余照熠，林志华，陈智海

（中国电信股份有限公司上海分公司，上海，200085）

0 引言

随着企业数字化转型逐步深入，云计算、网络虚拟化等技术不断涌现，传统IT架构越来越难以满足企业数字化转型的需求，企业IT系统云化部署的数量在大幅增长，为确保重要系统的安全性，通常都会使用异地多云异构部署的方案，而运营商MPLS-VPN、MSTP等传统广域网连接技术已难以满足现今快速灵活组网的业务需求。同时，业务上云后，为保证云间迁移的业务连续性，必须维持迁移前后，业务IP地址、MAC地址等参数维持不变，所以在三层组网模式下，是难以实现在多个数据中心间进行业务迁移的。同时，数据中心对互联网的接入质量要求也越来越高，所以我们考虑使用SD-WAN结合VxLAN技术来实现云间灵活组网，通过VxLAN作为overlay作为隧道构建云间大二层网络，实现用户的云上业务跨机房动态迁移需求。

1 SD-WAN技术简述

SD-WAN，Software Defined Wide Area Network[1]，即软件定义广域网,是将SDN技术应用到广域网互联场景中所形成的一种服务。SD-WAN采用的是一种overlay组网方式，具备跨越中间运营商underlay网络的物理设备，实现业务在overlay层面的灵活部署，具备快速开通和调整及多种复杂组网需求，整合了overlay专线与underlay专线的能力，利用隧道技术构建了一个虚拟的网络，传统网络不需要再做任何适配，就能够为客户构建各种不同拓扑结构的虚拟专网。

Underlay、overlay都是网络虚拟化的概念。underlay就是传统的底层承载网，可以是普通的internet，或是4G LTE网络、MPLS VPN等承载网络。overlay就是基于底层网络互联互通的基础加上隧道技术去构建一个虚拟的网络，如传统的承载在互联网上的IPSec隧道。传统网络不需要再做任何适配，就能够构建各种拓扑结构的用户虚拟专网。

SD-WAN技术架构，包含了集中管控平台，接入网元、云端网元三个部分：（1）SD-WAN管控平台：SD-WAN管控平台主要承担SD-WAN网络的管理和控制功能；（2）接入网元：接入网元一般部署在用户侧，实现用户网络的接入。主要功能应包括：LAN组网接入功能，局域网DHCP server功能，WAN口连接，WAN口隧道功能；（3）云端网元：云端网元一般部署在云资源池内，实现SD-WAN用户云资源的接入功能，或者承担政企用户组网型业务的接入汇聚功能。三个部分都分别封装，彼此通过控制面隧道来交互消息，是一种松耦合的关系。

图1 SD-WAN技术架构

SD-WAN可以使用多种隧道加密封装形式，包括IPSec、SSL等，目的都是实现利用安全的隧道加密技术对数据包进行加密，保证在公网underlay网络环境中的数据安全性，并实现隧道中不同租户的完全隔离。

SD-WAN的优势包括：(1)采用服务租赁模式，无需购买设备；(2)价格远低于传统专线，网络质量与专线接近；(3)用户可根据实际需求购买服务，灵活增减；(4)云服务DPI自动识别, 路由优化, 链路/应用优化，云上SD-WAN节点, 保障上云体验；(5)使用高强度加密通道，实现端到端加密；(6)集中管理，无需专人维护，降低人力成本。

2 VxLAN技术简述

VxLAN（Virtual eXtensible Local Area Network）是一种大二层的虚拟网络技术，是一种将原始以太网报文加上VxLAN头部一起封装在UDP数据包里的封装格式。[3]其本质是一种隧道技术，能在三层网络的基础上建立二层以太网网络隧道，从而实现跨地域的二层互连，很好地解决了现有VLAN技术无法满足海量租户跨域大二层连接迁移需求的问题[2]。

RFC7348定 义 了VLAN扩 展 方 案VxLAN（Virtual eXtensible Local Area Network，虚拟扩展局域网）。VxLAN采用MAC in UDP（User Datagram Protocol）封装方式[2]。

VxLAN header（VxLAN头封装）：

VxLAN Flags：标记位，8比特，取值为00001000。

VNI：VxLAN网络标识，用于区分VxLAN段，由24比特组成，支持的数量多达16M，可类比于传统二层网络中的VLAN，但可支持1600万个VNI，远多于传统VLAN的4094个，和VLAN一样，同一个VNI是一个广播域，只有在同一个VNI中，主机才能互相通信。

图2 VxLAN的报文封装格式[2]

■ 2.1 VxLAN与传统三层隧道技术特性对比

对于云上业务，在进行业务拓展或者是数据备份时，经常需要使用虚拟机动态迁移。在服务器虚拟化技术下，虚拟机动态迁移为了保证虚拟机动态迁移过程中的业务连续性，就需要保证虚拟机的IP地址不变，而且虚拟机的运行状态也必须保持原状，所以虚拟机动态迁移必须发生在一个二层域中。在传统数据中心网络中，同机房节点的虚拟机动态迁移比较容易实现，跨机房节点如果需要进行虚拟机动态迁移，传统的三层隧道，如GRE、IPSec隧道无法保证虚拟机在动态迁移过程中业务连续性的，VxLAN作为二层隧道技术，可以将多个分点连接在同一个二层网络域中，从而实现跨分点虚拟机动态迁移。

如图3所示，数据中心A和数据中心B通过建立VxLAN隧道，数据中心中主机的IP同在172.16.0.0/24这个网段中，此时就对于虚拟机迁移，只需将虚拟机完整地从数据中心A复制到数据中心B中即可。互联网或其他数据中心需要访问该虚拟机业务完全不需要调整。而在这个场景下，如果是三层隧道互联，数据中心A和数据中心B无法将业务承载在同一个网段中，虚拟机迁移必定更换IP地址，此时外界访问该虚拟机就需要修改IP地址，会造成极大的业务上的不便。

图3 跨机房二层虚拟机迁移

另一方面，在网络拓展性方面，IPSEC如果要新增网络分点需要实现所有分点的全互联，使用GRE隧道需要打n＊(n-1)/2根隧道，而VxLAN隧道，在 VxLAN结合EVPN路由反射器的组网的方案中，路由器放射器为两台互为备份的场景下，则只需要2n根隧道就可以完成fullmesh组网，隧道数量较IPSEC少了一个数量级。

■ 2.2 通过EVPN over VxLAN技术的SD-WAN跨域组网方案

EVPN（Ethernet Virtual Private Network）是一种用于二层网络互联的VPN技术。EVPN技术采用类似于BGP/MPLS IP VPN的机制，通过扩展BGP协议，使用扩展后的可达性信息，使不同站点的二层网络间的MAC地址学习和发布过程从数据平面转移到控制平面。我们使用VxLAN 格式对EVPN 数据平面报文进行封装，即EVPN over VxLAN[4]。

如图4所示，某企业有4个跨域节点，需要实现二层全互联。所有SD-WAN终端可以使用IPSEC等加密隧道与SD-WAN控制器建立连接，实现SD-WAN终端的配置和管理。所有SD-WAN终端通过VxLAN隧道方式与路由反射器RR建立EVPN连接，并将同一租户的SD-WAN终端分配在同一VNI中，此时在EVPN建立的控制平面下，就可实现不同SD-WAN终端间传递MAC地址和路由信息，从而控制不同Site上的数据报文跨区域进行传输，并可以实现云上业务的动态迁移。

图4 使用EVPN组网拓扑

在需要同时承载多家企业，需要隔离租户的情况下，可以将同一企业的业务划入同一VNI，不同企业的业务划入不同VNI，以达到隔离租户的作用。如图5所示，企业1划分至VNI1，企业2划分至VNI2，此时企业1和企业2可以互相隔离。根据用户需求，也可将同一企业的不同业务划入不同VNI中。

图5 多家企业使用EVPN接入SD-WAN拓扑

■ 2.3 通过VxLAN解决分点两边分点IP地址不固定的问题

SD-WAN部署便利，维护简易，成本低的优势，吸引了非常多的中小型企业部署。但在另一方面，中小企业办公点，门店等，大多使用拨号上网宽带，当出现断线或IP地址租期到期后有可能会重新获取不同IP地址的情况，现有的隧道技术对非固定IP的隧道建立，常常会非常困难。

借助SD-WAN管控分离的特点，以及EVPN over VxLAN与路由反射器RR建立连接即可与全网设备全互联的特点，在分点上线时，先与SDWAN控制器建立连接注册信息，包括上线的设备信息，以及分点当前的IP地址。然后与路由反射器RR建立EVPN的BGP连接，从而完成分点的业务上线。

在图6场景中，分点1至分点3为已上线的SD-WAN的客户终端，现需要进行分点4客户终端的上线。步骤如下：

图6 新增分点客户终端入网拓扑

（1）SD-WAN终端在安装时事先预设好license及设备名，该license及设备名事先在控制器上记录。同时SD-WAN户终端中预设有SDWAN控制器和路由反射器RR的IP地址（或域名）。

（2）SD-WAN终端上线时，先拨号通过运营商获得IP地址，然后通过SD-WAN终端中预设的SD-WAN控制器的IP地址或域名，与控制器建立TCP连接。向控制器发送：①license；②设备名；③自身获取的公网IP地址。控制器收到SD-WAN终端发送的报文后，与记录的设备名和license对照，如果一致，则完成注册，并且登记本次上线的时间及IP地址。

（3）完成在控制器上的注册后，控制器向SD-WAN终端发送确认注册的消息，同时，向路由反射器RR发送新上线的SD-WAN终端的IP地址。

（4）SD-WAN终端收到确认注册报文后，以拨号获取的IP作为VTEP，与路由反射器RR发起建立EVPN的BGP连接。路由反射器RR收到SD-WAN终端建立连接的请求，与控制器发送的IP确认一致后，与SD-WAN终端建立连接。

（5）SD-WAN终端与路由反射器RR建立EVPN的BGP连接后，完成VxLAN隧道建立，完成本次上线。此时新上线的节点可以与已上线的节点进行通信。

图7 新增分点客户终端入网流程

3 结语

SD-WAN结合VxLAN隧道技术的组网方案，相对于三层隧道技术方案，具有组网结构简单、Full-mesh组网建立隧道数量少，节省IP地址资源及可实现跨域二层互联的优点，特别在上云业务跨域虚拟机动态迁移场景中有较大的实用价值。同时，对于拨号上网无固定IP地址可能遇到的隧道建立困难问题，我们也设计了一种通过向有固定IP地址的总头发起连接、通过控制器收集各分点的IP地址实现隧道建立的方案。对于VxLAN隧道在加密方面相对较弱的问题，在SD-WAN层面，可以将控制平面和业务平面的隧道连接采用不同的技术方案，对于更需要考虑安全性的控制平面使用IPSEC隧道方式，以更好地实现对控制报文的加密传输。