SD-WAN组网 POC测试案例分享

每天坚持打卡学习签到！！

打卡学习，感谢大佬分享！

发布标题为#原创分享#的文章，可得S豆和现金奖励，点击去发帖！

“当前已有100+用户参与分享，共计发放奖励50000+“

1. 前言

1.1 三层架构

本案例是针对三层架构进行分析，结合某公司和友商的方式，三层架构有两类逻辑架构：

此次采用的是方案一：总-分-支架构。

1.2 测试目的

本方案的建设目标是结合xx银行网络现状，确定总行-分行-支行组网建设需求，并且解决“链路选路功能方案”、“链路故障切换方案”、“设备故障切换方案”、“集中管理平台”使用情况的测试，全面提升xx银行的SD-WAN组网体系。

本次SD-WAN部署范围涉及xx银行总行、分行、支行三级架构，测试分行到总行、支行到总行、支行到分行业务访问测试，实现智能选路、故障切换、可视化管理等方面功能。

1.1 测试设备

设备型号	详细描述	软件版本	数量
SDW-WOC-1000-C400	办公场景下IPSEC VPN加密性能:100Mbps;尺寸:1U;接口:4个千兆电口;	9.5.9beta版本	5
BBC-1000-A600	可管理200个受控端设备	2.5.16	1

测试环境

图1：部署前网络拓扑

在SD-WAN组网后，分支行分别有三条隧道到达总行：

l 分行到总行选路顺序：

1. 隧道2

2. 隧道1

3. 隧道6+隧道5，以隧道间路由的方式

l 支行到总行的选路顺序：

1. gre1隧道：是基于sangfor vpn隧道建立的。其运行在哪条物理链路上，由分段的sangfor vpn隧道选路策略决定。途经SD-WAN_1、 SD-WAN_2、 SD-WAN_3。

2. gre2 隧道：同gre1隧道，但路径唯一，由隧道7和隧道5组成。途径SD-WAN_1、 SD-WAN_4、 SD-WAN_3。

图2：部署后流量走向

1.1 测试方案

此次测试的测试方案经历了一系列修改，从方案一到方案二，最终到方案三，下面会详述本次场景下，方案一和二不适应场景的地方，以及方案三能如何满足该场景的地方。

1.1.1 方案一  端到端选路

内容：分行和总行建立sangfor vpn，支行和总行建立sangfor vpn。

特点：干脆，简单

缺点：骨干线路上存在分行vpn、支行vpn，无法对同一专线的两个vpn做QOS。

1.1.1 方案二分段选路

在SDWAN设备间建立全互联的sangfor vpn隧道，借助于隧道间路由实现总-分支间的互通，在每个物理专线上仅有一个sangfor vpn隧道，能做到专线的QOS。

在专线3、4均发生中断时，数据包从总行发到支行时，路径是：SD-WAN_1→隧道2→SD-WAN_2，由于隧道3、4都断了，SD-WAN_2无法正确地将数据包发给SD-WAN_3，故支行与总行之间的网络发生了中断。

1.1.1 方案三分段选路+(gre隧道+策略路由)

在方案二的基础上，保持分行不变，去掉总行到支行的隧道间路由，在总行和支行间建立gre隧道，利用策略路由做线路检测，实现总行和支行间的智能选路。

1. 网络部署1.1 引流

总行服务器网段	分行服务器网段	支行服务器网段
188.68.1.0/24	198.70.100.0/24	198.70.1.0/24

在总行边界路由器R2(思科)上的引流配置：

1、配置ACL匹配感兴趣流：指定哪些数据流进入到VPN隧道中。

ip access-list extended R1

permit ip 188.68.1.0 0.0.0.255 198.70.100.0 0.0.0.255 log

permit icmp 188.68.1.0 0.0.0.255 198.70.100.0 0.0.0.255 log

permit ip 188.68.1.0 0.0.0.255 198.70.1.0 0.0.0.255 log

permit icmp 188.68.1.0 0.0.0.255 198.70.1.0 0.0.0.255 log

采用的是扩展ACL，匹配的是源地址为188.68.1.0/24，目的地址为198.70.100.0/24的IP、ICMP包为感兴趣流。

2、配置route-map，修改感兴趣流的下一跳为WOC设备的lan口地址

route-map YL permit 10

match ip address R1

set ip next-hop 192.168.1.2

!         

route-map YL permit 20

3、在总行数据流流向R2的入向接口gi1/0/1上调用route-map

interface GigabitEthernet1/0/1

description to hexin

no switchport

ip address 188.68.48.10 255.255.255.252

ip ospf network point-to-point

ip policy route-map YL

分行、支行引流配置和总行类似，只有ACL的源目IP、感兴趣流下一跳地址、调用route-map的接口发生改动，其余不变。

1.1 路径

在这次方案中，环境中的每条专线上都只有一个唯一的隧道。

隧道1-7分别一一对应着客户的不同专线。当专线发生中断时，隧道就断了。举例：当R2到R4的专线1发生中断时，隧道2就中断了，不会出现隧道2跑到专线2的情况。这样做的目的是为了避免出现两条隧道运行在同一个物理专线时，无法做qos的情况。

为实现每条专线上有且仅有一个隧道，针对客户的不同底层网络做分析：

三层网络协议	优点	缺点
静态路由	配置简单，控制简单	配置数量多
OSPF	利用distribute-list过滤路由	较复杂
BGP	利用route-map向BGP邻居定向传递路由	复杂
ISIS	运营商核心网络

这个方案中，总、分行之间运行的是BGP协议：

以隧道2为例，隧道2两端IP：192.168.1.12/24(SD-WAN_1)、192.168.3.2/24(SD-WAN_2)

在R2的BGP上向R4只传递192.168.1.12/32路由(32位不是24位)

在R4的BGP上向R2只传递192.168.3.2/32路由(32位不是24位)

在R2上的具体配置：

1、先定义前缀列表：

ip prefix-list sdwan seq 5 permit 198.70.1.0/24

ip prefix-list sdwan seq 10 permit 198.70.100.0/24

ip prefix-list sdwan seq 15 permit 188.68.1.0/24

ip prefix-list sdwan seq 20 permit 192.168.1.12/32

ip prefix-list sdwan seq 25 permit 192.168.3.2/32

为保证当SDWAN设备故障时，流量仍能通过底层网路通信，所以这里加入总行、分行、支行的服务器网段。

２、配置route-map：调用步骤１的前缀列表，允许前缀列表里的IP，拒绝其他所有IP

route-map sdwan permit 10

match ip address prefix-list sdwan

!

route-map sdwan deny 20

!

３、在BGP协议中启用route-map,向R4只传递前缀列表中定义的IP

为保证BGP路由正确的发给BGP邻居，本地必须存在该路由。发布32位路由的方法有两种：

Ⅰ、写一条32位的静态路由，在BGP中本地宣告出去。

Ⅱ、写一条32位的静态路由，重分发静态路由到BGP中。

隧道2在R4上的底层配置和R2类似，其他的隧道请参照隧道2的建立方法。

1. WOC配置1.1 GRE配置

GRE隧道建立在sangfor vpn的基础上，智能选路策略、安全访问控制、QOS等都由每段sangfor vpn决定。

1.1.1 总行端

总行和支行建立两个gre隧道，gre1和gre2

gre1使用两端的vpn接口地址作为gre的源目端地址

gre2使用两端的lan口地址作为gre的源目端地址

Gre1的配置如下:   

Gre2的配置如下:

1.1.1 支行端

总行和支行建立两个gre隧道，gre1和gre2

gre1使用两端的vpn接口地址作为gre的源目端地址

gre2使用两端的lan口地址作为gre的源目端地址

Gre1隧道

1.1 策略路由

1.1.1 总行端

配置策略路由：

1. 策略路由线路，开启ping链路故障检测。

1. 策略路由规则：

匹配源目IP地址，选择策略路由线路，规则从上至下依次匹配。

在[策略路由线路]观察线路的链路状态，若链路状态正常，参与策略路由规则的选路；若链路状态故障，不参与策略路由规则的选路。

1.1.1 支行端

配置策略路由：

1. 策略路由线路，开启ping链路故障检测。

1. 策略路由规则：

匹配源目IP地址，选择策略路由线路，规则从上至下依次匹配。

在[策略路由线路]观察线路的链路状态，若链路状态正常，参与策略路由规则的选路；若链路状态故障，不参与策略路由规则的选路。