** CCIE理论-第六篇-SD-WAN网络 **
1.SD-WAN介绍
1.什么是SD-WAN
- SD-WAN ===Software Defined 软件定义
- WAN=Wide Area Network 广域网=外网
- 通俗的说=企业网关
- 可以慢慢的代替传统组网(大趋势)
- 主要作用,省钱,简单,智能.易管理
传统方式
-Internet专线 (固定IP+上下行带宽对等)
-PPPOE 拨号(动态IP+上下行带宽不对等,下行带宽大)
-MPLS专线(贵,而且不是谁都可以接)而且根据星级决定你能用多少带宽流量
-SDH/MSTP专线
-独立
2.为什么要实现总部和分部之间的互访?
-信息同步(数据库,ERP,销售系统,OA)
-数据安全(服务器放内网或者私有云上)
中间的解决方案,做VPN,打通不同地区的局域网络
3.企业的需求
-速度快!!!
-价格便宜!!!
-不能断网!!!
2.SD-WAN的出现
1.常见误区
1.是一个单独线路吗? ==NONE
2.SD-WAN是通过一个软件进行多线路的智能流量调度
TAG:微信,QQ=OTT业务= over the top 穿越广域网跨网业务
**
Overlay
**
Overlay=实现端对端之间的互通=跨越中间的underlay网络
1.SD-WAN商业价值
1通过SD-WAN建立端对端的业务互访(分部到分部)
2智能通过SD-WAN流量分析进行流量控制
**
使用SD-WAN,需要满足企业需求
**
1.因为不能断,因为一定需要两根及以上的入网
2.看业务需求以及资金预算选择入网(PPPOE/专线)
比如银行,金融金钩,实时的就不可以选择两根PPPOE
正常来说都是选择一根PPPOE+一根专线=不断
如果说PPPOE是上网,MPLS是跑视频会议互联之类的,
上网的断了,但是MPLS上不了网,如果都部署了SD-WAN
**那么总部可以通过MPLS走分部的外网网络绕一圈上网**
满足要求=不断网,虽然专线带宽小,但是总比断网好.
满足要求=速度快.智能控制,SD-WAN自带智能流量控制.
满足要求=便宜,如果涉及搬迁以及未来发展,传统组网是比SD-WAN的成本要贵的
TAG:1.无论在任何网络架构下,只要断了,肯定会有影响.所以有两条以下准则.
1.在不断的时候,要保证质量.
2.在断的时候,要保证网络
====================================
充分利用带宽
1.对于稳定性要求高的,走专线MPLS
2.对于实时性要求低的业务走IPSEC(自己搭建)
传统网络 VS SD-WAN
1.传统网络想要实现智能分流选路.只能使用策略路由(PBR).基于五元组写.
TAG:而且如果是PPPOE,你怎么写?,还会涉及到NAT.
例子:腾讯QQ,每次登陆QQ的端口没得管的,每次都不一样,还有迅雷呢.P2P下载怎么管,很麻烦.
而且一般设备做的,因为要做策略路由,肯定要统计,有些设备差一点,直接就down机了,真的等做完了,网不知道断了多久了.
而SD-WAN的优势在于可以根据流量分析系统自动切换.(应用特征管控)
2.速度对比
1.传统网络,你要触发BFD,策略路由,那得断开。
2.SD-WAN,检测到丢包和流量变大,感觉到网络波动,就会自动切换。=====再一次满足不断网。
SD-WAN历史版本
在最早期,SD-WAN大概是2010年前后出来的
而最早提出来的厂商,又是Cisco,思科。
TAG:包括DMVPN,MPLS,SDN,SDA,SD-WAN,都是思科提出来的。
但是,最早期的时候。Cisco叫他IWAN,智能广域网。
传统网络:CLI界面,配置命令。
SD-WAN网络:GUI界面话自动化部署,就是WEB界面配置。基于整体线路上建立Overlay(IPSEC加密隧道)
Orverlay好处
Overlay是建立在underlay网络上的,也就是说正常情况下根本就扫描不到,就像传统网络中不做渗透和VPN是根本无法访问内网的。===提升安全星级。
一直到现在,也还是基于IPSEC加密隧道做互通。
SD-WAN系统内含角色
-Edge(可虚拟机可物理机)or Vedge 虚拟化:virtual
TAG:Edge也叫CPE
-Vsmart 控制设备
-Vmanage 管理设备
-Vbond =使用Vedge系统,身份认证系统。验证vedge和vsmart用的负责vedge和vsmart之间的连通性。
Vmanage- 管理Vsmart Vedge-管理平面,支持WEB
支持北向协议,REST API, CLI,SNMP,NETCONF,监控报警。
支持NETCONF意味着支持一键下发===纯管理界面
推送配置发给Vsmart设备+证书服务器+对内部设备版本升级+推送给Vsmart设备再让Vsmart设备反射给Vedge设备。可以部署在任何地方,本地,VM,云端。
Vedge:企业边界,连接ISP。
纯数据平面和分布不同地区的Vedge互联,彼此传递数据,建立IPSCE数据加密隧道,通俗的说,无情的转发设备。完全脱离掉了控制平面,它只需要被Vmanage控制就行了。
Vsmart 纯管理平面
听从Vmanage的命令以及管理下面的Vedge,相当于一个公司里面的高管,董事长叫你干啥你就干啥。
跟Vedge建立关系 ,下发配置,转发路由。
这个就是SDN的核心思路:转控分离,转发和控制分开。
Vedge和Vsmart之间有个协议叫OMP=Overlap的管理协议
TAG:OMP是基于BGP改良的。BGP中有个RR,路由反射,把Vsmart理解成RR就可以了。承载Vmanage的配置然后集中下发给Vedge设备。
SD-WAN与传统网络的对比
-转控分离
-开通方便 (跟ISP没有任何关系)
-传输性能 edge之间通过overlay进行端对端的通信。
1。基于IPSEC,安全+快捷
2.Vedge和Vsmart之间OMP建立连接,控制传输。基于应用数据控制
3.实现故障检测自动切换
-省钱
1.多链路分担(自动)
2.虚拟化(不用占地方,买个盒子回来贵还要插电上架)
3.自动化部署(节省人工)
4.基于GUI可视化管理=WEB(方便快捷)
常见误区:不是任何环境都适合部署SD-WAN
1.极高的敏感业务,金融,视频会议。不可能完全不用专线
2.SD-WAN不需要做QOS,其实是需要手动做的,OQS可以控制分流,也需要做流量控制,限速等等。OQS还是需要做的。
什么时候适合用SD-WAN?
1.用不用专线都行
2、减少MPLS专线,省钱
3.站点多的时候,一个一个找,SD-WAN一体化管理。
SITE ID==站点ID=群组识别
使用配置下发都是基于SITE ID的
可以理解为一个组=Group
domain ID=整个公司所有的设备都需要domain ID下
应该算一个域里面的意思 等于一个整体的网络
不通域之间不能互通
Color - - 区分不同的链路==不同的出接口
应该是一个用来标识的东西
system IP - - 系统IP=Route ID=理解为跟OSFP的RID 一样的就行,不能重复。标识每一个设备,但是必须要设置,OSFP可以不设置。
TLOCs (传输位置映射) 属于OMP传递路由信息的一部分。主要标识是(system IP+color )的传递形式
**
VRF,VPN。
在SD-WAN网络中的VRF叫做VPN
- VPN//不是传统意思上的VPN
- 它是VRF 做隔离用的
- 任何东西都可以隔离
- 每个VPN都有自己的转发表=路由表
TAG:不同的Edge之间使用IPSEC建立连接
Edge和Vsmart之间建立OMP连接
我们是人为通过Vmanage操作
安全级别还是挺高的,有自身SD-WAN 的安全检测,还有Vbond的检测,只要不是检测通过的都不会进入SD-WAN网络。