第三方SD-WAN構建分支上云網絡
概述
本文介紹
很多企業會通過SD-WAN實現多分支的內網打通,當企業開始使用公共云時,企業同樣需要將云上網絡環境并入現有的SD-WAN組網中來。通常SD-WAN廠商會提供應用的鏡像,通過在云上虛擬機安裝vCPE實現在云上的組網應用能力部署。本方案介紹如何利用第三方 SD-WAN和云上現有的組網能力,實現高效、安全、可靠的分支上云網絡架構。
基本概念
SD-WAN:SD-WAN,即軟件定義廣域網,是一種網絡技術,它通過軟件定義網絡(SDN)的原則,將控制層和數據層從邏輯上分離開來,并集中管理和控制這些功能,從而實現對分布式網絡的智能管理和優化。
VPC:專有網絡是您專有的云上私有網絡。您可以完全掌控自己的專有網絡,例如選擇IP地址范圍、配置路由表和網關等,您可以在自己定義的專有網絡中使用阿里云資源,如云服務器ECS(Elastic Compute Service)、云數據庫RDS(Relational Database Service)和負載均衡SLB等。
CEN:云企業網CEN(Cloud Enterprise Network)是運行在阿里云私有全球網絡上的一張高可用網絡。云企業網通過轉發路由器TR(Transit Router)幫助您在跨地域專有網絡之間,專有網絡與本地數據中心間搭建私網通信通道,為您打造一張靈活、可靠、大規模的企業級云上網絡。
高速通道:阿里云高速通道(Express Connect)可在本地數據中心IDC(Internet Data Center)和云上專有網絡VPC(Virtual Private Cloud)間建立高速、穩定、安全的私網通信。高速通道的物理專線數據傳輸過程可信可控,避免網絡質量不穩定問題,同時可避免數據在傳輸過程中被竊取。
設計原則
該架構設計原則如下:
穩定性:組網服務承載的流量都是企業內部的業務流量,混合云或多云鏈路的穩定性至關重要,一旦鏈路中斷,云上云下和云間的業務互訪將不可達,從而影響業務間的交互,甚至可能出現核心業務不可用等問題,對業務影響較大。所以混合云和多云網絡的穩定性是企業網絡架構設計的重中之重。
安全性:混合云和多云架構涉及不同網絡域之間的互通,且企業內部也存在不同安全等級的業務,特別是對重要業務的訪問,通常需要做到安全可控和最小權限按需互通原則,防止企業內部數據泄露和濫用,滿足企業內部的數據安全要求。
自服務:該方案涉及到第三方 SD-WAN的配置和交付,對于企業的IT運維人員來說是額外的學習成本。方案在云上的快速部署、交付、高效運維,對企業長期使用SD-WAN方案至關重要。阿里云聯合多家品牌和合作伙伴,針對三方產品在阿里云上的服務交付給出了豐富的服務支撐。
設計關鍵點
穩定
鏈路容災
分支上云鏈路,分支到阿里云的underlay線路選擇不同的線路供應商實現物理通道的高可用,例如公網+專線;4G+有線;電信+聯通等。容災切換依賴于SD-WAN產品的鏈路切換能力,請與您的SD-WAN供應商確認具體方案。專線高可用架構設計請參照高速通道高可靠模式推薦方案:高可靠模式.
云上同地域鏈路,同地域跨可用區和跨VPC傳輸鏈路由阿里云提供高可用保障。云上同地域多個可用區通過超大規模城域專用光纖冗余連接,毫秒級故障倒換。
云上跨地域鏈路,cen跨域鏈路由阿里云提供高可用保障。多條跨域專線構建主備換網,使2點間不少于3條路徑保護;多平面網絡異常檢測技術可以自動選擇最優路徑,實現故障的秒級切換。
網元容災
云上網絡
云原生網元,專線網關ECR提供多可用區容災能力,單可用區具備多集群部署容災能力,單集群故障業務無中斷;轉發路由器TR提供多可用區容災能力,流量自動選擇就近可用區的ENI轉發,單可用區不可用時自動轉發到其他可用區的ENI。可用區內的每個ENI對應多臺轉發節點,單節點故障秒級收斂。
第三方 SD-WAN網元,推薦在云上設置獨立VPC多可用區部署第三方 SD-WAN鏡像,SD-WAN與TR建立IPsec VPN并通過BGP同步路由,利用BGP動態路由實現自動化故障切換。請向您的SD-WAN供應商咨詢具體的配置方案,云上BGP over IPsec配置可以參考:第三方SD-WAN設備對接轉發路由器實現IDC與VPC互通。
安全
云上設置中轉vpc
在云上云下的網絡交互之間提供安全緩沖區域,可以在這里設置防火墻、入侵檢測系統等安全措施監控和過濾流量;
可以更精細的管理哪些用戶和設備被允許訪問特定的網絡資源;
提供了一個理想的位置記錄和監控云上云下互通的流量。
配置安全服務鏈
SD-WAN上云流量可以通過TR路由到獨立的安全VPC(阿里云VPC墻或自建三方墻),實現東西向流量的安全審計
TR實現安全服務鏈時,須遵循路由的最小放通原則
合理設置安全組和網絡ACL:使用安全組和網絡ACL來限制進出VPC的流量。為每個實例或服務配置適當的安全組規則,只允許必要的端口和協議。
性能
加密算法,該組網場景端到端經過的網元數量較多,且流量在云上會經過IPsec隧道的加解密,VPN加解密算法會直接影響端到端的延遲和單連接帶寬最大值,在極致性能的傳輸場景需要額外關注。如果VPN網關實例的帶寬規格為200 Mbps及以上,推薦使用aes、aes192、aes256加密算法,不推薦使用3des加密算法。aes是一種對稱密鑰加密算法,提供高強度的加密和解密,在保證數據安全傳輸的同時對網絡延遲、吞吐量、轉發性能影響較小;3des是三重數據加密算法,加密時間較長且算法復雜度較高,運算量較大,相比aes會降低轉發性能。
延遲,極致延遲場景需要盡量保證轉發資源在同一可用區,請聯系您的阿里云架構師進一步咨詢。
帶寬,該方案上云帶寬上限受限于本地網絡公網出口帶寬、專線帶寬、第三方 SD-WAN轉發性能、IPsec-VPN單連接帶寬上限的限制。IPsec-VPN單連接最大支持1000Mbps,如需更大上云帶寬,需要配置多IPsec的 ECMP,請咨詢您的SD-WAN供應商咨詢能否支持BGP ECMP配置。阿里云VPN多鏈路負載請參考:建立多條公網IPsec-VPN連接實現流量的負載分擔
彈性
該方案整體不具備彈性能力,端到端鏈路的彈性受限于本地網絡公網出口帶寬、專線帶寬、第三方 SD-WAN轉發性能的影響,如果需要擴容傳輸帶寬,需要評估傳輸鏈路、CPE、SD-WAN應用的轉發能力
可觀測
通過NIS和流日志可以實現云上流量的可觀測
同地域流量分析,基于VPC流日志和TR流日志,分析用戶本端VPC經過TR轉發流向同地域對端VPC的流量分布情況,支持分別以實例(一元組)、IP對(二元組)和網絡會話層(五元組)的粒度展開流量的可視化分析。
混合云流量分析,基于TR流日志,分析用戶VPC經過TR和VBR轉發流向線下IDC的流量分布情況,支持分別以實例(一元組)、IP對(二元組)和網絡會話層(五元組)的粒度展開流量的可視化分析。
自服務
目前阿里云上提供了豐富的第三方 SD-WAN云上部署能力
控制臺:在CEN控制臺可以直接下單新建阿里云市場已支持的第三方 SD-WAN實例鏡像
具體組網配置可以參照文檔:第三方SD-WAN設備對接轉發路由器實現IDC與VPC互通
計算巢:使用計算巢控制臺服務市場篩選網絡方案
設計最佳實踐
中轉VPC設計
中轉VPC內在ECS中安裝第三方 SD-WAN鏡像,鏡像被三方SD-WAN控制器管理,使用公網EIP與分支中VPN網關設備建立公網IPsec隧道、使用私網IP和IPsec連接建立私網IPsec隧道
地域選擇:
某分支要訪問云上某些地域的VPC、或者要和多地分支互通,則就近此分支選擇中轉VPC的地域
某分支要訪問某個地域的VPC,則可在此地域創建中轉VPC
IPsec連接設計(連接分支網絡)
地域選擇:和中轉VPC在相同地域
雙IPsec形成ECMP(等價多路徑):
阿里云:配置2個IPsec連接并配置attachment到TR,TR路由表出接口到2個IPsec連接形成ECMP,既能做IPsec多可用區容災、又能擴容IPsec隧道容量(單隧道1Gbps*隧道數量)
第三方 SD-WAN鏡像:選用2臺ECS各安裝1個鏡像,每個鏡像和分支VPN網關、IPsec連接各建立一個公網IPsec隧道和私網IPsec隧道、兩邊都運行BGP路由協議,當某個鏡像故障后BGP協議收斂路由自動切掉故障轉發路徑
分支側:建議用2臺設備各建一個隧道,分支網絡選擇2個設備作為路由下一跳形成ECMP,既能做多設備(多隧道)容災、又能擴容IPsec隧道容量(單隧道1Gbps*隧道數量)
容量和規格限制,請參考:使用限制
轉發路由器TR設計
Attachement中轉VPC:給第三方 SD-WAN鏡像和IPsec私網連接間建立私網IPsec隧道做underlay網絡互通
Attachement中轉IPsec私網連接:給第三方 SD-WAN鏡像接入TR做中轉通道
Attachement同地域的業務VPC/VBR等:打通分支到業務VPC或VBR的訪問
和其他地域的TR建立跨地域連接,做跨地域間的業務互通
TR的多路由表、路由策略可以控制IPsec連接和業務VPC之間的路由學習和宣告,實現隔離
容量和規格限制,請參考:使用限制
可集成支持的第三方 SD-WAN
第三方 SD-WAN可集成列表,請參考:https://cen.console.aliyun.com/cen/market
應用場景介紹
多數據中心互通
企業業務逐步上云的過程中,需要實現云上和云下數據中心的網絡打通和數據交互。傳統的專線組網耗時長且成本較高;VPN方案在網絡全局運維和大帶寬場景存在一定局限性。SD-WAN方案可以有效降低組網成本,壓縮組網時間周期,快速實現組網互通。另外可以充分利舊已有的專線、公網等線路資源,幫助企業實現高性價比組網
多分支組網
隨著企業的發展與擴張,門店業務高效安全的接入總部系統對組網方案提出了很大挑戰。門店業務人員往往不具備專業的IT知識,而總部的IT人員面對數千甚至上萬的門店網絡接入,需要一套有效的方案進行管理。借助部署在阿里云的第三方 SD-WAN方案,企業可以同時借助阿里云和SD-WAN廠商技術的優勢,實現海量門店網絡的統一管理和配置。
辦公組網加速
隨著企業的擴張,可能需要派遣員工在全球多地域開展業務拓展。網絡的長途傳輸質量問題極大的影響業務拓展的效率和成功率,需要特別關注和解決。第三方 SD-WAN方案借助阿里云CEN的跨地域傳輸資源,能夠極大的優化長途傳輸的網絡質量,而且可以按量計費,即開即用,彈性擴縮,可以助力全球化業務的快速拓展與成功。