高可用性软件定义广域网

技术领域

本公开总体涉及用于将远程企业办公室连接在一起的软件定义网络，并且更具体地涉及能够克服通信故障的软件定义网络。

背景技术

软件定义广域网(SD-WAN)是一种无需服务提供商(SP)的帮助即可经由网络连接企业办公室的技术。SD-WAN使用安装在不同企业办公室中的客户驻地设备(CPE)。CPE一方面连接到内部办公室网络，另一方面连接到将这些办公室连接起来的外部网络(诸如互联网之类的WAN)。CPE经由外部网络自动与企业的其他CPE设备建立安全连通性，使不同办公室处的工作站和其他设备能够经由专用网络进行通信。

此外，CPE可以连接到多个网络，并基于每个网络的质量和企业特定的策略而自动决定哪些流量通过哪个网络(例如，敏感流量不通过互联网而是通过移动网络)。客户可以使用SD-WAN技术以经由更便宜的公共网络而不是从SP租用更昂贵的VPN来进行私密通信。

为减少因SD-WAN造成的客户流失，SP正试图提供他们自己的、使用相同CPE进行的SD-WAN服务。这些SP通过将CPE设备所连接的网络之一定义为通常在SD-WAN用户之间共享的、高质量且安全的虚拟专用网络(VPN)来提升价值。VPN一般用于企业的比较重要且敏感的流量，其他流量则使用互联网。然而，在SP网络发生故障影响共享VPN的情况下，使用共享VPN的重要流量将断开连接，直到IP层恢复共享VPN为止。

打算将SD-WAN技术用于小型/中型企业，这些企业不愿意为他们自己的、承载他们所有的流量的专用VPN支付高昂成本并且对服务质量和安全性要求不那么严格。高端客户通常坚持使用传统SP提供的、专用于这些高端客户的VPN服务(无需SD-WAN CPE)。

发明内容

本公开的实施例的一个方面涉及具有经由软件定义广域网(SD-WAN)连接的远程站点的企业组织。每个站点都安装有客户驻地设备(CPE)，该客户驻地设备使用两个或更多个VPN来自动定义将企业组织的各站点处的CPE连接在一起的弹性网络。由一组隧道来承载每个VPN中的CPE之间的流量。在本公开的示例性实施例中，任意两个服务提供商边缘路由器(PE)之间沿各个VPN的隧道行进的物理路径是不同的，使得如果源CPE与目的地CPE之间在一个VPN中的路径失效，则这两个相同CPE之间在另一VPN中的路径不会受到影响。可选地，如果沿着到目的地的路径的当前VPN失效，则源CPE会快速改变用于向目的地CPE传输数据的VPN。

因此，根据本发明的示例性实施例，提供了一种用于经由广域网连接企业组织的站点的系统，包括：

在企业组织的站点处的客户驻地设备(CPE)；

其中，该CPE被配置成经由广域网(WAN)使用至少两个VPN与企业组织的其他CPE进行通信；

其中，每个CPE通过服务提供商边缘路由器而连接到WAN；并且

其中，每个VPN定义了隧道，该隧道用于在IP层中在任意两个CPE的服务提供商边缘路由器之间路由流量。

在本公开的示例性实施例中，隧道被定义为使得服务提供商边缘路由器之间的物理路径在至少两个VPN中彼此不同。可选地，中央控制器指示服务提供商边缘路由器形成不同的路径。

在本公开的示例性实施例中，每个服务提供商边缘路由器被预配置成：为任意两个隧道形成不同路径，这些不同路径的两端由相同服务提供商边缘路由器终止。可选地，每个服务提供商边缘路由器为每个VPN定义回送地址，并在服务提供商边缘路由器对的相应回送地址之间创建隧道。在本公开的示例性实施例中，每个服务提供商边缘路由器为每个VPN定义虚拟路由器，并且将每个虚拟路由器与相应的回送地址绑定。可选地，CPE被配置成：监视与其他CPE的连通性状态并且响应于连通性状态选择用于传输流量的VPN。

在本公开的示例性实施例中，CPE把探测分组注入VPN的隧道中以确定连通性状态。可选地，CPE基于对所注入的探测分组的响应来选择用于传输流量的VPN。在本公开的示例性实施例中，CPE基于来自其他CPE的注入分组来选择用于传输流量的VPN。

根据本公开的示例性实施例，还提供了一种经由广域网连接企业组织的站点的方法，包括：

在企业组织的站点处安装客户驻地设备(CPE)；

将CPE配置成：使用至少两个VPN以经由广域网(WAN)与企业组织的其他CPE进行通信；

通过服务提供商边缘路由器将每个CPE连接到WAN；

其中，每个VPN定义了隧道，用于在IP层中在任意两个CPE的服务提供商边缘路由器之间路由流量。

附图说明

为了更好地理解本发明及其实际应用，提供并在下文中引用以下附图。应注意，附图仅被作为示例给出，决不限制本发明的范围。相似的组件由相似的附图标记表示。

图1是根据本公开的示例性实施例的将企业组织的办公室连接起来的SD-WAN网络的示例性配置的示意图；

图2是根据本公开的示例性实施例的由两个VPN提供的不同路径的示意图；并且

图3是根据本公开的一个示例性实施例的为两个VPN建立不同路径的示意图。

具体实施方式

图1是根据本公开的示例性实施例的将企业组织的办公室连接起来的SD-WAN网络100的示例性配置的示意图。在本公开的示例性实施例中，企业组织包括多个站点150，一个或多个工作站190作为企业网络的成员参与其中。在本公开中，工作站190还包括服务器和存储站或其他终端设备。可选地，工作站190经由局域网(LAN)105连接在一起。在本公开的示例性实施例中，每个站点150处的局域网105连接到客户驻地设备(CPE)110，以经由广域网(WAN)在伪专用网络中将企业组织的站点150自动连接在一起。可选地，每个CPE 110能够与企业组织的所有其他CPE 110进行通信。

在本公开的示例性实施例中，通过至少两个虚拟专用网络(例如，VPN1 125和VPN2135)来使CPE 110经由广域网(WAN)(例如，互联网115)连接在一起。CPE 110也可以经由互联网115或其他广域网连接在一起。可选地，CPE 110被配置成监视经由各WAN与每个远程CPE110的连通性状态，并基于各种特性(例如，安全性)、传输质量或在流量分组中提供的预指定指令来选择经由各种WAN进行的流量传输。传输质量可以包括监视分组丢失、延迟和抖动(延迟的差异性)。使用两个VPN增强了性能并提高了服务可用性，因为CPE 110可以通过选择更好的路径(例如，选择使用哪个VPN)来提高吞吐量或避免分组丢失。

在本公开的示例性实施例中，CPE 110可以把探测分组注入到从一个CPE 110去往(在不同位置处的)每一其他CPE 110的两个VPN中以确定连通性状态。可选地，探测分组包括序列号和时间戳以使得能够测量分组丢失和传输延迟。在本公开的示例性实施例中，远程CPE 110响应于注入的探测提供反馈。可选地，CPE 110可以基于响应于注入的探测分组而接收的信息来选择用于传输分组的特定VPN。在本公开的一些实施例中，CPE 110可以基于从其他CPE接收的探测分组的序列号和时间戳来选择用于传输数据分组的VPN。

在本公开的示例性实施例中，为每个VPN定义一组隧道以用于在IP层中路由流量。可选地，隧道可以是如以下示例中所描述的标签交换路径(LSP)。替代地，隧道可以基于多协议标签交换(MPLS)技术或分段路由(SR)技术。

在VPN1 125中，在企业网络中的每对CPE 110之间定义有路径LSP1(AB、AC、BC)120，而在VPN2 135中，在每对CPE 110之间定义有路径LSP2(AB、AC、BC)130。可选地，LSP被定义为使得连接到CPE110的任意两个服务提供商边缘路由器(PE)(例如参见图2)之间的物理路径彼此不同(例如，不共享节点或链路)。因此，如果任何特定物理链路出现故障，则只会影响两个VPN(VPN1 125、VPN2 135)中的一者。这两个VPN(VPN1 125、VPN2 135)因而保证了在任何单个物理链路故障160或特定物理链路上的拥塞事件下的通信。

SD-WAN网络100提供比下述SD-WAN网络更好的可用性：在该SD-WAN网络中，CPE使用单个VPN或两个并不能保证使用不同路径的VPN，这是因为单个故障可能会影响一对CPE之间在两个VPN上的流量。

在本公开的示例性实施例中，互联网115用作两个VPN的回退网络。CPE 110可以阻止敏感流量经由互联网115传输，除非两个VPN(125、135)都失效了。可选地，管理员可以预先选择是否允许在VPN发生故障的情况下经由互联网进行传输，或者可以在故障发生时进行选择。在本公开的一些实施例中，CPE 110探测各种现有路径(115、125和135)以基于质量、安全性或其他考量来选择传输路径。

图2是根据本公开的示例性实施例的由两个VPN(VPN1 125、VPN2135)提供的不同路径的示意图。在本公开的示例性实施例中，使用各种通信线路和服务提供商边缘路由器155、156来将VPN1和VPN2两者连接在站点A、B和C处的CPE 110之间。然而，VPN(LSP1 120、LSP2130)所使用的路径在任意两个站点(A、B、C)之间是不同的。如果例如路由器156或经过路由器156的通信线路失效或出现拥塞，则A与B之间的LSP2(AB)会失效。但是A与B之间的LSP1(AB)不会失效。类似地，A与C之间的LSP1(AC)会失效，但是A与C之间的LSP2(AC)不会失效。此外，B与C之间的LSP1(BC)和LSP2(BC)不会受到故障影响。

图3是根据本公开的示例性实施例的为两个VPN建立不同路径(LSP1 120、LSP2130(AB、AX))的示意图。在本公开的示例性实施例中，使用中央控制器300来指示服务提供商边缘路由器155形成不同路径LSP1和LSP2。可选地，可以默认形成一条路径(例如，LSP1(AB)120)，并且可以形成与第一条路径不同的第二条路径(例如，LSP2(AB))。类似地，中央控制器300可以根据需要重新路由路径以维持或提高多样性。

替代地，可以使用分布式方法，例如通过依靠多协议标签交换(MPLS)控制平面，来保证LSP多样性并为该LSP提供光纤共享风险链路组(SRLG)。在这种方法中，每个路由器都确保了路径的多样性。

在本公开的示例性实施例中，使用以下过程为每个VPNx分配相应的路径LSPx：

在CPE 110与服务提供商边缘路由器(PE)155(例如，路由器A、B或X)之间的接口310上定义2个虚拟网络(VLAN1、VLAN2)；

在连接到CPE 110的每个服务提供商边缘路由器(PE)155(例如，路由器A、B或X)中定义2个虚拟路由器，也被称为虚拟路由和转发实例(VRF)(例如，路由器A中的VRF1A、VRF2A和路由器B中的VRF1B、VRF2B)；

为每个PE 155(例如，路由器A、B或X)定义2个内部IP地址(回送地址)(路由器A中的LB1A、LB2A和路由器B中的LB1B、LB2B)；

在每对服务提供商边缘路由器(PE)155(例如，A和B、A和X)之间创建路径LSP1、LSP2：PE A中的LBxA与PE B中的LBxB之间的LSPx(例如，LB1A与LB1B之间的LSP1(AB))；

将每个虚拟路由器(VRFx)定义为连接到相应的回送地址(LBx)，如图3所示。

在本公开的示例性实施例中，CPE 110主动探测去往每个远程CPE110的路径，以使得该CPE可以响应于拥塞和质量(并不限于响应于故障)来平衡通信流量。

在以上详细描述中，阐述了许多具体细节以提供对本发明的透彻理解。然而，本领域的普通技术人员将理解，可以在没有这些具体细节的情况下实践本发明。在其他情况下，没有详细描述众所周知的方法、过程、组件、模块、单元和/或电路，以免模糊本发明。

尽管本发明的实施例在这方面不受限制，但是使用诸如“处理”、“计算(computing)”、“运算(calculating)”、“确定”、“建立”、“分析”、“检查”之类的术语的讨论可以指代计算机、计算平台、计算系统或其他电子计算设备的(一个或多个)操作和/或(一个或多个)过程，所述计算机、计算平台、计算系统或其他电子计算设备把表示为计算机的寄存器和/或存储器内的物理(电子)量的数据操纵和/或变换为类似地表示为计算机的寄存器和/或存储器或可以存储用以执行操作和/或过程的指令的其他信息非暂态存储介质(例如，存储器)内的物理量的其他数据。尽管本发明的实施例在这方面不受限制，但是如本文所使用的术语“多个”(“plurality”和“a plurality”)可包括例如“多个(multiple)”或“两个或更多个(two or more)”。在整个说明书中可以使用术语“多个”(“plurality”和“aplurality”)来描述两个或更多个组件、设备、元件、单元、参数等。除非明确说明，否则本文描述的方法实施例不限于特定次序或顺序。此外，所描述的方法实施例或其要素中的一些可以同时地、在同一时间点或并行地发生或执行。除非另有说明，否则本文使用的连词“或”应理解为包含性的(包含所陈述的选项中的任意选项或所有选项)。

上文使用的术语“电路(circuit)”和“连接(connection)”可以互换使用，并且可以指代数据流量在网络中从第一端点经由任意数量的网络设备和/或装置去往第二端点所采用的路径，例如连接客户站点的端到端路径。数据流量可以是单向的或双向的。另一方面，术语“电路系统(circuitry)”可以指代在网络中的装置和/或设备所使用的电子电路。本文可以使用术语“链接(link)”来指代相邻元件之间的连接。

本文公开了不同的实施例。某些实施例的特征可以与其他实施例的特征组合；因此某些实施例可以是多个实施例的特征的组合。已经出于说明和描述的目的呈现了对本发明的实施例的前述描述。该前述描述并不旨在是详尽无遗的或将本发明限制为所公开的精确形式。本领域技术人员应理解，根据以上教导，许多修改、变型、替换、变化和等同体是可能的。因此，应理解，所附权利要求书旨在涵盖落入本发明的真实精神内的所有此类修改和变化。

尽管已在本文中说明并描述了本发明的某些特征，但是本领域的普通技术人员现在将想到许多修改、替换、变化和等同物。因此，应理解，所附权利要求书旨在涵盖落入本发明的真实精神内的所有此类修改和变化。