Technical documentation
发布日期:2023-04-27 浏览次数:2116 来源:WOLFLAB
HCIE培训(Datacom)SDWAN解决方案设计理论+实战理解
WOLFLAB官方微信:17316362402,华为认证HCIE培训(Datacom)考试+学习可咨询WOLFLAB网络技术实验室,了解HCIE培训价格、HCIE培训考试费用、HCIE培训就业等问题!
广域互联网经过多年的发展与演进,发生了重大的变化。过去的广域互联网主要以网络为中心,广域互联网上的应用整体上较少,网络作为广域互联网主要组成,占据了最核心的位置。但是随着云计算的崛起,应用的潜能被充分挖掘,广域互联网逐渐变为以应用为中心。
面对云计算对广域互联网的挑战,华为推出了SD-WAN解决方案。
HCIE培训(Datacom)SDW的背景:
云计算的广泛应用导致网络中的应用激增,传统网络面临以下挑战:
①传统广域网络的改造主要依赖于提高带宽,无法针对业务流量做更加精细化的管理,无法保障语音、视频等关键业务;
②如果贵公司规模较大,分部数量较多,导致运维成本提高、业务开通周期较长、排错困难;
SD-WAN(软件定义广域网)技术能较好地解决云计算时代企业广域互联网络面临的挑战,SD-WAN是SDN和WAN的结合,表示将SDN的理念应用在WAN上,用SDN重塑WAN。
HCIE培训(Datacom)SD-WAN的优势:
①通过零配置开局(ZTP)等方式,实现分支的快速部署和上线,提高部署效率;(分支机构的运维人员可以通过邮件、U盘、DHCP的方式自动开局并且被控制器所纳管)
②基于不同的应用类型,动态调整流量的路径,实现灵活便捷的调度方式;(智能选路)
③集中管控,全网状态可视化,提供自动化、智能化运维能力;(通过控制器进行集中的管理和运维)
④提供广域优化、安全等增值业务,实现业务快速发放等等;(使用FEC/A-FEC技术,路由器自带防火墙,控制器快速下发配置)
HCIE培训(Datacom)SD-WAN解决方案的架构:
管理层:控制器对企业互联业务全流程精细管理,南向通过NETCONF实现对网络设备的纳管,北向提供标准RESTful接口与第三方应用对接。(总部和分支的边界的AR路由器需要被控制器所纳管,管理员才能够在控制器中管理各个站点并且下发配置)
控制层:控制器与分布式控制组件配合,负责区域内不同站点间的路由传递,实现区域间网络的互联互通。(为了实现总部和分支机构,或者是分支机构和分支机构的互访,需要在AR边界路由器上建立BGP EVPN的邻居关系,将本站点的路由发布出去)
网络层:分支、总部和云平台之间通过高性价比的网络设备,采用Overlay技术,按需构建基于Internet、传统专线等任意链路的全网络联接。(购买专用的SDW的设备,接入到internet中,构建underlay、overlay的网络)
注意:华为的SD-WAN的控制器有两个,iMaster NCE-WAN/iMaster NCE-Campus(LAN-WAN融合)都可以被作为华为SD-WAN控制器使用。
HCIE培训(Datacom)网络层的基本概念:
SDW-WAN的网络 | |
underlay的网络 | 物理TOP |
overlay的网络 | 逻辑TOP(VN) |
物理设备(CPE) | |
EDGE | 被控制器纳管的站点边界设备,EDGE之间通过IP overlay的隧道互联; |
GW | SD-WAN GW(Gateway)同时具备SD-WAN和传统网络的连接能力,可以作为中间网关设备,实现两者的互联。 |
RR(路由反射器) | 为了简化部署,可以找一台RR,让EDGE与RR建立BGP EVPN的邻居关系,控制各站点路由的传递; |
CPE设备的分类和型号:
underlay网络:就是实际的物理TOP
overlay网络:就是VN(vpn-instance)
场景一:
①各个站点间的路由器需要被控制器所纳管;
②在控制器上做配置,让三台路由器跟RR(可有有无简化部署)建立BGP EVPN的邻居关系,三个站点会将本端的业务网段路由通过BGP EVPN发布出去(业务网段规划详见图),还有各个站点的相关信息(公网地址、SA等);
③各个站点互相获取到信息之后,建立GRE OVER IPSEC的隧道;
④假设公司有两个部门讲师、顾问,总部有讲师和顾问,分支1有讲师部门,分支2有顾问部门;
⑤两个部门是无法互相访问的,此时可以通过创建不同的VN实现;
⑥总部下联交换机创建子接口,一个子接口作为讲师PC1的网关,一个作为顾问PC1的网关,并且将两个子接口划入到不同的VPN实例中,实现部门的隔离;
⑦分支1下联交换机的接口作为讲师PC2的网关,并且将接口划入到VPN实例讲师中,分支2下联交换机的接口作为顾问PC2的网关,并且将接口划入到VPN实例顾问中,
⑧根据在控制器上指定的各站点各VN的RT值,分支1会学习到192.168.2.0/24,分支2会学习到192.168.1.0/24的路由,总部的VPN实例讲师会学习到3.0/24,VPN实例顾问会学习到4.0/24;
⑨此时路由有了,讲师PC1访问讲师PC2走AR1和AR2之间建立的GRE OVER IPSEC的隧道;顾问PC1访问顾问PC2走AR1和AR3之间建立的GRE OVER IPSEC的隧道;
⑩此时实现一网多用,底层的物理TOP是固定不变的,在underlay网络的基础之上建立了两个讲师和顾问的overlay网络;
场景二:
①如果分支2也有讲师部门,AR3下联交换机创建子接口,一个子接口作为讲师PC3的网关,一个作为顾问PC2的网关,并且将两个子接口划入到不同的VPN实例中,实现部门的隔离;
②总部、分支1、分支2讲师部门都可以学到彼此的路由,此时针对讲师部门就是FULL-MESH的网络TOP,分支1访问分支2,直接走AR2和AR3建立的GRE OVER IPSEC的隧道;
③如果想要针对讲师部门实现HUB-SPOKE的模型,分支之间互访走总部,此时只需要在控制器上修改RT值即可;
总部:
ERT:1:1
IRT:3:3
分支1:
ERT:3:3
IRT:1:1
分支2:
ERT:3:3
IRT:1:1
EDGE:就是站点之间的边界路由器,被控制器纳管,建立BGP EVPN的邻居关系,实现一网多用、建立GRE OVER IPSEC的隧道;
RR:各站点间可以跟RR建立BGP EVPN邻居关系简化部署;
GW:用于SDW网络和传统网络对接的边界设备,课程不做重点讲解;
管理层用到的技术:
ZTP(零配置开局):实现分支的快速部署和上线,提高部署效率
①邮件开局
管理员在控制器中配置ZTP文件(用来开局的文件,里面携带了控制器的地址和端口号)-----将该文件通过邮件的方式发送给分支站点的运维人员-----运维人员拿着电脑接到本站点的EDGE上-----运维人员点开邮件-----此时EDGE根据ZTP文件中的地址和端口号朝着控制器发送注册-----控制器看到该设备上线;
②U盘开局
如果分支站点的运维人员没有电脑,此时管理员在控制器中将ZTP文件下载到U盘中,邮寄到分支站点的运维人员,运维人员拿着U盘插入到EDGE上完成设备的开局;
③DHCP的方式开局
管理员在控制器中提前的配置好DHCP的option148选项(携带控制器地址和端口号),设备接入到网络中默认开启DHCP的功能,通过DHCP的方式获取到控制器的地址和端口,完成注册上线;
管理通道:
netconf:网络配置协议(实现自动化配置),设备开局之后被控制器纳管,管理员只需要在控制器上进行操作,相关的配置就会通过netconf这个协议进行配置的下发;
控制通道:
EDGE与RR建立BGP EVPN的邻居关系,RR会反射(站点间的路由、IPSEC的SA、TNP信息等)
数据隧道:
EDGE设备根据传递的TNP信息与IPSEC的SA信息等,建立GRE OVER IPSEC的隧道,保证站点间的互访;
TNP(Transport Network Port):CPE接入Transport Network的WAN接口,关键信息包括:Site ID,EDGE Router ID,Transport network-ID,public IP,private IP,Tunnel Encapsulation等。---后续讲
HCIE培训(Datacom)考试咨询可联系WOLFLAB网络技术实验室预约免费试听,
WOLFLAB提供:思科认证|华为认证
CCNA|CCNP|EI CCIE;HCIA|HCIP|HCIE Datacom|VMware等培训