两地数据中心多分支VPN灾备组网案例分享

只看该作者 · 发表于 2025-8-4 16:51

该项目中分支和总部的SDW设备均采用是AF设备组网

1. 项目背景

客户是金融单位，在全国多个地点有近百家营业部分支机构，随着公司规模的扩大、业务的增长、分支营业点的扩张，IT管理在多数据中心高可靠性保障、业务访问安全防护、选路可视化、智能调度、权限控制、设备上线、可视化运维等方面面临巨大调整。

原网络架构

整体架构大致成扁平化部署，分支机构采用联通云联网BGP网络和分支机构通过IPSEC VPN协议接入到两个数据中心用于承载生产业务

数据中心分为A数据中心和B灾备数据中心，二级分支和三级分支通过路由器采用BGP接到总部两个数据中心，四级分支通过IPSEC VPN，正常时业务主要在A数据中心承载业务。故障时走城南路灾备中心

2. 项目目标

1.管理目标：

通过项目实现分支机构线路、设备、机房规范化管理及统一管控，提高分支机构网络的安全性、可靠性。通过SD-WAN平台实现集中管理，智能调度、选路可视化。

2.运营目标：

引入SD-WAN技术，节约线路费用，降低网络的长期运维成本，提升用户访问体验，提高分支机构网络带宽，优化链路质量。

3.运维目标：

通过租赁方式、引入外部厂商技术资源，提升分支机构网络运维保障支持能力和响应速率。通过SD-WAN平台实现链路质量优化，网络流量保障，机构网络状态监测。

3. 项目规划

3.1、组网设计

在整个组网设计方案中主要为实现数据中心设备和分支机构设备统一运维管理，VPN策略配置下发，实现SDW隧道智能选路组网，VPN可视化，以及在高可用层面基于链路级故障切换，设备级故障切换，数据中心故障切换三个维度综合考虑进行组网交付设计，进而保障业务的连续性、稳定性：

A数据中心作为SDW组网的主中心端，SDW网关设备双机主备部署在机构网络接入区，B数据中心作为SDW组网的备中心端，SDW网关设备单机部署在机构网络接入区，集中管理平台BBC以虚拟化双机部署在A数据中心。

1、A主数据中心SDW网关和三级机构采用双互联网线路（联通、电信）接入，可通过两根互联网线路进行SDW组网线路互备，当第1条线路断掉后，第2根线路仍可同两地数据中心维持SDW组网隧道保障业务连续性

2、总部A主数据中心SDW组网中心端HA设计，2台SDW组网网关设备组建双机热备，进行SDW组网保障单台设备故障可以快速切换到备机保障业务连续性。

3、总部B数据中心部署一台单机SDW组网网关设备，当A主数据中心网络异常时，以SDW双中心组网VPN路由优先级切换到B备数据中心机房保障业务连续性。

3.2、数据中心总部组网设计

A主数据中心采用SDW网关双机主备部署旁挂汇聚交换机，广域网接口接外网线路与分支机构建立SDW VPN隧道，打通overlay网络，LAN接口与内部核心建立ospf，引入VPN路由，核心交换机通过路由学习以及优先级收敛，使分支访问内网业务流量能正常转发。

B备数据中心使用一台SDW网关设备同样部署旁挂汇聚交换机，与A主同样使用广域网接口接联通外网线路，与分支机构通过互联网建立SDW VPN隧道，打通overlay网络，LAN接口与内部核心交换机建立ospf，如A主数据中心故障可通过ospf路由收敛将路由引流至B备数据中心。

两地数据中心之间实现SDW组网数据中心故障切换设计，通过集中管理平台分别建立两个VPN拓扑，关联两个数据中心和分支机构，统一下发总部发布网段给分支机构生成VPN路由，并设定不同的网段优先级，分支可以同时跟相同本地子网网段的两台中心端设备（A主、B备）建立SDW VPN。

隧道建立后，分支访问中心端业务会优先选择优先级高的A主数据中心，故障后快速切换至本地子网优先级稍低的B备数据中心，保障业务的连续性。

数据中心内网路由回包设计，数据中心之间通过专线网络打通，且数据中心内部跑OSPF动态路由。调整ospf路径优先级保证正常回包，通过ospf路由调整路径权重回包优先走的A主数据中心，次优走B备数据中心

3.3、分支机构组网设计

分支机构采用SDW网关设备替换现有的老旧的专线路由器，和总部数据中心SDW网关设备通过互联网线路建立VPN隧道打通Overlay网络。

3.3.1、三级分支双线路拓扑及细化说明

三级分支出口SDW设备拉通两根外网线路，联通和电信外网线路，三级机构用户通过接入交换机到出口SDW网关设备进入VPN隧道到总部数据中心SDW网关走向数据中心内网访问资源，三级分支所有流量都走总部访问

3.3.2、四级分支单线路拓扑及细化说明

四级分支出口部署SDW网关设备，拉通联通商宽单线路接入互联网，四级机构用户访问数据中心流量通过出口网关设备引入到VPN隧道到总部数据中心内网访问，本地互联网访问流量走本地出口设备上网

业务流量走向设计

3.4 总部Underlay业务流量设计

总部数据中心SDW网关部署，LAN接口启用OSPF动态路由引入VPN路由重发布到内网，核心交换机通过OSPF宣告获取VPN路由，配置路径优先级，优先A数据中心回包转发，A数据中心SDW设备故障后，核心交换机通过ospf路由收敛，选择B数据中心路由转发回包，保证分支通过SDW隧道访问服务器区的业务时能正常回包给分支。

3.5. 分支Underlay路由设计

分支SDW网关出口部署，分支机构交换机二层转发，用户电脑网关指向SDW-R的内网口。

4. 项目实施

步骤编号	步骤描述
1	设备云图授权
2	将集中管理平台BBC的内网接口地址映射到外网
3	集中管理平台配置总部数据中心的接入账号密码
4	登录总部数据中心的防火墙配置防火墙的带外管理地址
5	配置防火墙的双机热备
6	配置外网口接联通和电信线路，再防火墙ping测试外网网络正常
7	依据《总部设备部署信息规划》表中的网关信息和网段配置内网口
8	启用并配置防火墙ospf
9	配置应用控制策略，放通内网网段与分支网段互访VPNTUN接口
10	配置防火墙设备加入集中管理平台BBC
11	检查集中管理平台关联总部数据中心设备的策略模板下发配置：安全防护策略，VPN配置、SDW选路配置
12	配置分支VPN隧道间路由，使三级分支所有流量走总部上网
13	验证防火墙到内网可达以及带外管理可正常访问