EdgeConnect SD-WAN 参考设计
本指南的这一部分展示了如何基于客户概况来设计EdgeConnect SD-WAN部署。
目录
组件选择
本节介绍了使用HPE Aruba EdgeConnect SD-WAN解决方案的参考架构组件。
此参考架构基于Aruba编排器和EdgeConnect SD-WAN网关的9.4版本。
EdgeConnect 网关
请按照以下步骤确定每个位置适用的网关设备:
- 确定带宽需求。
- 如果存在非对称线路,请使用较高的数值来计算带宽。
- 确定光纤端口、电源和高可用性(HA)需求。
- 确认是否需要高级功能,例如动态威胁防御(DTD)或Boost。
- 选择能够满足这些需求的设备:
| 型号 | EC-10104 | EC-10106 | EC-XS | EC-S-P | EC-M-H | EC-L-H | EC-XL-H |
|---|---|---|---|---|---|---|---|
| 典型部署 | 小型分支机构/家庭办公室 | 小型分支机构 | 小型分支机构 | 大型分支机构 | 总部/数据中心大型枢纽 | 数据中心 大型枢纽 | 数据中心 大型枢纽 |
| 典型广域网带宽 | 2-500 Mbps | 2-1000 Mbps | 2-1000 Mbps | 10-3000 Mbps | 50-5000 Mbps | 2-10 Gbps | 2-10 Gbps |
| 并发连接 | 256,000 | 256,000 | 256,000 | 256,000 | 2,000,000 | 2,000,000 | 2,000,000 |
| 推荐的广域网加速最高可达: | 200 mbps | 250 mbps | 250 mbps | 500 mbps | 1 gbps | 1 gbps | 5 gbps |
| 冗余 / FRU(现场可更换单元) | No | No | No | SSD and Power (AC or DC) | SSD and Power | SSD and Power | SSD, NVMe, Power |
| 数据接口 | 4 x RJ45 10/100/1000 | 2 x RJ45 2 x Combo 2 x 1/10G SFP+ | 4 x RJ45 10/100/1000 | 8 x RJ45 4 x 1/10G Optical | 8 x RJ45 4 x 1/10G Opitical | 6 x 1/10G Optical | 6 x 1/10/25G Optical |
假设广域网带宽为双向流量(对称的上行和下行)。要计算总广域网吞吐量(接收+发送),请将这些数字相加后再乘以2。
收发器
EdgeConnect SD-WAN 网关已通过认证,可与以下收发器兼容。请参阅下表,确认所选收发器是否支持物理连接。
| 收发器 SKU | 描述 |
|---|---|
| EC-SFP-SR | SFP+,1/10G, SR |
| EC-SFP-LR | SFP+,1/10G, LR |
| EC-SFP28-25G-SR | SFR28 Transceiver, 10/25G, SR |
| EC-SFP28-25G-LR | SFR28 Transceiver, 10/25G, LR |
许可(Licensing)
请按照以下步骤为EdgeConnect SD-WAN部署进行授权。每个网关都需要单独购买许可。
请选择一个订阅期限,可以是1年、3年、5年或7年。您可以选择基础版、高级版或本地部署版。请确保在环境中的所有网关上使用相同的版本。有关更多信息,请参见下文。
选择EdgeConnect网关(无论是物理还是虚拟)的软件带宽。许可证基于特定节点的汇聚WAN侧带宽,并根据订阅级别提供多达8个不同的带宽选项。有关这些选项的详细信息,请参见下文。
(可选)添加Boost功能,WAN优化可以通过100 Mbps和10 Gbps为单位的许可进行灵活部署,以满足需要应用加速的需求。
(可选)添加动态威胁防御(DTD)许可证, EdgeConnect平台支持IDS/IPS功能。未来,可能会有其他与安全相关的特性与DTD许可证绑定。
分级订阅许可模式
HPE Aruba为EdgeConnect SD-WAN部署提供了三个许可级别:基础版、高级版和本地部署版
Foundation(基础版) 提供以价值为导向的选项,涵盖基本的SD-WAN功能和高级NGFW特性,并包括云编排器。
Advanced(高级版) 提供卓越性能,具备先进的SD-WAN功能和高级NGFW特性,同时包含云编排器。
On-Premise(本地部署版) 为本地部署提供最佳性能,配备先进的SD-WAN功能和高级NGFW特性。
高级版推荐给大多数客户,因为它不仅支持所有SD-WAN功能,还提供最大的灵活性。
下表概述了各个版本之间的差异。
| Foundation (AAS) | Advanced (AAS) | On-Prem | |
|---|---|---|---|
| 带宽级别 | 3 tiers (100M, 1G, 10G) | 20M/50M/100M/200M/500M/1G/2G/Unlimited | 20M/50M/100M/200M/500M/1G/2G/ Unlimited |
| BIOs | 3 (RealTime, Critical & Default) | 7 | 7 |
| 网络分段/VRF | 2 (auto-enabled, default & guest only) | 64 | 64 |
| 路由 | BGP, OSPF, Subnet Sharing | BGP, OSPF, SS | BGP, OSPF, SS |
| 网状网络 | No | Yes | Yes |
| 多区域拓扑 | Max 4 regions, 4 hubs/region | Yes | Yes |
| AppExpress | No (Monitor only) | Yes (Monitor and Steer) | Yes (Monitor and Steer) |
| 编排器 | Cloud Orchestrator Foundation | Cloud Orchestrator Advanced | On-premises |
| 编排器统计数据保留 | 24h/7d/1mo (m/h/d) | 72h/14d/3mo | Custom |
所有许可级别的共同特点包括:
- 不受限制的站点数量
- 路径调节(Path Conditioning)
- 下一代防火墙
- 防火墙保护配置文件
- 应用可视化控制/首包智能识别
- 零信任分段(角色)
- 分布式拒绝服务(DDOS)攻击检测/缓解
- EC SD-WAN Fabric 编排器
- 高级加密技术
- EdgeHA
- 零接触配置 / 模板(Templates)。
带宽许可
每个站点都必须获得适当的带宽许可。
要计算特定网关所需的吞吐量许可证,请先确定该网关将使用的总WAN带宽。例如,对于一条100 Mbps的互联网线路和一条20 Mbps的MPLS线路,总带宽为120 Mbps。对于非对称线路,如50 Mbps下载和5 Mbps上传的互联网连接,应使用较大的数字进行计算。由于蜂窝备份仅作为最后手段路径,因此不计入吞吐量许可证计算中。
Boost许可
虽然当前设计中未使用Boost,但它以100 Mbps为单位出售,并以1 Kbps的增量分配给网关。要确定所需的Boost许可数量,请按照以下步骤操作:
- 确定需要加速的应用程序。
- 计算需要加速这些应用程序的站点数量。
- 确定每个站点正常运行该应用程序所需的带宽。
- 购买适用于各站点总需求的Boost许可。
动态威胁防御(Dynamic Threat Defense)
EdgeConnect中的高级安全许可证提供了入侵检测系统(IDS)功能。本示例设计未包含此功能。若需确定所需的高级安全许可证,请参阅以下指导意见。
示例Hub设计
下图显示了一个示例Hub。
设计的关键要素包括:
- 网关被置于内联位置。
- 广域网连接插入上游广域网侧交换机,然后连接到网关,以实现传统的高可用性。这需要在广域网上额外分配IP地址空间。
- 网关通过3层网络连接到局域网,进入广域网汇聚区并对等OSPF协议。
- 维护与MPLS提供商的BGP邻接关系以促进迁移过程。
- 使用子网共享(Subnet Sharing)发布hub汇总路由和默认路由信息。
- 所有分支机构使用具有对等优先级的模板,在多个hub网关呈现相同路由时选择一个hub进行通信。
- 当从子网共享(WAN)重新分发到OSPF(LAN)时,可以设置较高的OSPF值以优化流量管理。
- 该设计确保数据中心之间的流量通过数据中心互连(DCI)。可以根据需要调整OSPF值以优化性能。
- 从子网共享(WAN)重新分发到OSPF(LAN)时,为某个特定网关指定更高值,以确保流量对称性和负载均衡。
以下组件已被选定以满足集线器的要求,并按五年期购买。
硬件
| 数量 | SKU | 考虑因素 |
|---|---|---|
| 4 | EC-L-H (推荐) | 每hub两个。提供硬件高可用性。 |
| EC-XL-H (替代方案) | 在需要高级别的Boost或25G LAN/WAN连接时使用。 | |
| EC-M-H (替代方案) | 在需要较少带宽时使用 | |
| 1 | ||
| 12 | EC-SFP-SR (推荐) | 客户目前拥有SR光纤设施。 |
| EC-SFP-LR (替代方案) |
许可证
如果计划未来用更高速的互联网线路替换MPLS线路,请考虑根据需求购买长期许可证,或选择较短期限的许可证。
| 数量 | SKU | 考虑因素 |
|---|---|---|
| 4 | HPE ANW EC Adv UL 5yr Sub SaaS | 客户在hub处的带宽超过2 Gbps |
| HPE ANW EC Adv 2Gb 5yr Sub SaaS (替代方案) | 可用于客户带宽需求较低的情况 | |
| HPE ANW EC Adv 1Gb 5yr Sub SaaS (替代方案) | 可用于客户带宽需求较低的情况 | |
| HPE ANW EC Adv 500mb 5yr Sub SaaS (替代方案) | 可用于客户带宽需求较低的情况 |
示例分支设计
小型站点设计
下图展示了一个小型站点的示例枢纽。
关键要素包括:
- 网关被置于内联位置。
- 网关通过单一的2层连接与交换机相连。
- 网关充当分支机构中所有子网的默认网关。
以下组件是为满足小型站点需求而选择,购买期限为五年。
硬件
| 数量 | SKU | 考虑因素 |
|---|---|---|
| 1 | EC-10104 (推荐) | 在低带宽和用户数量较少的情况下具有成本效益。 |
| EC-10106 (推荐) | 适用于高带宽应用或需要SFP+的情况 |
许可证
如果计划在未来用更高速的互联网线路替换MPLS线路,请考虑根据未来需求购买许可证,或购买期限较短的许可证。
| 数量 | SKU | 考虑因素 |
|---|---|---|
| 1 | HPE ANW EC Adv 500mb 5yr Sub SaaS (推荐) | 基于客户当前需求,并留有增长空间 |
| HPE ANW EC Adv 200mb 5yr Sub SaaS (替代方案) | 可用于客户有不同带宽需求时。 | |
| HPE ANW EC Adv 100mb 5yr Sub SaaS (替代方案) | 可用于客户有不同带宽需求时。 | |
| HPE ANW EC Adv 50mb 5yr Sub SaaS(替代方案) | 可用于客户有不同带宽需求时。 |
中型站点设计
下图显示了一个中型站点的示例枢纽。
关键要素包括:
- 网关被设置为内联模式。
- 使用EdgeHA实现高可用性。
- 网关通过3层链路连接到汇聚核心,并与OSPF对等。
- 在从子网共享(WAN)重分发到OSPF(LAN)时,为一个网关分配更优的度量值以确保流量对称性。
- 在从OSPF重分发到子网共享时,为一个网关分配更优的度量值以确保流量对称性。
以下组件是为满足中型站点需求而选择,购买期限为五年。
硬件
| 数量 | SKU | 考虑因素 |
|---|---|---|
| 2 | EC-10106 (推荐) | |
| EC-S-P (替代方案) | 用于更高带宽和更多硬件高可用性 |
许可证
如果计划在未来用更高速的互联网线路替换MPLS线路,请考虑根据未来需求购买许可证,或购买期限较短的许可证。
| 数量 | SKU | 考虑因素 |
|---|---|---|
| 1 | HPE ANW EC Adv 1gbps 5yr Sub SaaS (推荐) | 基于客户当前需求,并留有增长空间 |
| HPE ANW EC Adv 500mb 5yr Sub SaaS (推荐) | 可用于客户有不同带宽需求时 | |
| HPE ANW EC Adv 200mb 5yr Sub SaaS (替代方案) | 可用于客户有不同带宽需求时 | |
| HPE ANW EC Adv 100mb 5yr Sub SaaS (替代方案) | 可用于客户有不同带宽需求时 | |
| 1 | HPE ANW EC Adv HA | 站点第二个网关的高可用许可证。请确保匹配版本、带宽和期限。 |
| 1 | HPE ANW EC DTD 5yr Sub SaaS | 可选DTD许可证 |
| 1 | HPE ANW EC DTD HA 5yr Sub SaaS | 可选的DTD高可用性许可证 |
大型站点设计
下图显示了一个大型站点的示例hub。
主要特点如下:
- 网关设置为内联模式。
- 使用EdgeHA实现高可用性。
- 网关通过3层链路连接到汇聚核心,并与OSPF对等。
- 在从子网共享(WAN)重分发到OSPF(LAN)时,为一个网关分配更优的度量值以确保流量对称性。
- 在从OSPF重分发到子网共享时,为一个网关分配更优的度量值以确保流量对称性。
- LTE连接需要第三方设备终止LTE信号并进行以太网交接,作为最后路径,仅在两条线路都断开时转发流量。
以下组件被选中,以满足大型站点五年期购买需求。该大型站点具有最高带宽,服务大量用户,并实施了高可用性。
硬件
| 数量 | SKU | 考虑因素 |
|---|---|---|
| 2 | EC-S-P (推荐) | 在低带宽和用户数量较少的情况下具有成本效益。 |
| EC-M-P (替代方案) | 适用于更高带宽 |
许可证
如果计划在未来用更高速的互联网线路替换MPLS线路,请考虑根据未来需求购买许可证,或购买期限较短的许可证。
| 数量 | SKU | 考虑因素 |
|---|---|---|
| 1 | HPE ANW EC Adv 2gbps 5yr Sub SaaS (推荐) | 根据当前需求,并预留发展空间。 |
| HPE ANW EC Adv 1gbps 5yr Sub SaaS (推荐) | 基于客户当前需求,并留有增长空间 | |
| HPE ANW EC Adv 500mb 5yr Sub SaaS (替代方案) | 可用于客户有不同带宽需求时 | |
| 1 | HPE ANW EC Adv HA | 请确保为站点的第二个网关申请HA许可证,并匹配相应的版本、带宽和期限。 |
| 1 | HPE ANW EC DTD 5yr Sub SaaS | 可选的DTD许可证 |
| 1 | HPE ANW EC DTD HA 5yr Sub SaaS | 可选的DTD HA许可证 |
示例叠加设计(Overlay Design)
下图展示了一个叠加效果。
特点包括:
- 集成云防火墙,用于特定的云过滤隧道。
- 在 IaaS 提供商中部署 EC-V,以便更好地访问托管服务。
- 当未使用云防火墙时,在网关上配置基于区域的防火墙,以提供基本的互联网流量过滤。
下表展示了 BIO 设计元素。所有流量首先匹配默认叠加 ACL,并根据需要进行修改。
| BIO 名称 | 流量匹配 | 拓扑结构 | 链路绑定 | 互联网出口 |
|---|---|---|---|---|
| Real Time | 实时通信应用 | 网状(Mesh)拓扑提供分支机构之间的最佳流量路径。 | 高可用性链路绑定策略应提供1:1前向纠错,以确保语音/视频流量不丢失。 | 直连网络为主,hub备份 |
| Critical Apps | 关键业务内部应用,如库存系统,以及SaaS应用如Salesforce | Hub and spoke | 高质量 | 云防火墙是主要的,备份安全由托管在hub上的设备提供。 |
| BulkApps | 大量内部流量,例如FTP和云托管文件库 | Hub and spoke | 高质量。在QOS策略中,该BIO仅在拥塞时分配一定百分比的WAN带宽,确保大流量不会占用WAN传输。 | 使用hub作为备用,因为这些流量很大,必须直接到达目的地。 |
| Default | 匹配所有其他流量,包括访客。 | Hub and spoke | 高质量 | 直连网络,并以数据中心作为后备,因为访客流量对业务至关重要。 |
如果使用基础许可证,则仅支持三种BIO类型:real-time, critical,和default.