H3C SD-WAN解決方案技術建議書v0607

1、文檔密級（內部公開）（ADWAN 控制器）新華三技術有限公司2017 6 月廣域網(wǎng)解決方案 王明2022 年 4 月25日新華三集團機密，未經許可不得擴散第1頁 共1頁文檔密級（內部公開）目 錄 HYPERLINK l _TOC_250027 第1章綜述1 HYPERLINK l _TOC_250026 第2章H3C ADWAN系統(tǒng)架構說明1 HYPERLINK l _TOC_250025 H3C ADWAN方案架構1 HYPERLINK l _TOC_250024 H3C ADWAN控制器架構2 HYPERLINK l _TOC_250023 第3章某行核心骨干網(wǎng)控制器部署方案5 HYPER

2、LINK l _TOC_250022 系統(tǒng)部署5 HYPERLINK l _TOC_250021 控制器部署模式設計5 HYPERLINK l _TOC_250020 控制器配置6 HYPERLINK l _TOC_250019 本期某行核心骨干網(wǎng)SDN解決方案6 HYPERLINK l _TOC_250018 整體方案思路6 HYPERLINK l _TOC_250017 應用定義策略7 HYPERLINK l _TOC_250016 方案部署步驟8 HYPERLINK l _TOC_250015 某行核心骨干網(wǎng)演進規(guī)劃10 HYPERLINK l _TOC_250014 第4章方案優(yōu)勢以及

3、特點11 HYPERLINK l _TOC_250013 適用于大型廣域網(wǎng)絡11 HYPERLINK l _TOC_250012 高效的流量轉發(fā)機制（SegmentRouting）11 HYPERLINK l _TOC_250011 Segment Routing控制平面12 HYPERLINK l _TOC_250010 Segment Routing控制平面12 HYPERLINK l _TOC_250009 Segment Routing技術優(yōu)勢14 HYPERLINK l _TOC_250008 南向控制機制15 HYPERLINK l _TOC_250007 應用流量可視化15 HY

4、PERLINK l _TOC_250006 精細化應用定義模式16 HYPERLINK l _TOC_250005 系統(tǒng)管理16 HYPERLINK l _TOC_250004 第5章運維效益18 HYPERLINK l _TOC_250003 運維效率優(yōu)化18 HYPERLINK l _TOC_250002 運維服務增值19 HYPERLINK l _TOC_250001 第6章產品介紹19 HYPERLINK l _TOC_250000 6.1 控制器產品介紹192022 年 4 月25日新華三集團機密，未經許可不得擴散第I頁 共1頁文檔密級（內部公開）第1章 綜述SDN行核心網(wǎng)、骨干網(wǎng)經

5、過多年的建設和積累，已然成為國內最大的銀行核心骨干網(wǎng)絡之一，但現(xiàn)有建設的網(wǎng)絡相對來說比較僵化，管道是硬管道，無法滿足業(yè)務越來越差異化的需求；無法實現(xiàn)網(wǎng)絡資源化使用；無法滿足資源的快速擴展；無法實現(xiàn)快速的業(yè)務交付；無法實現(xiàn)自動化的網(wǎng)絡運維。在底層物理網(wǎng)絡資源無法快速、按需的擴展情況下，如何保障業(yè)務的快速增長、靈活調整以及業(yè)務流量潮汐帶來的沖擊，成為現(xiàn)階段亟需解決的問題。SDN 作為新網(wǎng)絡技術，其以用戶多樣化需求為驅動，以降低建設、運維、運營成本為目標，可以幫助某行網(wǎng)絡實現(xiàn)新的突破，并大大的提升其核心骨干網(wǎng)的先進性。ODL1SD-WAN“H3C ADWAN技術不僅僅給某行帶來技術層面的改變，更是對

6、某行的建設模式、管理模式、運維模式的改變。第2H3C ADWAN系統(tǒng)架構說明H3CADWANH3C ADWAN如下：2022 年 4 月25日新華三集團機密，未經許可不得擴散第1頁 共20頁文檔密級（內部公開）ADWAN 解決方案架構：設備層： 網(wǎng)絡設備接收 SDN Controller 控制和管理， 支持 SNMP、NETCONF、BGP-LS、Openflow 等協(xié)議，和 Controller Segment Routing、Openflow硬件轉發(fā)。ODL APP 不同的場景開發(fā)，滿足用戶的實際需求；南向通過標準協(xié)議和設備互通；北向API接口，實現(xiàn)和編排系統(tǒng)集成。APPAPI排，全網(wǎng)的實

7、時監(jiān)控、可視化呈現(xiàn)、及故障排查等，進而增強網(wǎng)絡的可視化， 簡化網(wǎng)絡的運維管理。H3CADWANH3C ADWANODLSD-WANODL、ADWAN APP、北向接口四個邏輯平面，各個邏輯平面詳細介紹如下：2022 年 4 月25日新華三集團機密，未經許可不得擴散第2頁 共20頁文檔密級（內部公開）ADWAN 控制器架構：南向接口平面：主要用于控制器與設備信息的交互、控制器采集網(wǎng)絡信息、控制器下發(fā)業(yè)務轉發(fā)信息等功能。南向接口使用 netty 來管理底層的并發(fā) netty 是提供異步的、事件驅動的網(wǎng)絡應用框架，該框架健壯性、可擴展性良好，而且還具有延時低、節(jié)省資源等特點，可以通過 channel

8、Handler 框架進行靈活擴展，適用于支持多種協(xié)議的南向接口。BGP-LSSNMP 等實現(xiàn)信息的交互學習、控制器保存網(wǎng)絡設備信息、鏈路信息（帶寬、鏈路路徑、拓撲信息等；控制器采集網(wǎng)絡信息，一般由設備使用 Netstream 控制器進行流量分析；采用 SNMP 采集業(yè)務質量信息并發(fā)送給控制器進行統(tǒng)一分析；控制器下發(fā)業(yè)務轉發(fā)信息，根據(jù)控制器分析模塊對網(wǎng)絡質量的分析結果，為業(yè)務提供合適的轉發(fā)路徑，通過 Netconf 協(xié)議進行轉發(fā)路徑的下發(fā)。ODL 平面：又稱為控制器平臺層，提供基本網(wǎng)絡服務功能模塊，包括拓撲管理、統(tǒng)計管理模塊、轉發(fā)管理模塊、主機追蹤模塊、ARPHandler 模塊、交機管理模塊。

9、控制器需要知道設備的能力以及可達性等才能控制設備，這些信息由拓撲管理模塊存儲、管理。而ARP handler、Host Tracker、Manager和Switch Manger等其他模塊幫助生成拓撲數(shù)據(jù)庫。拓撲管理模塊就是管理拓撲圖，但它不是獨立運作的，需要其他模塊協(xié)助才能實現(xiàn)拓撲管理功能。拓撲模塊管理節(jié)點、連接、主機等信息，負責拓2022 年 4 月25日新華三集團機密，未經許可不得擴散第3頁 共20頁文檔密級（內部公開）撲計算。拓撲模塊與協(xié)議模塊、 ARPHandler 模塊、HostTracker 模塊、等緊密聯(lián)系，通過與這些模塊的交互獲取節(jié)點、連接、主機等信息。API。轉發(fā)管理模塊就

10、是負責管理轉發(fā)規(guī)則，以增、刪、改、查流規(guī)則實現(xiàn)管 的事件進行針對性處理。主機追蹤模塊負責追蹤主機信息，記錄主機的 IP、MAC、Vlan 以及連接節(jié)點和端口信息。該模塊依賴于 ARPhandler 模塊，當 ARPhandler 模塊發(fā)現(xiàn)是單播發(fā)送 ARP 數(shù)據(jù)包，則通知 hosttracker 模塊學習主機信息。ARPHandler 模塊用于監(jiān)聽 IPV4 和 ARP 息，并根據(jù)不同情況作出不同反應。ADWAN APP 平面：又稱控制器功能層，基于ODL 向運維人員的 APP 功能，以便提供新一代智能運維、管控、可視等方面的需求。H3C ADWAN APP 平面主要有應用管理、業(yè)務部署、流量

11、調度、運維管理模塊，滿足網(wǎng)絡從業(yè)務規(guī)劃、網(wǎng)絡建設、網(wǎng)絡運維及故障 /臨時演練的全運營生命周期。應用管理分為三步：第一步是應用定義，即根據(jù)應用特征進行分類，如五元組、DSCP 區(qū)分出來的流量作為一個應用；第二步針對應用綁定其對帶寬、質量、可靠性等方面的需求；第三步可按需增加生效時間屬性、必經節(jié)點/鏈路等個性化屬性；業(yè)務部署：采用控制器實現(xiàn)一鍵快速下發(fā)，避免人工操作導致的設備誤操作。underlay網(wǎng)絡仍保障高優(yōu)先級業(yè)務的轉發(fā)。2022 年 4 月25日新華三集團機密，未經許可不得擴散第4頁 共20頁文檔密級（內部公開）運維管理：提供應用的實時路徑可視、應用的流量大小可視、應用的網(wǎng)絡質量可視以及底

12、層 underlay 網(wǎng)絡的拓撲/設備/鏈路可視。北向接口平面：北向提供面向業(yè)務的 RESTful API APIADWAN關心網(wǎng)絡技術細節(jié)和設備上的差異，從而能更多的聚焦用戶業(yè)務編排和創(chuàng)新 上。第3章 某行核心骨干網(wǎng)控制器部署方案隨著某行核心骨干網(wǎng)絡規(guī)模的擴大，以及網(wǎng)絡承載的業(yè)務越來越廣泛，流量規(guī)模也隨之日漸增長。某行核心骨干網(wǎng)絡需要及時的了解到網(wǎng)絡中承載的業(yè)務，及時的掌握網(wǎng)絡流量特征，以便使網(wǎng)絡帶寬配置使用最優(yōu)化，及時解決網(wǎng)絡性能問題。目前某行運營在網(wǎng)絡管理中普遍遭遇到了如下的問題：是否產生異常流量？有沒有長期的趨勢數(shù)據(jù)用作網(wǎng)絡帶寬規(guī)劃？/常流量對網(wǎng)絡產生的影響？為了解決某行核心骨干網(wǎng)絡管

13、理中遇到的這些問題，新華三公司的 ADWAN 決方案可以幫助網(wǎng)絡管理人員了解內部網(wǎng)絡之運行狀況，及時發(fā)現(xiàn)并解決網(wǎng)絡中的性能瓶頸問題，也能方便用戶進行網(wǎng)絡優(yōu)化、網(wǎng)絡設備投資、網(wǎng)絡帶寬優(yōu)化等的參考， 并方便網(wǎng)絡管理員及時應對網(wǎng)絡故障等問題。系統(tǒng)部署控制器部署模式設計在某行核心骨干網(wǎng)上部署 1 套 ADWAN 控制器，安裝地點建議配置在某行總部運維中心所在城市。下圖為北京數(shù)據(jù)中心部署 ADWAN 控制器解決方案的部署架構2022 年 4 月25日新華三集團機密，未經許可不得擴散第5頁 共20頁文檔密級（內部公開）示意圖：控制器配置序號型號數(shù)量H3C ADWAN1服務器1備注北京數(shù)據(jù)中心北京數(shù)據(jù)中心S

14、DN整體方案思路6P，6PE2RR行骨干路由器利舊為 PE 路由器，如上路由器共同組成某行新一代核心骨干網(wǎng)，滿足MPLS VPNVPN，VPNVPN機型、生產型子業(yè)務流量，這些子業(yè)務流量對網(wǎng)絡帶寬、網(wǎng)絡質量的需求不同，需要在核心骨干網(wǎng)在發(fā)生局部鏈路擁塞時進行流量調度。業(yè)務劃分如下：2022 年 4 月25日新華三集團機密，未經許可不得擴散第6頁 共20頁文檔密級（內部公開）本期工程完成后，核心骨干網(wǎng)將存在新建網(wǎng)絡設備以及利舊設備，根據(jù)前期調SDNSDN6PPPPP”VPN京方向進行轉發(fā)（綠色路徑。拓撲如下：應用定義策略PPVPNVPNEXPVPN1CE2022 年 4 月25日新華三集團機密，

15、未經許可不得擴散第7頁 共20頁文檔密級（內部公開）IP QoSPEIP QoSEXP，VPNEXPEXP流量調度。數(shù)據(jù)包轉發(fā)邏輯如下：如上，SRSR-TE6P8EXP240相比，SRSR方案部署步驟步驟一：初始化BGP-LSSRSRSR用于指導報文轉發(fā)。步驟二：應用選路圖1 初始化流程2022 年 4 月25日新華三集團機密，未經許可不得擴散第8頁 共20頁文檔密級（內部公開）首先用戶定義應用（3.2.2 EXPSLASR等方式將應用流量自動引到對應 SR 隧道上，最后，基于網(wǎng)絡實時狀況為應用計算最優(yōu)路徑，下發(fā)到設備上，指導報文轉發(fā)。步驟三：路徑調整和重優(yōu)化圖2 應用選路流程BGP-LS拓撲

16、變化，會重新為應用計算最優(yōu)路徑，并將優(yōu)化后的路徑下發(fā)到設備上，指導后續(xù)報文轉發(fā)。步驟四：可靠性機制圖3 路徑調整和重優(yōu)化2022 年 4 月25日新華三集團機密，未經許可不得擴散第9頁 共20頁文檔密級（內部公開）ADWANIRF述路徑可靠性機制，首先控制器會為每類應用計算兩條主備路徑，同時下發(fā)到設備 BFD立即自主切換到備份路徑，無需控制器干預，保證了主備切換的實時性。隨后控制器BGP-LS 會感知到拓撲變化，會重新為應用計算最優(yōu)的主備路徑，并將優(yōu)化后的主備路徑下發(fā)到設備上，這樣設備上會一直同時存在兩條路徑，保證路徑上的可靠 性。圖4 路徑可靠性機制某行核心骨干網(wǎng)演進規(guī)劃伴隨設備的演進與更新

17、，原一級骨干網(wǎng)設備全部滿足支持 SDN6PASPE-P的鏈路資源可以納入調度域，進一步優(yōu)化局部資源；使用“VPN+EXP”標記方案存在 8 細化業(yè)務管控；當調度域擴展至 PE 設備，可以實現(xiàn)“VPN+PE SR 隧道。2022 年 4 月25日新華三集團機密，未經許可不得擴散第10頁 共20頁文檔密級（內部公開）第4章 方案優(yōu)勢以及特點H3C ADWAN IP、MPLS/VPN 采集、質量探測和傳輸控制的解決方案，提供運營級的應用流量可視、應用流量自動化調度的平臺。它具有以下優(yōu)勢及特點：適用于大型廣域網(wǎng)絡H3C ADWAN 產品采用了分布式的體系結構，具有良好的擴展性，能夠為大型核心骨干網(wǎng)提供

18、流量調度、應用可視服務，整個系統(tǒng)支持 100+臺網(wǎng)絡設備。隨著技術能力更新和發(fā)展，系統(tǒng)總體處理能力還將不斷提升。高效的流量轉發(fā)機制（SegmentRouting）Segment Routing IETF SPRING（Source Packet Routing in Networking） 、IDR、PCEP6MAN 等）Segment Routing 40 RFC draft 標準正在制定中，下面列出了一些主要的協(xié)議，這些協(xié)議越來越得到業(yè)界主流廠家和用戶的支持。Segment Routing（SR）是一種源路由協(xié)議，也稱為段路由協(xié)議，由Segment Segment 2022 年 4 月25

19、日新華三集團機密，未經許可不得擴散第11頁 共20頁文檔密級（內部公開）導設備處理報文的任何指令，如：根據(jù)最短路徑轉發(fā)報文到目的地、通過指定接口轉發(fā)報文、將報文轉發(fā)到指定的應用/業(yè)務實例等。Segment Routing 控制平面IS-ISOSPFSRSegment在實際應用中，也可以通過控制器對網(wǎng)絡中各節(jié)點設備進行 Segment 通告，實現(xiàn)集中控制，統(tǒng)一管理。采用控制器模式后，由控制器進行全局路徑帶寬與質量分析，基于業(yè)務的網(wǎng)絡需求（帶寬、質量等）提供相應的路徑，然后控制器將該Segmentlist下發(fā)到業(yè)務首節(jié)點，流量按此路徑進行轉發(fā)。Segment Routing 控制平面SR MPLS

20、 IPv6 封裝，MPLS 需要做任何修改就可以應用于 SR IPv6 SR 定義一個新的擴展頭，叫Segment Routing Header （SRMPLS 封裝模式即可。SR MPLS segment 就是一個標簽，segment 就是標簽棧。當前活躍的 segment 位于棧頂，處理完的 segment 會從棧頂彈出，添segment 就是PUSH 操作。MPLS 轉發(fā)平面中，利用標簽棧作為路徑，報文格式為：2022 年 4 月25日新華三集團機密，未經許可不得擴散第12頁 共20頁文檔密級（內部公開）這里標簽與普通 MPLS 標簽格式完全相同，Segment 是節(jié)點標簽，一種是鄰接標

21、簽。節(jié)點標簽：節(jié)點標簽（Prefix/Node Segment）是為設備本身分配的標簽，一個設備即一個MPLS SR 留一段標簽段作為全局節(jié)點標簽 SRGB（SegmentRoutingGlobalBlock。設備通IGP SRGB IndexSRGB+Index。如下圖所示，R6 IGP Index 6，SRGB 7000 R6 70067006 R6 R6。如從 R1 開始到 R6 的報文，處理流程如下：首節(jié)點（R1SDN R67006。轉發(fā)節(jié)點（R2MPLS 報文處理一致，進行標簽交換處理，標簽仍然為 7006。倒數(shù)第二跳（R3IGP SR 信息時，通告需要進行倒數(shù)第二跳2022 年 4

22、 月25日新華三集團機密，未經許可不得擴散第13頁 共20頁文檔密級（內部公開）彈出，則在此節(jié)點進行標簽彈出。尾節(jié)點（R6：按照普通報文正常流程進行轉發(fā)。鄰接標簽：鄰接標簽（Adjacent Segment）表示設備上某條鏈路的單跳路徑，標簽僅設備本地有效。每個設備向與自己一跳相鄰的設備通過 IGP SDN SR 域內的每條鏈路進行標簽分配。如從 R1 開始到 R6 的報文，處理流程如下：首節(jié)點（R1：根據(jù) SDN R1 處打上【204,405,506】標簽棧。轉發(fā)節(jié)點（R2、R4、R5進行轉發(fā)。尾節(jié)點（R6：按照普通報文正常流程進行轉發(fā)。Segment Routing 技術優(yōu)勢智能調度是新一

23、代廣域網(wǎng)的一個關鍵能力，對應用質量的保障、帶寬資源的優(yōu)MPLSRSVP-TE化保障需求，但存在協(xié)議種類多、部署復雜、管理困難、可擴展性差等問題，無法滿足新一代廣域網(wǎng)所要求的動態(tài)部署、靈活調度、快速、可擴展等方面的要求，而SegmentRoutingMPLSIPv62022 年 4 月25日新華三集團機密，未經許可不得擴散第14頁 共20頁文檔密級（內部公開）SDN 等技術的發(fā)展，為 SD-WAN 網(wǎng)絡提供了一種靈活高效的控制手段，具有使用簡單、容易擴展的特點使它具有很多不可比擬的優(yōu)勢：面向 SDN 架構設計的協(xié)議，融合了設備自主轉發(fā)和集中編程控制的優(yōu)勢，能夠更好的實現(xiàn)應用驅動的網(wǎng)絡。同時，可以

24、天然支持傳統(tǒng)網(wǎng)絡和SDN 網(wǎng)絡，兼容現(xiàn)有設備，保障網(wǎng)絡平滑演進。簡化設備控制平面，減少路由協(xié)議數(shù)量，簡化運維管理，降低運營成 N（節(jié)點標簽數(shù)量，一般為全網(wǎng)節(jié)點數(shù)量）+A（鄰接標簽數(shù)據(jù)，一般為設備接口數(shù)量MPLS/RSVP-TE N。TE、FRR、OAM等功能，從而簡化網(wǎng)絡的設計和管理，快速獲得網(wǎng)絡服務，優(yōu)化整個網(wǎng)絡的性能。南向控制機制ADWAN Netconf 置、策略的下發(fā)功能，Netconf 具有如下優(yōu)勢：簡單易用，RFC標準成熟；transaction機制避免配置錯誤的回退；NetconfYang的數(shù)據(jù)模型；應用流量可視化在設備 LAN 口、WAN 口的出入方向通過 Netstream

25、協(xié)議采集流量信息。LANVPNVPNNetstreamVPN區(qū)分。WANIP五元組、DSCP字段，控制器通過 IP 五元組、DSCP 識別應用流量。2022 年 4 月25日新華三集團機密，未經許可不得擴散第15頁 共20頁文檔密級（內部公開）精細化應用定義模式MPLS VPN 場景下，H3C ADWAN PE IP 組、DSCPVPN 字段的單一/任意組合進行業(yè)務區(qū)分，支持對業(yè)務的按需調度。MPLS VPN 場景下，H3C ADWAN P MPLS 報文的EXP 字段區(qū)分業(yè)務；支持對業(yè)務的按需調度。系統(tǒng)管理H3C ADWAN 維的需求，簡述如下：登錄和用戶管理WEBADWAN登錄系統(tǒng)后可實現(xiàn)

26、添加用戶操作，對已配置用戶進行統(tǒng)一管理。2022 年 4 月25日新華三集團機密，未經許可不得擴散第16頁 共20頁文檔密級（內部公開）設備運維管理。呈現(xiàn)整網(wǎng)拓撲信息，各設備相關信息（設備名稱、設備 IP 址、CPU、內存等）以及鏈路相關信息（帶寬、鏈路質量等。應用管理。定義具體業(yè)務應用，為業(yè)務的可視呈現(xiàn)、流量按需調度準備。網(wǎng)絡部署管理。定義物理網(wǎng)絡（局域網(wǎng)或廣域網(wǎng)。執(zhí)行設備管理、板卡管理、接口管理等。鏈路管理。2022 年 4 月25日新華三集團機密，未經許可不得擴散第17頁 共20頁文檔密級（內部公開）系統(tǒng)告警可配置、呈現(xiàn)。第5章 運維效益運維效率優(yōu)化部署 H3C ADWAN控制器將會提供一種新的網(wǎng)絡管理和運維模式。面對網(wǎng)絡規(guī)模擴張、網(wǎng)絡管理動態(tài)化的挑戰(zhàn)，傳統(tǒng)以設備為中心、基于人工靜態(tài)配置的模式已經改變，基于網(wǎng)絡控制器將網(wǎng)絡資源、網(wǎng)絡管理和網(wǎng)絡控制集中，