EdgeConnect SD-WAN Hub Design
本节将探讨在枢纽(HUB)位置设计SD-WAN部署的基础知识,并概述其关键设计要点:
目录
Aruba建议使用Orchestrator的SaaS选项,因为它能够降低部署过程中的操作复杂性。有关本地选项的详细信息,请参阅Aruba Edge Connect Enterprise 用户指南。
广域网传输集成
枢纽(HUB)位置应适配分支机构使用的各种传输类型,以实现完整的星型连接。例如,如果环境中包括ISP1和ISP2提供的MPLS线路用于底层传输,那么这两条MPLS线路都应该在枢纽处存在。
对于私有线路(如MPLS),保持与这些提供商的底层路由至关重要。这不仅可以在迁移期间启用流量,还能确保对可能继续使用的底层服务(如SIP中继)的可达性。
内联部署(Inline Deployment)方法
内联部署是使用EdgeConnect网关连接两个或多个网络段的首选方法。
网关是一种放置在WAN和LAN网络段之间的设备。指定的网关不仅充当本地附加子网的路由器,还能为本地流量提供直通功能。
除了直通功能,这些设备还可以通过OSPF或BGP(LAN侧)以及BGP(WAN侧)与非EdgeConnect SD-WAN设备交换路由更新,以适应不同拓扑结构。
通常,当WAN带宽小于10Gbps时,选择内联部署方法。其他设计考虑因素包括:
- 由于需要更换边缘路由器,集线器必须在计划停机窗口期间安装。
- 网关必须正确配置以支持迁移期间现有底层流量。这通常涉及与现有MPLS供应商对等BGP,以确保从非SD-WAN站点到数据中心资源的可达性。
- 集线器应配备两个运行在主动/备用模式下的网关。
路径外部署(Out-of-Path Deployment)方法
某些情况下可能需要在现有网络数据流之外,以路由器模式配置部署EdgeConnect网关。通常,这是由于架构限制或预先存在的设计所致。
为了满足这一需求,路径外模式下的网关部署支持动态路由功能,以便与网络基础设施接口并协助流量重定向。
尽管不是首选,但路径外部署方法通常用于数据中心枢纽式环境,并作为一个汇聚点,使叠加隧道能够访问数据中心资源。
路径外设计将网关添加到拓扑中,同时保留边缘路由器以终止线路。当WAN环境需要极高吞吐量的“横向扩展”架构或无法替换边缘路由器时,这种方式非常有用。
在可能的情况下,应使用路由协议吸引流量至网关,避免使用如WCCP和PBR等重定向协议。
高可用性
在枢纽位置,建议采用传统的高可用性(HA)方案,而非EdgeHA。每个广域网传输都接入到每台设备中,通常需要使用广域网侧交换机或现有交换基础设施上的广域网侧VLAN。这种方法相比EdgeHA提供了更强的弹性。在下例中,一个交换机堆叠用于汇聚广域网侧连接。为了降低单一交换机故障的风险,应将连接分布在堆叠中的不同交换机上。
局域网路由集成
在枢纽处,局域网集成应始终采用三层架构。网关应通过P2P链路(/30或/31)并使用BGP或OSPF协议,与下游广域网汇聚建立对等连接。
在拥有四个以上枢纽位置和超过1000个网关的场景中,应使用BGP以提供企业级的路由控制。BGP也常用于需要应用特定路由过滤的高度复杂环境,这通常见于大量并购以及从传统广域网向SD-WAN进行复杂迁移时。
对于追求简化且部署规模低于上述标准的场景,应选择OSPF。在本示例设计中,我们选用了OSPF。
当将路由通告到局域网时,应将备用设备上的路由度量设置得更高,以确保仅在主设备发生故障时才会将流量发送到备用设备,从而避免ECMP。这有助于保持流量对称性,并确保Boost等功能正常运行。
当多个枢纽通过后端互连相互连接时,在引入SD-WAN枢纽时必须避免次优路由。为此,可以设置足够高的路由度量或在枢纽之间使用更具体的前缀,以确保仅在中间段不可用时才使用SD-WAN叠加网络。当子网上共享重新分发到IGP中的路径时,应应用标签。然后,中间段连接的其他网关应过滤带有此标签的路径,从而避免不必要的数据传输行为。
广域网路由集成 - 叠加
设计广域网路由的主要目标是简化路由结构,同时确保所需的可达性。合理的IP方案设计对于网络架构至关重要,尤其在广域网设计中更为关键。
精心规划的IP方案可以使站点在网络中轻松汇总,从而生成简洁且最小化的路由表,这不仅有助于故障排除,还能促进网络扩展。
推荐的方法是在枢纽处进行汇总,每个枢纽发布一个汇总路由和一个默认路由。汇总路由覆盖该枢纽处的前缀,而默认路由则作为最后手段路径吸引所有其他流量。分支应配置使用模板,以选择下一个跳跃网关优先级。如果从两个特定枢纽接收到相同前缀(如默认路由),则选择优先级较高者。这种方法简化了枢纽选择,并允许未来区域设计中的灵活性,不同分支组可能具有不同的枢纽优先级。
根据拓扑结构,可以采用多种有效方法生成这两条汇总路由。Aruba推荐的方法是在核心设备上为中心汇总路由设置指向null0的静态路由,并将其重新分发到OSPF中。默认路由可以通过来自互联网路由器或防火墙的OSPF获得,也可以是一个重新分发到OSPF中的静态路由,核心设备则指向上游的互联网设备。为了避免在中心发生互联网故障时导致回程流量黑洞,应使用路径跟踪等方法从表中移除默认路由。在重新分发用于子网共享的路线时,建议使用路径映射限制,仅对那两条汇总路线进行重新分发。
广域网路由集成 - 运营商
与广域网提供商的路由集成(也称为底层)确保了在网关之间实现路由可达性,从而建立IPsec隧道。
对于诸如MPLS等私有传输类型,使用eBGP通告广域网接口的可达性,以便建立IPsec隧道。
在大多数部署中,运营商正在从传统广域网迁移到SD-WAN解决方案。当站点从传统网络转换为SD-WAN时,必须考虑分支到分支的连接。在规划迁移时,请确保枢纽向底层通告默认路由,以吸引已转换和未转换流量的流动。
对于公共传输,如互联网或蜂窝网络,则使用静态默认路由。