iMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书

iMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书文档版本01发布日期2020-07-08华为技术有限公司版权所有 华为技术有限公司2020。 保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明 和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼 邮编：518129网址：客户服务邮箱：support客户服务电话：4008302118文档版本01 (2020-07-08)版权所有 华为技术有限公司iiMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书目 录目 录1 概述11.1 产生背景11.2 主要功能介绍11.3 技术特色22 组网和业务部署32.1 LANWAN融合典型组网场景32.2 业务部署USECASE52.2.1 LAN/WAN站点设备统一开局自动化上线52.2.2 总部分支用户认证接入，并跨站点VPN安全互访52.2.3 用户站点出口支持多链路出口智能选路63 关键技术原理73.1 路由和VPN设计73.1.1 VPN设计73.1.2 路由设计93.2 智能选路123.2.1 功能和原理123.2.2 链路质量监测153.2.3 选路流程说明183.3 按需访问Internet203.3.1 本地上网213.3.2 集中上网223.3.3 混合上网244 典型应用场景264.1 金融行业应用场景265 场景约束286 缩略语表/Acronyms and Abbreviations29文档版本01 (2020-07-08)版权所有 华为技术有限公司iiiMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书1 概述1 概述1.1 产生背景1.2 主要功能介绍1.3 技术特色1.1 产生背景随着越来越多的企业分支有互联的需求，但是传统的专线网络开通存在租用费用昂贵、开局周期长、新增业务部署复杂耗时长等问题，无法满足快速开通、灵活部署的企业网络需求。华为CloudCampus解决方案为了解决上述互联问题，iMaster NCE-Campus融合了SD-WAN技术，很好的解决了企业园区互联诉求。1.2 主要功能介绍iMaster NCE-Campus作为华为CloudCampus解决方案核心部件，在原来的LAN分支业务基础上融合了SD-WAN技术，对企业互联业务实现全流程管理，提供了专线业务的自动化部署、智能选路策略配置、企业分支连接公有云，以及即插即用、可视化运维等能力。l 专线自动化部署：在完成underlay路由配置后，选择站点间的组网模式（Hub-Spoke和Full-Mesh，iMaster NCE-Campus就可以根据拓扑模式自动使用BGP-EVPN技术在分支之间自动建立Overlay隧道；l 智能选路策略：当网络质量较差、无法保障正常业务需求时，通过iMaster NCE-Campus 编排智能策略路由SPR（Smart Policy Routing）业务并下发到CPE设备上，使其能主动探测链路质量并匹配业务的需求，从而选择一条最优链路转发业务数据，有效避免网络黑洞、网络震荡等问题。通过定制智能选路策略，当发生链路拥塞、无法满足指定应用的要求时，可以将流量自动切换到备传输网络，确保关键应用的体验。l 即插即用：CPE支持邮件开局，U盘开局，以及DHCP Option的开局模式。通常使用邮件开局的模式，管理员只要在iMaster NCE-Campus使用界面完成ZTP开局的初始配置，并且配置好邮箱，现场人员通过打开邮件即可完成开局配置。l 可视化运维：提供实时的VPN链路状态监控，运维人员能够很快定位出故障链路。1.3 技术特色对于外部用户来说，LANWAN融合使用了统一的Portal进行业务发放和运维管理，确保体验不下降。对内LANWAN融合采用微服务部署模式，SD-WAN作为iMaster NCE-Campus一个微服务，采用统一的平台，确保架构统一无冗余。l 统一Portal实现E2E业务编排：基于VN（虚拟网络）封装实现端到端的LAN-WAN业务的向导式统一发放，包括：VN创建、WAN拓扑编排、LAN业务编排、出口互联配置、LANWAN策略；l 统一架构： 统一的微服务架构，合并原来SD-WAN和Campus相同的服务，基础网络，设备管理，运维监控等服务，但SD-WAN网络服务作为单独的微服务安装，可以根据客户的场景支持选装。l 统一的安装部署模式：继承原来iMaster NCE-Campus部署模式，提供更灵活的基于服务的定制安装，LAN-WAN融合版本支持四机最小集群部署、和分布式部署（12虚机和24虚机）；文档版本01 (2020-07-08)版权所有 华为技术有限公司2iMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书2 组网和业务部署2 组网和业务部署2.1 LANWAN融合典型组网场景2.2 业务部署USECASE2.1 LANWAN融合典型组网场景原来Campus园区场景在分支之间互联场景的时候，主推的方案是使用防火墙建立IPSEC VPN的方案，支持SD-WAN特性之后，根据客户对分支之间选路的诉求，可以使用AR使用SD-WAN的GRE over IPSEC隧道，进行智能选路。推荐的3种组网模型如下：中小企业，本地互联场景组网（分支<200）大型企业，本地互联场景组网（分支>200）：跨国企业，分布式区域中心组网场景2.2 业务部署USECASE2.2.1 LAN/WAN站点设备统一开局自动化上线主要部署如下：1. 设备安装上电2. 控制器添加站点和设备信息3. 配置网关设备的ZTP配置和邮件开局4. 其他接入设备从DHCP Option获取控制器地址上线5. 离线配置推送2.2.2 总部分支用户认证接入，并跨站点VPN安全互访主要步骤如下：1. 创建部门的VN和VPN实例，并将站点加入到VN2. WAN业务编排：创建EVPN拓扑（Hub/Spoke模式），总部做Hub点3. LAN业务编排：（1）在核心以业务Vlan创建subnet，开启dhcpServer；（2）SW放通业务Vlan；（3）AP以业务VLan创建SSID，指定认证模式4. LANWAN互联业务编排：（1）核心和GW的互联接口；（2）核心和GW的路由；2.2.3 用户站点出口支持多链路出口智能选路主要步骤如下：1. 进入VN，选择需要进行智能选路的部门2. 配置智能选路策略，包含流分类模板和策略优先级3. 配置切换指标，选择系统预定义的四类指标，或者选择自定义4. 关联智能选路策略的站点，策略只对被选择的站点生效5. 下发智能选路策略到站点，并设置策略开始执行时间文档版本01 (2020-07-08)版权所有 华为技术有限公司6iMaster NCE-Campus V300R019C10 LANWAN融合技术白皮书3 关键技术原理3 关键技术原理3.1 路由和VPN设计3.2 智能选路3.3 按需访问Internet3.1 路由和VPN设计3.1.1 VPN设计SD-WAN通过VPN功能实现单租户多部门间的业务隔离。VPN是SD-WAN上虚拟隔离网络的简称，每个VPN是一个独立的IP三层私有网络，多个不同的VPN端到端从连接站点的Tunnel到站点的CPE设备，都实现了彼此的逻辑隔离，互相无法直接访问。具体到企业的多个部门隔离，就是针对每个部门分别规划定义一个VPN。图 321 SD-WAN VPN方案原理从实现角度，VPN的端到端的隔离体现在站点和overlay隧道VPN隔离两个部分：1. 站点VPN隔离站点上实现VPN标识的方式通常是采用传统的VRF方式，每个部门对应创建一个VRF，并且将该VPN，即企业相关部门的LAN侧接口放入到对应的VRF中。由于不同的VRF之间的转发表是独立的，互相无法访问，因此就能实现该站点上VPN之间的业务隔离。图 322 SD-WAN 站点VPN方案设计 Underlay VPNCPE的所有的WAN接口，即Transport Port，都各自单独部署在一个独立的VPN中，也可以称之为underlay VPN，这样做的目的一个是实现了CPE上Underlay域和Overlay域的隔离，此外还规避了不同的运营商分配WAN IP地址可能的发生冲突的问题。 管理VPN站点的CPE设备需要发起向远端AC控制器的注册和相应的管理、控制通道的建立，为此，专门在站点CPE上规划了一个独立的管理VPN，其中包含了一个Loopback接口，该接口的IP地址在企业WAN网络内唯一标识，也是该CPE的Router ID。分支CPE上电后，为了能够对远端的AC控制器进行访问，需要在管理VPN内配置缺省路由或者到AC控制器的精确路由，这些工作需要在CPE的即插即用开局阶段自动完成。 业务VPN除了上述两种基础的VPN，还有业务VPN，业务VPN承载了企业每个站点的LAN侧业务，是企业WAN互通的业务实体。业务VPN的可能是一个，也可能是多个，根据企业实际需要隔离的业务数量而定。这些VPN上可以使能多种路由协议，如静态路由、OSPF和BGP等；可以在LAN侧部署VRRP，可以部署QoS、应用选路、安全和WOC策略等网络增值服务。为了与远端的站点实现VPN互通，需要跨域WAN互相学习双方的业务VPN路由；具体来说，两端站点将本地LAN侧的业务路由通过BGP协议传播给中间的路由反射器RR，然后借助BGP实现路由的互相学习。2. 隧道VPN隔离首先，在两个需要进行通信的分支站点之间，建立一条或者多条SD-WAN Tunnel，两个站点之间共享一个Tunnel，该Tunnel的外层源和目的隧道封装IP地址分别是源站点CPE和目的站点CPE所对应的共享的WAN链路接口IP地址，而具体采用哪种IP隧道技术可以灵活选择，比如用GRE、IPSec、Vxlan等IP overlay隧道中选择一种。为了区分每个VPN在共享的Tunnel的业务流量，需要在Tunnel内为不同的VPN的流量增加一个标识，具体做法通常是在报文中增加一个ID，ID的封装根据Tunnel的具体技术而定，比如如果Tunnel采用的是