Aruba EdgeConnect SD-WAN与SD-Branch广域网传输设计
选择用于运行SD-WAN部署的线路类型是设计中的关键步骤。每种线路类型都有其独特的优缺点,这些因素会直接影响SD-WAN的性能。
本节将描述相关的设计决策和最佳实践,旨在帮助运营商为Aruba的两种SD-WAN解决方案做出最优线路选择。
目录
普通互联网
普通互联网是SD-WAN部署中最常见的传输类型,因为其成本低且带宽高。
选择普通互联网的主要优势在于可以将其作为传输方式,实现与任何其他地点的完全IP连接。然而,其缺点在于传输性能有限或无法得到保证,尤其是在数据流量需要跨越多个骨干网提供商时。
MPLS
MPLS线路在服务提供商网络中为各个地点之间提供私密连接,并确保更可预测且有SLA支持的性能。尽管MPLS可以作为SD-WAN的一种传输方式,但通常是最昂贵的选择。在大多数SD-WAN解决方案中,MPLS逐渐被普通互联网取代,通过SD-WAN技术来实现SLA保障。
如果使用MPLS网络来托管供应商的SIP线路、防火墙或云入口点等服务,在该线路上运行SD-WAN可能会在访问这些服务时带来路由挑战。需要仔细设计路由方案,以满足服务需求和流量访问要求。可能需要在底层和叠加之间进行路由泄漏,或者通过枢纽实现发夹式流量处理。
随着SD-WAN的普及,通常会逐步淘汰MPLS线路,以利用互联网线路所提供的更高速度和更低成本。
3G/4G/5G
移动运营商的数据传统上被用作许多地点的最后手段,以在某个地点的物理线路不可用时提供最后一公里的弹性。
由于移动线路通常具有较低吞吐量和数据上限,通常不建议将其作为主要连接。然而,一些现代5G供应商现在提供无数据上限且高速的计划,使其成为可考虑作为主要连接的一种选择。
私有2层
私有二层线路类型包括VPLS、城域以太网和伪线(Pseudo Wire)。这些线路类型常用于数据中心互连(DCI)或大型园区网络的连接。尽管它们在大规模广域网(WAN)传输中不太常见,但仍然经常被部署。
Aruba EdgeConnect SD-Branch和EdgeConnect SD-WAN都支持二层WAN传输,但这些设计需要额外的考虑。如果计划在此类传输类型上部署SD-WAN,请咨询您当地的Aruba解决方案架构师。
Starlink/低轨道
低轨道WAN线路(如SpaceX的Starlink)提供了一种全新的基于射频的广域网解决方案。它们通常用于偏远或农村地区,能够提供高速、低延迟的宽带互联网连接。
对于这些地区的网络运营商来说,获得满足足够带宽和服务水平协议(SLA)要求的其他类型广域网线路可能是一项挑战。因此,新兴的低轨道WAN线路值得考虑。
推荐搭配
许多SD-WAN的实施旨在完全替代其环境中的专用线路。普通互联网线路以高性价比提供大量带宽,而SD-WAN技术现在能够将流量智能引导至合适的线路,从而提升普通互联网的性能,更好地满足业务需求。
多个高速互联网线路与4G/5G备份相结合是最理想的终极搭配。在数据中心,通常会配置双路甚至三路互联网连接;在分支机构,则常见双路互联网或单一路由移动备份。
对于那些有更严格传输SLA或复杂既定MPLS网络的企业,可能更倾向于保留其基础设施中的供应商MPLS。在这种情况下,将MPLS、普通互联网和移动备份进行组合是合理选择。企业可以逐步减少其MPLS线路的带宽,因为更多流量被转移到基于普通互联网构建的叠加网络上。
最后一公里搭配考虑因素
在为站点配置WAN线路时,必须重视提供最后一公里弹性的需求。应避免将多条线路捆绑进入同一个物理位置的常见做法,因为单一入口点容易受到第一层故障事件或挖掘机事故的影响,从而导致该位置所有WAN线路中断。
一些客户使用5G作为主要的WAN传输手段,并辅以普通互联网。目前,服务提供商已推出无限制5G套餐,与有线普通互联网相结合,可以有效地提供最后一公里弹性。
零接触配置
SD-WAN解决方案使设备能够“开箱即用”,并自动连接到统一的云平台进行管理,这一过程被称为零接触配置(ZTP)。
为了充分利用ZTP,分支网络需要标准化,以便通过模板在多个地点实现一致且通用的配置。
尽管某些站点可能具有无法远程配置的独特拓扑结构,ZTP依然有其优势。然而,其真正价值在于能够使用模板普遍部署所有类型的拓扑结构。
枢纽(Hub)设计
SD-WAN架构通常设有枢纽位置,通常是数据中心或其他应用所在的站点。枢纽(Hub)位置负责:
- WAN站点对枢纽中应用的可达性
- 用于星型拓扑结构的IPsec隧道汇聚
- 作为大规模部署的区域路由中心
- 根据需求提供集中化安全服务
- 云接入替代实体枢纽
本节回顾了在确定SD-WAN拓扑中心位置时需要考虑的关键因素。
设备部署模型
在数据中心安装SD-WAN设备时,通常有两种部署方法:
- 内联部署(Inline deployment)
- 路径外部署(Out-of-path deployment)
内联部署
在内联部署中,SD-WAN路由器作为边缘路由器直接终止广域网线路。这是首选的部署方式,其中两个网关以主动/备用模式运行。此方法在不需要水平扩展的简单环境中效果良好,例如只有一到两台SD-WAN设备的情况。在无需支持传统广域网迁移的新建环境中,此方法同样表现出色。
下图展示了内联部署。
路径外(Out-of-Path)部署
对于非路径部署,SD-WAN设备不会直接终止WAN线路。相反,流量会通过路由协议或重定向协议被引导至SD-WAN设备。这种方法不建议作为初始设计,仅在满足以下两个特定需求之一时才应使用:
边缘路由器必须保留,不能用网关替换。当边缘路由器执行其他复杂功能(如第三方IPsec隧道终止)时,这种配置可能更为理想。
需要比简单的双盒、路径内部署提供更多的WAN带宽。如果采用非路径部署,网关数量可以超过两个,从而实现水平扩展。
下图展示了非路径部署。
分支设计
分支机构被定义为不托管应用的小型远程地点。餐饮连锁店和零售网点是拥有数百个分支机构、遍布广泛地理区域的企业实例。对于占地面积较大的远程地点,请参阅Aruba 小型园区参考架构。
本节将介绍设计分支机构时的关键考虑因素,重点讨论SD-WAN设备的集成。
在分支机构中,SD-WAN设备通常作为边缘路由器部署,以取代传统的路由器和防火墙。它们不仅物理上终止广域网线路,还负责与服务提供商进行所有路由对等。这些分支路由器可以被配置为分支VLANs的默认网关,也可以参与到分支局域网中的路由工作。
交换和无线基础设施的局域网设计在VSG的园区设计部分中已有详细介绍。关于具体的分支机构设计,请参阅EdgeConnect SD-WAN和EdgeConnect SD-Branch的参考架构。
互联网出口
随着越来越多的业务资源迁移到互联网,设计高效的互联网出口变得愈发重要。许多企业正在将其资源转移至SaaS解决方案,如Office 365,并通过互联网进行访问。这种应用位置的变化要求网络架构师重新设计传统的互联网出口。
采用SD-WAN技术可以实现更灵活和直接的互联网出口设计,同时不影响安全性。通过应用识别和SD-LAN增强策略,可以为不同类型的流量制定相应的互联网出口策略。
可信赖的业务应用程序可以直接发送到互联网上,或者通过SD-WAN设备上的防火墙功能进行处理。此外,流量还可以被引导至云防火墙服务,以便进行更详细检查和集中管理。同时,根据需要,特定流量仍然可以回传至数据中心以进行更具体内部检查。
无论在网络中的哪个位置,对于客户端使用地理适配DNS都是至关重要的。许多互联网资源都有基于地理位置设置入口。例如,微软根据地理位置设有多个核心软件服务入口。如果你位于西雅图并请求Office 365 DNS条目,但你的DNS服务器在纽约,你会收到纽约入口IP地址,这会导致次优流量路径。
叠加组件
叠加的具体工作原理和特点在很大程度上依赖于SD-WAN解决方案。本节概述了叠加的一般运作方式。有关特定解决方案的详细信息,请参见EdgeConnect SD-WAN和EdgeConnect SD-Branch部分。
通常,叠加是通过IPsec隧道实现的,它在SD-WAN设备之间建立逻辑连接,从而规范WAN内的所有传输。一旦隧道建立,SD-WAN解决方案便开始监控这些隧道,以获取性能指标和传输健康状况。
叠加的目标是通过以下机制确保应用程序的稳定性和可靠性:
流量识别 - SD-WAN设备可以根据流量类型进行区分。识别方式包括简单的DSCP标记匹配或使用三层/四层ACL。更高级的应用识别引擎可根据SD-WAN解决方案的能力进行部署。
流量策略 - 操作员为不同类型或组的流量创建策略并分配特定SLA。然后,SD-WAN解决方案会依据这些指定的策略和SLA,将流量引导至特定传输路径,以确保选择最佳路径。
应对广域网传输不稳定性 - SD-WAN设备可以对流量应用前向纠错(FEC),使网络能够从各种网络层条件导致的数据包丢失中恢复,例如队列溢出、带宽受限链路或运营商网络中的长时间设备延迟。在每个数据块中,每‘N’个数据包添加一个奇偶校验包,‘N’可以是2、4或8。这些奇偶校验包使远端SD-WAN设备在将数据包交付给TCP、UDP或其他传输层之前重构丢失的数据包,从而避免了UDP信息丢失以及多次往返重传所带来的延迟或者TCP拥塞避免机制对性能的影响。
拓扑选择 - 拓扑决定了IPsec隧道的位置,并可能影响SD-WAN解决方案的可扩展性。主要有两种拓扑类型:星型和全网状。在星型拓扑中,IPsec隧道仅在分支节点与中心节点之间建立,这减少了IPsec隧道数量,从而允许更高规模,但也会在分支节点之间产生次优路径,需要通过中心节点进行传输。而在全网状拓扑中,所有分支节点可以直接通信,但这会创建大量IPsec隧道,限制该结构的可扩展性。
最佳实践是对不需要优化分支间路由的情况采用星型拓扑。只有在处理“实时”流量时才需要全网状拓扑,以便延迟敏感的应用能够直接在分支节点之间进行路由。
云集成
SD-WAN 改变了许多架构师连接其网络到云提供商(如 AWS、Azure 或 GPC)的方式。EdgeConnect SD-WAN 和 EdgeConnect SD-Branch 支持多种部署模型以连接到云资源。最常见且通常推荐的做法是将 EdgeConnect 直接部署在 IaaS 提供商中,下面会进一步讨论这一点。如需了解如何将 SD-WAN 与 Megaport 或 Alkira 等多云解决方案集成,请联系您的 Aruba 客户团队。
Aruba 的 SD-WAN 解决方案有助于自动化大部分部署并减少复杂性,如部署指南所述。底层解决方案架构概述如下图所示。
微软 Azure
为了与微软 Azure 集成,Aruba 建议客户部署 vWAN 解决方案,以互连其工作负载虚拟网络 (VNET)。然后,通过 SD-WAN VNET 在 Azure VNET 和 SD-WAN fabric 之间提供连接。有关此方法的更多信息,请参阅微软文档。
在 Azure 内,可以通过 Aruba Orchestrator for SD-WAN 或 Aruba Central for SD-Branch 部署一对冗余的 EdgeConnect 设备。在局域网侧,这些 EdgeConnect 设备将与 VNET 中心建立 BGP 对等关系,从而通告和学习工作负载 VNET 路由。在广域网侧,接口将连接到 Azure Internet Gateway,以实现互联网可达性。这将允许设备注册到 Orchestrator 或 Central,并建立 SD-WAN IPSEC 隧道和路由邻接关系。
尽管EdgeConnect可以直接部署到vWAN中,但由于目前的限制(如不支持Express Route连接),这并不是推荐的方法。
亚马逊网络服务
为了与亚马逊网络服务(AWS)集成,Aruba建议客户部署中转网关解决方案,以互连其工作负载虚拟私有云(VPC)。然后,通过SD-WAN VPC在AWS VPC和SD-WAN fabric之间提供连接。有关此方法的更多信息,请参阅亚马逊文档。
在AWS内,可以通过Aruba Orchestrator for SD-WAN或Aruba Central for SD-Branch部署一对冗余的EdgeConnect设备。在局域网侧,这些EdgeConnect设备将通过BGP与中转网关(TGW)建立对等关系。SD-WAN fabric路由将被通告给TGW,并学习工作负载VPC路由。在广域网侧,接口将连接到AWS互联网网关以获得互联网可达性。这将允许设备注册到Orchestrator或Central,并建立SD-WAN IPSEC隧道和路由邻接关系。