一、分享主题 本文以实际项目为基础从规划、建设、运维、优化几个维度对整个项目的技术方案以及端到端交付流程做下概述性的介绍，旨在为客户构建一套高效、灵活可以快速部署的广域互联解决方案，帮助提升企业网络的可靠性、效率和安全性，降低网络成本。 二、项目介绍 随着无线、物联化、云化的发展趋势，客户已经有很多应用采用云的方式进行连接了，当然也包括设备上云。客户分支布于全国各地，且位置相对分散，导致运维工作较为复杂繁琐。传统组网方式中，客用网与专网存在重复建设问题，导致建设成本高且建设周期长。通过引入LAN/WAN融合（SD-WAN）解决方案，为客户构建一条高效、灵活可以快速部署的广域互联解决方案，此方案基于的网络设备主要是AR系列路由器，它是通过EVPN动态建立隧道的技术，为客户构建了分支与数据中心、云之间随需互联的能力，优化了业务体验并降低了运维成本。经过前期端到端的业务测试，满足了客户的业务需求，并辅助售前POC测试，提供了必要的测试交付件。针对客户的特定需求，结合原厂专家与ASP技术专家，从架构设计和后续扩展性方面制定了详尽的技术方案，为项目的实际交付奠定了坚实基础。此外，利用原厂提供的专业技术服务，进行了建设了样板点，为大规模门店的后续交付提供了可复制的实施模板，从而确保了交付质量的一致性和高效性。 三、规划设计方案 整个方案的设计逻辑：首先，控制器主要采用的是公有云形态的控制器NCE-Campus，主要用于业务的呈现和配置的下发。中心站点（HQ）部署了多套高性能AR路由器CPE终端设备提供海量分支门店的汇聚接入，分支门店部署的设备主要有AR系列路由器、S系列交换机，3-4个新一代WIFI6 AP提供有线无线接入服务。为了保障整个方案的可靠性，以及高安全性，我们通过一系列的设计来确保整个SD-WAN网络是高可靠，高安全的。在可靠性方面设计主要包括中心站点，分支站点部署双CPE，实现设备及可靠性。通过WAN侧、LAN侧部署多条冗余链路提升链路级可靠性，分支部署4G逃生链路，交换机堆叠组网等设计，来尽可能保障我们的业务不中断。在安全性方面设计，整个SD-WAN解决方案是以VPN的方式在SD-WAN组网里构建一条属于VPN的业务隧道，业务都是跑在VPN实例里面的，VPN实例都是经过IPsec加密的。同时通过NETCONF/SSH以及DTLS协议来确保管理通道、控制通道的安全性。在分支门店组网设计中，业务层面主要划分为两个VRF，用于承载不同的业务，VPN1用于承载生产业务，VPN2用于承载访客业务，两者彼此之间相互隔离，禁止互访，访客只能访问互联网。分支门店采用双CPE部署，通过互联网及4G LTE逃生链路提供网络接入服务，下挂L2交换机结合新一代WIFI 6为门店提供有线无线接入服务。通过云AP的容器化技术部署任子行审计插件，不仅满足了公共场所82号令的合规性要求，还避免了额外部署硬件审计设备的需要，从而显著降低了成本。 SD-WAN路由总体方案与流程： 整个路由设计主要分为以下几个部分： 1、Overlay LAN侧路由：为了使各站点的CPE设备和LAN侧网络互通，需要配置Overlay LAN侧路由。中心站点LAN侧路由主要通过OSFP将LAN侧流量引入Overlay隧道，门店主要是静态路由。2、内联隧道路由：使用OSPF，用于Overlay网络的VPN与Underlay网络互联，该路由在用户开启站点上网或与传统站点互联时，通过系统自动编排和配置，无需手工配置。3、互联链路路由：使用的是OSPF路由协议，站点双CPE时，用于两CPE之间交换路由，通过系统自动编排和配置，无需手工配置。4、Overlay WAN侧路由：为了使SD-WAN网络中的各个站点在Overlay组网上可以互通，需要配置Overlay WAN侧路由。根据Overlay组网的不同拓扑模式，SD-WAN控制器会自动完成Overlay WAN侧路由编排，无线手工配置。5、Underlay WAN侧路由：站点CPE每个WAN口对应一个underlay VRF，本方案中心站点和分支站点主要通过静态路由的方式学习到underlay WAN侧路由。 四、落地交付实施和交付管理 本次复杂项目的顺利交付，得益于各方在规划设计、设备安装、样板店打造、门店批量部署直至后续运维转移等关键环节中的相互协作、紧密配合。客户职责：要负责提供设计图纸、IP地址范围、分支门店改建规划，并协助完成验收等工作。弱电施工方：负责全国分支站点设备安装、连线及协助工程师（远程方式）业务上线工作，并参与协助项目验收等工作。厂家：前期高阶方案设计、安装指导手册输出、样板店建设、远程技术支持、后续提供备品备件，针对重大问题或变更进行现场支持等...资质服务商：整合原厂样板店交付能力，进行后续大规模门店交付的前期准备，实施批量门店的高效交付与业务上线，并负责后续平台运维中的故障处理及运维交接工作。从调研&网络规划设计、中心站点调测、样板点建设截止到今天已经完成了数千家站点的业务上线。在项目交付过程中输出了各类交付件，包括不限于：详细方案设计以及LLD设计、工程师的分支站点预配置手册、预安装中心的操作指导手册、上站人员的门店操作指导手册，以支撑项目的顺利实施与交付。在项目交付流程中，增加了很多确认环节，以确保每个阶段都有明确的输出，从而保障整个项目的交付质量与原厂商标准一致。同时在交付过程中，将识别到的风险会进行统计并分析，以确定风险问题可能产生的概率，并制定相应的风险响应计划，同时明确责任人，以便提前采取措施进行风险规避。单站点交付流程涵盖以下步骤：从交店计划的制定起始，接着进行预配置计划的规划与实施，包括预配置的执行与检查，随后进入业务开局阶段，最终完成门店的上线验收并转入维护阶段。 其中预配置执行到预配置检查这一部分花费时间较长，因为所有设备SDN去命令行化后，所有配置都需要在控制器图形化去完成，相比以前传统命令行的方式虽然在易用性方面大大增强了，但是因为分支门店业务量比较大，比如有大量的VLANIF以及ACL策略，图形化去部署反而效率不如传统脚本命令行的方式，效率完全跟不上，导致可能会影响整个项目的进度。为了解决在交付阶段预配置效率慢、容易出错的问题，我们引用了自动化工具的能力。通过调用控制器API的方式，可以配置开局通用模板，仅需修改站点差异化数据（如地址段、站点名称等），便可批量完成站点配置下发，从而保障了SD-WAN项目的大规模上线。同时，这个自动化工具也应用在了后续的运维阶段。对于几千家门店的配置变更，传统方式需要一个个站点去修改，而通过自动化工具则可以批量完成上千家站点的自动化配置变更（如修改SSID、VLAN切换、中继变更、网络密码变更等）。 同时，自动化脚本工具已从V1.0迭代更新至V2.0（SD-Branch），该版本将自动化能力无缝集成至控制器，作为控制器的一项核心功能。这样不仅避免了控制器升级时的重新适配的问题，在易用性方面也得到了进一步提升。 ————【直播间互动】———— 1、与第三方厂商兼容性的和方案的安全性问题如何考虑的？     答 ：关于厂商兼容性的和安全性，个人理解是。因为以前的SD-WAN方案，WAN侧是WAN侧的控制器、LAN侧是LAN侧的控制器，需要部署2套控制器。这次的方案它是把这WAN侧和LAN侧控制器融合到一起，如果你需要端到端自动化编排能力，实现WAN侧、LAN侧统一编排以及自动化业务发放，这个时候你就需要统一品牌。这个时候对第三方厂家的适配度就没那么高了，你中心站点LAN侧可以用其他厂家的设备组网，但是如果你分支站点WAN侧、LAN侧都要实现SDN自动化编排的能力、WAN侧和LAN侧通过一套控制器都管起来话，那么分支站点的WAN侧设备和LAN侧设备需要统一品牌、统一厂商。还有比如有的厂家用的是NETCONF作为管理通道协议，另外的场景可能采用别的协议，所以一般情况下SD-WAN组网尤其要实现端到端业务部署与编排的，都需要统一品牌、统一厂商。安全性方面，也是通过一系列的设计在确保整个SD-WAN解决方案的安全性。包括NETCONF/SSH来确保整个管理通道的安全、DTLS协议来确保整个控制通道的安全、IPSec加密来确保整个数据通道的安全。同时CPE设备也集成了IPS、AV防火墙的功能，来确保整个数据交互的安全无忧。 2、传统网络如何无缝迁移到SD-WAN网络？ 答：迁移过程中肯定不是无缝的，无缝迁移是相对的，所以迁移过程中它是有个窗口期的。在迁移过程中通过加持一些自动化的能力，来确保窗口期内快速完成传统网络到SD-WAN网络的改造，确保整个业务快速上线。通过引入一些自动化的能力，来使我们的业务部署变得更高效、便捷。 3、升级过程中对哪些业务会有影响？ 答 ：SD-WAN升级基本上分为控制器升级、网元升级两大部分。控制器升级业务现有互访是不会有影响的，但是如果你比如认证用了控制器作为认证服务器，这个时候控制升级对你比如无线Portal认证会有影响，当然通过设置一些逃生策略可以确保已经认证上线的用户不受影响，新认证的用户会有影响，控制器升级完毕后，业务会恢复。此外，关于网元升级，由于采用双机部署策略，一般会在选定的窗口期逐一进行升级，从而确保业务受影响的范围与时间均处于可控状态。同时，同时并非所有分支站点都是24小时有生产业务，所以无论是控制器还是网元的升级，对整体业务的影响都相对较小。不过在升级过程中，还是需要制定严格的升级方案及回退预案，以保障业务的持续稳定运行。 4、SD-WAN方案采用本地部署还是购买SaaS服务? 答 ：SD-WAN方案部署的方式一般有以下几种：本地部署：客户购买软件license部署在本地硬件服务器上，这种部署方式一般设计组网比较大的客户，客户倾向于自己建设自己维护，有一定自有的维护能力的场景，前期预算比较足。所有软硬件归属都属于客户自有，一次性买断。公有云买盒子+云服务的场景：这种控制器一般是租用厂家的，控制器的形态是云化形态，硬件盒子如CPE、交换机、AP这个自己购买，资产归属于客户自身。控制器根据网元数量按1、3、5购买年费的形式。这种投资前期成本比较低，不需要自己部署控制器，但是这种投资模式每年都是等额的，比如一台设备云管理是100块钱，那么每年都是100块钱。但是因为不需要自己部署厚重的控制器平台、加上控制器也是由厂家运营维护，一定程度上还是比较节省成本的，海量分支站点接入一般都推荐采用这种部署模式。也就是采用买盒子+云服务的方式。 因此，在选择部署方式时，应综合考虑应用场景、前期投资预算等多个因素，以确保选出最合适的方案。 5、SD-WAN如何保证业务质量以及端到端QOS的？ 答 ：SD-WAN解决方案可以保证端到端业务质量，因为分支与中心站点上了SD-WAN控制器后可以支持端到端编排，那么就可以保证端到端的业务质量是一致的可以定义端到端的QoS。例如利用A-FEC自适应前向纠错这一广域网加速技术，系统能够根据网络丢包状况动态生成冗余数据包。接收端设备随后对这些数据包进行校验与重组，从而确保音视频传输的流畅性。实际测试显示，即便在音视频业务中遭遇10%至20%的丢包率，业务依然能够正常运行。这些能力一般各个SD-WAN厂家都是支持的。当然，对于追求极低延迟和高可靠性的业务，专线仍然是不可或缺的。这里需要澄清一个误区：采用SD-WAN并不意味着要完全取代专线。实际上，当部署了SD-WAN并具备多条WAN链路时，SD-WAN能够最大化这些链路的带宽利用率，从而提升整体链路的效率。从另一个角度来看，通过SD-WAN方案的精细化选路策略，原本可能需要10M带宽的专线业务，可能仅需5M的专线就能满足需求，这在一定程度上能够有效降低专线的成本。 JDC公开课系列活动主讲人正在火热招募中，快来分享你的专业，与JDC一起成为数字化传播大使，还能赢取丰厚智豆奖励，快点击链接报名吧！