华为云首页用户手册

华为乾坤-方案架构:基于SD-WAN的架构介绍

时间：2023-11-01 16:16:53

华为乾坤

基于SD-WAN的架构介绍

基于SD-WAN的华为乾坤安全分支解决方案总体架构如图1所示，主要包括管理层、控制层、网络层。

图1 安全分支网络互联架构模型（SD-WAN）

第三方BSS/OSS
华为乾坤开放了北向API接口，可以将SD-WAN纳入到已有的BSS/OSS等第三方业务编排系统，实现SD-WAN的集成和灵活定制。
管理层
管理层的核心是华为乾坤云平台，主要提供网络编排和管理能力，支持端到端业务处理。
- 网络编排：负责SD-WAN面向业务的网络模型抽象、编排和配置自动化发放，主要包括企业WAN组网和各种网络策略相关的业务编排。通过对网络模型的抽象和定义，屏蔽SD-WAN部署和实现的技术细节，使网络配置和业务发放更加简易、灵活。
- 网络管理：负责网络层设备的统一管理与运维，包括统一配置网络业务；采集设备告警、日志等信息；基于链路、应用、网络的性能数据采集、统计和分析；基于网络拓扑、告警管理、性能监控等方式多维度统计和呈现运维信息。
控制层
控制层的核心组件是RR（Route Reflector，路由反射器），主要负责控制网络层的路由转发和拓扑定义。其功能主要包括：VPN路由的分发和过滤、VPN拓扑的创建和修改、站点间Overlay隧道的创建和维护等。相比传统网络完全的分布式控制方式，这种集中式的控制实现了企业WAN控制平面和转发平面的分离，简化了网络运维操作，减少了网络配置错误几率，提升了企业WAN的运维效率。
网络层
从业务角度来说，企业的分支、总部和数据中心以及在云上部署的IT基础设施等都可以统称为企业的站点。用于不同站点WAN互联的网络设备以及中间的WAN一起构成了SD-WAN的网络层。
从网络功能层次划分，SD-WAN网络可以分为Underlay网络和Overlay网络两层。
- Underlay网络：即物理网络，是由路由器等网络设备通过运营商提供的物理线路互联组成的WAN，常见类型有MSTP专线、MPLS VPN以及Internet等。
- Overlay网络：即虚拟网络，是在一张物理网络上构建出一张或多张虚拟的逻辑网络。不同的虚拟网络虽然共享物理网络中的设备和线路，但虚拟网络中的业务与物理网络中的业务相互解耦。虚拟网络的多实例化，既可以服务于同一租户的不同业务（如多个部门），也可以服务于不同租户。
从网络设备的功能定位划分，网络层主要由Edge和GW两类设备构成。
- Edge：是站点的出口CPE设备（Customer Premise Equipment）。Edge的本质是SD-WAN隧道的发起和终结点，也可以看做SD-WAN网络的边界点。Edge之间的Overlay隧道可以构建在任意的有线或者无线的Underlay WAN网络上。
- GW：是连接SD-WAN站点和其他网络（如传统VPN）的网关设备。通过GW可以实现SD-WAN网络与传统网络、公有云网络间的互通。