MSP服务提供商SD-WAN场景分析和方案设计

移动办公、视频流量增加和业务云化的趋势增加了企业对网络带宽需求，应用对WAN的服务质量提出了更高的要求。企业的IT运维团队越来越难以为数据中心出口的业务（尤其是访问公有云的应用）提供QoS保证。伴随着云计算、大数据和AI的快速发展，企业日益增长的云访问需求与企业现有的IT能力匮乏的矛盾为MSP提供了广阔的市场和巨大的机遇。

MSP是企业获取网络托管服务的重要渠道，采用业界领先的管理技术，为企业提供系统的托管服务。MSP的核心竞争力是服务质量和技术水平，而传统MSP的最大不足就是技术水平不够，无法规模化发展。在企业业务云化的趋势下，MSP如何提升自身的多云管理能力、企业网络托管能力和专业服务能力，是MSP面临的新的挑战。

1．场景分析

针对当前业务中的问题以及对市场发展趋势的分析，某MSP服务商总结出如下的问题。

（1）企业“最后一公里”的接入成本高，业务开通慢

某MSP服务商在C国全国范围内租用了运营商的MSTP线路，并在此之上构建了MPLS VPN作为某MSP服务商的骨干网向企业提供专线服务，企业分支通过接入MSP骨干网可以满足企业分支访问数据中心、分支间互访等业务的需要。如果某MSP服务商不能提供企业客户站点“最后一公里”的线路设施，那么企业分支接入MSP骨干网将需要铺设线路，这部分昂贵的线路成本最终会由企业客户来承担，提高了企业购买某MSP服务商骨干网业务的资费门槛，而且线路的铺设也延长了业务开通的时间。

（2）云连接专线开通周期长，线路成本高，管理复杂

作为企业客户访问公有云的最后一段，某MSP服务商需要打通骨干网到企业公有云资源的连接。通过传统的专线方式，MSP需要支付昂贵的线路铺设的费用，以及向公有云服务商支付云专线接入的服务费用，这使得某MSP服务商需要负担沉重的前期投入。而面对不同企业访问不同的公有云的需求，传统专线的云连接方式带来了不能灵活开通业务、业务开通周期长、云连接业务质量不可见、多云管理复杂等诸多问题。

2．方案设计

基于当前某MSP服务商的现状，SD-WAN解决方案提供商为某MSP服务商设计的SD-WAN解决方案架构具有如下优势。

灵活的“最后一公里”接入降低了业务开通成本，缩短了业务开通周期。通过因特网实现企业分支到骨干网POP GW的SD-WAN接入，免去了铺设“最后一公里”的线路，同时ZTP降低了对开局人员的技术要求，能够快速响应企业客户的需求，加速分支业务的开通。

提供云接入和管理功能，满足企业业务云化的需求。通过在企业客户VPC中部署vCPE作为云站点，实现企业公有云资源与MSP骨干网POP的灵活打通和企业分支跨POP访问公有云。同时MSP具备对云站点以及对云连接的链路性能的可视化管理。

某MSP服务商的SD-WAN解决方案的架构如图1所示。

图1 某MSP服务商的SD-WAN解决方案的架构

（1）总体规划

某MSP服务商在数据中心部署SD-WAN网络控制器，引入多租户RR、POP GW等设备，同时对企业客户已有的站点进行网络改造，完成传统站点向SDWAN站点的迁移，协助客户部署新的SD-WAN站点。

某MSP服务商在数据中心部署网络控制器用于对所有租户的SD-WAN设备进行管理和业务编排；网络控制器提供两个南向业务IP地址，分别对应MPLS链路和因特网链路，SD-WAN站点开局时可选择通过MPLS链路或因特网链路向网络控制器注册。

数据中心内需要部署多租户RR站点，作为统一的控制平面。

在MSP骨干网边缘部署多个POP GW站点，作为骨干网的SD-WAN接入点。

企业站点根据企业的需要部署单网关或双网关站点。

为企业提供多租户RR以及POP GW接入服务，Overlay网络统一规划，为企业客户分配多租户共享的路由域，如MPLS（MSP）、因特网（MSP）等。

划分接入区，并关联RR和POP GW，按接入区为企业客户提供骨干网接入服务。部署时，首先部署网络控制器，其次部署多租户RR站点，再次部署多租户POPGW站点，最后部署企业站点。

（2）站点设计

企业站点

在企业网络出口部署支持SD-WAN功能的CPE。企业用户可以根据需要在分支站点选择部署一台或两台SD-WAN CPE，设备类型包含CPE、uCPE和vCPE。LAN侧与WAN侧的路由设计如下。

LAN侧：CPE可以有线和无线两种方式与LAN侧交换机或终端互联。双CPE组网场景下可部署VRRP提高可靠性。LAN侧交换机工作在二层模式下时，可通过VLAN与CPE互通；工作在三层模式下时，可通过OSPF协议、BGP、直连路由协议或静态路由协议与CPE互通，并采用水平分割的方式避免路由环路。

WAN侧：企业站点CPE与因特网上行的WAN链路互联。可根据WAN上层网络的接入情况，部署OSPF协议、eBGP或静态路由协议。

POP GW站点

在某MSP服务商提供的MPLS VPN的边缘部署支持SD-WAN功能的转发设备，作为SD-WAN站点接入MPLS VPN的POP GW，具体方案为分区域部署SD-WAN边界网关设备POP GW，POP GW站点为单网关CPE站点，通过主备区域POP GW保证企业业务的可靠性。POP GW需要支持多租户，即将一台POP GW在逻辑上划分成若干个虚拟边界网关，每个接入的企业为一个租户。虚拟边界网关设备对企业用户可见，MSP网络管理员可以对虚拟边界网关进行管理和控制。

POP GW LAN侧通过MPLS Option B的方式与传统MPLS网络的ASBR PE对接，通过MP-eBGP交互路由，为企业提供与传统MPLS网络站点互通的SD-WANOverlay接入服务。

POP GW WAN侧与因特网WAN链路互联。可根据WAN上层网络的接入情况，部署OSPF协议、eBGP或静态路由协议。

多租户RR站点

在POP GW组网场景中需要部署多租户RR站点来建立企业站点间以及企业站点到POP GW的控制通道，由某MSP服务商统一管理与维护。多租户RR站点为单网关CPE站点，LAN侧不做部署，WAN侧通常可部署双WAN链路，一条为某MSP服务商的骨干网专线链路，另一条连接因特网链路。多租户RR站点的WAN接口可根据WAN上层网络的接入情况，部署OSPF协议、eBGP或静态路由协议，Overlay与POP GW以及企业站点通过MP-BGP交互Overlay路由。

（3）组网设计

控制平面

POP互联组网场景中，控制平面统一由某MSP服务商部署的多租户RR站点承载。

分区域部署多租户RR站点，与本区域内的POP GW建立Overlay控制通道。

企业基于VPN选择接入区，站点与接入区内的RR站点建立Overlay控制通道；站点可分别关联主备接入区内的RR站点增强控制平面的可靠性。

数据平面

某MSP服务商的SD-WAN中Overlay的组网可由如下两部分组成。

企业站点和POP GW互联。如果企业有跨区域访问数据中心、访问公有云以及分支互访的需求，企业站点可通过POP互联的方式，接入区域内的POP GW，保障业务的体验。企业站点与POP GW建立Overlay隧道作为数据通道，不同接入区的POP GW间通过某MSP服务商骨干网Underlay互通。

企业内站点间的Overlay互联。对于企业的SD-WAN站点，可根据企业内站点间互访的需要，通过WAN侧因特网构建Full-mesh拓扑的组网。

（4）业务设计

业务访问

某MSP服务商为保障不同租户访问骨干网的业务带宽，在POP GW和骨干网PE间按照租户VPN配置了QoS策略，基于租户VPN对访问MSP骨干网的流量进行带宽限速，同一租户VPN的所有分支共享一个骨干网接入带宽。

某MSP服务商代维模式在企业分支站点设备上开启应用识别（首包识别/特征识别）功能，识别企业现网业务应用，并基于应用识别的结果配置基于应用的智能选路、QoS策略，保障企业关键应用的带宽和优先级。对于企业分支通过多个因特网线路连接POP GW的场景，某MSP服务商可配置分支到POP GW的选路策略，实现业务流量在多个因特网链路上的分担，满足企业客户的关键应用体验以及对因特网带宽合理利用。

因特网访问

某MSP服务商的SD-WAN解决方案为企业客户提供了不同的因特网访问方式，包括站点本地上网、集中站点上网和混合方式上网。

公有云访问

某MSP服务商通过在企业公有云VPC中部署vCPE将企业云资源作为云站点，基于因特网或MSP部署的云专线Underlay传输网，实现云站点到POP GW的SD-WANOverlay接入，企业SD-WAN分支站点通过MSP骨干网采用跨POP GW站点的方式访问公有云站点。

与传统网络互通

某MSP服务商骨干网中的传统企业站点不在网络控制器的管理和控制范围内，需要MSP支持企业SD-WAN站点和传统MPLS站点互访。根据某MSP服务商的网络情况，推荐SD-WAN站点通过连接POP GW实现与传统站点的互访。

（5）安全设计

某MSP服务商在部署SD-WAN解决方案时，考虑通过以下几种方式提升安全性。

路由策略控制：管理员在网络控制器上配置Underlay WAN路由策略，通过路由白名单或黑名单进行过滤，使站点只接收来自网络控制器以及对端SD-WAN站点的路由。

ACL访问控制：根据企业客户接入网规范，在企业分支站点WAN侧的入方向部署ACL策略，过滤恶意报文和限制危险端口访问。

uCPE部署vFW：对于部分部署uCPE的站点，在uCPE上创建业务链，部署vFW增加安全性。vFW可具备专业的七层防火墙的安全防护功能，如防病毒等。

保证Overlay数据的安全性：对SD-WAN中因特网链路的Overlay隧道采用IPSec加密，保障数据传输的安全性。

（6）运维设计

某MSP服务商的运维工作除了包含企业自建SD-WAN运维子方案中所涉及的CPE开局、网络业务监控、网络业务维护等内容外，还涉及多租户管理和客户Portal访问权限管理等。

某MSP服务商为企业客户提供了多种不同的SD-WAN站点开局方式，以适应不同场景的需要，包括邮件开局、DHCP开局、注册中心开局、U盘开局。

企业客户的运维可采用MSP代维模式，由某MSP服务商统一负责代维代建，同时某MSP服务商会提供只有监控权限的租户账号给企业客户，作为SD-WAN服务的一部分。

Vecloud专业的企业组网服务商，致力于为企业提供企业组网（SD-WAN、MPLS、云互联），业务云化、数据中心、网络安全、行业IT解决方案等相关服务。