两个基本的 SD-WAN 用例
下面介绍两个 SD-WAN 用例。这些用例说明了围绕哪些设备构成中枢的差异:一个单独的 SRX 系列防火墙(除了提供底层连接的 MX 系列 PE 设备之外),专门用于为 CPE 设备提供 SD-WAN 叠加连接;或用于终止叠加连接的专用 SRX 系列防火墙。
托管 SD-WAN - 叠加访问
当提供商希望利用其现有网络,但又要保持现有基础架构与新 SD-WAN 基础架构之间的分离时,此用例最为适用。
如 图 1 所示,部署在 POP 上的现有 PE 设备保持不变,并继续形成该功能。此外,SD-WAN 中枢设备与 PE 设备一起部署在 POP 上,以终止来自辐射站点的叠加隧道。
同样,CSO 管理中心设备和分支设备。在此用例中,它还利用其 VRR 与设备建立 BGP 会话。VRR 将可访问性信息播发至所有设备,以提供站点到站点连接。
实现特点:
核心 MPLS 基础架构由提供商管理。
接入链路可以是 MPLS 或互联网。
叠加隧道从分支站点 CPE 设备延伸到专用 SD-WAN 中枢设备。
支持多个叠加封装。
MPLSoGRE(CE-PE/MPLS 访问)
MPLSoGREoIPsec(互联网接入)
SRX 系列防火墙用作 IPsec 终止的提供商中心。
SRX 系列防火墙与 PE 对等连接。
提供商中心可以在多个租户之间共享。
企业 SD-WAN - 叠加
此用例最适合大型企业,以实现完全独立于底层提供商网络的端到端叠加网络连接。
在此用例中,企业客户(租户或 OpCo)拥有中枢设备,而非提供商。只有属于此租户的分支站点才能连接到企业中心设备。
图 2 说明了此用例。企业中心设备位于客户站点,通过覆盖隧道连接到每个分支站点。中枢设备还通过提供商服务(如 MPLS VPN)互连,从而提供完整的站点到站点连接。
同样,CSO 管理所有中心辐射型设备,其 VRR 会向所有设备播发可访问性信息。
实现特点:
叠加隧道从分支站点 CPE 设备延伸到中枢设备。
叠加隧道会根据需要使用 MPLSoGRE 或 MPLSoGREoIPsec 封装。
SRX1500、SRX4100 或 SRX4200 系列设备可用作 IPsec 终止的企业中心。
企业中心站点位于客户站点。
可以通过将 CPE WAN 链路连接到主辅助 PE 节点来实现 PE 弹性配置。
CSO 在 CPE 和 PE 节点之间建立 BGP 对等关系。有关详细信息,请参阅 添加具有 SD-WAN 功能的本地分支站点 。
注意:仅当在 CPE WAN 链路上配置本地分支时才可支持。
当 WAN 接口上启用本地分支时,可以从 CPE 设备将 BGP 底层路由通告配置为主 PE 节点和辅助 PE 节点。有关详细信息,请参阅 添加具有 SD-WAN 功能的本地分支站点 。