1、sdn和nfvsd-wan 可以把傳統的路由、QOS、安全和廣域網進行了融合,同時引入sdn控制器和nfv(nfv網絡功能虛擬化,意思就是把以前的路由和交換機等設備全部用一台服務器,虛擬出不同的系統還充當路由和交換),通過sdn控制器進行集中下發配置、和管理。
sd-wan轉送原理
2、sd-wan主要採用了overlay技術,控制平面用bgp-evpn協議,轉發層面用ipsec隧道技術協議或GRE協議轉發層面用vxlan,控制層面用evpnvxlan在數據傳輸安全方面要結合ipsec使用evpn採用mp-bge協議承載,在部署為RRRR,一般把總部的做成RR
3.sd-wan有一種新技術fec抗丟包技術:在正常的資料流中,fec攜帶冗餘校驗報文,來記錄報文摘要信息,在數據傳過去即使丟包了,也能通過這個來重新復原報文。
4.sd-wan北向接口還是一樣要用開放可程式的restful API接口
5.sd-wan相容性sd-wan不用改變以前公司的網絡,例如以前的公司網絡用的是mpls vpn或mstp、或撥號光貓都可以,只需要在運營商和公司連接的出口處放一台gw設備就行了,如果需要安全就在gw旁掛一台防火牆上租用給各公司、nip
6.sdn控制器部署位置可以放在雲端也可以放在總部,主要功能就負責一是網路編排:sd-wan站點創建,vpn創建,網路應用選路和Qos。二是網路控制用mp bgp evpn協議,實際中用bgp協定 還要用到路由反射rr,VPN路由分發和過濾,三是網路管理:網路告警、日誌、運維資訊擷取用netconf協定 ,http2.0用於設備效能資訊擷取。
7.portal認證sdn控制器也整合了portal認證功能,但也可以支援其它廠商的。
8.網路控制要用傳統的bgp協定承載,netconf協定給設備下發配置用的是ssh協定承載,網路設備上線認證用https協議
9.sd-wan三步驟:先建立管理通道用ssh承載netconf,再建立控制通道用bgp承載bgp evpn,最後資料通道用ipsec加密。
10.netconf協定 架構(netconf腳本用yang語言來寫,類似html語言):傳輸層:ssh tls soap beep訊息層:hello rpc呼叫操作層:get-config內容層:status data/config data
11.netconf三個功能:netconf管理網路設備:先dhcp取得到位址,再用ssh進行連線控制netconf給設備下發配置:netconf取得設備狀態:cpu和記憶體等利用率,設備序號註冊資訊等
12.sd-wan初始化流程
1:網管透過sdn控制器上的portal頁面進行業務定制,呼叫restful介面編排網路拓撲和vlan劃分:路由選路和QoS等。
2:區域控制器上線,向sdn網路控制器註冊,
3:網路設備(各分公司的出口cpe)上線,向SDn控制器註冊,sdn控制器為網路設備分配管理IP,然後透過IP來管理 網路設備,讓其被區域控制器管理,為其分配對應的區域控制器管理,隨後為每個網路設備配置mp bgp路由,打通網路設備到控制器網路設備的路由,隨後為每個網路設備設定mp bgp路由,打通網路設備到控制器的路由,隨後為每個網路設備設定mp bgp路由,打通網路設備到控制器的路由,隨後為每個網路設備設定mp bgp路由,打通網路設備到控制器的路由。
4:網路設備用bgp向區域控制器註冊5:網路控制器對網管定義的策略,透過netconf協定傳給區域控制器,進行站點間的vpn拓撲,路由和隧道等資訊分發,各站點間的安全互聯。
13.站點設備站點cpe,也就是公司總部和分部的出口設備,這個設備現在是用一個設備集成了,cpe:傳統的路由出口設備ucpe:一個盒式設備,裡面有防火牆、路由器,IPS等功多個功能於一體的設備vcpe設備:裡面用軟體虛擬出來防火牆、路由器,IPS等功多個功能於一體的設備,簡稱vcpe。
一般公司出口設備用cpe和Ucpe,公有雲上的出口設備用vcpe設備。 cpe裝置要做成和mpls vpn 的pe裝置一樣,用vrf來隔離開underlay和overlay,然後建立bgp連線。
14.VCPE開局常用的兩種方法:
第一種:首先廠家網管會發一封email給公司的網管,廠家網管在出廠前就給sdn和cpe設備配置了,要么他配置了關聯了這台esn序號,也可以選擇不關聯,如果不關聯那就要指好了定的cpe款式,控制器會識別這種類型的設備進行識別納管,接著廠家會讓廠家倉庫出貨給公司網管,網絡拿著這個email的內容進行操作就可以實現簡單開局了,其本上不用其它的操作,廠家網管都在email裡配置好了。
第二種:廠商網管在出廠前就給sdn和cpe設備配置好了,並且關聯了些cpe的esn序號,只要設備開機就會自動發布信息去找設置好的公網上的一台類似於dhcp的註冊中心服務器,類似於arp廣播一樣,然後公司網管拿到這個設備後一開機和公網上的那台服務器,類似於arp廣播一樣,然後公司網管拿到這個設備後一開機和公網上的那台服務器,類似於
15.sd-wan幾種網路架構方式:單層的網路拓撲以下三種:hub-spoke 公司各分支不可以直接互聯,必須透過總部互聯,例如連鎖飯店,都經統一存取總部資料庫這種,而各分支間卻沒有過多了互聯。
full-mesh 各分支站點可以直接互防,也可以和總部互聯,主要用於分支站點不多的公司,又對網速要求高的,例如voip視訊會議。 100個分支以內的用這種。
partial-mesh 公司有部分分支不支援與各分支互聯,就可以來固定一個分支支援和各分支互聯的做為跳板。例如分支3要存取分支2,可是2不能和3互聯,那3可以先訪問1,再從1上跳到2。
分層的網路拓樸:技術方案和hub-spoke或full-mesh一樣,差別在於:類似總部和別一個總部來連接,然後再連接一個大的總部,這個大的總部再和其它大的總部連接。
適用於跨國網絡,比較大的。
Leave a Reply