Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

SD-WAN 概述

简单来说,软件定义 WAN (SD-WAN) 是指将软件定义网络 (SDN) 原则应用于 WAN。在 SD-WAN 中,可以根据指定的服务级别协议 (SLA) 标准动态控制和选择应用程序流量的路径。因此,SD-WAN 使您能够确定应用程序流量的最佳路径,然后转发该路径上的流量。

据Gartner称,SD-WAN具有以下特点:

  • 同时支持多种 WAN 连接类型(如 MPLS、互联网、LTE)。

  • 能够动态选择流量路径,从而允许跨 WAN 连接共享流量负载。

  • 能够简化 WAN 的管理和监控。

  • 支持 VPN 和其他第三方服务,如网关和防火墙。

CSO 支持站点的以下 SD-WAN 服务类型:

  • 安全 SD-WAN 要点 — 提供基本的 SD-WAN 服务。此服务非常适合希望简化网络管理并在分支机构站点提供全面的 NGFW 安全服务的小型企业。SD-WAN Essentials 服务允许互联网流量在本地突破,因此无需通过昂贵的 VPN 或 MPLS 链路回传 Web 流量。此服务支持基于意图的防火墙策略、WAN 链路管理和控制、通过静态 VPN 连接的站点之间的 CSO 控制的路由,以及通过 MPLS 或互联网链接进行的站点到站点通信等功能。具有 SD-WAN Essentials 服务级别的租户只能创建 SD-WAN Essentials 站点。

    注意:

    您可以通过从 CSO 管理门户编辑租户信息,将租户的 SD-WAN 服务级别从 SD-WAN Essentials 升级到 SD-WAN 高级版,前提是您已购买相应的许可证。

  • 安全 SD-WAN Advanced — 提供完整的 SD-WAN 服务。提供安全 SD-WAN 高级服务的租户的所有站点都以全网状或中心辐射型拓扑连接。SD-WAN Advanced 服务包括 SD-WAN Essentials。

    注意:

    CSO 版本 5.4 或更早版本中的 SD-WAN 站点被视为 SD-WAN 高级站点。不能将租户的 SD-WAN 服务级别从 SD-WAN Advanced 降级到 SD-WAN Essentials。

不使用 SD-WAN 和使用 SD-WAN 的分支机构管理

图 1 显示了一个拓扑,其中分支机构在没有 SD-WAN 的情况下进行管理。在此方案中,服务提供商 (SP) 维护支持服务质量(支持 QoS)的网络和分支机构,并管理流量(包括路由公告)和 VPN。在 图 1 中,阴影矩形限定的区域表示服务提供商管理和维护的内容。

图 1:没有 SD-WAN Branch Management Without SD-WAN 的分支机构管理

分支机构客户将流量通过两个冗余链路之一定向到两个提供商边缘 (PE) 路由器中的一个,其中流量在虚拟路由和转发 (VRF) 实例内转发。通常,PE 路由器配置为主动备份模式(以实现冗余),其中流量在任何给定时间仅流经一个路由器。PE 路由器为流量构建队列,队列在专为该分支机构客户准备的启用 QoS 的 MPLS 网络内得到遵守。此外,带宽可能会为需要保证带宽的应用程序保留。或者,服务提供商可以提供额外的增值服务,其中流量使用差分服务代码点 (DSCP) 值进行标记,并且 DSCP 值遵守网络下游。

图 2 显示了使用 SD-WAN 管理分支机构的拓扑。在此方案中,服务提供商提供 PE 路由器和 MPLS 网络, 并且可以 是互联网网络的提供商。但是,企业可以选择添加其他网络(例如,宽带互联网),而不是使用服务提供商的网络,并且企业可以管理客户端设备 (CPE) 设备。

图 2:使用 SD-WAN Branch Management With SD-WAN 的分支机构管理

要构建 VPN,流量必须通过不同的网络建立隧道。因此,您无需通过底层发送流量,而是使用底层通过网络构建通往下一个元素(节点)的隧道。要动态选择流量路径,您需要具有应用程序感知(也称为应用程序感知)流量转向,用于识别应用程序、监控流量所在的隧道(路径)并确定发送流量的隧道。如果隧道降级,SD-WAN 控制器可以将流量移动到其他隧道。在 SD-WAN 场景中,两个隧道同时处于活动状态。

因此,在 SD-WAN 方案中,您不会将流量挤入队列;相反,您可以识别流量并选择要在其上发送流量的隧道。如图 2 所示,整个网络中提供的服务(如路由反射)可以移到顶部。

注意:

在使用 SD-WAN 的分支机构管理中,如果需要,可以在拓扑中安装冗余 PE 路由器。( 图 2 中未显示。

SD-WAN 叠加隧道

在 SD-WAN 中,叠加隧道(参见 图 3)与传输无关,这意味着它们的构建独立于网络的底层传输技术(如 MPLS 或互联网)。隧道是根据分配给 WAN 接口的 IP 地址构建的,可以位于一个分支(分支)和另一个分支(分支)之间,也可以位于分支和中心(总部)之间。

在 CSO 中,您可以构建 GRE 隧道或使用 IPsec 构建 GRE 隧道以提高安全性。当 CSO 识别应用程序时,它会创建写入外部隧道的内部 DSCP 标记,以便考虑外部网络中可能存在的转发队列。

注意:

在 CSO 中,术语 MPLS 是指 QoS 设计的路径,用于指定网络。因此,CSO 不会在底层创建 MPLS 帧,而只会创建以太网帧。
图 3:SD-WAN 叠加隧道(与传输无关) SD-WAN Overlay Tunnels (Transport-Agnostic)

高级 SD-WAN 架构

图 4 显示了高级 SD-WAN 架构的示例。有两个分支站点连接到 SD-WAN 网关(也称为分支或 CPE 设备),一个中央站点(总部)连接到另一个 SD-WAN 网关,该网关可能是中心设备。此外,SD-WAN 控制器使用单个 UI 控制 SD-WAN 网关、管理设备、创建隧道等。

图 4:SD-WAN 架构 Example of SD-WAN Architecture示例

图 5 显示了如何使用 CSO 在具有一个分支站点和一个中心站点的拓扑中应用 SD-WAN。CSO 为通过 MPLS 网络的 WAN 链路构建一条隧道,为通过互联网的 WAN 链路构建另一条隧道。配置 SD-WAN 时,您可以确保任务关键型应用程序数据通过 MPLS 链路(可靠且安全的路径)发送,非任务关键型应用程序数据通过互联网链路(尽力而为的非安全路径)发送。

图 5:CSO SD-WAN 拓扑 Example of a CSO SD-WAN Topology示例

其他信息

有关 CSO SD-WAN 的更多信息,请观看 Contrail SD-WAN 演示 - 15 分钟中的 15 项功能视频