IDC资讯

质量为本、客户为根、勇于拼搏、务实创新

< 返回IDC资讯列表

MSP服务提供商SD-WAN场景分析和方案设计

发布时间:2022-06-08

移动办公、视频流量增加和业务云化的趋势增加了企业对网络带宽需求,应用对WAN的服务质量提出了更高的要求。企业的IT运维团队越来越难以为数据中心出口的业务(尤其是访问公有云的应用)提供QoS保证。伴随着云计算、大数据和AI的快速发展,企业日益增长的云访问需求与企业现有的IT能力匮乏的矛盾为MSP提供了广阔的市场和巨大的机遇。

MSP是企业获取网络托管服务的重要渠道,采用业界领先的管理技术,为企业提供系统的托管服务。MSP的核心竞争力是服务质量和技术水平,而传统MSP的最大不足就是技术水平不够,无法规模化发展。在企业业务云化的趋势下,MSP如何提升自身的多云管理能力、企业网络托管能力和专业服务能力,是MSP面临的新的挑战。

1.场景分析

针对当前业务中的问题以及对市场发展趋势的分析,某MSP公司总结出如下的问题。

(1)企业“最后一公里”的接入成本高,业务开通慢

某MSP公司在C国全国范围内租用了运营商的MSTP线路,并在此之上构建了MPLS VPN作为某MSP公司的骨干网向企业提供专线服务,企业分支通过接入MSP骨干网可以满足企业分支访问数据中心、分支间互访等业务的需要。如果某MSP公司不能提供企业客户站点“最后一公里”的线路设施,那么企业分支接入MSP骨干网将需要铺设线路,这部分昂贵的线路成本最终会由企业客户来承担,提高了企业租赁某MSP公司骨干网业务的资费门槛,而且线路的铺设也延长了业务开通的时间。

(2)云连接专线开通周期长,线路成本高,管理复杂

作为企业客户访问公有云的最后一段,某MSP公司需要打通骨干网到企业公有云资源的连接。通过传统的专线方式,MSP需要支付昂贵的线路铺设的费用,以及向公有云公司支付云专线接入的服务费用,这使得某MSP公司需要负担沉重的前期投入。而面对不同企业访问不同的公有云的需求,传统专线的云连接方式带来了不能灵活开通业务、业务开通周期长、云连接业务质量不可见、多云管理复杂等诸多问题。

2.方案设计

基于当前某MSP公司的现状,SD-WAN解决方案提供商为某MSP公司设计的SD-WAN解决方案架构具有如下优势。

灵活的“最后一公里”接入降低了业务开通成本,缩短了业务开通周期。通过因特网实现企业分支到骨干网POP GW的SD-WAN接入,免去了铺设“最后一公里”的线路,同时ZTP降低了对开局人员的技术要求,能够快速响应企业客户的需求,加速分支业务的开通。

提供云接入和管理功能,满足企业业务云化的需求。通过在企业客户VPC中部署vCPE作为云站点,实现企业公有云资源与MSP骨干网POP的灵活打通和企业分支跨POP访问公有云。同时MSP具备对云站点以及对云连接的链路性能的可视化管理。

某MSP公司的SD-WAN解决方案的架构如图1所示。

图1 某MSP公司的SD-WAN解决方案的架构

(1)总体规划

某MSP公司在数据中心部署SD-WAN网络控制器,引入多租户RR、POP GW等设备,同时对企业客户已有的站点进行网络改造,完成传统站点向SDWAN站点的迁移,协助客户部署新的SD-WAN站点。

某MSP公司在数据中心部署网络控制器用于对所有租户的SD-WAN设备进行管理和业务编排;网络控制器提供两个南向业务IP地址,分别对应MPLS链路和因特网链路,SD-WAN站点开局时可选择通过MPLS链路或因特网链路向网络控制器注册。

数据中心内需要部署多租户RR站点,作为统一的控制平面。

在MSP骨干网边缘部署多个POP GW站点,作为骨干网的SD-WAN接入点。

企业站点根据企业的需要部署单网关或双网关站点。

为企业提供多租户RR以及POP GW接入服务,Overlay网络统一规划,为企业客户分配多租户共享的路由域,如MPLS(MSP)、因特网(MSP)等。

划分接入区,并关联RR和POP GW,按接入区为企业客户提供骨干网接入服务。部署时,首先部署网络控制器,其次部署多租户RR站点,再次部署多租户POPGW站点,最后部署企业站点。

(2)站点设计

企业站点

在企业网络出口部署支持SD-WAN功能的CPE。企业用户可以根据需要在分支站点选择部署一台或两台SD-WAN CPE,设备类型包含CPE、uCPE和vCPE。LAN侧与WAN侧的路由设计如下。

LAN侧:CPE可以有线和无线两种方式与LAN侧交换机或终端互联。双CPE组网场景下可部署VRRP提高可靠性。LAN侧交换机工作在二层模式下时,可通过VLAN与CPE互通;工作在三层模式下时,可通过OSPF协议、BGP、直连路由协议或静态路由协议与CPE互通,并采用水平分割的方式避免路由环路。

WAN侧:企业站点CPE与因特网上行的WAN链路互联。可根据WAN上层网络的接入情况,部署OSPF协议、eBGP或静态路由协议。

POP GW站点

在某MSP公司提供的MPLS VPN的边缘部署支持SD-WAN功能的转发设备,作为SD-WAN站点接入MPLS VPN的POP GW,具体方案为分区域部署SD-WAN边界网关设备POP GW,POP GW站点为单网关CPE站点,通过主备区域POP GW保证企业业务的可靠性。POP GW需要支持多租户,即将一台POP GW在逻辑上划分成若干个虚拟边界网关,每个接入的企业为一个租户。虚拟边界网关设备对企业用户可见,MSP网络管理员可以对虚拟边界网关进行管理和控制。

POP GW LAN侧通过MPLS Option B的方式与传统MPLS网络的ASBR PE对接,通过MP-eBGP交互路由,为企业提供与传统MPLS网络站点互通的SD-WANOverlay接入服务。

POP GW WAN侧与因特网WAN链路互联。可根据WAN上层网络的接入情况,部署OSPF协议、eBGP或静态路由协议。

多租户RR站点

在POP GW组网场景中需要部署多租户RR站点来建立企业站点间以及企业站点到POP GW的控制通道,由某MSP公司统一管理与维护。多租户RR站点为单网关CPE站点,LAN侧不做部署,WAN侧通常可部署双WAN链路,一条为某MSP公司的骨干网专线链路,另一条连接因特网链路。多租户RR站点的WAN接口可根据WAN上层网络的接入情况,部署OSPF协议、eBGP或静态路由协议,Overlay与POP GW以及企业站点通过MP-BGP交互Overlay路由。

(3)组网设计

控制平面

POP互联组网场景中,控制平面统一由某MSP公司部署的多租户RR站点承载。

分区域部署多租户RR站点,与本区域内的POP GW建立Overlay控制通道。

企业基于VPN选择接入区,站点与接入区内的RR站点建立Overlay控制通道;站点可分别关联主备接入区内的RR站点增强控制平面的可靠性。

数据平面

某MSP公司的SD-WAN中Overlay的组网可由如下两部分组成。

企业站点和POP GW互联。如果企业有跨区域访问数据中心、访问公有云以及分支互访的需求,企业站点可通过POP互联的方式,接入区域内的POP GW,保障业务的体验。企业站点与POP GW建立Overlay隧道作为数据通道,不同接入区的POP GW间通过某MSP公司骨干网Underlay互通。

企业内站点间的Overlay互联。对于企业的SD-WAN站点,可根据企业内站点间互访的需要,通过WAN侧因特网构建Full-mesh拓扑的组网。

(4)业务设计

业务访问

某MSP公司为保障不同租户访问骨干网的业务带宽,在POP GW和骨干网PE间按照租户VPN配置了QoS策略,基于租户VPN对访问MSP骨干网的流量进行带宽限速,同一租户VPN的所有分支共享一个骨干网接入带宽。

某MSP公司代维模式在企业分支站点设备上开启应用识别(首包识别/特征识别)功能,识别企业现网业务应用,并基于应用识别的结果配置基于应用的智能选路、QoS策略,保障企业关键应用的带宽和优先级。对于企业分支通过多个因特网线路连接POP GW的场景,某MSP公司可配置分支到POP GW的选路策略,实现业务流量在多个因特网链路上的分担,满足企业客户的关键应用体验以及对因特网带宽合理利用。

因特网访问

某MSP公司的SD-WAN解决方案为企业客户提供了不同的因特网访问方式,包括站点本地上网、集中站点上网和混合方式上网。

公有云访问

某MSP公司通过在企业公有云VPC中部署vCPE将企业云资源作为云站点,基于因特网或MSP部署的云专线Underlay传输网,实现云站点到POP GW的SD-WANOverlay接入,企业SD-WAN分支站点通过MSP骨干网采用跨POP GW站点的方式访问公有云站点。

与传统网络互通

某MSP公司骨干网中的传统企业站点不在网络控制器的管理和控制范围内,需要MSP支持企业SD-WAN站点和传统MPLS站点互访。根据某MSP公司的网络情况,推荐SD-WAN站点通过连接POP GW实现与传统站点的互访。

(5)安全设计

某MSP公司在部署SD-WAN解决方案时,考虑通过以下几种方式提升安全性。

路由策略控制:管理员在网络控制器上配置Underlay WAN路由策略,通过路由白名单或黑名单进行过滤,使站点只接收来自网络控制器以及对端SD-WAN站点的路由。

ACL访问控制:根据企业客户接入网规范,在企业分支站点WAN侧的入方向部署ACL策略,过滤恶意报文和限制危险端口访问。

uCPE部署vFW:对于部分部署uCPE的站点,在uCPE上创建业务链,部署vFW增加安全性。vFW可具备专业的七层防火墙的安全防护功能,如防病毒等。

保证Overlay数据的安全性:对SD-WAN中因特网链路的Overlay隧道采用IPSec加密,保障数据传输的安全性。

(6)运维设计

某MSP公司的运维工作除了包含企业自建SD-WAN运维子方案中所涉及的CPE开局、网络业务监控、网络业务维护等内容外,还涉及多租户管理和客户Portal访问权限管理等。

某MSP公司为企业客户提供了多种不同的SD-WAN站点开局方式,以适应不同场景的需要,包括邮件开局、DHCP开局、注册中心开局、U盘开局。

企业客户的运维可采用MSP代维模式,由某MSP公司统一负责代维代建,同时某MSP公司会提供只有监控权限的租户账号给企业客户,作为SD-WAN服务的一部分。

桂哥网络专业的企业组网公司,致力于为企业提供企业组网(SD-WAN、MPLS、云互联),业务云化、数据中心、网络安全、行业IT解决方案等相关服务。

TikTok千粉号购买平台:https://tiktokusername.com/