跨控制域SD-WAN网络实现大二层通信的方法

技术领域

本发明涉及控制域虚拟化网络领域，更具体地说，本发明涉及跨控制域SD-WAN网络实现大二层通信的方法。

背景技术

随着SD-WAN网络对于大二层通信的广泛应用，降低网络运营成本的同时提高网络的灵活性、性能和安全性，对于企业和组织来说具有重要的价值。

传统的大二层通信需要建立专用电路和VPN隧道，受限于地理位置，需要在不同地域之间铺设专用线路以及租用专线，导致跨地域通信成本高、部署周期长，并出现网络延迟较高的情况，影响数据传输的实时性和稳定性，现有风险在域内ARP广播报文和其他广播流量会通过水平分割配置的路径进行逐跳广播，在跨域层面会有更大的环路风险。

利用SD-WAN网络配置二层网桥以及VPN功能，通过建立二层VPN隧道并配置二层路由，将不同地域以及不同数据中心的二层网络连接在一起，利用SD-WAN网络跨越多个地理位置，将不同地点的局域网连接在一起，实现大二层通信。

发明内容

本发明针对现有技术中存在的技术问题，提供跨控制域SD-WAN网络实现大二层通信的方法，通过SD-WAN网络配置二层网桥以及VPN功能，利用建立二层VPN隧道并配置二层路由，以解决上述背景技术中提出的问题。

本发明解决上述技术问题的技术方案如下：跨控制域SD-WAN网络实现大二层通信的方法，包括以下步骤：

S101：利用现有IP网络创建一个虚拟二层网络，并采用VXLAN对称路由模型进行SD-WAN中跨节点通信，在不同地域以及不同数据中心的SD-WAN设备上配置VXLAN网关；

S102：通过在SD-WAN设备上创建一个二层网桥接口，将需要连接的不同地域以及不同数据中心的二层网络通过子接口接入到创建的二层网桥接口，配置二层网桥的转发规则并激活二层网桥接口；

S103：建立二层VPN隧道，不同地域以及不同数据中心的设备在同一个虚拟二层网络中进行通信，将每个接口连接到创建的二层VPN隧道，在不同地域以及不同数据中心的设备上进行测试；

S104：ARP请求通过隧道广播方式到达远端，CPE通过观察流量学习到本地主机的MAC和IP地址，控制器收到CPE学习到的信息，获取目标主机的MAC地址并利用CPE将数据包转发到目标主机，并在通信的两端配置IPSec隧道；

S105：基于跨域隧道建立跨域eBGP邻居，在两个不同域之间的路由器上配置eBGP邻居关系，使用跨域隧道的地址作为邻居地址，将IP路由发布到BGP邻居启用EVPN功能，并配置相应的导入路由目标和导出路由目标通过EVPN自动完成跨域路由发布；

在一个优选地实施方式中，所述S101中，利用现有IP网络创建一个虚拟二层网络，用于实现不同地域以及不同数据中心之间的二层通信，并采用VXLAN对称路由模型进行SD-WAN中跨节点通信，在不同地域以及不同数据中心的SD-WAN设备上配置VXLAN网关，用于确定VXLAN的VNI和本地VXLAN网关的IP地址，当SD-WAN设备发送数据包到另一个地域和数据中心时，将二层数据包封装为VXLAN数据包并加上VXLAN头部信息，包括VNI和远程VXLAN网关的IP地址，远程VXLAN网关接收到VXLAN数据包后，解封装数据包，将原始的二层数据包发送到目标设备，在SD-WAN网络中配置路由，将不同地域以及不同数据中心的VXLAN网络路由连接在一起，用于确保数据包正确通过VXLAN隧道进行传输，所述VXLAN对称路由模型建立具体步骤：在SD-WAN网络设备上配置VXLAN网络，包括VXLAN隧道的建立和VXLAN网络中的VNI分配，并为每个客户的二层网络分配唯一的L2VNET，用于确保不同客户之间的二层网络不会相互干扰，为每个VRF分配唯一的L3VNET并对应到VXLAN网络的L3 VNI，用于确保每个VRF都有自己独立的L3VNET，避免不同VRF之间的冲突和干扰，当需要进行跨站点的L3通信时，源CPE节点使用VRF对应的L3VNI封装数据包，并通过VXLAN隧道发送到目的CPE节点，当封装的数据包到达目的CPE时，目的CPE节点将L3VNI映射到VRF，并使用VRF+IP前缀查找路由表，用于获取最终的路由信息并确保数据包正确到达目的地。

在一个优选地实施方式中，所述S102中，通过在SD-WAN设备上创建一个二层网桥接口，导航到网络接口配置界面将需要连接的不同地域以及不同数据中心的二层网络接入到该二层网桥接口，并通过创建的二层网桥接口进行配置，利用网络接口配置以及二层网桥配置的选项，创建一个新的二层网桥接口，用于配置网桥的名称、VLAN信息、IP地址的参数，将需要连接的不同地域以及不同数据中心的二层网络通过子接口接入到创建的二层网桥接口，配置二层网桥的转发规则并激活二层网桥接口，所述转发规则包括学习和转发方式、MAC地址表管理。

在一个优选地实施方式中，所述S103中，通过配置二层VPN实现大二层通信，建立二层VPN隧道，不同地域以及不同数据中心的设备在同一个虚拟二层网络中进行通信，导航到VPN配置界面并选择创建新的VPN隧道，选择二层VPN类型，配置VPN隧道的名称、隧道类型和加密算法的参数，根据已创建的二层VPN隧道配置二层VPN隧道的本地和远程端点，包括配置本地和远程端点的IP地址和VLAN信息以及配置每个端点的加密算法和预共享密钥的参数，配置完成后保存并应用新的配置，用于确保启用创建的二层VPN隧道，在每个设备上创建一个新的二层网络接口，配置接口的名称、VLAN信息和IP地址参数，将每个接口连接到创建的二层VPN隧道，在不同地域以及不同数据中心的设备上进行测试，用于确保设备相互通信，所述在不同地域以及不同数据中心的设备上进行测试的具体步骤为：打开命令行界面并输入ping命令后跟连接设备的IP地址，当ping命令成功返回，表示两台设备之间的二层VPN连接已经建立成功并进行通信。

在一个优选地实施方式中，所述S104中，ARP请求通过隧道广播方式到达远端，CPE发送ARP请求，请求目标主机的MAC地址，利用隧道广播开启水平分割，用于避免环路，CPE通过观察流量学习到本地主机的MAC和IP地址，控制器收到CPE学习到的信息，通过ARP和MAC表的反射将学习到的信息传递给中间POP和远端CPE，中间POP和远端CPE学习到本地主机的MAC信息，本端CPE对ARP进行代答，应答MAC为SYSMAC，本端主机采用SYSMAC作为目的访问远端主机，CPE终结二层，转换成三层查询主机路由方式在SD-WAN网络中转发，CPE学习到本地主机P和MAC后，控制器将本地终端的IP以主机路中方式通告到中间POP节点以及赔域POP节点，当后续二层报文到达CPE时，CPE查询本地MAC表以及目标主机的MAC地址，获取目标主机的MAC地址并利用CPE将数据包转发到目标主机，在通信的两端配置IPSec隧道，包括选择加密算法、认证算法的参数，通过IPSec隧道进行加密通信，当存在公网NAT的情况，在隧道两端进行NAT穿越配置，用于确保隧道通信正常，调用S101中VXLAN建立隧道将不同租户的数据包封装在不同的VXLAN隧道中，用于确保数据包不会被泄露到其他租户中，当POP之间存在1:1NAT的情况，VXLAN隧道穿越1:1NAT，不需要单独部署物理机直接分配固定公网IP。

在一个优选地实施方式中，所述S105中，基于跨域隧道建立跨域eBGP邻居，在两个不同域之间的路由器上配置eBGP邻居关系，用于确保两端路由器相互发现并建立eBGP邻居关系，使用跨域隧道的地址作为邻居地址，用于确保跨域通信的可达性，配置BGP邻居的相关属性，包括AS号、对端地址，在VRF配置中启用BGP-EVPN地址族，并配置路由目标，将IP路由发布到BGP邻居启用EVPN功能，并配置相应的导入路由目标和导出路由目标通过EVPN自动完成跨域路由发布，控制器在另一个域内进行路由通告，远端CPE学习到跨域主机IP信息，用于确保路由信息在跨域eBGP邻居之间传递。

本发明的有益效果是：利用SD-WAN网络配置二层网桥以及VPN功能，通过建立二层VPN隧道并配置二层路由，将不同地域以及不同数据中心的二层网络连接在一起，利用SD-WAN网络跨越多个地理位置，将不同地点的局域网连接在一起，实现大二层通信，SD-WAN网络具有强大的安全性，包括数据加密、身份验证和访问控制，用于确保大二层通信的安全性和隐私性实现分支机构之间的数据共享和协作，SD-WAN网络提供集中化的管理平台，对整个网络进行统一管理和监控，简化网络运维和故障排除的工作，通过SD-WAN网络的流量路由和链路利用率优化，降低网络运营成本，并且利用低成本的公共互联网链路实现大二层通信。

附图说明

图1为本发明方法流程图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

在本申请的描述中，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个所述特征。在本申请的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

在本申请的描述中，术语“例如”一词用来表示“用作例子、例证或说明”。本申请中被描述为“例如”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本发明，给出了以下描述。在以下描述中，为了解释的目的而列出了细节。应当明白的是，本领域普通技术人员可以认识到，在不使用这些特定细节的情况下也可以实现本发明。在其它实例中，不会对公知的结构和过程进行详细阐述，以避免不必要的细节使本发明的描述变得晦涩。因此，本发明并非旨在限于所示的实施例，而是与符合本申请所公开的原理和特征的最广范围相一致。

本实施例提供了如图1所示跨控制域SD-WAN网络实现大二层通信的方法，具体包括以下步骤：

S101：利用现有IP网络创建一个虚拟二层网络，并采用VXLAN对称路由模型进行SD-WAN中跨节点通信，在不同地域以及不同数据中心的SD-WAN设备上配置VXLAN网关；

进一步地，利用现有IP网络创建一个虚拟二层网络，用于实现不同地域以及不同数据中心之间的二层通信，并采用VXLAN对称路由模型进行SD-WAN中跨节点通信，在不同地域以及不同数据中心的SD-WAN设备上配置VXLAN网关，用于确定VXLAN的VNI和本地VXLAN网关的IP地址，当SD-WAN设备发送数据包到另一个地域和数据中心时，将二层数据包封装为VXLAN数据包并加上VXLAN头部信息，包括VNI和远程VXLAN网关的IP地址，远程VXLAN网关接收到VXLAN数据包后，解封装数据包，将原始的二层数据包发送到目标设备，在SD-WAN网络中配置路由，将不同地域以及不同数据中心的VXLAN网络路由连接在一起，用于确保数据包正确通过VXLAN隧道进行传输，所述VXLAN对称路由模型建立具体步骤：在SD-WAN网络设备上配置VXLAN网络，包括VXLAN隧道的建立和VXLAN网络中的VNI分配，并为每个客户的二层网络分配唯一的L2VNET，用于确保不同客户之间的二层网络不会相互干扰，为每个VRF分配唯一的L3VNET并对应到VXLAN网络的L3 VNI，用于确保每个VRF都有自己独立的L3VNET，避免不同VRF之间的冲突和干扰，当需要进行跨站点的L3通信时，源CPE节点使用VRF对应的L3VNI封装数据包，并通过VXLAN隧道发送到目的CPE节点，当封装的数据包到达目的CPE时，目的CPE节点将L3VNI映射到VRF，并使用VRF+IP前缀查找路由表，用于获取最终的路由信息并确保数据包正确到达目的地。

S102：通过在SD-WAN设备上创建一个二层网桥接口，将需要连接的不同地域以及不同数据中心的二层网络通过子接口接入到创建的二层网桥接口，配置二层网桥的转发规则并激活二层网桥接口；

进一步地，通过在SD-WAN设备上创建一个二层网桥接口，导航到网络接口配置界面将需要连接的不同地域以及不同数据中心的二层网络接入到该二层网桥接口，并通过创建的二层网桥接口进行配置，利用网络接口配置以及二层网桥配置的选项，创建一个新的二层网桥接口，用于配置网桥的名称、VLAN信息、IP地址的参数，将需要连接的不同地域以及不同数据中心的二层网络通过子接口接入到创建的二层网桥接口，配置二层网桥的转发规则并激活二层网桥接口，所述转发规则包括学习和转发方式、MAC地址表管理。

需要说明的是，将不同地域和不同数据中心的二层网络接入到二层网桥接口时，需要为每个子接口分配一个唯一的VLAN标示符，并将这些子接口与二层网桥接口进行关联。

S103：建立二层VPN隧道，不同地域以及不同数据中心的设备在同一个虚拟二层网络中进行通信，将每个接口连接到创建的二层VPN隧道，在不同地域以及不同数据中心的设备上进行测试；

进一步地，通过配置二层VPN实现大二层通信，建立二层VPN隧道，不同地域以及不同数据中心的设备在同一个虚拟二层网络中进行通信，导航到VPN配置界面并选择创建新的VPN隧道，选择二层VPN类型，配置VPN隧道的名称、隧道类型和加密算法的参数，根据已创建的二层VPN隧道配置二层VPN隧道的本地和远程端点，包括配置本地和远程端点的IP地址和VLAN信息以及配置每个端点的加密算法和预共享密钥的参数，配置完成后保存并应用新的配置，用于确保启用创建的二层VPN隧道，在每个设备上创建一个新的二层网络接口，配置接口的名称、VLAN信息和IP地址参数，将每个接口连接到创建的二层VPN隧道，在不同地域以及不同数据中心的设备上进行测试，用于确保设备相互通信，所述在不同地域以及不同数据中心的设备上进行测试的具体步骤为：打开命令行界面并输入ping命令后跟连接设备的IP地址，当ping命令成功返回，表示两台设备之间的二层VPN连接已经建立成功并进行通信。

需要具体说明的是在测试不同地域和不同数据中心的设备之间的通信时，使用ping命令来测试连接性，但是需要注意的是，如果使用了VLAN，则需要在ping命令中执行相应的VLAN ID。

S104：ARP请求通过隧道广播方式到达远端，CPE通过观察流量学习到本地主机的MAC和IP地址，控制器收到CPE学习到的信息，获取目标主机的MAC地址并利用CPE将数据包转发到目标主机，并在通信的两端配置IPSec隧道；

进一步地，ARP请求通过隧道广播方式到达远端，CPE发送ARP请求，请求目标主机的MAC地址，利用隧道广播开启水平分割，用于避免环路，CPE通过观察流量学习到本地主机的MAC和IP地址，控制器收到CPE学习到的信息，通过ARP和MAC表的反射将学习到的信息传递给中间POP和远端CPE，中间POP和远端CPE学习到本地主机的MAC信息，本端CPE对ARP进行代答，应答MAC为SYSMAC，本端主机采用SYSMAC作为目的访问远端主机，CPE终结二层，转换成三层查询主机路由方式在SD-WAN网络中转发，CPE学习到本地主机P和MAC后，控制器将本地终端的IP以主机路中方式通告到中间POP节点以及赔域POP节点，当后续二层报文到达CPE时，CPE查询本地MAC表以及目标主机的MAC地址，获取目标主机的MAC地址并利用CPE将数据包转发到目标主机，在通信的两端配置IPSec隧道，包括选择加密算法、认证算法的参数，通过IPSec隧道进行加密通信，当存在公网NAT的情况，在隧道两端进行NAT穿越配置，用于确保隧道通信正常，调用S101中VXLAN建立隧道将不同租户的数据包封装在不同的VXLAN隧道中，用于确保数据包不会被泄露到其他租户中，当POP之间存在1:1NAT的情况，VXLAN隧道穿越1:1NAT，不需要单独部署物理机直接分配固定公网IP。

需要说明的是在SD-WAN网络中，当CPE发送ARP请求时，该请求将通过隧道广播的方式传输到远端，能够避免环路并确保ARP请求能够到达目标主机，通过观察流量，CPE能够学习到本地主机的MAC和IP地址，这样CPE就能够知道如何正确的转发数据包，控制器会接收到CPE学习到的MAC和IP地址信息，并将其传递给中间POP节点和远端CPE，这样中间POP和远端CPE也能学习到本地主机的MAC信息，本端CPE会对接收到的ARP进行代答，将应答的MAC地址设置为SYSMAC，这样本端主机在访问远端主机时，会使用SYSMAC作为目的MAC地址，CPE会将二层报文转换成三层查询主机路由的方式进行转发，这意味着CPE会根据目标主机的IP地址查询路由表，并将数据包转发到正确的目标主机，在通信的两端配置IPSes隧道，用于加密通信，如果存在公网NAT，需要进行NAT穿越配置，如果POP之间存在1:1NAT，可以配置VXLAN隧道来实现隧道穿越，以便数据包能够正确的传输。

S105：基于跨域隧道建立跨域eBGP邻居，在两个不同域之间的路由器上配置eBGP邻居关系，使用跨域隧道的地址作为邻居地址，将IP路由发布到BGP邻居启用EVPN功能，并配置相应的导入路由目标和导出路由目标通过EVPN自动完成跨域路由发布；

进一步地，基于跨域隧道建立跨域eBGP邻居，在两个不同域之间的路由器上配置eBGP邻居关系，用于确保两端路由器相互发现并建立eBGP邻居关系，使用跨域隧道的地址作为邻居地址，用于确保跨域通信的可达性，配置BGP邻居的相关属性，包括AS号、对端地址，在VRF配置中启用BGP-EVPN地址族，并配置路由目标，将IP路由发布到BGP邻居启用EVPN功能，并配置相应的导入路由目标和导出路由目标通过EVPN自动完成跨域路由发布，控制器在另一个域内进行路由通告，远端CPE学习到跨域主机IP信息，用于确保路由信息在跨域eBGP邻居之间传递。

需要具体说明的是建立虚拟二层网络的具体步骤如下：

S1、确定网络拓扑：确定需要连接的不同地域和不同数据中心的二层网络，并设计好网络拓扑结构；

S2、配置VXLAN隧道：使用VXLAN技术来创建虚拟二层网络，在每个节点上，配置VXLAN隧道的参数，包括隧道地址、VNI；

S3、创建VXLAN网关：在每个地域和数据中心的SD-WAN设备上，配置VXLAN网关，将本地物理结构与VXLAN隧道关联起来。

需要说明的是，在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其它实施例的相关描述。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和/或方框图来描述。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式计算机或者其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包括这些改动和变型在内。