1、sd-wan 可以把传统的路由、QOS、安全和广域网进行了融合,同时引入sdn控制器和nfv(nfv网络功能虚拟化,意思就是把以前的路由和交换机等设备全部用一台服务器,虚拟出不同的系统还充当路由和交换),通过sdn控制器进行集中下发配置、和管理。
2、sd-wan主要采用了overlay技术,控制平面用bgp-evpn协议,转发层面用ipsec隧道技术协议
3、sd-wan有一种新技术fec抗丢包技术:在正常的数据流中,fec携带冗余校验报文,来记录报文摘要信息,在数据传过去即使丢包了,也能通过这个来重新复原报文。
4、sd-wan北向接口还是一样要用开放可编程的restful API接口
5、sd-wan不用改变以前公司的网络,例如以前的公司网络用的是mpls vpn或mstp、或拨号光猫都可以,只需要在运营商和公司连接的出口处放一台gw设备就行了,如果需要安全就在gw旁挂一台防火墙租用给各公司、nip等类似的设备就行了,因为传统设备不支持overlay,所以才要gw设备来即满足以前的网络接入又能提供支持overlay
6、这个sdn控制器可以放在云上也可以放在总部,主要功能就负责
一是网络编排:sd-wan站点创建,vpn创建,网络应用选路和Qos。
二是网络控制用mp bgp evpn协议,实际中用bgp协议 还要用到路由反射rr,VPN路由分发和过滤,
三是网络管理:网络告警、日志、运维信息采集用netconf协议 ,http2.0用于设备性能信息采集。
7、sdn控制器还集成了portal认证功能,但也可以支持其它厂商的。
8、网络控制要传统的bgp协议承载,netconf协议给设备下发配置用的是ssh协议承载,网络设备上线认证用https协议,
9、sd-wan三步走:先建立管理通道用ssh承载netconf,再建立控制通道用bgp承载bgp evpn,最后数据通道用ipsec加密。
10、netconf协议 架构(netconf脚本用yang语言来写,类似于html语言):
传输层:ssh tls soap beep
消息层:hello rpc调用
操作层:get-config
内容层:status data/config data
11、netconf三个功能:
netconf管理网络设备:先dhcp获取到地址,再用ssh进行连接控制
netconf给设备下发配置:
netconf获取设备状态:cpu和内存等利用率,设备序列号注册信息等
12、sd-wan初始化流程
1:网管通过sdn控制器上的portal页面进行业务定制,调用restful接口编排网络拓扑和vlan划分:路由选路和QoS等。
2:区域控制器上线,向sdn网络控制器注册,
3:网络设备(各分支公司的出口cpe)上线,向SDn控制器注册,sdn控制器为网络设备分配管理IP,然后通过IP来管理 网络设备,让其被区域控制器管理,为其分配对应的区域控制器管理,随后为每个网络设备配置mp bgp路由,打通网络设备到区域控制器的路由。
4:网络设备用bgp向区域控制器注册
5:网络控制器对网管定义的策略,通过netconf协议传给区域控制器,进行站点间的vpn拓扑,路由和隧道等信息分发,各站点间的安全互联。
13、站点cpe,也就是公司总部和分部的出口设备,这个设备现在是用一个设备集成了,
cpe:传统的路由出口设备
ucpe:一个盒式设备,里面有防火墙、路由器,IPS等功多个功能于一体的设备
vcpe设备:里面用软件虚拟出来防火墙、路由器,IPS等功多个功能于一体的设备,简称vcpe设备。
一般公司出口设备用cpe和Ucpe,公有云上的出口设备用vcpe设备。
14、VCPE开局常用的两种方法:
第一种:首先厂家网管会发一封email给公司的网管,厂家网管在出厂前就给sdn和cpe设备配置好了,要么他配置了关联了这台esn序列号,也可以选择不关联,如果不关联那就要指定的cpe款式,控制器会识别这种类型的设备进行识别纳管,接着厂家会让厂家仓库出货给公司网管,网络拿着这个email的内容进行操作就可以实现简单开局了,其本上不用其它的操作,厂家网管都在email里配置好了。
第二种:厂家网管在出厂前就给sdn和cpe设备配置好了,并且关联了些cpe的esn序列号,只要设备开机就会自动发布信息去找设置好的公网上的一台类似于dhcp的注册中心服务器,类似于arp广播一样,然后公司网管拿到这个设备后一开机就和公网上的那台dchp服务连接上去了,服务器一看esn就对应上了,然后cpe就被控制了。
