实验环境

实验环境:O3社区·园区多分支互联-SD-WAN

实验参考:O3社区 华为CloudCampus多园区网络互联解决方案

参考资料:https://info.support.huawei.com/info-finder/encyclopedia/zh/RR.html

参考资料:forum.huawei.com/enterprise/cn/zh/collection/635187644952625152

参考资料:https://info.support.huawei.com/info-finder/encyclopedia/zh/Overlay%E7%BD%91%E7%BB%9C.html

参考资料:https://support.huawei.com/enterprise/zh/doc/EDOC1100141267/cbb19d0f

拓扑图

image-20251027145924113

基础知识

SD-WAN:SDN + WAN技术的碰撞,实现通过一个集中的策略控制器进行定义和发放(软件定义广域网络);强调任意的WAN互联、面向应用的选路、安全和广域优化的融合等

Overlay(叠加层):Overlay网络是建立在Underlay网络上的逻辑网络,通过网络虚拟化技术,在同一张Underlay网络上构建出的一张或者多张虚拟的逻辑网络

Underlay(底层):是Overlay网络的底层物理基础;在Underlay网络中,互联的设备可以是各类型交换机、路由器、负载均衡设备、防火墙等,但网络的各个设备之间必须通过路由协议来确保之间IP的连通性

image-20251027143812411

基于SD-WAN的Overlay网络架构

  • Hub-Spoke:适用于业务主要在总部和数据中心,分支通过WAN集中访问部署在总部或数据中心的业务,分支之间没有或有少量的互访需求,分支之间通过总部或者数据中心绕行;(适用有1~2个数据中心的企业)
  • Full-mesh:适用于站点规模不多的小企业,或者在分支之间需要进行协同工作的大企业中部署,对于网络丢包、时延和抖动等网络性能具有很高的要求,因此这类业务更适用于分支站点之间直接进行互访
  • 分层网络:适应于网络站点规模庞大或者站点分散分布在多个国家或地区的大型跨国企业和大企业,网络结构清晰,网络可扩展性好
  • 多Hub组网:适用于有多个数据中心,每个数据中心均部署业务服务器为分支提供业务服务的企业
  • Partial-mesh:是Full-mesh的一种变体,用于解决企业组网中WAN线路覆盖率不足的问题;相比Full-mesh。partial-mesh减少了隧道数量,降低了设备资源占用

image-20251027142826114

VN虚拟网络

  • 每个VN是一个独立的IP三层私有网络(不同的VPN实例),每个VN可以拥有独立的Overlay拓扑(支持Hub-Spoke、Full-Mesh、Partial-Mesh和分层拓扑)
  • 需要做业务隔离的站点分别加入不同的VN,这些站点的LAN侧配置、流量策略和安全策略都是基于不同VN配置的,不同的VN可以配置不同的策略

基础网络配置

image-20251014094220711

基础网络全局配置

物理网络配置

  • 本实验场景中wan侧网络分为InternetMPLS网络,Internet与MPLS网络不能互通所以需要划分为两个路由域,控制器默认提供了这两个路由域,无需额外的配置

image-20251014094401801

image-20251014094416422

  • SD-WAN场景中为了数据的安全性会使用到IPSec功能,在此处配置的是全局的IPsec参数。保持默认配置
  • 加密功能打开后生成的ZTP文件是加密状态,需要输入密码后才能点击开局。推荐不加密,方便出现问题时定位。Web登录可以不设置密码
  • 其他参数默认

image-20251014094456120

image-20251014094526536

image-20251014094540119

虚拟网络配置

  • SD-WAN的Overlay WAN侧使用IBGP协议编排互通,需要配置Overlay WAN侧的AS号(此处使用65001)。如果LAN侧也使用BGP协议,保证WAN侧和LAN侧的AS号不冲突即可

image-20251014094635327

  • IP地址池的地址用于AR设备的环回口和Router ID等,该内部地址和客户网络LAN侧的地址段不要冲突

image-20251014094720709

采集配置

  • 采集配置功能默认关闭,后期的监控功能需要开启该功能,才能正常显示

image-20251014094823430

站点信息配置

按规划站点分为Hub和Spoke,Hub站点为总部(双网关 + RR路由反射器)、Spoke为分部(单网关)

设备名称 设备型号 站点 站点模板 设备角色
AR1 AR651 Hub 双网关 网关加路由反射器
AR2 AR651 网关加路由反射器
AR3 AR651 Spoke1 单网关 网关
AR4 AR651 Spoke2 单网关 网关

Hub站点配置

按照上述的规划创建Hub站点,预添加站点设备;Hub站点的路由器也作为路由反射器,将spoke站点之间路由互相反射给对方

image-20251014095011320

image-20251014095054205

Spoke站点配置

Spoke站点

image-20251014101304615

image-20251014101330283

Spoke2站点

image-20251014101428468

image-20251014101500653

网络模板配置

  • 按网络拓扑图的规划,Hub区域路由器作为双网关,两台路由器的G0/0/8口均连接Internet网络、G0/0/9口均连接MPLS网络

image-20251014101519836

image-20251014102051194

  • 此处的互联链路G0/0/3用于Hub站点设备之间互联,后续如果某条上行链路出现故障,可以通过该链路来同步路由信息(还能同步双CPE之间的关键信息)
  • hub之间推荐用网线直连,不要用交换机直连,防止互联链路的vlan和交换机的vlan冲突
  • 当站点业务流量较大,CPE端口资源充足时,建议使用两个Interlink接口,控制器会自动将这个两个interlink接口编排成Eth-trunk接口,一方面增加Interlink的带宽,另一方面保证Interlink的可靠性

image-20251014102155043

image-20251027141456185

  • 按网络拓扑图的规划,Spoke区域路由器作为单网关,两台路由器的G0/0/8口均连接Internet网络、G0/0/9口均连接MPLS网络

image-20251014102302222

零配置开局

网络地址规划表

image-20251014102320494

配置Hub站点

  • ZTP零配置开局选择:URL/U盘

image-20251014102411843

从WAN链路模板中导入设备配置后,根据网络地址规划表配置接口IP地址等信息(下图以AR1为例G0/0/9接口,其他同理)

image-20251014102444993

image-20251014102520940

image-20251014102659841

image-20251014102722774

image-20251014102737633

image-20251014103112763

配置Spoke站点

与Hub站点的配置方法一样,按网络地址规划表进行配置即可

image-20251014103344092

image-20251014103522501

Underlay配置

在Underlay配置中为所有站点设备的WAN接口添加一条WAN路由(静态路由),指向各自的网关

image-20251014103607792

image-20251014103714682

image-20251014103803540

image-20251014103838875

连接RR

Hub设备作为RR站点,两个Spoke站点作为RR反射器的客户端,建立BGP邻居;后续Hub站点会将Spoke站点的路由反射给其他Spoke站点

image-20251014103922982

虚拟网络配置

创建虚拟网络

  • 创建业务的虚拟网络,用于后续将各个站点的内网网段宣告进对应的VPN实例,并传递或反射给其他BGP邻居
  • 每个VN虚拟网络都是一个隔离的三层网络(不同VPN实例),都可以选择不同的组网方式

image-20251014104016852

image-20251014104050674

image-20251014104123234

在拓扑中选择组网方式为Hub-Spoke,中心站点为Hub、分支站点为Spoke、分支互通Hub、Hub间互通

image-20251014104243974

Overlay虚拟网络配置

image-20251014104256885

Hub站点配置

在overlay服务中选择VN 业务,创建LAN接口并配置IP地址,该接口将作为连接内网业务网段的接口

image-20251014104359437

image-20251014104459363

image-20251014104552613

image-20251014104617894

Spoke站点配置

与Hub站点同理,创建LAN接口,该接口将作连接内网业务网段的接口

image-20251014104719437

image-20251014104805741

零配置开局

下载零配置开局文件

此处使用URL零配置开局,在控制器中下载对应站点的零配置开局文件(.csv)

image-20251014104957671

零配置开局

因为每个站点还有一台PC连接到各自的AR路由器上,需要通过这台PC对路由器进行零配置开局

  • 复制ZTP文件中对应设备的URL链接内容,使用对应的PC在浏览器打开该URL地址,核对配置参数后点击确认开局即可

image-20251014110650173

image-20251014110933620

开局失败时恢复

如果开局失败,则需要手动将设备恢复出厂,设备恢复出厂重启完成后,可再次执行零配置开局操作

1
2
factory-configuration reset		# 恢复出厂设置
reboot fast		# 快速重启

验证测试

  • 设备全部处于在线状态

image-20251014112049158

image-20251014113037295

image-20251014112105378

  • 在AR1和AR2上可以看到vpn1实例的路由表存在spokespoke2的路由,由IBGP邻居传递过来
1
display ip routing-table vpn-instance vpn1

image-20251014111744300

image-20251014111800030

  • 在AR3和AR4上同样可以看到Hub站点的路由和对方spoke的路由

image-20251014111938727

image-20251014112025828

  • 其他测试
1
2
display bgp peer		# 查看BGP邻居状态
display bgp evpn peer		# 查看BGP evpn邻居状态

image-20251014112241317

image-20251014112322069

image-20251014112612704

image-20251014114023685

  • 在所有路由器上创建一个环回口并绑定到对应的VN实例中,用来测试overlay连通性

image-20251014113302182

image-20251014113346140

image-20251014113517465

  • 查看全网运维信息

image-20251014114415456

image-20251014114502013