Contrail SD-WAN部署架构
实施 SD-WAN 提供了一种灵活、自动化的方法,用于从站点到站点路由流量。如图 1 所示,基本 SD-WAN 架构仅包含一些基本元素
多个站点
构成下层网络的站点之间的多个连接
多个叠加隧道
控制器
SD-WAN 控制器内置于 CSO,用作编排层并提供接口,允许操作人员设置和管理站点的设备。
Contrail SD-WAN参考架构
瞻博网络 Contrail SD-WAN 解决方案架构(如图 2 所示)使用中心辐式拓扑,而 CPE 设备位于客户分支机构站点。在站点本地,CPE 设备连接到 LAN 网段,并与其他 LAN 设备一起参与动态路由协议。在 WAN 端,CPE 设备通过两个或多个链路连接到提供商中心设备。由于SD-WAN模型使用中心辐式拓扑,因此流量会从站点到站点通过提供商中心进行。默认情况下,流向 Internet 的流量也通过提供商中心设备流动。
该SD-WAN编排器与控制器功能通过 瞻博网络 Contrail 服务编排 (CSO) 软件实现。该CSO平台使用策略和 SLA 参数区分和引导可用路径上的信息流(如果需要)。
以下部分将更详细地介绍这些架构元素。
辐设备
企业客户分支机构站点的 CPE 设备在网络模型中用作SD-WAN设备。设备还可充当网关路由器,从而提供从分支机构站点到租户网络中其他站点和 Internet 的连接。分支设备分为两种类型:本地分支和云分支设备。
本地分支设备
本地分支设备可以部署在NFX 系列或特定 SRX 系列设备上。
NFX 系列 网络服务平台
用作NFX 系列 网络服务平台辐设备的云主机可以托管各种多供应商 VNF、支持服务链,并且可通过云端的编排软件进行管理。NFX 系列可消除在客户站点部署多个物理网络设备的操作复杂性,与传统单功能 CPE 设备相比,可提供重大改进。
该 VNF 在 NFX 系列 平台上支持的一个关键 VNF 是vSRX 虚拟防火墙。在 Contrail SD-WAN 解决方案中,vSRX和交换功能的实例执行网关路由器功能。它还提供标准 SRX 系列设备上提供的相同功能丰富的安全服务。 表 1 显示了NFX 系列作为本地分支设备实施的硬件。
该NFX150具有内置的 SRX 防火墙,vSRX其他防火墙设备上NFX 系列功能。
平台 |
支持的型号 |
|---|---|
NFX150 网络服务平台 |
|
NFX250 网络服务平台 |
|
SRX 系列设备和虚拟vSRX防火墙
物理 SRX 系列安全设备可用于NFX 系列平台以提供网关路由器功能,而vSRX服务器上安装的实例也一样。 表 2 显示了 SRX 硬件和vSRX虚拟防火墙,您可以作为本地分支设备实施这些虚拟防火墙。
平台 |
支持的型号 |
|---|---|
SRX 系列 |
|
vSRX虚拟防火墙 |
vSRX vSRX 3.0 |
有关该操作系统的硬件和软件支持CSO最新信息,请参阅 Contrail 服务编排 发行说明。
云辐设备
Contrail SD-WAN 云分支设备(采用虚拟vSRX的形式)可位于 AWS VPC 中。云vSRX用作分支设备;一旦该端点联机,它像任何其他辐设备一样运行
辐冗余
分支站点可以使用两个冗余 CPE 设备来防范设备和链路故障。有关详细信息,请参阅"弹性和高可用性"一节。的Contrail SD-WAN 和架构指南。
提供商中心设备
Contrail SD-WAN 解决方案支持两个部署拓扑(在本指南稍后讨论):动态网状和中心辐式。在动态网状部署中,每个站点都有一个 CPE 设备,可连接到其他站点和企业中心设备。在中心辐式部署中,至少有一个提供商中心设备和一个或多个轮辐设备。
提供商中心设备会终止来自MPLS设备的隧道/GRE 和 IPsec 隧道。
提供商中心
在服务提供商 (SP) 环境中,服务提供商在网络中托管提供商中心设备。提供商集线器设备用作接入点 (接入点) 或连接点。它通常是一种共享设备,使用虚拟路由和转发实例 (VRF) 为多个客户(租户)提供中心功能。SP 管理员和 OpCo 管理员都可以管理提供商集线器设备。对于 CSOaaS,SP 管理员角色由瞻博网络作为 cspadmin 用户(或同等用户)执行。SP 管理员可以将 OpCo 管理员角色分配给用户,但 OpCo 管理员没有 SP 管理员权限。表 3 列出了云环境中支持的CSO SD-WAN设备。
作用 |
支持的设备类型 |
|---|---|
提供商中心 |
|
有关该操作系统的硬件和软件支持CSO最新信息,请参阅 Contrail 服务编排 发行说明。
提供商集线器冗余
一个冗余提供商中心设备接入点个冗余提供商中心设备,用于防范设备和链路故障,并为轮辐站点提供上游多托管。有关详细信息,请参阅 本指南中的弹性和高可用性 主题。
企业中心站点和设备
一种特殊类型的辐式设备,称为企业 中心设备,可在本地分支站点部署为 CPE。SRX1500、SRX4100 和 SRX4200 设备可以发挥此功能。此功能的轮辐站点必须在站点创建过程中 配置为企业中心 站点。创建企业中枢站点会为站点提供附加功能:
可以用作客户网络上站点到站点通信的定位点。
可以用作客户网络的中央分支节点。
提供一个专门的 部门,称为数据中心部门。
支持从 LAN 侧 3 层BGP路由导入OSPF路由导入(包括默认路由)的数据中心动态 LAN 分段。
允许基于意图的分支配置文件根据部门、应用、站点等来创建细粒度分支行为。
在企业环境中,企业中心由客户(租户)所有,通常驻留在企业数据中心内。只有客户的轮辐站点才能连接到企业中心设备。OpCo 管理员和租户管理员可管理企业中心。 表 4 列出了企业环境中支持的企业CSO SD-WAN设备。
作用 |
支持的设备类型 |
|---|---|
企业中心 |
|
有关该操作系统的硬件和软件支持CSO最新信息,请参阅 Contrail 服务编排 发行说明。
下层(物理)网络
下层网络包括 SD-WAN 环境中设备之间的物理连接。此网络层无法感知客户 LAN 分段,只是提供了内部设备之间的可达性。
图 3 显示了中心到轮辐 SD-WAN 部署的样例底板网络(这些详细信息同样适用于动态网状设置)。每个轮辐站点通常都有多个到中心站点的路径;一个通过私有云MPLS,一个在 Internet 上
每个本地设备(或站点)可包含最多四个 WAN 链路,包括可用于 OAM 的卫星链路。在配置期间,CSO将设备面向 WAN 的接口识别为通过 WAN_0 接口WAN_3。
请注意:
根据设计要求,WAN 接口可以是 VLAN 标记或未标记。
本地设备的面向 Internet 的接口可以连接到不同的服务提供商网络。
WAN 访问选项
下面列出的每种 WAN 访问类型都可用于 ZTP、数据或 OAM 流量。所有链路都可以同时用于数据流量。
MPLS
以太网
LTE
注意:在多台设备上使用加密器NFX250 LTE WAN 访问。
使用内置接口在多台设备上NFX150 LTE WAN 访问。
使用小型 PIM 在系列设备插槽 1 中SRX300 LTE WAN 访问。
ZTP 支持上述所有 LTE 接口。
仅支持使用单个 CPE 的中心和轮辐 SD-WAN 部署。
支持全科和NAT组部署。
不支持双 CPE 配置。
LTE APN 设置可以在 ZTP 过程中针对安装区域进行本地化。
ADSL/VDSL(NFX 系列 版本 CSO 4.0.0 开始对 NFX 系列 设备的 WAN 链路和 ZTP 的支持,以及 SRX300 系列服务网关上的 ADSL 支持(从 CSO 版本 5.2.0 开始提供)。
宽带
MPLS宽带
卫星链路
WAN 接口类型 - 数据和 OAM
WAN 接口主要用于发送和接收用户流量(数据)。至少一个 WAN 接口还必须用于管理 (OAM) 信息流。OAM 接口用于与 CSO通信,CSO管理本地设备。
图 4 说明了这两种接口类型。
请注意:
本地设备的 OAM 接口必须能够访问CSO。可以通过经过编排的叠加网络严格CSO提供连接。为此,无需预先存在的底层网络连接。从 CSO 5.0.1 版开始,CSO会自动为内部设备的 OAM 接口选择 IP 地址。这样可以确保地址在整个部署过程中CSO,并防止人为错误。
为了确保通过 WAN 进行安全通信,本地设备会启动连接到CSO。
设备启动的连接可以跨中间和NAT工作。
用户和 OAM-数据接口可用于这两项功能的单一 IP 地址。
叠加(隧道)网络
叠加网络包括 SD-WAN 环境中设备之间的逻辑隧道连接。此网络层具有客户 LAN 分段的感知能力,负责在站点之间传输客户流量。
图 5 显示了中心到轮辐环境的叠加网络。每个轮辐站点都有两个隧道来将流量传输至中枢站点:一个通过私有云MPLS,一个通过互联网。
隧道有两个封装选项:MPLSoGRE 或 MPLSoGREoIPsec。CSO部署过程自动调配并建立这些隧道。
叠加部署拓扑
SD-WAN 解决方案支持中心到轮辐或动态网状部署拓扑。动态网状拓扑类似于全网状拓扑,其中每个站点都能直接连接到任何其他站点。但是,通过动态网状结构,可以按需建立连接(隧道),从而减少任何一个站点上的持续负载。单个租户可以同时支持中心辐式拓扑和动态网状拓扑。
Hub and Spoke
借助中心辐拓扑,所有轮辐站点都至少连接到一个中心站点,如 图 6 所示。辐站点不能与其他辐站点直接通信。
使用的中枢站点可以是提供商中心,也可以是企业中枢站点。使用企业中枢站点时,提供商中心(如果有)仅用作备份。当应用程序和服务集中位于中枢站点时,此拓扑是首选。
Dynamic Mesh
通过动态网状拓扑,参与站点之间的叠加隧道使站点能够彼此直接通信,如 图 7 所示。尽管图显示了 DATA_AND_OAM链路上的MPLS连接,WAN_0链路或互联网链路上MPLS此功能。
此拓扑非常适合应用程序和服务不集中的部署。
中心到轮辐和全网状拓扑都需要在部署中添加安全的 OAM 网络叠加,从而增加一个 OAM 中心。
将分支设备添加到动态网状拓扑中时,配置场地的管理员必须为每个 WAN 接口分配网状标记。只有两个具有匹配网状标记的设备才能形成 VPN 连接,以允许通信。具有不匹配的网状标记的接口永远不会直接通信。
编排和控制
编排和控制器功能通过 瞻博网络 的 Contrail 服务编排 (CSO) 软件实现。如 图 8 所示,CSO软件提供了基于 Web 的 UI,用于管理SD-WAN环境。 图 8 是示例图像,CSO序列号仅供参考。
服务编排层包含网络服务编排器 (NSO)。编排软件具有所有资源的全局视图,并且支持租户管理,从而提供端到端流量编排、可见性和监控。域编排层包含网络服务控制器 (NSC)。编排软件与控制器协同工作,管理内部 (CPE) 设备并提供拓扑和 CPE 生命周期管理功能。
在用户级别,CSO提供通过 NSC 部署、管理和监控 SD-WAN 网络中设备的接口。在网络级别,NSC 包括一个 vRR,允许每个站点将本地路由通告给远程站点。
安全 OAM 网络
SD-WAN 部署包括一个安全的 OAM 叠加网络,在内部设备和网络之间提供端到端的安全CSO。对于 CSOaaS,这作为服务的一部分自动提供。
如图 9 所示,专用的 IPsec 加密 OAM 隧道支持内部设备通过网络将管理、路由和日志记录流量安全发送到提供商中心。随后,提供商中心将流量转发CSO。
与部署拓扑结构集成
中心到轮辐和动态网状部署拓扑都必须使用安全 OAM 隧道。
中心辐
通过中心辐式拓扑,每个轮辐式站点现在都有两组到提供商中枢站点的连接:一个承载数据的叠加隧道,以及一个承载 OAM 流量的单独专用 IPsec 叠加隧道,如图 10 所示。
动态网状结构
由于正常的全网状拓扑不会包含数据流量中心设备,因此必须添加一个。如图 11 所示,每个轮辐站点都有一个新的连接:一个单独的专用 IPsec 叠加隧道,用于将 OAM 流量传输至提供商中心。
OAM 中心设计选项
根据设计要求,在内部和CSO实施 OAM 中心的方法有两种。如 图 12 所示,选项如下所示:
数据和 OAM 隧道会终止于同一提供商中心设备 — 这是小型部署的良好选择,其中单个中心设备可同时处理数据和 OAM 流量。
数据和 OAM 隧道端位于独立的提供商中心设备上 — 在需要主要中枢设备资源为承载数据流量的叠加隧道提供服务的位置较大型部署中,此选项非常有用;第二个中心设备可用于终止 OAM 隧道
图 12:OAM 隧道 - 提供商中心设计选项
对于 CSOaaS,OAM 中心作为服务的一部分提供。
但是,OpCo 管理员可以部署一个DATA_ONLY或一OAM_AND_DATA中心。对于数据中心,DATA_ONLY中心有一个到数据中心的 IPsec 安全OAM_HUB。对于安全OAM_AND_DATA,OpCo 管理员需要设置中心与 OAM_AND_DATA 之间的 IPsec 安全CSO。
提供商中心设计选项使用说明
OAM 中心可支持多个租户,也可专用于单个租户。
从提供商中心到CSO的连接应该为私有且安全,因为 OAM 隧道未涵盖此连接。
我们建议您实施多个 OAM 中心以实现冗余,并确保不会丢失内部设备的管理或监控。
对于 CSOaaS,OAM 集线器冗余是服务的一部分。
当一个分支站点多地连接到多个中心设备时,每个中心上应终止一个 OAM 隧道。
中心到轮辐NAT支持使用中心到轮辐部署本地设备。
零接触调配
Contrail SD-WAN 解决方案的其中一个关键功能是能够使用 ZTP(自动安装)"即插即用"新辐设备。以下是 ZTP 期间执行的步骤高级列表:
如果您实施本地版本的 CSO,您需要将相应的 SSL CSO添加到重定向服务器,然后再执行 ZTP。
注意:如果您部署云交付版本的 CSO,瞻博网络配置您的重定向服务器。
辐设备首次联机时,会使用本地 DHCP 服务器获取 IP 地址和名称服务器信息。
随后,辐设备会与重定向服务器联系,该服务器为设备安装CSO DNS 名称和证书。
随后,辐设备CSO服务器以获取其初始配置,Junos OS软件更新(如果需要)。
CSO版本 4.1 和更高版本包含将 ZTP 所需的带宽降低至 2 Mbps 的增强功能。
ZTP 使用说明
设备的至少一个 WAN 接口必须从 DHCP 服务器获取其 IP 地址,以便分配 DNS 名称服务器和默认路由。
两CSO服务器都必须通过同一 WAN 接口到达。
ZTP 进程可通过分支设备上的任何 WAN 接口(包括卫星链路)运行。
由于配置和软件可能很大,下载初始配置可能需要大量时间,特别是在慢速链路Junos OS时间。
重定向服务器
重定向服务器是 ZTP 进程瞻博网络一个 Internet 定位、瞻博网络、所有和托管的服务器。服务器允许每个分支设备在其指定实例中CSO并进行身份验证。在重定向服务器帮助下,分支设备可联系 CSO并接收其初始配置,包括Junos OS软件更新(如果需要)。
对于云本地部署,CSO将 WAN 端口配置为连接到互联网和重定向服务器。对于云交付的CSO,瞻博网络可处理此配置。
在 图 13 中,重定向服务器和CSO均位于 Internet 上。辐设备获取并使用通过其面向 Internet 的接口提供的 IP 寻址和其他信息,并且可通过同一 WAN 接口CSO服务器和主机。
企业服务Contrail SD-WAN
从 CSO 4.0 版开始,服务链适用于SD-WAN环境。服务链是一个概念,其中在软件中实例化且在 x86 硬件上运行的多个网络服务以端到端的方式链接或链接在一起。这样,一个物理设备就可提供由多个设备正常提供的服务。可以在两台NFX 系列上执行服务链,如 图 14 所示。
从 CSO 4.0 版开始,支持以下第三方虚拟网络功能 (VNF): Fortigate-VM 和单腿 Ubuntu VM。
目前,服务链中仅支持第 2 SD-WAN VNF 模式。
三个平面,四个层
为了将上述所有元素都汇集在一起,Contrail SD-WAN 架构可分为三个平面,由四个功能层构成:
数据平面:
包括下层网络;提供物理连接
包括叠加网络;为租户数据流量提供隧道
控制平面 — 包括通过 OAM 隧道的路由协议
管理平面 — 包括用于安全 OAM 网络的叠加隧道
图 15 说明了这一概念。
