SD-WAN技术原理详解!

随着企业对计算和存储的云化,对企业服务的部署形式,使得原有的网络连接方法和运维方式面临挑战,也引发了新的需求,在云计算时代,要求网络具有更高的弹性、灵活性和成本效益。传统网络设备封闭系统,自组织选路的架构无法支撑业务的按需自动化编排,需要结合NFV和SDN技术,以实现网络的下一代演进。SD-WAN通过对网络设备的转发与控制进行分离,简化了企业级广域网的管理与维护。
SD-WAN允许企业利用低成本、易获得的Internet接入能力,构建高性能的企业级广域网,降低对于昂贵的传统企业WAN连接技术的依赖性。

SD-WAN网络可基于CPE及GATEWAY实现Overlay组网,通过网络架构上叠加的虚拟化技术模式,其框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离,并且以基于IP的基础网络技术为主。Overlay在网络技术领域,是一种网络架构上叠加的虚拟化技术模式,其是对基础网络不进行修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离。它是建立在已有网络上的虚拟网,用逻辑节点和逻辑链路构成了Overlay网络。

Overlay技术是在现有的物理网络之上构建一个虚拟网络,上层应用只与虚拟网络相关。Overlay网络是具有独立的控制和转发平面,对于连接在Overlay边缘设备之外的终端系统来说,物理网络是透明的。通过部署Overlay网络,可以实现物理网络向云和虚拟化的深度延伸,使云资源池化能力可以摆脱物理网络的重重限制,是实现云网融合的关键。Overlay网络也是一个网络,不过是建立在Underlay网络之上的网络。Overlay网络的节点通过虚拟的或逻辑的链接进行通信,每一个虚拟的或逻辑的链接对应于Underlay网络的一条路径,由多个前后衔接的链接组成。Overlay网络和Underlay网络是相互独立的,Overlay网络使用Underlay网络点对点传递报文,而报文如何传递到Overlay网络的目的节点完全取决于Underlay网络的控制平面和数据平面,报文在Overlay网络入和出节点的处理则完全由Overlay网络的封装协议来决定。

SDWAN支持SSL
VPN,IPSec,GRE,VXLAN等隧道模式,用户可基于需求灵活组网,Overlay网络采用国密协议对业务数据进行安全加密,保障数据安全性。针对不同的隧道模式,持通过模板推送,快速配置形成overlay的二三层组网。

SSL
VPN指的是基于安全套接协议 (Security Socket Layer-SSL)建立远程安全访问通道的VPN技术。它是近年来兴起的VPN技术,SSL协议主要是由SSL记录协议和握手协议组成,它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议相对于IPSEC协议体系中的IKE(互联网秘钥交换协议)协议,主要是用于服务器和客户之间的相互认证,协商加密算法和MAC(Message Authentication Code-消息认证码)算法,用于生成在SSL记录协议中使用的加密和认证密钥。SSL记录协议是为各种应用协议提供基本的安全服务,类似于IPSEC的传输模式,应用程序消息参照MTU(最大传输单元)被分割成可治理的数据块(可进行数据压缩处理),并产生一个MAC信息,加密后插入新的报头,最后在TCP中加以传输;接收端将收到的数据解密,做身份验证(MAC认证)、解压缩、重组数据报然后交给应用协议进行处理。实际上就是在应用层和传输层之间加入了一个数据处理层,和传统的网络套接字模型在同一层次,这也就是安全套接层的由来。

IPsec(InternetProtocolSecurity)是用一组机密协议来保护 OSI 参考模型的 3 层的 IP 数据流量,从而保护 IP 网络上的所有应用和通信。通过与散列算法、对称密钥、 非对称密钥的结合,IPsec 可以提供以下安全服务:对端身份认证、信息机密性、信息完整性、信息源认证、重放检测、访问控制以及数据流机密性。

IPsec 支持隧道模式通过网络传输数据,隧道模式用于在网络到网络或站点到站点的环境中保护数据。在隧道模式中, IPsec 可以为其他网络实体保护数据,也就是说,加密的流量会穿过 IPsec 对等体。隧道模式会封装并保护整个 IP 包,该IP 包的负载包括原始 IP 包头和新的 IP 包头。IPsec 向所有的 IP 数据包添加了一个新的 IPsec 包头,这个包头所含的信息可以对原始 IP 包内的数据形成保护作用。IPsec 的封装协议或在说 IPsec 头部有以下两种类型,封装安全负载(ESP):ESP 基于 IP 协议,协议号是 50。ESP 用于实现机密性、完整 性、身份认证,并提供反重放保护。ESP 并不保护外部的 IP 包头,当用于数据完整 性保护时,不包含这个 IP 头部。认证报头(AH):AH 同样是基于 IP 的协议,协议号是 51。AH 用于实现完整性和 身份认证,并提供反重放保护。不同于 ESP,AH 保护 IP 包头。AH 不对数据机密性 提供保护。 ESP 和 AH 都可以提供反重放机制,这种机制是利用包含在认证数据信息中的一组序列 号来抵御重放攻击的。每次发送后,信息发送者都会将这个序列号增加,信息接收者会对序列号进行检查,并拒绝接收序列号不匹配的数据。如果没有反重放机制,入侵者就可以 窃听并重放截获到的加密数据包,这会引起不必要的泛洪、路由翻动和 DoS 攻击。

GRE对网络层协议的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议中传输,是第三层隧道协议,在协议层之间采用了隧道的技术。GRE隧道具有如下优势,GRE实现机制简单,对隧道两端的设备负担小。GRE隧道可以通过IPv4网络连通多种网络协议的本地网络,有效利用了原有的网络架构,降低成本。GRE隧道扩展了跳数受限网络协议的工作范围,支持企业灵活设计网络拓扑。GRE隧道可以封装组播数据,和IPSec结合使用时可以保证语音、视频等组播业务的安全。GRE隧道支持使能MPLS LDP,使用GRE隧道承载MPLS LDP报文,建立LDP LSP,实现
MPLS骨干网的互通。GRE隧道将不连续的子网连接起来,用于组建VPN,实现企业总部和分支间安全的连接。

VXLAN是一种网络虚拟化技术,通过将逻辑网络中通信的数据帧封装在物理网络中进行传输,封装和解封装的过程由VTEP节点完成。VXLAN将逻辑网络中的数据帧添加VXLAN首部后,封装在物理网络中的UDP报文中传送,到达目的地后由隧道终结点解封装并将数据发送给目标虚拟机或物理服务器。VTEP是VXLAN隧道端点,用于VXLAN报文的封装和解封装,VXLAN网络标识VNI类似VLAN ID,用于区分VXLAN段,不同VXLAN段的虚拟机不能直接二层相互通信。VXLAN将虚拟机发出的数据包封装在UDP中,,并使用物理网络的IP/MAC地址作为外层头进行封装,对网络只表现为封装后的参数。因此,极大降低了大二层网络对MAC地址规格的需求。