【技术实现步骤摘要】
本专利技术涉及控制域虚拟化网络领域,更具体地说,本专利技术涉及跨控制域sd-wan网络实现大二层通信的方法。
技术介绍
1、随着sd-wan网络对于大二层通信的广泛应用,降低网络运营成本的同时提高网络的灵活性、性能和安全性,对于企业和组织来说具有重要的价值。
2、传统的大二层通信需要建立专用电路和vpn隧道,受限于地理位置,需要在不同地域之间铺设专用线路以及租用专线,导致跨地域通信成本高、部署周期长,并出现网络延迟较高的情况,影响数据传输的实时性和稳定性,现有风险在域内arp广播报文和其他广播流量会通过水平分割配置的路径进行逐跳广播,在跨域层面会有更大的环路风险。
3、利用sd-wan网络配置二层网桥以及vpn功能,通过建立二层vpn隧道并配置二层路由,将不同地域以及不同数据中心的二层网络连接在一起,利用sd-wan网络跨越多个地理位置,将不同地点的局域网连接在一起,实现大二层通信。
技术实现思路
1、本专利技术针对现有技术中存在的技术问题,提供跨控制域sd-wan网络实现大二层通信的方法,通过sd-wan网络配置二层网桥以及vpn功能,利用建立二层vpn隧道并配置二层路由,以解决上述
技术介绍
中提出的问题。
2、本专利技术解决上述技术问题的技术方案如下:跨控制域sd-wan网络实现大二层通信的方法,包括以下步骤:
3、s101:利用现有ip网络创建一个虚拟二层网络,并采用vxlan对称路由模型进行sd-wan中跨节点通信,在不同地域以
4、s102:通过在sd-wan设备上创建一个二层网桥接口,将需要连接的不同地域以及不同数据中心的二层网络通过子接口接入到创建的二层网桥接口,配置二层网桥的转发规则并激活二层网桥接口;
5、s103:建立二层vpn隧道,不同地域以及不同数据中心的设备在同一个虚拟二层网络中进行通信,将每个接口连接到创建的二层vpn隧道,在不同地域以及不同数据中心的设备上进行测试;
6、s104:arp请求通过隧道广播方式到达远端,cpe通过观察流量学习到本地主机的mac和ip地址,控制器收到cpe学习到的信息,获取目标主机的mac地址并利用cpe将数据包转发到目标主机,并在通信的两端配置ipsec隧道;
7、s105:基于跨域隧道建立跨域ebgp邻居,在两个不同域之间的路由器上配置ebgp邻居关系,使用跨域隧道的地址作为邻居地址,将ip路由发布到bgp邻居启用evpn功能,并配置相应的导入路由目标和导出路由目标通过evpn自动完成跨域路由发布;
8、在一个优选地实施方式中,所述s101中,利用现有ip网络创建一个虚拟二层网络,用于实现不同地域以及不同数据中心之间的二层通信,并采用vxlan对称路由模型进行sd-wan中跨节点通信,在不同地域以及不同数据中心的sd-wan设备上配置vxlan网关,用于确定vxlan的vni和本地vxlan网关的ip地址,当sd-wan设备发送数据包到另一个地域和数据中心时,将二层数据包封装为vxlan数据包并加上vxlan头部信息,包括vni和远程vxlan网关的ip地址,远程vxlan网关接收到vxlan数据包后,解封装数据包,将原始的二层数据包发送到目标设备,在sd-wan网络中配置路由,将不同地域以及不同数据中心的vxlan网络路由连接在一起,用于确保数据包正确通过vxlan隧道进行传输,所述vxlan对称路由模型建立具体步骤:在sd-wan网络设备上配置vxlan网络,包括vxlan隧道的建立和vxlan网络中的vni分配,并为每个客户的二层网络分配唯一的l2vnet,用于确保不同客户之间的二层网络不会相互干扰,为每个vrf分配唯一的l3vnet并对应到vxlan网络的l3 vni,用于确保每个vrf都有自己独立的l3vnet,避免不同vrf之间的冲突和干扰,当需要进行跨站点的l3通信时,源cpe节点使用vrf对应的l3vni封装数据包,并通过vxlan隧道发送到目的cpe节点,当封装的数据包到达目的cpe时,目的cpe节点将l3vni映射到vrf,并使用vrf+ip前缀查找路由表,用于获取最终的路由信息并确保数据包正确到达目的地。
9、在一个优选地实施方式中,所述s102中,通过在sd-wan设备上创建一个二层网桥接口,导航到网络接口配置界面将需要连接的不同地域以及不同数据中心的二层网络接入到该二层网桥接口,并通过创建的二层网桥接口进行配置,利用网络接口配置以及二层网桥配置的选项,创建一个新的二层网桥接口,用于配置网桥的名称、vlan信息、ip地址的参数,将需要连接的不同地域以及不同数据中心的二层网络通过子接口接入到创建的二层网桥接口,配置二层网桥的转发规则并激活二层网桥接口,所述转发规则包括学习和转发方式、mac地址表管理。
10、在一个优选地实施方式中,所述s103中,通过配置二层vpn实现大二层通信,建立二层vpn隧道,不同地域以及不同数据中心的设备在同一个虚拟二层网络中进行通信,导航到vpn配置界面并选择创建新的vpn隧道,选择二层vpn类型,配置vpn隧道的名称、隧道类型和加密算法的参数,根据已创建的二层vpn隧道配置二层vpn隧道的本地和远程端点,包括配置本地和远程端点的ip地址和vlan信息以及配置每个端点的加密算法和预共享密钥的参数,配置完成后保存并应用新的配置,用于确保启用创建的二层vpn隧道,在每个设备上创建一个新的二层网络接口,配置接口的名称、vlan信息和ip地址参数,将每个接口连接到创建的二层vpn隧道,在不同地域以及不同数据中心的设备上进行测试,用于确保设备相互通信,所述在不同地域以及不同数据中心的设备上进行测试的具体步骤为:打开命令行界面并输入ping命令后跟连接设备的ip地址,当ping命令成功返回,表示两台设备之间的二层vpn连接已经建立成功并进行通信。
11、在一个优选地实施方式中,所述s104中,arp请求通过隧道广播方式到达远端,cpe发送arp请求,请求目标主机的mac地址,利用隧道广播开启水平分割,用于避免环路,cpe通过观察流量学习到本地主机的mac和ip地址,控制器收到cpe学习到的信息,通过arp和mac表的反射将学习到的信息传递给中间pop和远端cpe,中间pop和远端cpe学习到本地主机的mac信息,本端cpe对arp进行代答,应答mac为sysmac,本端主机采用sysmac作为目的访问远端主机,cpe终结二层,转换成三层查询主机路由方式在sd-wan网络中转发,cpe学习到本地主机p和mac后,控制器将本地终端的ip以主机路中方式通告到中间pop节点以及赔域pop节点,当后续二层报文到达cpe时,cpe查询本地mac表以及目标主机的mac地址,获取目标主机的mac地址并利用cpe将数据包转发到目标主机,在通信的两端配置ipsec隧道,包括选择加密算法、认证算法的参数,通过ipsec隧道进行加密通信,当存在公网nat的情本文档来自技高网...
【技术保护点】
1.跨控制域SD-WAN网络实现大二层通信的方法,其特征在于,具体包括以下步骤:
2.根据权利要求1所述的跨控制域SD-WAN网络实现大二层通信的方法,其特征在于:所述S101中,利用现有IP网络创建一个虚拟二层网络,用于实现不同地域以及不同数据中心之间的二层通信,并采用VXLAN对称路由模型进行SD-WAN中跨节点通信,在不同地域以及不同数据中心的SD-WAN设备上配置VXLAN网关,用于确定VXLAN的VNI和本地VXLAN网关的IP地址,当SD-WAN设备发送数据包到另一个地域和数据中心时,将二层数据包封装为VXLAN数据包并加上VXLAN头部信息,包括VNI和远程VXLAN网关的IP地址,远程VXLAN网关接收到VXLAN数据包后,解封装数据包,将原始的二层数据包发送到目标设备,在SD-WAN网络中配置路由,将不同地域以及不同数据中心的VXLAN网络路由连接在一起,用于确保数据包正确通过VXLAN隧道进行传输。
3.根据权利要求2所述的跨控制域SD-WAN网络实现大二层通信的方法,其特征在于:所述VXLAN对称路由模型建立具体步骤:在SD-WAN网
4.根据权利要求1所述的跨控制域SD-WAN网络实现大二层通信的方法,其特征在于:所述S102中,通过在SD-WAN设备上创建一个二层网桥接口,导航到网络接口配置界面将需要连接的不同地域以及不同数据中心的二层网络接入到该二层网桥接口,并通过创建的二层网桥接口进行配置,利用网络接口配置以及二层网桥配置的选项,创建一个新的二层网桥接口,用于配置网桥的名称、VLAN信息、IP地址的参数,将需要连接的不同地域以及不同数据中心的二层网络通过子接口接入到创建的二层网桥接口,配置二层网桥的转发规则并激活二层网桥接口,所述转发规则包括学习和转发方式、MAC地址表管理。
5.根据权利要求1所述的跨控制域SD-WAN网络实现大二层通信的方法,其特征在于:所述S103中,通过配置二层VPN实现大二层通信,建立二层VPN隧道,不同地域以及不同数据中心的设备在同一个虚拟二层网络中进行通信,导航到VPN配置界面并选择创建新的VPN隧道,选择二层VPN类型,配置VPN隧道的名称、隧道类型和加密算法的参数,根据已创建的二层VPN隧道配置二层VPN隧道的本地和远程端点,包括配置本地和远程端点的IP地址和VLAN信息以及配置每个端点的加密算法和预共享密钥的参数,配置完成后保存并应用新的配置,用于确保启用创建的二层VPN隧道,在每个设备上创建一个新的二层网络接口,配置接口的名称、VLAN信息和IP地址参数,将每个接口连接到创建的二层VPN隧道,在不同地域以及不同数据中心的设备上进行测试,用于确保设备相互通信。
6.根据权利要求5所述的跨控制域SD-WAN网络实现大二层通信的方法,其特征在于:所述在不同地域以及不同数据中心的设备上进行测试的具体步骤为:打开命令行界面并输入ping命令后跟连接设备的IP地址,当ping命令成功返回,表示两台设备之间的二层VPN连接已经建立成功并进行通信。
7.根据权利要求1所述的跨控制域SD-WAN网络实现大二层通信的方法,其特征在于:所述S104中,ARP请求通过隧道广播方式到达远端,CPE发送ARP请求,请求目标主机的MAC地址,利用隧道广播开启水平分割,用于避免环路,CPE通过观察流量学习到本地主机的MAC和IP地址,控制器收到CPE学习到的信息,通过ARP和MAC表的反射将学习到的信息传递给中间POP和远端CPE,中间POP和远端CPE学习到本地主机的MAC信息,本端CPE对ARP进行代答,应答MAC为SYSMAC,本端主机采用SYSMAC作为目的访问远端主机,CPE终结二层,转换成三层查询主机路由方式在SD-WAN网络中转发,CPE学习到本地主机P和MAC后,控制器将本地终端的IP以主机路中方式通告到中间POP节点以及赔域POP节点,当后续二层报文到达CPE时,CPE查询本地MAC表以及目标主机的MAC地址,获取目标主机的MAC地址并利用CPE将数据包转发到目标主机,在通信的两端配置IPSec隧道,包括选择加密算法、认证算法的参数,通过IPSec隧道进行加密...
【技术特征摘要】
1.跨控制域sd-wan网络实现大二层通信的方法,其特征在于,具体包括以下步骤:
2.根据权利要求1所述的跨控制域sd-wan网络实现大二层通信的方法,其特征在于:所述s101中,利用现有ip网络创建一个虚拟二层网络,用于实现不同地域以及不同数据中心之间的二层通信,并采用vxlan对称路由模型进行sd-wan中跨节点通信,在不同地域以及不同数据中心的sd-wan设备上配置vxlan网关,用于确定vxlan的vni和本地vxlan网关的ip地址,当sd-wan设备发送数据包到另一个地域和数据中心时,将二层数据包封装为vxlan数据包并加上vxlan头部信息,包括vni和远程vxlan网关的ip地址,远程vxlan网关接收到vxlan数据包后,解封装数据包,将原始的二层数据包发送到目标设备,在sd-wan网络中配置路由,将不同地域以及不同数据中心的vxlan网络路由连接在一起,用于确保数据包正确通过vxlan隧道进行传输。
3.根据权利要求2所述的跨控制域sd-wan网络实现大二层通信的方法,其特征在于:所述vxlan对称路由模型建立具体步骤:在sd-wan网络设备上配置vxlan网络,包括vxlan隧道的建立和vxlan网络中的vni分配,并为每个客户的二层网络分配唯一的l2vnet,用于确保不同客户之间的二层网络不会相互干扰,为每个vrf分配唯一的l3vnet并对应到vxlan网络的l3 vni,用于确保每个vrf都有自己独立的l3vnet,避免不同vrf之间的冲突和干扰,当需要进行跨站点的l3通信时,源cpe节点使用vrf对应的l3vni封装数据包,并通过vxlan隧道发送到目的cpe节点。
4.根据权利要求1所述的跨控制域sd-wan网络实现大二层通信的方法,其特征在于:所述s102中,通过在sd-wan设备上创建一个二层网桥接口,导航到网络接口配置界面将需要连接的不同地域以及不同数据中心的二层网络接入到该二层网桥接口,并通过创建的二层网桥接口进行配置,利用网络接口配置以及二层网桥配置的选项,创建一个新的二层网桥接口,用于配置网桥的名称、vlan信息、ip地址的参数,将需要连接的不同地域以及不同数据中心的二层网络通过子接口接入到创建的二层网桥接口,配置二层网桥的转发规则并激活二层网桥接口,所述转发规则包括学习和转发方式、mac地址表管理。
5.根据权利要求1所述的跨控制域sd-wan网络实现大二层通信的方法,其特征在于:所述s103中,通过配置二层vpn实现大二层通信,建立二层vpn隧道,不同地域以及不同数据中心的设备在同一个虚拟二层网络中进行通信,导航到vpn配置界面并选择创建新的vpn隧道,选择二层vpn类型,配置vpn隧道的名称、隧道类型和加密算法的参数,根据已创建的二层vpn隧道配置二层vpn隧道的本地和远程端点,包括配置本地和远程端点的ip地址和vlan信息以及配置...
【专利技术属性】
技术研发人员:张慧,谭方明,郑暄,
申请(专利权)人:深圳市赛柏特通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。