AI 助理
备案控制台
文档
输入文档关键字查找
首页 云网络卓越架构设计指南 全球化网络 第三方SD-WAN构建分支上云网络

第三方SD-WAN构建分支上云网络

更新时间:
我的收藏

概述

本文介绍

很多企业会通过SD-WAN实现多分支的内网打通,当企业开始使用公共云时,企业同样需要将云上网络环境并入现有的SD-WAN组网中来。通常SD-WAN厂商会提供应用的镜像,通过在云上虚拟机安装vCPE实现在云上的组网应用能力部署。本方案介绍如何利用第三方 SD-WAN和云上现有的组网能力,实现高效、安全、可靠的分支上云网络架构。

基本概念

SD-WAN:SD-WAN,即软件定义广域网,是一种网络技术,它通过软件定义网络(SDN)的原则,将控制层和数据层从逻辑上分离开来,并集中管理和控制这些功能,从而实现对分布式网络的智能管理和优化。

VPC:专有网络是您专有的云上私有网络。您可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等,您可以在自己定义的专有网络中使用阿里云资源,如云服务器ECS(Elastic Compute Service)、云数据库RDS(Relational Database Service)和负载均衡SLB等。

CEN:云企业网CEN(Cloud Enterprise Network)是运行在阿里云私有全球网络上的一张高可用网络。云企业网通过转发路由器TR(Transit Router)帮助您在跨地域专有网络之间,专有网络与本地数据中心间搭建私网通信通道,为您打造一张灵活、可靠、大规模的企业级云上网络。

高速通道:阿里云高速通道(Express Connect)可在本地数据中心IDC(Internet Data Center)和云上专有网络VPC(Virtual Private Cloud)间建立高速、稳定、安全的私网通信。高速通道的物理专线数据传输过程可信可控,避免网络质量不稳定问题,同时可避免数据在传输过程中被窃取。

设计原则

image

该架构设计原则如下:

  • 稳定性:组网服务承载的流量都是企业内部的业务流量,混合云或多云链路的稳定性至关重要,一旦链路中断,云上云下和云间的业务互访将不可达,从而影响业务间的交互,甚至可能出现核心业务不可用等问题,对业务影响较大。所以混合云和多云网络的稳定性是企业网络架构设计的重中之重。

  • 安全性:混合云和多云架构涉及不同网络域之间的互通,且企业内部也存在不同安全等级的业务,特别是对重要业务的访问,通常需要做到安全可控和最小权限按需互通原则,防止企业内部数据泄露和滥用,满足企业内部的数据安全要求。

  • 自服务:该方案涉及到第三方 SD-WAN的配置和交付,对于企业的IT运维人员来说是额外的学习成本。方案在云上的快速部署、交付、高效运维,对企业长期使用SD-WAN方案至关重要。阿里云联合多家品牌和合作伙伴,针对三方产品在阿里云上的服务交付给出了丰富的服务支撑。

设计关键点

稳定

链路容灾

分支上云链路,分支到阿里云的underlay线路选择不同的线路供应商实现物理通道的高可用,例如公网+专线;4G+有线;电信+联通等。容灾切换依赖于SD-WAN产品的链路切换能力,请与您的SD-WAN供应商确认具体方案。专线高可用架构设计请参照高速通道高可靠模式推荐方案:高可靠模式.

云上同地域链路,同地域跨可用区和跨VPC传输链路由阿里云提供高可用保障。云上同地域多个可用区通过超大规模城域专用光纤冗余连接,毫秒级故障倒换。

云上跨地域链路,cen跨域链路由阿里云提供高可用保障。多条跨域专线构建主备换网,使2点间不少于3条路径保护;多平面网络异常检测技术可以自动选择最优路径,实现故障的秒级切换。

网元容灾

云上网络

  • 云原生网元,专线网关ECR提供多可用区容灾能力,单可用区具备多集群部署容灾能力,单集群故障业务无中断;转发路由器TR提供多可用区容灾能力,流量自动选择就近可用区的ENI转发,单可用区不可用时自动转发到其他可用区的ENI。可用区内的每个ENI对应多台转发节点,单节点故障秒级收敛。

  • 第三方 SD-WAN网元,推荐在云上设置独立VPC多可用区部署第三方 SD-WAN镜像,SD-WAN与TR建立IPsec VPN并通过BGP同步路由,利用BGP动态路由实现自动化故障切换。请向您的SD-WAN供应商咨询具体的配置方案,云上BGP over IPsec配置可以参考:第三方SD-WAN设备对接转发路由器实现IDC与VPC互通

安全

云上设置中转vpc

  • 在云上云下的网络交互之间提供安全缓冲区域,可以在这里设置防火墙、入侵检测系统等安全措施监控和过滤流量;

  • 可以更精细的管理哪些用户和设备被允许访问特定的网络资源;

  • 提供了一个理想的位置记录和监控云上云下互通的流量。

配置安全服务链

  • SD-WAN上云流量可以通过TR路由到独立的安全VPC(阿里云VPC墙或自建三方墙),实现东西向流量的安全审计

  • TR实现安全服务链时,须遵循路由的最小放通原则

合理设置安全组和网络ACL:使用安全组和网络ACL来限制进出VPC的流量。为每个实例或服务配置适当的安全组规则,只允许必要的端口和协议。

性能

  • 加密算法,该组网场景端到端经过的网元数量较多,且流量在云上会经过IPsec隧道的加解密,VPN加解密算法会直接影响端到端的延迟和单连接带宽最大值,在极致性能的传输场景需要额外关注。如果VPN网关实例的带宽规格为200 Mbps及以上,推荐使用aes、aes192、aes256加密算法,不推荐使用3des加密算法。aes是一种对称密钥加密算法,提供高强度的加密和解密,在保证数据安全传输的同时对网络延迟、吞吐量、转发性能影响较小;3des是三重数据加密算法,加密时间较长且算法复杂度较高,运算量较大,相比aes会降低转发性能。

  • 延迟,极致延迟场景需要尽量保证转发资源在同一可用区,请联系您的阿里云架构师进一步咨询。

  • 带宽,该方案上云带宽上限受限于本地网络公网出口带宽、专线带宽、第三方 SD-WAN转发性能、IPsec-VPN单连接带宽上限的限制。IPsec-VPN单连接最大支持1000Mbps,如需更大上云带宽,需要配置多IPsec的 ECMP,请咨询您的SD-WAN供应商咨询能否支持BGP ECMP配置。阿里云VPN多链路负载请参考:建立多条公网IPsec-VPN连接实现流量的负载分担

弹性

该方案整体不具备弹性能力,端到端链路的弹性受限于本地网络公网出口带宽、专线带宽、第三方 SD-WAN转发性能的影响,如果需要扩容传输带宽,需要评估传输链路、CPE、SD-WAN应用的转发能力

可观测

通过NIS和流日志可以实现云上流量的可观测

  • 同地域流量分析,基于VPC流日志和TR流日志,分析用户本端VPC经过TR转发流向同地域对端VPC的流量分布情况,支持分别以实例(一元组)、IP对(二元组)和网络会话层(五元组)的粒度展开流量的可视化分析。

  • 混合云流量分析,基于TR流日志,分析用户VPC经过TR和VBR转发流向线下IDC的流量分布情况,支持分别以实例(一元组)、IP对(二元组)和网络会话层(五元组)的粒度展开流量的可视化分析。

自服务

目前阿里云上提供了丰富的第三方 SD-WAN云上部署能力

设计最佳实践

image

中转VPC设计

  • 中转VPC内在ECS中安装第三方 SD-WAN镜像,镜像被三方SD-WAN控制器管理,使用公网EIP与分支中VPN网关设备建立公网IPsec隧道、使用私网IP和IPsec连接建立私网IPsec隧道

  • 地域选择:

    • 某分支要访问云上某些地域的VPC、或者要和多地分支互通,则就近此分支选择中转VPC的地域

    • 某分支要访问某个地域的VPC,则可在此地域创建中转VPC

IPsec连接设计(连接分支网络)

  • 地域选择:和中转VPC在相同地域

  • 双IPsec形成ECMP(等价多路径):

    • 阿里云:配置2个IPsec连接并配置attachment到TR,TR路由表出接口到2个IPsec连接形成ECMP,既能做IPsec多可用区容灾、又能扩容IPsec隧道容量(单隧道1Gbps*隧道数量)

    • 第三方 SD-WAN镜像:选用2台ECS各安装1个镜像,每个镜像和分支VPN网关、IPsec连接各建立一个公网IPsec隧道和私网IPsec隧道、两边都运行BGP路由协议,当某个镜像故障后BGP协议收敛路由自动切掉故障转发路径

    • 分支侧:建议用2台设备各建一个隧道,分支网络选择2个设备作为路由下一跳形成ECMP,既能做多设备(多隧道)容灾、又能扩容IPsec隧道容量(单隧道1Gbps*隧道数量)

  • 容量和规格限制,请参考:使用限制

转发路由器TR设计

  • Attachement中转VPC:给第三方 SD-WAN镜像和IPsec私网连接间建立私网IPsec隧道做underlay网络互通

  • Attachement中转IPsec私网连接:给第三方 SD-WAN镜像接入TR做中转通道

  • Attachement同地域的业务VPC/VBR等:打通分支到业务VPC或VBR的访问

  • 和其他地域的TR建立跨地域连接,做跨地域间的业务互通

  • TR的多路由表、路由策略可以控制IPsec连接和业务VPC之间的路由学习和宣告,实现隔离

  • 容量和规格限制,请参考:使用限制

可集成支持的第三方 SD-WAN:

应用场景介绍

多数据中心互通

企业业务逐步上云的过程中,需要实现云上和云下数据中心的网络打通和数据交互。传统的专线组网耗时长且成本较高;VPN方案在网络全局运维和大带宽场景存在一定局限性。SD-WAN方案可以有效降低组网成本,压缩组网时间周期,快速实现组网互通。另外可以充分利旧已有的专线、公网等线路资源,帮助企业实现高性价比组网

多分支组网

随着企业的发展与扩张,门店业务高效安全的接入总部系统对组网方案提出了很大挑战。门店业务人员往往不具备专业的IT知识,而总部的IT人员面对数千甚至上万的门店网络接入,需要一套有效的方案进行管理。借助部署在阿里云的第三方 SD-WAN方案,企业可以同时借助阿里云和SD-WAN厂商技术的优势,实现海量门店网络的统一管理和配置。

办公组网加速

随着企业的扩张,可能需要派遣员工在全球多地域开展业务拓展。网络的长途传输质量问题极大的影响业务拓展的效率和成功率,需要特别关注和解决。第三方 SD-WAN方案借助阿里云CEN的跨地域传输资源,能够极大的优化长途传输的网络质量,而且可以按量计费,即开即用,弹性扩缩,可以助力全球化业务的快速拓展与成功。

上一篇:IPsec-VPN构建分支上云网络下一篇:网络智能运维
文档推荐