赞
踩
网络世界永恒的话题,就是组网。从局域网,城域网到广域网,每个细分领域都有说不完的话题。今天,我们把话题聚焦在企业多分支互联的组网上。
企业多分支的组网,用通俗的话讲,就是企业的多个分支,通过虚拟专用网络技术,以Internet网络为基础,进行私有网络互联。当然,也有土豪套餐,就是全程采用专线技术,构建企业自己的私有网络。今天,我们暂不讨论土豪套餐,重点关注前者。
拓扑:
实际组网中最常见的是公司总部与多个分支机构通过点到多点IPSec VPN互通,典型组网如下图所示
数据面:
该场景的数据路径通常分为两种:
管理面:
从配置管理角度看,IPSec的底层配置逻辑还是略显复杂,需要资深网工才能驾驭,能理解下图,方能开工。
理解了配置原理,设计好了配置模板,再来看配置工作量:每添加一个分支,都要配置一遍。大规模部署,不得不考虑一下。
传统Hub-Spoke的组网模型,分支之间的流量需要绕行Hub,带来了诸多缺陷,在多数场景是不允许的。
一种简单的解决方案,就是需要通信的站点之间都建立IPSec隧道,流量按需选择隧道,也就是Full-Mesh组网模型。但这种只是理论上的解决方案,配置管理指数级增长,且要求每个站点都具备公网IP,落地不切实际。
Cisco 推出的DMVPN解决方案,就是用来解决上述问题的,既解决Hub-Spoke的流量绕行缺陷,又解决了Full-Mesh的繁琐配置及公网需求。其他硬件厂商都推出了类似的解决方案,Huawei的DSVPN,H3C的DVPN,Juniper的AC-VPN,Fortinet的ADVPN。
该方案是由几个协议配合完成的,以Cisco的DMVPN为例,基本思路与流程如下:
技术复杂度再度升级,技术发烧友的福音,IT运维交付人员的噩梦。
面向企业的SDWAN解决方案是对传统的IPSec VPN组网的延伸,在企业各个站点边缘的CPE间建立隧道,无论是走Internet还是其他专线,都只提供Underlay的传输线路,企业的组网完全在服务提供商提供的网络之上。从物理上来看,CPE可放在企业的总部/数据中心/分支网,而从组网上来看,无论是Hub-Spoke还是Full Mesh,各站点间逻辑上都是一跳可达。
从数据路径上看,面向企业的SDWAN模式,和传统的VPN组网并没有不同。那么,这种方案到底带来了哪些改进呢?概括起来,主要有以下几个方面:
上述优势非常明显,但也有明显的不足,就是数通通路还是承载在公共网络之上的,所有的链路优化也是基于公共网络的,在某些场景下,质量与专线差别明显。
首先说明一下,SDWAN2.0并非SDWAN1.0简单的升级版本,准确的说,应该是两种不同的解决方案思路。所以,增加了”面向企业“和”面向服务提供商“的描述。
基本上,服务提供商已经拥有了全国甚至全球范围内的骨干网节点,并能够为企业提供MPLS VPN或其他专线接入,专用骨干网的服务质量在绝大部分场景下优于公共网络的质量。
面向服务提供商的SDWAN解决方案的思路是,利用已有的专用骨干网,集中精力解决最后一公里的接入、优化和管理。具体的实施方案通常是在各个骨干节点建立POP点,部署SDWAN网关设备,接入现有的专用骨干网。
面向企业端,为企业端的CPE提供IPSec接入。
该方案的组网方式与数据路径较之前发生了较大的改变,CPE只需要与就近的POP点建立IPSec隧道,从而实现了个企业分支之间的互联。其优势总结如下:
尽可能利用专用骨干网,提升整体的网络服务质量。
但该方案也存在明显的不足,就是POP点通常只会覆盖一,二线城市,这样,对于某些同城/省组网的时候,其网络质量就不如面向企业的SDWAN组网模式。因为同城之间,直接通过公共网络互联,要比经过POP点节省了网络路径的开销。
面向企业与服务提供商相结合的SDWAN
领湾提出的SDWAN 3.0,继承了SDWAN 1.0和SDWAN 2.0的优势部分,同时解决了两者不足的部分,为企业提供灵活、最佳的按需组网方式。
该方案的基本思路是,在同城或同省互联,且公共网络的服务质量可以满足的场景下,采用CPE与CPE之间直接建立隧道的方式,其分支流量不经过POP节点;同城/省内的一台/两台Hub节点接入到POP点,为该城/省内其他分支访问其他城/省的分支提供数据通路。其效果是,同城/省内直接互访,跨城/省经过POP节点互访,达到了不同场景下的路径最优化。
下面按照配置管理、数据路径、网络健壮性、运行监控等维度,进行比较。
配置管理评估维度:
数据路径维度:
网络健壮性维度:
上述比较可以看出,面向企业+服务提供商相结合的SDWAN组网方式,对于跨地域多分支的组网,适应能力更强,应用更灵活。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。