Contrail SD-WAN 部署架构
SD-WAN 的实施提供了一种灵活、自动化的方式,可以在站点之间路由流量。如 图 1 所示,基本的 SD-WAN 架构仅包含几个基本元素
多个站点
构成底层网络的站点之间的多个连接
多个叠加隧道
控制器
CSO 内置的 SD-WAN 控制器充当编排层并提供接口,使运营商能够在现场设置和管理设备。
Contrail SD-WAN 参考架构
瞻博网络 Contrail SD-WAN 解决方案架构( 如图 2 所示)采用中心辐射型拓扑,CPE 设备位于客户分支机构站点。在站点的本地侧,CPE 设备连接到 LAN 网段,并与其他 LAN 设备一起参与动态路由协议。在 WAN 端,CPE 设备通过两个或多个链路连接到提供商中枢设备。由于 SD-WAN 模型使用中心辐射型拓扑,因此流量通过提供商中心在站点之间传输。默认情况向 Internet 的流量也会流经提供商中枢设备。
SD-WAN 编排器和控制器功能通过瞻博网络 Contrail 服务编排 (CSO) 软件实现。CSO 平台使用策略和 SLA 参数来根据需要区分和引导流量通过可用路径。
以下各节将更详细地介绍这些体系结构元素。
分支设备
企业客户分支机构站点的 CPE 设备充当 SD-WAN 模型中的辐射设备。该设备还充当网关路由器,提供从分支站点到租户网络中的其他站点和互联网的连接。辐射设备有两种类型:本地分支设备和云分支设备。
本地分支设备
本地分支设备可以是 NFX 系列设备,也可以是特定的 SRX 系列防火墙。
NFX 系列网络服务平台
用作本地辐射设备的 NFX 系列网络服务平台可以托管一系列多供应商 VNF,支持服务链,并由云中的编排软件进行管理。NFX 系列设备消除了在客户站点部署多个物理网络设备的作复杂性,并且比传统的单功能 CPE 设备有了显著的改进。
NFX 系列平台支持的一个关键 VNF 是 vSRX 虚拟防火墙虚拟防火墙。在 Contrail SD-WAN 解决方案中,具有路由和交换功能的 vSRX 虚拟防火墙实例执行网关路由器功能。它还提供标准 SRX 系列防火墙相同的功能丰富的安全服务。 表 1 显示了可作为本地分支设备实施的 NFX 系列硬件。
NFX150 具有内置 SRX 防火墙,取代了其他 NFX 系列设备上的 vSRX 虚拟防火墙功能。
平台 |
支持的型号 |
|---|---|
NFX150 网络服务平台 |
|
NFX250 网络服务平台 |
|
SRX 系列设备和 vSRX 虚拟防火墙 虚拟防火墙
可以使用物理 SRX 系列安全设备代替 NFX 系列平台来提供网关路由器功能,服务器上安装的 vSRX 虚拟防火墙实例也可以。 表 2 显示了可作为本地辐射设备实施的 SRX 硬件和 vSRX 虚拟防火墙虚拟防火墙。
平台 |
支持的型号 |
|---|---|
SRX 系列 |
|
vSRX 虚拟防火墙 虚拟防火墙 |
vSRX 虚拟防火墙 vSRX 虚拟防火墙 3.0 |
有关 CSO 硬件和软件支持的最新信息,请参阅 Contrail 服务编排发行说明。
云辐射设备
Contrail SD–WAN 云辐射设备(vSRX 虚拟防火墙形式)可位于 AWS VPC 中。vSRX 虚拟防火墙充当云中的分支设备;端点上线后,其工作方式与任何其他分支设备类似。
分支冗余
可在辐射站点使用两个冗余 CPE 设备,以防止设备和链路故障。有关详细信息,请参阅复原能力和高可用性部分。 Contrail SD-WAN 设计和架构指南中的内容。
提供商中心设备
Contrail SD-WAN 解决方案支持两种部署拓扑(本指南稍后将讨论):动态网格和中心辐射型。在动态网格部署中,每个站点都有一个 CPE 设备,用于连接到其他站点和 Enterprise Hub 设备。在中心辐射型部署中,至少有一个提供商中心设备以及一个或多个分支设备。
提供商中枢设备终止辐射设备的 MPLS/GRE 和 IPsec 隧道。
提供商中心
在服务提供商 (SP) 环境中,服务提供商在其网络中托管 提供商中枢 设备。提供商中枢设备充当接入点 (POP) 或连接点。它通常是一个共享设备,通过使用虚拟路由和转发实例 (VRF) 为多个客户(租户)提供中心功能。SP 管理员和 OpCo 管理员都可以管理提供商中心设备。对于 CSOaaS,SP 管理员角色由瞻博网络作为 cspadmin 用户(或同等用户)执行。SP 管理员可以将 OpCo 管理员角色分配给用户,但 OpCo 管理员没有 SP 管理员权限。表 3 列出了 CSO SD-WAN 环境中支持的提供商中枢设备。
角色 |
支持的设备类型 |
|---|---|
提供商中心 |
|
有关 CSO 硬件和软件支持的最新信息,请参阅 Contrail 服务编排发行说明。
提供商中心冗余
一个 POP 可以使用两个冗余的提供商中心设备来防止设备和链路故障,并为分支站点提供上游多宿主。有关详细信息,请参阅本指南中的 弹性配置和高可用性 主题。
Enterprise Hub 站点和设备
可以在本地分支站点部署一种特殊类型的分支设备(称为 企业中心设备)作为 CPE。SRX1500、SRX4100 和 SRX4200 设备都可以提供此功能。以这种方式运行的分支网站必须在网站创建期间配置为 企业中心网站 。创建企业中心网站可打开网站的其他功能:
可以作为客户网络上站点到站点通信的锚点。
可以作为客户网络的中央分支节点。
提供称为 数据中心部门的专门部门。
支持从 LAN 侧第 3 层设备导入 BGP 和 OSPF 路由(包括默认路由)的数据中心动态 LAN 分段。
支持基于意图的分组配置文件,以便基于部门、应用、站点等创建精细的分组讨论行为。
在企业环境中,企业中心由客户(租户)所有,通常驻留在企业数据中心内。只有客户的分支站点才能连接到企业中心设备。OpCo 管理员和租户管理员可以管理企业中心。 表 4 列出了 CSO SD-WAN 环境中支持的企业中心设备。
角色 |
支持的设备类型 |
|---|---|
企业中心 |
|
有关 CSO 硬件和软件支持的最新信息,请参阅 Contrail 服务编排发行说明。
底层(物理)网络
底层网络包括 SD-WAN 环境中设备之间的物理连接。这一层网络无法感知客户的 LAN 网段,它只是提供本地设备之间的可访问性。
图 3 显示了中心辐射型 SD-WAN 部署的底层网络示例(详细信息同样适用于动态网格设置)。每个分支站点通常都有到中心站点的多条路径;在这种情况下,一个通过私有 MPLS 云,一个通过互联网。
每个本地设备(或站点)最多可以有四个 WAN 链路,包括一个可用于 OAM 的卫星链路。在配置过程中,CSO 会将设备面向 WAN 的接口识别为WAN_0至WAN_3。
请注意:
根据设计要求,WAN 接口可以进行 VLAN 标记或不标记。
本地设备面向互联网的接口可以连接到不同的服务提供商网络。
WAN 接入选项
下面列出的每种 WAN 访问类型都可用于 ZTP、数据或 OAM 流量。所有链路都可以同时用于数据流量。
MPLS 的比较
以太网
LTE
注意:支持在 NFX250 系列设备上使用加密狗进行 LTE WAN 访问。
使用 NFX150 系列设备上的内置接口支持 LTE WAN 访问。
使用 SRX300 系列设备插槽 1 中的小型 PIM 支持 LTE WAN 访问。
ZTP 支持前面提到的所有 LTE 接口。
仅支持具有单个 CPE 的中心辐射型 SD-WAN 部署。
支持全锥形和限制性 NAT 部署。
不支持双 CPE 配置。
在 ZTP 过程中,可以针对安装区域进行 LTE APN 设置本地化。
ADSL/VDSL(ADSL/VDSL 支持从 CSO 4.0.0 版开始的 NFX 系列设备上的 WAN 链路和 ZTP,以及从 CSO 5.2.0 版开始的 SRX300 系列服务网关上的 ADSL 支持。
宽带
MPLS 和宽带
卫星链路
WAN 接口类型 - 数据和 OAM
WAN 接口主要用于发送和接收用户流量(数据)。至少一个 WAN 接口还必须用于管理 (OAM) 流量。OAM 接口用于与 CSO 通信,并允许 CSO 管理本地设备。
图 4 说明了这两种接口类型。
请注意:
本地设备的 OAM 接口必须能够访问 CSO。可以严格使用 CSO 编排的叠加网络来提供连接。为此,您不需要预先存在的底层网络连接。从 CSO 5.0.1 版开始,CSO 会自动为本地设备的 OAM 接口选择 IP 地址。这可以确保地址在整个 CSO 部署中是唯一的,并防止人为错误。
为确保通过 WAN 进行安全通信,本地设备会启动与 CSO 的连接。
设备发起的连接可以跨中间 NAT 设备工作。
用户和 OAM 数据接口可以将单个 IP 地址用于这两种功能。
叠加(隧道)网络
叠加网络包括 SD-WAN 环境中设备之间的逻辑隧道连接。这一网络层可感知客户的 LAN 网段,并负责在站点之间传输客户流量。
图 5 显示了中心辐射型环境的叠加网络。每个辐射站点都有两条隧道用于将流量传输到中枢站点:一条通过专用 MPLS 云,另一条通过互联网。
隧道有两个封装选项:MPLSoGRE 或 MPLSoGREoIPsec。作为部署过程的一部分,CSO 会自动调配并建立这些隧道。
叠加部署拓扑
SD-WAN 解决方案支持中心辐射型或动态网格部署拓扑。动态网格拓扑类似于全网格拓扑,其中每个站点都能够直接连接到任何其他站点。但是使用动态网格时,连接(隧道)可以按需启动,从而减少任何一个站点的持续负载。单个租户可以同时支持中心辐射型拓扑和动态网格拓扑。
Hub and Spoke
使用中心辐射型拓扑时,所有分支站点都至少连接到一个中心站点,如 图 6 所示。分支网站不能直接与其他分支网站通信。
使用的中心站点可以是提供商中心站点,也可以是企业中心站点。使用企业中心站点时,提供商中心(如果有)仅用作备份。当应用程序和服务集中在中心站点时,此拓扑是首选。
Dynamic Mesh
借助动态网格拓扑,参与站点之间的叠加隧道使站点能够直接相互通信,如 图 7 所示。尽管图显示了 MPLS 链路上的DATA_AND_OAM连接,但WAN_0,可以在 MPLS 或 Internet 链路上执行此功能。
此拓扑结构非常适合应用和服务不集中的部署。
中心辐射型和全网状拓扑都需要在部署中添加安全的 OAM 网络叠加层,从而添加 OAM 中心。
将分支设备添加到动态网格拓扑时,配置站点的管理员必须为每个 WAN 接口分配一个网格标记。只有两个具有匹配网状标签的设备可以组成 VPN 连接以允许通信。网格标签不匹配的接口永远无法直接通信。
编排和控制
编排和控制器功能通过瞻博网络的 Contrail 服务编排 (CSO) 软件实现。如 图 8 所示,CSO 软件提供了一个基于 Web 的 UI 来管理 SD-WAN 环境。 图 8 是一个示例映像,上面的 CSO 版本号仅供参考。
服务编排层包含网络服务编排器 (NSO)。该编排软件拥有所有资源的全局视图,支持租户管理,从而提供端到端流量编排、可见性和监控。域编排层包含网络服务控制器 (NSC)。编排软件与控制器协同工作,以管理本地 (CPE) 设备,并提供拓扑和 CPE 生命周期管理功能。
在用户层面,CSO 提供通过 NSC 部署、管理和监控 SD-WAN 网络中设备的接口。在网络级别,NSC 包括一个 VRR,允许每个站点向远程站点播发其本地路由。
安全的 OAM 网络
SD-WAN 部署包括一个安全的 OAM 叠加网络,用于在本地设备和 CSO 之间提供端到端的安全通信。对于 CSOaaS,这会作为服务的一部分自动提供。
如 图 9 所示,IPsec 加密的专用 OAM 隧道使本地设备能够通过网络安全地将管理、路由和日志记录流量发送到提供商中枢。然后,提供商中心将流量转发给 CSO。
与部署拓扑集成
中心辐射型和动态网格部署拓扑都必须使用安全的 OAM 隧道。
中心辐射型
使用中心辐射型拓扑,每个分支站点现在都有两组连接到提供商中心站点的连接:一组是传输数据的叠加隧道,另一组是单独的专用 IPsec 传输 OAM 流量的隧道,如 图 10 所示。
中的 OAM 隧道
动态网格
由于普通的全网状拓扑不会包含用于数据流量的中枢设备,因此必须添加一个中枢设备。如 图 11 所示,每个辐射站点都有一个新连接:一个单独的专用 IPsec 叠加隧道,将 OAM 流量传送到提供商中枢。
中的 OAM 隧道
OAM Hub 设计方案
有两种方法可以在本地 CSO 部署中实现 OAM 中心,具体取决于设计要求。如 图 12 所示,选项如下:
数据和 OAM 隧道在同一提供商中枢设备上终止 — 对于单个中枢设备可以同时处理数据和 OAM 流量的小型部署来说,这是一个不错的选择。
数据和 OAM 隧道在单独的提供商中枢设备上终止 — 此选项对于需要主中枢设备的资源来为承载数据流量的叠加隧道提供服务的大型部署非常有用;第二个中枢设备可用于终止 OAM 隧道。
图 12:OAM 隧道 - 提供商中心设计方案
对于 CSOaaS,OAM 中心作为服务的一部分提供。
但是,OpCo 管理员可以部署DATA_ONLY或OAM_AND_DATA中心。对于DATA_ONLY集线器,数据中心具有通向OAM_HUB的 IPsec 安全隧道。如果是 OAM_AND_DATA 集线器,OpCo 管理员需要在 OAM_AND_DATA HUB 和 CSO 之间建立 IPsec 安全连接。
提供商中心设计选项的使用说明
OAM 中心可以支持多个租户,也可以专用于单个租户。
从提供商中心到 CSO 的连接应是专用且安全的,因为它不受 OAM 隧道的覆盖。
我们建议实施多个 OAM 中心以实现冗余,并确保不会丢失对本地设备的管理或监控。
对于 CSOaaS,OAM 中心冗余是服务的一部分。
当分支站点多宿主到多个中心设备时,每个中心应终止一个 OAM 隧道。
中心辐射型部署支持使用 NAT 的本地设备。
零接触配置
Contrail SD-WAN 解决方案的主要功能之一是能够使用 ZTP(自动安装)“即插即用”新辐射设备。以下是在 ZTP 期间执行的高级步骤列表:
如果实现本地版本的 CSO,则需要在执行 ZTP 之前将相应的 CSO SSL 证书添加到重定向服务器。
注意:如果您部署云交付版本的 CSO,瞻博网络将为您配置重定向服务器。
分支设备首次上线时,会使用本地 DHCP 服务器获取 IP 地址和名称服务器信息。
然后,分支设备会联系重定向服务器,后者为 CSO 安装提供 DNS 名称和证书。
然后,分支设备会联系 CSO 服务器,以获取其初始配置和 Junos OS 软件更新(如果需要)。
CSO 4.1 及更高版本包括将 ZTP 所需带宽降低到 2 Mbps 的增强功能。
ZTP 使用说明
设备的至少一个 WAN 接口必须从 DHCP 服务器获取其 IP 地址,才能分配 DNS 名称服务器和默认路由。
CSO 和重定向服务器都必须可通过同一 WAN 接口访问。
ZTP 进程可以从辐射设备上的任何 WAN 接口(包括卫星链路)运行。
由于配置和 Junos OS 软件的庞大,下载初始配置可能需要大量时间,尤其是在速度缓慢的链路上。
重定向服务器
重定向服务器是位于互联网上且由瞻博网络拥有和管理的服务器,是 ZTP 流程不可或缺的一部分。服务器使每个分支设备都能找到其指定的 CSO 实例并进行身份验证。在重定向服务器的协助下,分支设备可以联系 CSO 并接收其初始配置,包括 Junos OS 软件更新(如果需要)。
对于 CSO 的本地部署,管理员在分支设备上配置 WAN 端口以连接到 Internet 和重定向服务器。对于云交付的 CSO,瞻博网络会为您处理以下配置。
在 图 13 中,重定向服务器和 CSO 都位于 Internet 上。分支设备获取并使用通过其面向 Internet 的接口提供的 IP 寻址和其他信息,并且可以通过同一 WAN 接口访问重定向服务器和 CSO。
上的 CSO 和重定向服务器
Contrail SD-WAN 中的服务链
从 CSO 4.0 版开始,服务链可用于 SD-WAN 环境。服务变化是一个概念,其中在软件中实例化并在 x86 硬件上运行的多个网络服务以端到端方式链接或链接在一起。这允许一台物理设备提供通常由多台设备提供的服务。可以在 NFX 系列设备上执行服务变化,如 图 14 所示。
的服务链
从 CSO 4.0 版开始,支持以下第三方虚拟网络功能 (VNF):Fortigate-VM 和单腿 Ubuntu VM。
目前,SD-WAN 服务链仅支持第 2 层 VNF 模式。
三平面,四层
为了将上述所有元素整合在一起,可以将 Contrail SD-WAN 架构分为三个平面,由四个功能层组成:
数据平面:
包括底层网络;提供物理连接
包括叠加网络;为租户数据流量提供隧道
控制平面 — 包括流经 OAM 隧道的路由协议
管理平面 — 包括用于安全 OAM 网络的叠加隧道
图 15 说明了这一概念。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。