SD-WAN EVPN是一种用于Overlay业务网络和底层传输网络分离以及业务网络路由和传输网络路由分离的VPN技术。SD-WAN EVPN技术采用类似于BGP/MPLS IP VPN的机制,通过扩展BGP协议,使用扩展后的可达性信息,使不同站点的底层传输网络互通,通过BGP的多VPN能力,统一控制协议,使路由统一发布,最终实现不同站点网络间的隧道封装信息从数据平面转移到控制平面。
SD-WAN EVPN的基本应用场景如图1所示。
SD-WAN EVPN路由
该类型路由的报文格式如图2所示:
各字段的解释如下表所示:
| 字段 | 说明 |
|---|---|
| NLRI Length | 该字段为地址前缀长度。 |
| Tunnel Type | 该字段为本路由携带的隧道类型。 |
| Distinguisher | 该字段为隧道上的业务标识。 |
| Color | 该字段标识站点,为隧道的迭代索引标识。 |
| Endpoint | 该字段为标识隧道的目的节点,占用4字节或16字节:若AFI是IPv4,表示该字段是IPv4地址;若AFI是IPv6,表示该字段是IPv6地址。 |
Tunnel Encapsulation Attribute属性
新增Optional transitive属性:Tunnel Encapsulation Attribute,用于携带隧道封装的信息。
SD-WAN EVPN基本概念
- RR(Route Reflector):路由反射器,用于反射CPE之间的底层传输的网络信息和路由信息。
- TN(Transport Network):运营商提供的广域接入网络,实现企业的广域分支互联,主要包括运营商专线网络和Internet公用网络等,TN是构建SD-WAN Overlay网络的基础依赖。
- RD(Routing Domain):路由域,不同的TN网络如果彼此之间路由可达,则认为在其同一个RD内。
- Site ID:站点ID,是企业站点在SD-WAN中的全局唯一标识,通常用一串数字表示,由网络控制器统一自动分配。
- CPE ID:站点CPE设备的Router ID,是站点CPE在SD-WAN中的全局唯一标识。一个站点通常包含一个CPE或者两个CPE ,CPE ID通常用CPE的Loopback的IP地址表示,由网络控制器统一自动分配。
- SA(Security Association):安全联盟是通信对等体间对某些要素的协定,它描述了对等体间如何利用安全服务(例如加密)进行安全的通信。这些要素包括对等体间使用何种安全协议、需要保护的数据流特征、对等体间传输的数据的封装模式、协议采用的加密和验证算法,以及用于数据安全转换、传输的密钥和SA的生存周期等。
- SD-WAN Tunnel:即SD-WAN Overlay隧道。不同的站点要实现互通,需要在两者之间建立一条Tunnel,Tunnel的两端是两个互联站点CPE的两个广域接口,该广域接口归属的TN在同一个RD内,即两端的广域接口可以在Underlay网络层面互通。两个站点间可以通过多个不同运营商的TN进行互联,因此双方可以建立多个不同的Tunnel。
- DTLS:在SD-WAN场景中,CPE与RR建立DTLS连接完成DTLS管理通道建立,实现CPE和RR之间的TNP信息互通。通过发送和反射TNP信息计算CPE和RR之间的联接,完成控制通道的建立,即RR和站点间通过system ip建立BGP peer。
- TNP(Transport Network Port):CPE接入Transport Network的WAN接口,关键信息包括:Site ID,Transport Network-ID,Public IP,Private IP和Tunnel Encapsulation等,由控制器下发给CPE。站点通过Tunnel Type200的路由向RR通告本地TNP信息,RR将路由信息反射到其他站点,实现站点Site ID和隧道封装信息传递。
SD-WAN EVPN路由发布过程
如图3所示其建立过程如下:
组网中不存在RR:
- 在PE1和PE2之间建立SD-WAN EVPN对等体关系。
- PE1和PE2之间通过BGP协议发送路由。
- PE1和PE2收到对方发来的路由后,系统将保存其中携带的隧道封装信息。
组网中存在RR:
- PE1和PE2分别和RR建立SD-WAN EVPN对等体关系。
- PE1和PE2通过BGP协议发送路由给RR,RR进行反射。
- PE1和PE2收到对方发来的路由后,系统将保存其中携带的隧道封装信息。
