浅谈SDWAN的起源背景

产生背景

云计算技术的发展引发了IT产业的变革，互联网+带动了传统行业的转型，to B的互联网化在2014年赶超了to C。聚焦于企业市场和广域网范畴的SDWAN(Software Defined Wide Area Network，软件定义广域网)服务正是在这样的行业背景和期待中产生。

SDWAN是将SDN技术应用到WAN场景中的一种VPN技术。SDWAN技术旨在帮助用户降低广域网的开支、提升网络连接的灵活性，为分散在广阔地理范围内的企业网络、数据中心网络等提供安全可靠的互联服务。

技术优点

SDWAN具有如下特点：

降低网络部署的费用：引入点到多点的SDWAN隧道，节约了设备性能。本地站点设备与多个远端站点设备之间只需要建立一条隧道，使低性能设备也能支持Full-Mesh组网。

简化网络部署和维护，方便网络快速部署：

两台设备间只需要建立一个BGP邻居，通过一个BGP邻居来承载所有VPN的私网路由。

引入RR(Route Reflector，路由反射器)，在RR上基于路由策略灵活控制用户业务拓扑。

引入密钥通告机制，取消设备间的IPsec IKE协商，通过控制器集中在RR上部署IPsec策略，通过RR将IPsec SA直接下发给各站点设备，有效减轻设备的IPsec协商压力。

引入STUN协议，通过STUN协议实现在具有NAT转换的动态IP地址的分支间建立隧道。

提供更好的用户体验：通过VPN实例实现用户之间的隔离，通过IPsec实现对用户数据的安全传输

SDWAN技术实现

SDWAN网络模型示意图

SDWAN的典型网络模型包含如下部分：

CPE(Customer Premise Equipment，用户端设备)：用户网络的边缘设备。

RR(Route Reflector，路由反射器)：用于在CPE之间反射TTE信息和私网路由等。

TN(Transport Network，传输网络)：运营商提供的广域接入网络，用来实现分支站点之间的互联，主要包括运营商专线网络和Internet公用网络等。传输网络可以通过TN ID或传输网络的名称来标识。TN是构建SDWAN Overlay网络的基础。

RD(Routing Domain，路由域)：由彼此之间路由可达的不同传输网络构成的区域。只能在位于同一个路由域内的CPE之间或CPE与RR之间建立SDWAN隧道。

Site ID：站点ID，是分支站点在SDWAN网络中的唯一标识，通常用一串数字表示，由网络控制器统一自动分配。

Device ID：设备ID，是支持SDWAN功能的设备(SDWAN设备)在站点内的唯一标识，由网络管理员统一分配。一个站点通常包含一台或两台SDWAN设备。

System IP：设备的系统IP地址，由网络管理员统一分配。通常采用设备上某个Loopback接口的IP地址作为System IP。

Interface ID：设备接口ID，由网络管理员统一分配。同一台设备上，不同隧道接口的接口ID不同。

SDWAN隧道：两个SDWAN设备之间的点到多点逻辑通道。不同站点之间通过SDWAN隧道传输数据报文等，实现不同站点之间的互联。隧道的物理出接口是CPE/RR上的广域网接口，该广域网接口所属的TN在同一个RD内，即两端的广域网接口可以在Underlay网络层面互通。两个站点可以通过多个不同运营商的TN进行互联，因此站点之间可以建立多个不同的隧道。

SSL(Secure Sockets Layer，安全套接字层)连接：在SDWAN网络中，CPE与RR之间建立SSL连接，通过该连接交互TTE信息，实现控制通道的建立。

TTE(Transport Tunnel Endpoint，传输隧道端点)：SDWAN设备接入传输网的连接点和SDWAN隧道的端点。设备的TTE信息主要包括Site ID、TN ID、Private IP Address、Public IP Address和隧道的封装类型等。TTE ID由Site ID、Device ID和Interface ID组成，用来唯一标识一个TTE。TTE ID作为TTE的属性，通过BGP路由发布给其它网络节点。

TTE连接：两个TTE之间的点到点逻辑连接

审核编辑：汤梓红