《运营商SD-WAN组网规划设计方案.docx》由会员分享,可在线阅读,更多相关《运营商SD-WAN组网规划设计方案.docx(10页珍藏版)》请在课桌文档上搜索。
1、运营商SD-WAN组网规划设计方案随着SDN和云计算技术的发展,传统企业封闭的IT架构逐渐被打破,企业通过因特网从云端访问日常办公应用的趋势日渐明显。运营商虽然可以提供无所不达的网络服务,但是其传统的网络建设方式无法跟上互联网化的节奏。如何突破传统,如何寻找新的利润增长点,如何在互联网企业的威胁下突破重围,是所有运营商面临的紧要问题。运营商/MSP转售是SDTAN商业模式中的一个重要组成部分,本节以通信行业先进运营商的代表某运营商为例给出具体的场景分析和方案设计。1.场景分析在互联网趋势的影响下,某运营商决心改变现有境遇,寻求突破。某运营商当前面临的主要问题如下。(1)企业专线价格昂贵,增加了
2、企业的负担由于企业专线接入复杂且专线往往是独占的,因此价格昂贵。随着以太网和IP技术的快速发展,互联网的性能和可靠性在不断提高,企业级因特网带宽的成本比企业专线低,MPLS网络和因特网的混合WAN变得越来越普遍,成为企业WAN建设的首选。运营商的专线业务流量在快速减少,从而导致专线业务的收入不断下滑。(2)企业专线开通慢,耗时耗力,无法满足快速部署的要求传统专线接入的业务隔离通常采用VPN或物理隔离的方式,具备天然安全的互联网络属性,其完善的QoS机制保障了对时延敏感的应用(视频会议、VolP等)的可靠传输。但专线存在开通慢的缺陷,比如本地有无POP、有无物理线路到达POP、跨运营商线路租用和
3、协同、各分支线路和业务的逐台部署等问题都会影响专线业务的开通速度。随着业务上云的发展,提供分钟级的上云专线业务开通服务是未来运营商与互联网服务提供商抢占专线业务市场的关键。(3)传统专线业务选路策略简单,无法感知业务并根据业务进行选路传统的专线业务是根据路由制定选路策略,例如,根据业务流的目的地是公司总部还是数据中心制定选路策略,选路策略的检测粒度没有达到应用级,也没有考虑应用对链路质量的需求。随着互联网的发展,业务越来越丰富,不同企业对业务质量的要求有差异,故对TVAN链路的质量要求也不同。(4)传统专线网络的运维复杂,难以快速定位网络故障传统专线网络出现故障时,因故障定位难、周期长,导致企
4、业业务无法快速恢复,给企业造成巨大的损失。随着网络的快速发展,企业办公业务趋向于云化、异地化,而智能化的网络能够帮助企业快速定位问题,并保证企业分支站点与总部站点之间的连通性。(5)传统网络业务配置靠手工方式,对网络工程师要求高且容易出错传统企业WAN的业务开通主要靠网络工程师去现场手工配置,容易出错,而且对网络工程师技能的要求高、业务开通时间长、运维效率低。随着企业规模的不断扩大,企业需要在更多的地区建设分支并按需调整业务。因此,企业新业务能够快速上线,才能适应企业业务迅速发展的需要。某运营商分析了上述问题,提出以下网络建设的需求。(1)提升运营商专线业务竞争力,增强用户黏性WAN的建设方案
5、需求简单、易部署,可以帮助运营商快速发展企业客户,尤其是大企业的高价值客户,扩大市场份额。建设方案要能提升运营商的竞争力,赢得与互联网服务提供商的竞争。运营商除了建设xDSL/MPLS/MSTP专线网络外,还需要建设基于以太网和IP技术的WAN,帮助企业降低专线费用。(2)转变营销模式,增加专线业务收入将企业租用运营商专线、租赁VAS设备的模式转变为企业从运营商处租赁SDTAN服务和虚拟VAS的模式。将运营商转售CPE,即一次性收取设备费用和按月/年收取专线费用的模式转变为运营商提供不要钱CPE,按实际的使用时间或流量收取服务费的模式,帮助运营商获取长期收益。将企业自己管理维护WAN的模式转变
6、为运营商面向企业提供管理服务,帮助企业管理维护WAN的模式。(3)实现基于SDN技术的智能网络调度长期以来,企业WAN连接都存在粗放管理、难以调度的问题。网络中断的故障不易排查,需要网络管理员奔赴现场,业务流量路径的切换更不容易,网络配置稍有不慎,将会造成网络的瘫痪。基于SDN技术,网络管理员可以通过向导式的可视化业务配置界面,结合客户网络实际的业务需求,制定细粒度的业务路径管控策略。通过对带宽质量、利用率等实时数据的大数据分析,主动优化流量路径,实现智能的网络调度,大大降低网络管理员的工作负担,同时帮助企业节省网络维护成本。(4)实现专线业务快速开通和网络可视化运维管理,降低OPEX传统专线
7、业务通常面临着开通慢、成本高、配置复杂等问题。运营商通过在企业客户侧部署CPE/uCPE,并基于ZTP实现快速开局,大幅简化客户的网络配置操作。此外,运营商面向企业客户提供可视化的全局网络视图,为企业实时呈现网络质量和安全状态,帮助企业客户高效地运维自己的WAN。2.方案设计根据对某运营商的需求分析,SD-WAN解决方案提供商为某运营商设计了一个开放、智能、与NFV/SDN技术相结合的SD-WAN解决方案,支持运营商对中小型企业的代维和VAS提供,为企业提供WAN的建设和维护服务,以减少企业对设备和专业运维人员的投入。该方案有以下3方面的优势。转控分离,提升网络的可靠性。通过部署网络控制器实现
8、控制平面与数据平面的分离,避免数据流量的冲高对控制平面的影响,提升了网络的可靠性。多租户管理,简化运维。通过网络控制器实现对SDTAN站点的统一管理,支持MSP面向多租户提供网络代维服务。通过网络控制器界面化的监控/配置/诊断功能,提升网络运维的效率。开放API实现平台对接和业务自动化发放。通过网络控制器北向RESTfulAPI与运营商BSS/0SS系统的对接,实现用户业务订购信息到网络控制器的自动化导入,加速业务发放,同时支持VAS自动化开通,增强客户黏性。某运营商的SD-WAN解决方案架构如图1所示。应用层第三方应用用户界面BSS/OSSC公司篇拉点2丽行业云图1某运营商SDTAN解决方案
9、架构图(1)总体规划某运营商在数据中心部署SDTAN网络控制器,引入多租户RR站点、多租户IWG设备,同时对企业客户已有的站点进行网络改造,完成传统站点向SDTAN站点的迁移,协助客户部署新的SDTAN站点。在运营商数据中心部署网络控制器,用于对所有租户的SDTAN设备进行管理和业务编排。网络控制器提供两个南向业务IP地址,分别对应专线链路和因特网链路,SDTAN站点开局时可选择通过专线或因特网链路向网络控制器注册。根据需要在数据中心部署多租户RR站点和多租户IWG设备,且均采用单网关组网,用于为企业客户提供与传统站点的集中互访业务。在运营商的行业云部署SD-WANGW设备,将其作为企业站点到
10、运营商行业云的SDTYAN接入点。企业站点可根据企业实际需求采用单网关或双网关组网。针对不同企业租户站点的互联,SD-WAN需要向租户分配网络路由域以及传输网,与相应的租户MPLSVPN、因特网对应。某运营商需要为企业提供多租户RR/IWG设备接入服务,并分配多租户共享的路由域,如MPLS(MSP),因特网(MSP)等。部署时,首先部署网络控制器;其次根据某运营商的场景需求,部署多租户站点,包括RR和IWG设备(这些设备均由运营商统一管理);最后部署企业站点,企业站点中优先部署企业总部站点。(2)站点设计企业站点在企业网络出口部署支持SD-WAN功能的CPEo某运营商在为企业用户建设专线时,可
11、以转售支持SD7AN功能的CPE。企业用户可以根据需要选择部署一台或两台SD-WANCPE,设备类型包含CPE、uCPE和vCPEoLAN侧与WAN侧的路由设计如下。1.AN:CPE可以通过有线和无线两种方式与LAN侧交换机或终端互联。双CPE组网场景下可部署VRRP提高可靠性。LAN侧交换机工作在二层模式下时,可通过VLAN与CPE互通;工作在三层模式下时,可通过OSPF协议、BGP、直连路由协议或静态路由协议与CPE互通,并采用水平分割的方式避免路由环路。WAN侧:两台CPE都需要与MPLS链路、因特网链路互联。可根据WAN上层网络的接入情况,部署OSPF协议、eBGP或静态路由协议。多租
12、户IWG在某运营商提供的专线网络中部署支持SDTAN功能的网关设备,即部署SD-WANIWG设备,实现某运营商的MPLS网络与SD-WAN互通。可以选择两台或多台设备作为主备或负载分担,以保证企业业务的可靠性。IWG设备需要支持多租户功能,即在逻辑上将一台IWG设备划分成若干个虚拟边界网关,每个接入的企业为一个租户。虚拟边界网关设备对企业用户不可见,运营商管理员可以对虚拟边界网关进行管理和控制。LAN侧与WAN侧的路由设计如下。1.AN侧:通过MPLSOptionB的方式与传统MPLS网络的ASBRPE对接,通过MP-eBGP交换路由,为企业侧提供与传统MPLS网络站点互通的SD-WANOve
13、r1ay接入服务。WAN侧:IWG设备与MPLS、因特网链路互联。可根据WAN上层网络的接入情况,部署OSPF协议、eBGP或静态路由协议。IWG设备连接的MPLSVPN是租户共享的业务VPN,通过PE上的路由交叉实现不同租户站点路由从租户VPN到业务VPN的引入。多租户RR站点在多租户IWG组网场景中,通过部署多租户的RR站点实现企业站点间以及企业站点到IWG的控制通道的建立,由运营商统一管理与维护。多租户RR站点为单网关CPE站点,LAN侧不做部署,WAN侧通常可部署双WAN链路,一条为MPLSVPN链路,另一条为因特网链路。多租户RR站点连接的MPLSVPN是租户共享的业务VPN0多租户
14、RR站点的WAN接口的Underlay路由可根据WAN上层网络的接入情况,部署OSPF协议、eBGP或静态路由协议,OVerIay与IWG以及企业站点通过MP-BGP交互Overlay路由Q(3)组网设计控制平面企业站点的互联依赖RR站点分发OVerIay路由,RR站点的建设一般可采用RR站点与企业总部HUb站点合设或由运营商给企业分配MSP多租户RR站点两种方式。对于ITVG互联的场景,要求企业采用由运营商分配的MSPRR站点,统一承载控制平面。数据平面在某运营商的SDTAN解决方案中,OVerIay的组网可由如下两部分组成。企业内站点间的OVCrlay互联。对于企业站点出口部署的SD-WA
15、NCPE,可根据企业站点间互访的需要,通过WAN侧Underlay网络构建OVerlay拓扑,如HUb-SPOke、Full-meshPartial-IneSh拓扑等。企业分支站点与IwG的互联。对于有与传统MPLS网络互通需求的企业,可构建企业分支站点与运营商IWGOverlay互联的组网,企业分支站点经过OVerlay隧道连接运营商提供的IWG站点,实现与传统MPLSVPN的互通,访问传统站点,获取运营商数据中心的网络服务。根据企业的规模和企业对IWG接入业务的质量要求,运营商可选择单个企业独占IWG或多个企业共享IWG两种模式。(4)云网融合某运营商除了满足企业客户访问公有云的需求外,也
16、自建了行业云,为企业客户提供行业云服务,进一步增强客户黏性,并获得更大的利润空间。为了让企业客户可以灵活方便地接入运营商提供的行业云,享受云服务体验,某运营商采用SDTAN云网融合方案,方案的组网如图2所示。图2某运营商SDTAN云网融合方案组网SD-WAN云网融合方案中,网络控制器部署在运营商行业云内,网络控制器管理分支CPE和SDTANGWoSD-WANGW部署在运营商行业云的WAN侧出口,基于运营商专线或互联网与分支CPE建立OVerIay隧道。考虑到企业分支访问运营商行业云需要高可靠性,在运营商行业云内部署多个SDTANGW,为企业分支接入云提供主备接入功能。SD-WANGW和运营商行
17、业云内的云GW的对接技术,采用的是MPLSOPtiOnAVLAN或VXLAN方式。SD-WANGW需要支持多租户,即将一台SDTANGW在逻辑上划分成若干个虚拟边界网关,每个接入的企业为一个租户。企业分支站点通过部署SD-WANCPE可以获得基于因特网或运营商专线的云连接服务。运营商SD-WAN运维人员通过ZTP实现企业站点CPE的自动化上线,与SDTANGW建立Overlay隧道访问行业云,运营商可根据服务进行带宽限速。通过SD-WANGW实现SDTAN云网融合方案的优势包括以下4种。SD-WANGTV支持多租户共享。SD-WANGW支持分支CPE的OVerIay接入,分支的接入不受数据中心
18、内的组网的影响。SD-WANGw和云GTV的对接简单、可靠。网络控制器支持多租户管理。(5)业务设计业务访问通过应用识别在企业分支站点的设备上识别出企业现网的应用类型,便于在后续的业务智能选路等流程中应用相关的业务策略。对于企业站点同时连接MPLS链路和因特网链路的场景,将以MPLS专线作为业务承载的主要链路。MPLS链路承载生产业务,因特网舞路承载办公业务和视频会议业务,访问SaaS的业务优先通过因特网链路本地出局。通用的选路策略如下。FTP/ICMP应用主选MPLS链路,备选因特网链路。HnP下载应用主选因特网链路,备选MPLS链路。Web应用主选因特网锥路,备选MPLS链路。访问SaaS
19、业务时,Web应用基于选路策略,通过因特网管路本地出局。此外,因特网链路和MPLS链路互为主备。当MPLS链路发生故障时,生产业务可以切换到因特网链路,生产业务承载在因特网链路上时需要预先配置最高的服务质量等级;当因特网鞋路发生故障时,办公业务可以切换到MPLS链路并配置中等服务质量等级,视频会议业务切换到MPLS链路并配置最低的服务质量等级。当因特网链路发生故障时,SaaS业务流量可以从本地出局切换到通过MPLS链路到Hub站点集中出局。因特网访问某运营商针对不同的因特网链路使用场景,给企业客户提供了3种不同的安全方案。因特网只作为分支站点间互访的Underlay传输网,分支站点不开启本地出
20、局上网功能,分支站点上网采用集中到总部HUb站点的方式,统一从总部的防火墙出局上网。此外,可在分支站点配置UrlderIayACL策略,提高安全性。分支站点上网采用“指定流量本地出局+默认流量集中到总部上网”的方式。站点本地通过首包识别功能识别出SaaS应用流量类型,只允许特定的SaaS应用流量从分支本地出局,其他上网流量集中到总部并通过防火墙出局。此外,可在分支站点配置UnderIayACL策略或部署内置防火墙,从而保障分支的安全性。分支站点部署uCPE,在UCPE上部署vFTV,通过虚拟化的专业防火墙功能保障分支站点的网络安全,分支站点所有的上网流量都本地出局。对于分支站点LAN侧存在公网
21、服务器的场景,可使能CPE上的UnderlayNAT功能为LAN侧服务器进行地址映射,满足从公网可以访问分支LAN侧的公网服务器的要求。与传统网络互通对于某运营商的网络而言,传统MPLS网络不在网络控制器的管理和控制范围内。网络控制器需要支持SDTAN和传统MPLS网络互通。根据某运营商的网络情况,推荐在SD-WAN的IWG上部署MPLSOptionB方式与传统MPLS网络对接,为企业侧提供与传统MPLS网络站点互通的SD-WANOVerlay接入服务。(6)安全设计某运营商在部署SDTAN解决方案时,考虑通过以下几种方式以提升安全性。路由策略控制:管理员通过在网络控制器上配置UrIderIa
22、yWAN路由策略,通过路由白名单或黑名单进行过滤,使站点只接收来自网络控制器以及对端SD-WAN站点的路由。ACL访问控制:根据企业客户接入网规范,在企业分支站点WAN侧的入方向部署ACL策略,过滤恶意报文和限制危险端口访问。UCPE部署vFW:对于部分部署UCPE的站点,在UCPE上创建业务链,安装VFW以增加安全性。VFW可具备专业的七层防火墙的安全防护功能,如防病毒等。保证OVerIay隧道的安全性:基于因特网链路的OVerlay隧道采用IPSeC加密,保障数据传输的安全性。(7)UCPE方案租用某运营商专线的企业客户类型各不相同。有的企业仅有一个分支站点或少量分支站点。针对此类型的企业
23、,建议部署UCPE以降低客户网络的建设成本和复杂度。UCPE支持部署可提供第三方VAS的软件,网络控制器上仅需提供第三方软件VAS的镜像软件包,就可以在UCPE上线后部署vFW、软件负载均衡和软件广域加速等VAS功能。某运营商可以通过网络控制器定期更新VAS软件的版本,保持VAS功能处于最新版本。(8)运维设计运营商的运维工作除了包含企业自建SD-WAN运维子方案中所涉及的CPE开局、网络业务监控、网络业务维护等内容外,还涉及多租户管理和客户Portal访问权限管理等。多租户管理在运营商运营的情况下,网络控制器除了需要提供企业自建方案中需要的功能外,还需要支持分权分域的管控功能,分别为某运营商
24、的网络管理员、二级运营商的网络管理员和企业的网络管理员提供不同的管控权限。网络控制器在管理域上可以划分为系统管理员(某运营商的网络管理员)、MSP管理员(二级运营商的网络管理员)和租户管理员(企业的网络管理员)。某运营商的网络管理员作为系统管理员具有最高权限,可以按角色创建新的系统管理员、MSP管理员或者租户管理员。当系统管理员对策略调整时,调整后的结果对所有租户有效。某运营商的网络管理员创建MSP账户后,可以通过该MSP的缺省管理员创建新的角色,并基于角色创建新的MSP管理员或者租户管理员。如果不存在二级运营商,某运营商的网络管理员也可以作为MSP管理员。客户Portal的访问权限管理SD-
25、WANPortal的访问权限管理作为增值服务提供给企业客户,运营商为企业客户访问租户Portal提供3种不同的访问权限。只有监控权限的访问账号,可监控该租户账号下的SDTAN的网络状态。具有监控权限以及OVerlay业务配置权限的账号,可监控该租户下的SDWAN的网络状态,配置智能选路QoSACL策略/多VPN等业务。具有监控权限、OVerIay业务配置权限以及安全业务配置权限的账号,可监控SD-WAN网络状态,配置智能选路QoSACL策略/多VPN等业务,以及配置防火墙/URL过滤/IPS等安全业务。(9)网络控制器北向接口网络控制器提供了丰富的北向接口,某运营商可以根据需要定制基于网络控制
26、器的第三方应用,也可以使用网络控制器提供的图形化用户界面作为网络日常的运营和维护工具。运营商基于SD-WAN提供北向API与第三方应用对接主要出于以下两方面的考虑。实现SD-WANCPE开局的参数由运营商BSS/OSS平台向控制器的自动化导入,提高部署效率,增强SDTAN站点大规模部署的能力。平台将已有的租户/站点/设备等信息向网络控制器自动导入,提升业务分发效率,实现大规模部署,同时降低人为信息导入的错误率。通过网络控制器与运营商BSS/OSS平台的APl对接,使客户订购的增值业务通过APl调用网络控制器完成自动化下发,进而实现业务随需随取。例如,在带宽业务中,客户临时需要扩带宽的服务,可在线订购“带宽翻倍一小时”的增值业务,运营商OSS/BSS平台通过APl调用完成相关配置自动化下发,实现业务及时开通,准时到期。