網(wǎng)絡(luò)世界永恒的話題，就是組網(wǎng)。從局域網(wǎng)，城域網(wǎng)到廣域網(wǎng)，每個細分領(lǐng)域都有說不完的話題。今天，我們把話題聚焦在企業(yè)多分支互聯(lián)的組網(wǎng)上。

企業(yè)多分支的組網(wǎng)，用通俗的話講，就是企業(yè)的多個分支，通過虛擬專用網(wǎng)絡(luò)技術(shù)，以Internet網(wǎng)絡(luò)為基礎(chǔ)，進行私有網(wǎng)絡(luò)互聯(lián)。當(dāng)然，也有土豪套餐，就是全程采用專線技術(shù)，構(gòu)建企業(yè)自己的私有網(wǎng)絡(luò)。今天，我們暫不討論土豪套餐，重點關(guān)注前者。

企業(yè)多分支組網(wǎng)的演進

2.1 傳統(tǒng)Hub-Spoke VPN組網(wǎng)

拓撲：

實際組網(wǎng)中最常見的是公司總部與多個分支機構(gòu)通過點到多點IPSec VPN互通，典型組網(wǎng)如下圖所示

數(shù)據(jù)面：

該場景的數(shù)據(jù)路徑通常分為兩種：

分支只與總部有數(shù)據(jù)交互，分支之間并不需要業(yè)務(wù)互通。

分支之間需要數(shù)據(jù)互通，需要總部中轉(zhuǎn)。

從數(shù)據(jù)路徑上分析，路徑二缺點很明顯：到總部中轉(zhuǎn)的代價是，浪費帶寬資源，浪費總部設(shè)備資源，延長數(shù)據(jù)路徑，增加故障點。

管理面：

從配置管理角度看，IPSec的底層配置邏輯還是略顯復(fù)雜，需要資深網(wǎng)工才能駕馭，能理解下圖，方能開工。

理解了配置原理，設(shè)計好了配置模板，再來看配置工作量：每添加一個分支，都要配置一遍。大規(guī)模部署，不得不考慮一下。

2.2 傳統(tǒng)動態(tài)VPN組網(wǎng)

傳統(tǒng)Hub-Spoke的組網(wǎng)模型，分支之間的流量需要繞行Hub，帶來了諸多缺陷，在多數(shù)場景是不允許的。

一種簡單的解決方案，就是需要通信的站點之間都建立IPSec隧道，流量按需選擇隧道，也就是Full-Mesh組網(wǎng)模型。但這種只是理論上的解決方案，配置管理指數(shù)級增長，且要求每個站點都具備公網(wǎng)IP，落地不切實際。

Cisco 推出的DMVPN解決方案，就是用來解決上述問題的，既解決Hub-Spoke的流量繞行缺陷，又解決了Full-Mesh的繁瑣配置及公網(wǎng)需求。其他硬件廠商都推出了類似的解決方案，Huawei的DSVPN，H3C的DVPN，Juniper的AC-VPN，F(xiàn)ortinet的ADVPN。

該方案是由幾個協(xié)議配合完成的，以Cisco的DMVPN為例，基本思路與流程如下：

1.先建立Hub-Spoke模型的IPSec隧道。

2.Spoke與Spoke之間的隧道則是按需動態(tài)建立的，采用動態(tài)點對多點的GRE隧道技術(shù) – MGRE。

3.Spoke與Spoke建立之前，必須知道對方的地址；這依賴NHRP（下一跳解析協(xié)議）來實現(xiàn)。

4.NHRP，基于C/S模型，Hub端充當(dāng)Server，Spoke端充當(dāng)Client，Client端啟動后，會向Server端注冊，Server端會獲取和管理所有Client端的隧道信息。

5.DMVPN，當(dāng)一個Spoke想向另一個Spoke發(fā)送數(shù)據(jù)時，首先需要到Server端查詢對端Spoke的信息，然后動態(tài)建立隧道，進行數(shù)據(jù)傳輸；同時，需要進行隧道?；睿?dāng)一段時間沒有數(shù)據(jù)后，隧道拆除。

6.動態(tài)路由，動態(tài)路由協(xié)議需要運行在隧道上，用于站點之間的業(yè)務(wù)路由學(xué)習(xí)與更新。

技術(shù)復(fù)雜度再度升級，技術(shù)發(fā)燒友的福音，IT運維交付人員的噩夢。

2.3 SDWAN 1.0: 面向企業(yè)的SDWAN

面向企業(yè)的SDWAN解決方案是對傳統(tǒng)的IPSec VPN組網(wǎng)的延伸，在企業(yè)各個站點邊緣的CPE間建立隧道，無論是走Internet還是其他專線，都只提供Underlay的傳輸線路，企業(yè)的組網(wǎng)完全在服務(wù)提供商提供的網(wǎng)絡(luò)之上。從物理上來看，CPE可放在企業(yè)的總部/數(shù)據(jù)中心/分支網(wǎng)，而從組網(wǎng)上來看，無論是Hub-Spoke還是Full Mesh，各站點間邏輯上都是一跳可達。

從數(shù)據(jù)路徑上看，面向企業(yè)的SDWAN模式，和傳統(tǒng)的VPN組網(wǎng)并沒有不同。那么，這種方案到底帶來了哪些改進呢？概括起來，主要有以下幾個方面：

引入了控制器的角色，用于CPE的發(fā)現(xiàn)與管理，并動態(tài)向其下發(fā)用于建立隧道的信息，以及組網(wǎng)所需要的路由信息，大大的提高了配置效率。

增加了WAN鏈路的監(jiān)控，優(yōu)化選路以及鏈路的故障切換。

上述優(yōu)勢非常明顯，但也有明顯的不足，就是數(shù)通通路還是承載在公共網(wǎng)絡(luò)之上的，所有的鏈路優(yōu)化也是基于公共網(wǎng)絡(luò)的，在某些場景下，質(zhì)量與專線差別明顯。

2.4 SDWAN 2.0: 面向服務(wù)提供商的SDWAN

首先說明一下，SDWAN2.0并非SDWAN1.0簡單的升級版本，準(zhǔn)確的說，應(yīng)該是兩種不同的解決方案思路。所以，增加了”面向企業(yè)“和”面向服務(wù)提供商“的描述。

基本上，服務(wù)提供商已經(jīng)擁有了全國甚至全球范圍內(nèi)的骨干網(wǎng)節(jié)點，并能夠為企業(yè)提供MPLS VPN或其他專線接入，專用骨干網(wǎng)的服務(wù)質(zhì)量在絕大部分場景下優(yōu)于公共網(wǎng)絡(luò)的質(zhì)量。

面向服務(wù)提供商的SDWAN解決方案的思路是，利用已有的專用骨干網(wǎng)，集中精力解決最后一公里的接入、優(yōu)化和管理。具體的實施方案通常是在各個骨干節(jié)點建立POP點，部署SDWAN網(wǎng)關(guān)設(shè)備，接入現(xiàn)有的專用骨干網(wǎng)。

面向企業(yè)端，為企業(yè)端的CPE提供IPSec接入。

該方案的組網(wǎng)方式與數(shù)據(jù)路徑較之前發(fā)生了較大的改變，CPE只需要與就近的POP點建立IPSec隧道，從而實現(xiàn)了個企業(yè)分支之間的互聯(lián)。其優(yōu)勢總結(jié)如下：

盡可能利用專用骨干網(wǎng)，提升整體的網(wǎng)絡(luò)服務(wù)質(zhì)量。

簡化了CPE之間的隧道建立模式，每個分支節(jié)點只需要建立1條或2條（備份或負載分擔(dān)）隧道，就能輕松完成Full-Mesh組網(wǎng)。

繼承了面向企業(yè)SDWAN中，控制器對于CPE的發(fā)現(xiàn)與管理，及隧道與路由策略的動態(tài)計算等優(yōu)勢。

繼承了面向企業(yè)SDWAN中，CPE WAN鏈路的監(jiān)控，優(yōu)化選路以及鏈路故障切換等優(yōu)勢。

但該方案也存在明顯的不足，就是POP點通常只會覆蓋一，二線城市，這樣，對于某些同城/省組網(wǎng)的時候，其網(wǎng)絡(luò)質(zhì)量就不如面向企業(yè)的SDWAN組網(wǎng)模式。因為同城之間，直接通過公共網(wǎng)絡(luò)互聯(lián)，要比經(jīng)過POP點節(jié)省了網(wǎng)絡(luò)路徑的開銷。

2.5 SDWAN 3.0 LinkWAN

面向企業(yè)與服務(wù)提供商相結(jié)合的SDWAN

領(lǐng)灣提出的SDWAN 3.0，繼承了SDWAN 1.0和SDWAN 2.0的優(yōu)勢部分，同時解決了兩者不足的部分，為企業(yè)提供靈活、最佳的按需組網(wǎng)方式。

該方案的基本思路是，在同城或同省互聯(lián)，且公共網(wǎng)絡(luò)的服務(wù)質(zhì)量可以滿足的場景下，采用CPE與CPE之間直接建立隧道的方式，其分支流量不經(jīng)過POP節(jié)點；同城/省內(nèi)的一臺/兩臺Hub節(jié)點接入到POP點，為該城/省內(nèi)其他分支訪問其他城/省的分支提供數(shù)據(jù)通路。其效果是，同城/省內(nèi)直接互訪，跨城/省經(jīng)過POP節(jié)點互訪，達到了不同場景下的路徑最優(yōu)化。

03 多種組網(wǎng)方式對比

下面按照配置管理、數(shù)據(jù)路徑、網(wǎng)絡(luò)健壯性、運行監(jiān)控等維度，進行比較。

配置管理評估維度：

配置邏輯復(fù)雜度

配置工作量：隨著站點的增加，工作量的增加比例

數(shù)據(jù)路徑維度：

流量是否必須經(jīng)過Hub繞行

服務(wù)質(zhì)量對公網(wǎng)質(zhì)量的依賴程度

WAN鏈路的優(yōu)化程度

網(wǎng)絡(luò)健壯性維度：

單點故障程度

運行監(jiān)控維度

全網(wǎng)可視化視圖監(jiān)控程度

WAN鏈路質(zhì)量監(jiān)控，故障切換程度

上述比較可以看出，面向企業(yè)+服務(wù)提供商相結(jié)合的SDWAN組網(wǎng)方式，對于跨地域多分支的組網(wǎng)，適應(yīng)能力更強，應(yīng)用更靈活。