部门实现HUB-SPOKE的模型,分支之间互访走总部,此时只需要在控制器上修改RT值即可;

总部:

ERT:1:1

IRT:3:3

分支1:

ERT:3:3

IRT:1:1

分支2:

ERT:3:3

IRT:1:1

 

EDGE:就是站点之间的边界路由器,被控制器纳管,建立BGP EVPN的邻居关系,实现一网多用、建立GRE OVER IPSEC的隧道;

RR:各站点间可以跟RR建立BGP EVPN邻居关系简化部署;

GW:用于SDW网络和传统网络对接的边界设备,课程不做重点讲解;

 

管理层用到的技术:

ZTP(零配置开局):实现分支的快速部署和上线,提高部署效率

①邮件开局

管理员在控制器中配置ZTP文件(用来开局的文件,里面携带了控制器的地址和端口号)-----将该文件通过邮件的方式发送给分支站点的运维人员-----运维人员拿着电脑接到本站点的EDGE上-----运维人员点开邮件-----此时EDGE根据ZTP文件中的地址和端口号朝着控制器发送注册-----控制器看到该设备上线;

②U盘开局

如果分支站点的运维人员没有电脑,此时管理员在控制器中将ZTP文件下载到U盘中,邮寄到分支站点的运维人员,运维人员拿着U盘插入到EDGE上完成设备的开局;

③DHCP的方式开局

管理员在控制器中提前的配置好DHCP的option148选项(携带控制器地址和端口号),设备接入到网络中默认开启DHCP的功能,通过DHCP的方式获取到控制器的地址和端口,完成注册上线;

图片1(33).png

管理通道:

netconf:网络配置协议(实现自动化配置),设备开局之后被控制器纳管,管理员只需要在控制器上进行操作,相关的配置就会通过netconf这个协议进行配置的下发;

控制通道:

EDGE与RR建立BGP EVPN的邻居关系,RR会反射(站点间的路由、IPSEC的SA、TNP信息等)

数据隧道:

EDGE设备根据传递的TNP信息与IPSEC的SA信息等,建立GRE OVER IPSEC的隧道,保证站点间的互访;

 

TNP(Transport Network Port):CPE接入Transport Network的WAN接口,关键信息包括:Site ID,EDGE Router ID,Transport network-ID,public IP,private IP,Tunnel Encapsulation等。---后续讲


HCIE培训(Datacom)考试咨询可联系WOLFLAB网络技术实验室预约免费试听,

WOLFLAB提供:思科认证|华为认证

CCNA|CCNP|EI CCIE;HCIA|HCIP|HCIE Datacom|VMware等培训

返回目录
在线咨询