H3C SD-WAN解决方案技术建议书v0607

1、文档密级（内部公开）（ADWAN 控制器）新华三技术有限公司2017 6 月广域网解决方案 王明2022 年 4 月25日新华三集团机密，未经许可不得扩散第1页 共1页文档密级（内部公开）目 录 HYPERLINK l _TOC_250027 第1章综述1 HYPERLINK l _TOC_250026 第2章H3C ADWAN系统架构说明1 HYPERLINK l _TOC_250025 H3C ADWAN方案架构1 HYPERLINK l _TOC_250024 H3C ADWAN控制器架构2 HYPERLINK l _TOC_250023 第3章某行核心骨干网控制器部署方案5 HYPER

2、LINK l _TOC_250022 系统部署5 HYPERLINK l _TOC_250021 控制器部署模式设计5 HYPERLINK l _TOC_250020 控制器配置6 HYPERLINK l _TOC_250019 本期某行核心骨干网SDN解决方案6 HYPERLINK l _TOC_250018 整体方案思路6 HYPERLINK l _TOC_250017 应用定义策略7 HYPERLINK l _TOC_250016 方案部署步骤8 HYPERLINK l _TOC_250015 某行核心骨干网演进规划10 HYPERLINK l _TOC_250014 第4章方案优势以及

3、特点11 HYPERLINK l _TOC_250013 适用于大型广域网络11 HYPERLINK l _TOC_250012 高效的流量转发机制（SegmentRouting）11 HYPERLINK l _TOC_250011 Segment Routing控制平面12 HYPERLINK l _TOC_250010 Segment Routing控制平面12 HYPERLINK l _TOC_250009 Segment Routing技术优势14 HYPERLINK l _TOC_250008 南向控制机制15 HYPERLINK l _TOC_250007 应用流量可视化15 HY

4、PERLINK l _TOC_250006 精细化应用定义模式16 HYPERLINK l _TOC_250005 系统管理16 HYPERLINK l _TOC_250004 第5章运维效益18 HYPERLINK l _TOC_250003 运维效率优化18 HYPERLINK l _TOC_250002 运维服务增值19 HYPERLINK l _TOC_250001 第6章产品介绍19 HYPERLINK l _TOC_250000 6.1 控制器产品介绍192022 年 4 月25日新华三集团机密，未经许可不得扩散第I页 共1页文档密级（内部公开）第1章 综述SDN行核心网、骨干网经

5、过多年的建设和积累，已然成为国内最大的银行核心骨干网络之一，但现有建设的网络相对来说比较僵化，管道是硬管道，无法满足业务越来越差异化的需求；无法实现网络资源化使用；无法满足资源的快速扩展；无法实现快速的业务交付；无法实现自动化的网络运维。在底层物理网络资源无法快速、按需的扩展情况下，如何保障业务的快速增长、灵活调整以及业务流量潮汐带来的冲击，成为现阶段亟需解决的问题。SDN 作为新网络技术，其以用户多样化需求为驱动，以降低建设、运维、运营成本为目标，可以帮助某行网络实现新的突破，并大大的提升其核心骨干网的先进性。ODL1SD-WAN“H3C ADWAN技术不仅仅给某行带来技术层面的改变，更是对

6、某行的建设模式、管理模式、运维模式的改变。第2H3C ADWAN系统架构说明H3CADWANH3C ADWAN如下：2022 年 4 月25日新华三集团机密，未经许可不得扩散第1页 共20页文档密级（内部公开）ADWAN 解决方案架构：设备层： 网络设备接收 SDN Controller 控制和管理， 支持 SNMP、NETCONF、BGP-LS、Openflow 等协议，和 Controller Segment Routing、Openflow硬件转发。ODL APP 不同的场景开发，满足用户的实际需求；南向通过标准协议和设备互通；北向API接口，实现和编排系统集成。APPAPI排，全网的实

7、时监控、可视化呈现、及故障排查等，进而增强网络的可视化， 简化网络的运维管理。H3CADWANH3C ADWANODLSD-WANODL、ADWAN APP、北向接口四个逻辑平面，各个逻辑平面详细介绍如下：2022 年 4 月25日新华三集团机密，未经许可不得扩散第2页 共20页文档密级（内部公开）ADWAN 控制器架构：南向接口平面：主要用于控制器与设备信息的交互、控制器采集网络信息、控制器下发业务转发信息等功能。南向接口使用 netty 来管理底层的并发 netty 是提供异步的、事件驱动的网络应用框架，该框架健壮性、可扩展性良好，而且还具有延时低、节省资源等特点，可以通过 channel

8、Handler 框架进行灵活扩展，适用于支持多种协议的南向接口。BGP-LSSNMP 等实现信息的交互学习、控制器保存网络设备信息、链路信息（带宽、链路路径、拓扑信息等；控制器采集网络信息，一般由设备使用 Netstream 控制器进行流量分析；采用 SNMP 采集业务质量信息并发送给控制器进行统一分析；控制器下发业务转发信息，根据控制器分析模块对网络质量的分析结果，为业务提供合适的转发路径，通过 Netconf 协议进行转发路径的下发。ODL 平面：又称为控制器平台层，提供基本网络服务功能模块，包括拓扑管理、统计管理模块、转发管理模块、主机追踪模块、ARPHandler 模块、交机管理模块。

9、控制器需要知道设备的能力以及可达性等才能控制设备，这些信息由拓扑管理模块存储、管理。而ARP handler、Host Tracker、Manager和Switch Manger等其他模块帮助生成拓扑数据库。拓扑管理模块就是管理拓扑图，但它不是独立运作的，需要其他模块协助才能实现拓扑管理功能。拓扑模块管理节点、连接、主机等信息，负责拓2022 年 4 月25日新华三集团机密，未经许可不得扩散第3页 共20页文档密级（内部公开）扑计算。拓扑模块与协议模块、 ARPHandler 模块、HostTracker 模块、等紧密联系，通过与这些模块的交互获取节点、连接、主机等信息。API。转发管理模块就

10、是负责管理转发规则，以增、删、改、查流规则实现管 的事件进行针对性处理。主机追踪模块负责追踪主机信息，记录主机的 IP、MAC、Vlan 以及连接节点和端口信息。该模块依赖于 ARPhandler 模块，当 ARPhandler 模块发现是单播发送 ARP 数据包，则通知 hosttracker 模块学习主机信息。ARPHandler 模块用于监听 IPV4 和 ARP 息，并根据不同情况作出不同反应。ADWAN APP 平面：又称控制器功能层，基于ODL 向运维人员的 APP 功能，以便提供新一代智能运维、管控、可视等方面的需求。H3C ADWAN APP 平面主要有应用管理、业务部署、流量

11、调度、运维管理模块，满足网络从业务规划、网络建设、网络运维及故障 /临时演练的全运营生命周期。应用管理分为三步：第一步是应用定义，即根据应用特征进行分类，如五元组、DSCP 区分出来的流量作为一个应用；第二步针对应用绑定其对带宽、质量、可靠性等方面的需求；第三步可按需增加生效时间属性、必经节点/链路等个性化属性；业务部署：采用控制器实现一键快速下发，避免人工操作导致的设备误操作。underlay网络仍保障高优先级业务的转发。2022 年 4 月25日新华三集团机密，未经许可不得扩散第4页 共20页文档密级（内部公开）运维管理：提供应用的实时路径可视、应用的流量大小可视、应用的网络质量可视以及底

12、层 underlay 网络的拓扑/设备/链路可视。北向接口平面：北向提供面向业务的 RESTful API APIADWAN关心网络技术细节和设备上的差异，从而能更多的聚焦用户业务编排和创新 上。第3章 某行核心骨干网控制器部署方案随着某行核心骨干网络规模的扩大，以及网络承载的业务越来越广泛，流量规模也随之日渐增长。某行核心骨干网络需要及时的了解到网络中承载的业务，及时的掌握网络流量特征，以便使网络带宽配置使用最优化，及时解决网络性能问题。目前某行运营在网络管理中普遍遭遇到了如下的问题：是否产生异常流量？有没有长期的趋势数据用作网络带宽规划？/常流量对网络产生的影响？为了解决某行核心骨干网络管

13、理中遇到的这些问题，新华三公司的 ADWAN 决方案可以帮助网络管理人员了解内部网络之运行状况，及时发现并解决网络中的性能瓶颈问题，也能方便用户进行网络优化、网络设备投资、网络带宽优化等的参考， 并方便网络管理员及时应对网络故障等问题。系统部署控制器部署模式设计在某行核心骨干网上部署 1 套 ADWAN 控制器，安装地点建议配置在某行总部运维中心所在城市。下图为北京数据中心部署 ADWAN 控制器解决方案的部署架构2022 年 4 月25日新华三集团机密，未经许可不得扩散第5页 共20页文档密级（内部公开）示意图：控制器配置序号型号数量H3C ADWAN1服务器1备注北京数据中心北京数据中心S

14、DN整体方案思路6P，6PE2RR行骨干路由器利旧为 PE 路由器，如上路由器共同组成某行新一代核心骨干网，满足MPLS VPNVPN，VPNVPN机型、生产型子业务流量，这些子业务流量对网络带宽、网络质量的需求不同，需要在核心骨干网在发生局部链路拥塞时进行流量调度。业务划分如下：2022 年 4 月25日新华三集团机密，未经许可不得扩散第6页 共20页文档密级（内部公开）本期工程完成后，核心骨干网将存在新建网络设备以及利旧设备，根据前期调SDNSDN6PPPPP”VPN京方向进行转发（绿色路径。拓扑如下：应用定义策略PPVPNVPNEXPVPN1CE2022 年 4 月25日新华三集团机密，

15、未经许可不得扩散第7页 共20页文档密级（内部公开）IP QoSPEIP QoSEXP，VPNEXPEXP流量调度。数据包转发逻辑如下：如上，SRSR-TE6P8EXP240相比，SRSR方案部署步骤步骤一：初始化BGP-LSSRSRSR用于指导报文转发。步骤二：应用选路图1 初始化流程2022 年 4 月25日新华三集团机密，未经许可不得扩散第8页 共20页文档密级（内部公开）首先用户定义应用（3.2.2 EXPSLASR等方式将应用流量自动引到对应 SR 隧道上，最后，基于网络实时状况为应用计算最优路径，下发到设备上，指导报文转发。步骤三：路径调整和重优化图2 应用选路流程BGP-LS拓扑

16、变化，会重新为应用计算最优路径，并将优化后的路径下发到设备上，指导后续报文转发。步骤四：可靠性机制图3 路径调整和重优化2022 年 4 月25日新华三集团机密，未经许可不得扩散第9页 共20页文档密级（内部公开）ADWANIRF述路径可靠性机制，首先控制器会为每类应用计算两条主备路径，同时下发到设备 BFD立即自主切换到备份路径，无需控制器干预，保证了主备切换的实时性。随后控制器BGP-LS 会感知到拓扑变化，会重新为应用计算最优的主备路径，并将优化后的主备路径下发到设备上，这样设备上会一直同时存在两条路径，保证路径上的可靠 性。图4 路径可靠性机制某行核心骨干网演进规划伴随设备的演进与更新

17、，原一级骨干网设备全部满足支持 SDN6PASPE-P的链路资源可以纳入调度域，进一步优化局部资源；使用“VPN+EXP”标记方案存在 8 细化业务管控；当调度域扩展至 PE 设备，可以实现“VPN+PE SR 隧道。2022 年 4 月25日新华三集团机密，未经许可不得扩散第10页 共20页文档密级（内部公开）第4章 方案优势以及特点H3C ADWAN IP、MPLS/VPN 采集、质量探测和传输控制的解决方案，提供运营级的应用流量可视、应用流量自动化调度的平台。它具有以下优势及特点：适用于大型广域网络H3C ADWAN 产品采用了分布式的体系结构，具有良好的扩展性，能够为大型核心骨干网提供

18、流量调度、应用可视服务，整个系统支持 100+台网络设备。随着技术能力更新和发展，系统总体处理能力还将不断提升。高效的流量转发机制（SegmentRouting）Segment Routing IETF SPRING（Source Packet Routing in Networking） 、IDR、PCEP6MAN 等）Segment Routing 40 RFC draft 标准正在制定中，下面列出了一些主要的协议，这些协议越来越得到业界主流厂家和用户的支持。Segment Routing（SR）是一种源路由协议，也称为段路由协议，由Segment Segment 2022 年 4 月25

19、日新华三集团机密，未经许可不得扩散第11页 共20页文档密级（内部公开）导设备处理报文的任何指令，如：根据最短路径转发报文到目的地、通过指定接口转发报文、将报文转发到指定的应用/业务实例等。Segment Routing 控制平面IS-ISOSPFSRSegment在实际应用中，也可以通过控制器对网络中各节点设备进行 Segment 通告，实现集中控制，统一管理。采用控制器模式后，由控制器进行全局路径带宽与质量分析，基于业务的网络需求（带宽、质量等）提供相应的路径，然后控制器将该Segmentlist下发到业务首节点，流量按此路径进行转发。Segment Routing 控制平面SR MPLS

20、 IPv6 封装，MPLS 需要做任何修改就可以应用于 SR IPv6 SR 定义一个新的扩展头，叫Segment Routing Header （SRMPLS 封装模式即可。SR MPLS segment 就是一个标签，segment 就是标签栈。当前活跃的 segment 位于栈顶，处理完的 segment 会从栈顶弹出，添segment 就是PUSH 操作。MPLS 转发平面中，利用标签栈作为路径，报文格式为：2022 年 4 月25日新华三集团机密，未经许可不得扩散第12页 共20页文档密级（内部公开）这里标签与普通 MPLS 标签格式完全相同，Segment 是节点标签，一种是邻接标

21、签。节点标签：节点标签（Prefix/Node Segment）是为设备本身分配的标签，一个设备即一个MPLS SR 留一段标签段作为全局节点标签 SRGB（SegmentRoutingGlobalBlock。设备通IGP SRGB IndexSRGB+Index。如下图所示，R6 IGP Index 6，SRGB 7000 R6 70067006 R6 R6。如从 R1 开始到 R6 的报文，处理流程如下：首节点（R1SDN R67006。转发节点（R2MPLS 报文处理一致，进行标签交换处理，标签仍然为 7006。倒数第二跳（R3IGP SR 信息时，通告需要进行倒数第二跳2022 年 4

22、 月25日新华三集团机密，未经许可不得扩散第13页 共20页文档密级（内部公开）弹出，则在此节点进行标签弹出。尾节点（R6：按照普通报文正常流程进行转发。邻接标签：邻接标签（Adjacent Segment）表示设备上某条链路的单跳路径，标签仅设备本地有效。每个设备向与自己一跳相邻的设备通过 IGP SDN SR 域内的每条链路进行标签分配。如从 R1 开始到 R6 的报文，处理流程如下：首节点（R1：根据 SDN R1 处打上【204,405,506】标签栈。转发节点（R2、R4、R5进行转发。尾节点（R6：按照普通报文正常流程进行转发。Segment Routing 技术优势智能调度是新一

23、代广域网的一个关键能力，对应用质量的保障、带宽资源的优MPLSRSVP-TE化保障需求，但存在协议种类多、部署复杂、管理困难、可扩展性差等问题，无法满足新一代广域网所要求的动态部署、灵活调度、快速、可扩展等方面的要求，而SegmentRoutingMPLSIPv62022 年 4 月25日新华三集团机密，未经许可不得扩散第14页 共20页文档密级（内部公开）SDN 等技术的发展，为 SD-WAN 网络提供了一种灵活高效的控制手段，具有使用简单、容易扩展的特点使它具有很多不可比拟的优势：面向 SDN 架构设计的协议，融合了设备自主转发和集中编程控制的优势，能够更好的实现应用驱动的网络。同时，可以

24、天然支持传统网络和SDN 网络，兼容现有设备，保障网络平滑演进。简化设备控制平面，减少路由协议数量，简化运维管理，降低运营成 N（节点标签数量，一般为全网节点数量）+A（邻接标签数据，一般为设备接口数量MPLS/RSVP-TE N。TE、FRR、OAM等功能，从而简化网络的设计和管理，快速获得网络服务，优化整个网络的性能。南向控制机制ADWAN Netconf 置、策略的下发功能，Netconf 具有如下优势：简单易用，RFC标准成熟；transaction机制避免配置错误的回退；NetconfYang的数据模型；应用流量可视化在设备 LAN 口、WAN 口的出入方向通过 Netstream

25、协议采集流量信息。LANVPNVPNNetstreamVPN区分。WANIP五元组、DSCP字段，控制器通过 IP 五元组、DSCP 识别应用流量。2022 年 4 月25日新华三集团机密，未经许可不得扩散第15页 共20页文档密级（内部公开）精细化应用定义模式MPLS VPN 场景下，H3C ADWAN PE IP 组、DSCPVPN 字段的单一/任意组合进行业务区分，支持对业务的按需调度。MPLS VPN 场景下，H3C ADWAN P MPLS 报文的EXP 字段区分业务；支持对业务的按需调度。系统管理H3C ADWAN 维的需求，简述如下：登录和用户管理WEBADWAN登录系统后可实现

26、添加用户操作，对已配置用户进行统一管理。2022 年 4 月25日新华三集团机密，未经许可不得扩散第16页 共20页文档密级（内部公开）设备运维管理。呈现整网拓扑信息，各设备相关信息（设备名称、设备 IP 址、CPU、内存等）以及链路相关信息（带宽、链路质量等。应用管理。定义具体业务应用，为业务的可视呈现、流量按需调度准备。网络部署管理。定义物理网络（局域网或广域网。执行设备管理、板卡管理、接口管理等。链路管理。2022 年 4 月25日新华三集团机密，未经许可不得扩散第17页 共20页文档密级（内部公开）系统告警可配置、呈现。第5章 运维效益运维效率优化部署 H3C ADWAN控制器将会提供一种新的网络管理和运维模式。面对网络规模扩张、网络管理动态化的挑战，传统以设备为中心、基于人工静态配置的模式已经改变，基于网络控制器将网络资源、网络管理和网络控制集中，