** CCIE理论-第六篇-SD-WAN网络 **

1.SD-WAN介绍

1.什么是SD-WAN

1. SD-WAN ===Software Defined 软件定义
2. WAN=Wide Area Network 广域网=外网
3. 通俗的说=企业网关
4. 可以慢慢的代替传统组网(大趋势)
5. 主要作用,省钱,简单,智能.易管理

传统方式
-Internet专线 (固定IP+上下行带宽对等)
-PPPOE 拨号(动态IP+上下行带宽不对等,下行带宽大)
-MPLS专线(贵,而且不是谁都可以接)而且根据星级决定你能用多少带宽流量
-SDH/MSTP专线
-独立

2.为什么要实现总部和分部之间的互访?

-信息同步(数据库,ERP,销售系统,OA)
-数据安全(服务器放内网或者私有云上)
中间的解决方案,做VPN,打通不同地区的局域网络

3.企业的需求
-速度快!!!
-价格便宜!!!
-不能断网!!!

2.SD-WAN的出现

1.常见误区
1.是一个单独线路吗? ==NONE
2.SD-WAN是通过一个软件进行多线路的智能流量调度
TAG:微信,QQ=OTT业务= over the top 穿越广域网跨网业务
**

Overlay

**
Overlay=实现端对端之间的互通=跨越中间的underlay网络
1.SD-WAN商业价值
1通过SD-WAN建立端对端的业务互访(分部到分部)
2智能通过SD-WAN流量分析进行流量控制

**

使用SD-WAN,需要满足企业需求

**

1.因为不能断,因为一定需要两根及以上的入网
2.看业务需求以及资金预算选择入网(PPPOE/专线)
比如银行,金融金钩,实时的就不可以选择两根PPPOE
正常来说都是选择一根PPPOE+一根专线=不断

如果说PPPOE是上网,MPLS是跑视频会议互联之类的,
上网的断了,但是MPLS上不了网,如果都部署了SD-WAN

**那么总部可以通过MPLS走分部的外网网络绕一圈上网**

满足要求=不断网,虽然专线带宽小,但是总比断网好.
满足要求=速度快.智能控制,SD-WAN自带智能流量控制.
满足要求=便宜,如果涉及搬迁以及未来发展,传统组网是比SD-WAN的成本要贵的

TAG:1.无论在任何网络架构下,只要断了,肯定会有影响.所以有两条以下准则.
1.在不断的时候,要保证质量.
2.在断的时候,要保证网络

====================================
充分利用带宽
1.对于稳定性要求高的,走专线MPLS
2.对于实时性要求低的业务走IPSEC(自己搭建)

传统网络 VS SD-WAN

1.传统网络想要实现智能分流选路.只能使用策略路由(PBR).基于五元组写.
TAG:而且如果是PPPOE,你怎么写?,还会涉及到NAT.
例子:腾讯QQ,每次登陆QQ的端口没得管的，每次都不一样,还有迅雷呢.P2P下载怎么管,很麻烦.
而且一般设备做的,因为要做策略路由,肯定要统计,有些设备差一点,直接就down机了,真的等做完了,网不知道断了多久了.

而SD-WAN的优势在于可以根据流量分析系统自动切换.(应用特征管控)

2.速度对比
1.传统网络，你要触发BFD,策略路由，那得断开。
2.SD-WAN，检测到丢包和流量变大，感觉到网络波动，就会自动切换。=====再一次满足不断网。

---

SD-WAN历史版本

---

在最早期，SD-WAN大概是2010年前后出来的
而最早提出来的厂商，又是Cisco，思科。
TAG:包括DMVPN,MPLS,SDN,SDA,SD-WAN，都是思科提出来的。
但是，最早期的时候。Cisco叫他IWAN，智能广域网。

传统网络：CLI界面，配置命令。
SD-WAN网络：GUI界面话自动化部署，就是WEB界面配置。基于整体线路上建立Overlay（IPSEC加密隧道）

Orverlay好处
Overlay是建立在underlay网络上的，也就是说正常情况下根本就扫描不到，就像传统网络中不做渗透和VPN是根本无法访问内网的。===提升安全星级。

一直到现在，也还是基于IPSEC加密隧道做互通。

SD-WAN系统内含角色

-Edge（可虚拟机可物理机）or Vedge 虚拟化：virtual
TAG：Edge也叫CPE
-Vsmart 控制设备
-Vmanage 管理设备
-Vbond =使用Vedge系统，身份认证系统。验证vedge和vsmart用的负责vedge和vsmart之间的连通性。

Vmanage- 管理Vsmart Vedge-管理平面，支持WEB
支持北向协议，REST API, CLI,SNMP,NETCONF，监控报警。
支持NETCONF意味着支持一键下发===纯管理界面
推送配置发给Vsmart设备+证书服务器+对内部设备版本升级+推送给Vsmart设备再让Vsmart设备反射给Vedge设备。可以部署在任何地方，本地，VM，云端。
Vedge：企业边界，连接ISP。
纯数据平面和分布不同地区的Vedge互联，彼此传递数据，建立IPSCE数据加密隧道，通俗的说，无情的转发设备。完全脱离掉了控制平面，它只需要被Vmanage控制就行了。
Vsmart 纯管理平面
听从Vmanage的命令以及管理下面的Vedge，相当于一个公司里面的高管，董事长叫你干啥你就干啥。
跟Vedge建立关系 ，下发配置，转发路由。
这个就是SDN的核心思路：转控分离，转发和控制分开。
Vedge和Vsmart之间有个协议叫OMP=Overlap的管理协议
TAG:OMP是基于BGP改良的。BGP中有个RR，路由反射，把Vsmart理解成RR就可以了。承载Vmanage的配置然后集中下发给Vedge设备。

SD-WAN与传统网络的对比

-转控分离
-开通方便 （跟ISP没有任何关系）
-传输性能 edge之间通过overlay进行端对端的通信。
1。基于IPSEC,安全+快捷
2.Vedge和Vsmart之间OMP建立连接，控制传输。基于应用数据控制
3.实现故障检测自动切换
-省钱
1.多链路分担（自动）
2.虚拟化（不用占地方，买个盒子回来贵还要插电上架）
3.自动化部署（节省人工）
4.基于GUI可视化管理=WEB（方便快捷）

常见误区：不是任何环境都适合部署SD-WAN

1.极高的敏感业务，金融，视频会议。不可能完全不用专线
2.SD-WAN不需要做QOS，其实是需要手动做的，OQS可以控制分流，也需要做流量控制，限速等等。OQS还是需要做的。

什么时候适合用SD-WAN？
1.用不用专线都行
2、减少MPLS专线，省钱
3.站点多的时候，一个一个找，SD-WAN一体化管理。

SITE ID==站点ID=群组识别
使用配置下发都是基于SITE ID的
可以理解为一个组=Group

domain ID=整个公司所有的设备都需要domain ID下
应该算一个域里面的意思 等于一个整体的网络
不通域之间不能互通

Color - - 区分不同的链路==不同的出接口
应该是一个用来标识的东西

system IP - - 系统IP=Route ID=理解为跟OSFP的RID 一样的就行，不能重复。标识每一个设备，但是必须要设置，OSFP可以不设置。

TLOCs （传输位置映射） 属于OMP传递路由信息的一部分。主要标识是（system IP+color ）的传递形式

**

VRF,VPN。

在SD-WAN网络中的VRF叫做VPN

• VPN//不是传统意思上的VPN
• 它是VRF 做隔离用的
• 任何东西都可以隔离
• 每个VPN都有自己的转发表=路由表

TAG:不同的Edge之间使用IPSEC建立连接
Edge和Vsmart之间建立OMP连接
我们是人为通过Vmanage操作
安全级别还是挺高的，有自身SD-WAN 的安全检测，还有Vbond的检测，只要不是检测通过的都不会进入SD-WAN网络。