一家500強(qiáng)用過(guò)Cisco SD-WAN解決方案�����,談?wù)勔稽c(diǎn)看法�。
?
SD-WAN方案適合:
1.全球有好多分支機(jī)構(gòu)的公司
2.公司對(duì)網(wǎng)絡(luò)安全有極高的要求
3.公司老總對(duì)新鮮事物有強(qiáng)烈好奇心
4.公司想降低運(yùn)維人員的數(shù)量
5.公司不差錢,但長(zhǎng)期來(lái)規(guī)劃縮減IT開支
以上5個(gè)條件需要同時(shí)滿足����,才能讓SD-WAN在公司落地�。
首先��,看看傳統(tǒng)型的WAN(Wide Area Network)解決方案都有哪些痛點(diǎn)�?
老王的公司,使用MPLS VPN互聯(lián)公司全球內(nèi)網(wǎng)����。
月租費(fèi)賊高�����,而且不安全����,因?yàn)?/span>MPLS不加密。
老王的公司,還有一些使用IPsec + Internet線路連接到公司內(nèi)網(wǎng)����。
配置IPsec tunnel復(fù)雜度高����,運(yùn)維成本高����。IPsec HUB節(jié)點(diǎn)IKE、Key、Rekey需要極高CPU處理負(fù)擔(dān)����。運(yùn)維人員需要配置IPsec Spoke節(jié)點(diǎn)的IKE、Policy�、Tunnel��、Route所有的配置。通常為了調(diào)試一個(gè)IPsec tunnel事件成本很高。
而且�,一旦需要升級(jí)提高安全性����,這些WAN Router需要一個(gè)個(gè)手動(dòng)升級(jí)。
讀者可能沒(méi)有具體的概念���,假如一個(gè)公司全球有1000個(gè)WAN Router�����,需要一個(gè)個(gè)手動(dòng)升級(jí)��,還有一個(gè)down time時(shí)間窗口網(wǎng)絡(luò)無(wú)法使用。
痛點(diǎn)太多�,不一一列舉了。
為了系統(tǒng)性解決以上所有痛點(diǎn)�,發(fā)明了SD-WAN。
什么是SD-WAN?
Software Defined WAN。
首先�,宣布一個(gè)令人振奮的消息��,SD-WAN在網(wǎng)絡(luò)層全加密,解決網(wǎng)絡(luò)安全的痛點(diǎn)。無(wú)論是Internet線路、MPLS 線路�、衛(wèi)星鏈路、4G鏈路、5G鏈路等等,全部加密�。
在SD-WAN的眼里�����,自己是坐在轎子里(Overlay)尊貴的VIP����。
底層的物理線路,Internet線路���、MPLS線路���、衛(wèi)星鏈路��、4G鏈路、5G鏈路�����,全是轎夫(Underlay)���。
如果高級(jí)抽象�����,應(yīng)該是這個(gè)樣子的:
SD-WAN = Underlay + Overlay + APP Data
Underlay讀者應(yīng)該很熟悉了�,這個(gè)Overlay能否具體一點(diǎn)�?
這個(gè)overlay需要加密��,需要在TCP/IP眼里是一個(gè)虛擬接口(Net_Device Instance)�。才能在這個(gè)overlay虛擬接口上運(yùn)行路由協(xié)議如BGP/OSPF/ISIS��,才能分發(fā)路由。
Cisco SD-WAN給出的overlay的樣子大概是這個(gè)樣子的:
Overlay ==UDP + Overlay IP + ESP + GRE + MPLS Label
ESP主要負(fù)責(zé)加密
GRE主要負(fù)責(zé)虛擬接口的封裝
MPLS Label主要負(fù)責(zé)內(nèi)網(wǎng)不同業(yè)務(wù)的邏輯隔離���,圖片中的Multitenant,就是這個(gè)意思���。
同學(xué)們很迷惑����,為何要Overlay IP?
問(wèn)大家一個(gè)問(wèn)題�����,當(dāng)使用一個(gè)三層接口上網(wǎng)時(shí)�����,需要不需要一個(gè)IP地址����?
當(dāng)然需要了��。
既然物理接口需要IP地址����,這里GRE接口也是三層接口,為何不需要呢?
當(dāng)然也需要。
再問(wèn)一個(gè)問(wèn)題�����,使用ethernet網(wǎng)卡的三層接口是怎么封裝的��?
Ethernet + IP
如果由它來(lái)?yè)?dān)任轎夫(Underlay)����,上文的IP就是Underlay IP��,咱們更新一下��。
SD-WAN= Underlay + Overlay + APP Data
= Ethernet + Underlay IP + UDP + Overlay IP + ESP + GRE + MPLS Label+ APP Data
讀者可能回好奇��,這個(gè)UDP是干嘛的?
Underlay IP+ UDP這個(gè)組合主要用于NAT(Network Address Trasnlation)的。
因?yàn)?/span>SD-WAN在Internet線路上�,做NAT的概率是極高的���,給NAT提供便利。
可是ESP需要的Key從哪里來(lái)�����?
是通過(guò)IKE(Internet Key Exchange)協(xié)商嗎��?
No�����,No���,No。
這就是SD-WAN強(qiáng)大的地方。SD-WAN有一個(gè)中心化的產(chǎn)生Key的設(shè)備�����,它的名字叫vSmart Controller��。
有一個(gè)vEdge Router名字叫羅密歐,通過(guò)TLS安全連接與vSmart Controller聯(lián)系上了����。相互驗(yàn)證了數(shù)字證書��,然后vSmart Controller通過(guò)OMP消息告訴羅密歐�,可以使用Key = 5201314 與朱麗葉加密通信。羅密歐內(nèi)心竊喜,okk��。��。���。
有一個(gè)vEdge Router名字叫朱麗葉�,通過(guò)TLS安全連接與vSmart Controller聯(lián)系上了���。相互驗(yàn)證了數(shù)字證書,然后vSmart Controller通過(guò)OMP消息告訴朱麗葉,可以使用Key = 5201314 與羅密歐加密通信。朱麗葉嘴角上揚(yáng)��,okk�。�����。。
雙方就可以使用上文的SD-WAN = Underlay + Overlay + APP Data
通信了����,一切該有的Key全有了����。
上文說(shuō)了,我們需要SD-WAN 跑BGP路由協(xié)議���,交換內(nèi)網(wǎng)的路由,怎么實(shí)現(xiàn)?
APP Data = TCP + BGP
代入
Ethernet + Underlay IP + UDP + Overlay IP + ESP + GRE + MPLS Label + TCP + BGP
SD-WAN怎么運(yùn)輸普通的packet�?
只要用packet替換APP DATA��,即可。
羅密歐、朱麗葉這些SD-WAN Router從哪里獲得自己的basic 配置以及BGP配置�?
從一臺(tái)中心化的服務(wù)器,名字叫vManage上主動(dòng)拉取自己配置�����,或者由vManage自動(dòng)推送配置。
羅密歐、朱麗葉是如何知道vManage���、vSmart Controller通信地址的呢�����?
很簡(jiǎn)單��,羅密歐、朱麗葉這些SD-WAN Router在出廠的時(shí)候已經(jīng)預(yù)置了vManage的地址����,一旦上線立馬就可以找到vManage�����,通過(guò)vManage可以找到vSmart Controller。
SD-WAN最大的弊端�,就是每年要被廠商薅羊毛����,大概10-30%的服務(wù)費(fèi)��,除了這個(gè)都是優(yōu)點(diǎn)��!
閱讀原文:原文鏈接
該文章在 2025/8/25 13:05:24 編輯過(guò)
400 186 1886
