Silver Peak SD-WAN Internet Backhaul 配置方法

在 SD-WAN 里用户接入 Internet 有两大类方式,分别为 local breakout 和 backhaul。使用 backhaul 的情景可能是一个站点本身没有接入 Internet 或者是公司的策略要求全部访问 Internet 的数据必须要经过一个中心站点。Backhaul 的数据流模型如下:

在 Silver Peak SD-WAN 中无论 overly 配置的哪一种拓扑都可以很方便地使用 local breakout 或者 backhaul,实验拓扑如下:

DC 配置为中心站点,HQ 和 所有 Branch 访问 Internet 都 backhual 到 DC,注意 ECV-Branch-2 是一个 MPLS only 站点,它没有接入 Internet。实验使用的 overly 为 full-mesh 拓扑。

配置 overly,将 BIO 中的 Internet breakout 顺序设置为首先使用 bckhaul 其次使用 local breakout。

测试从 DC LAN 到 Internet 连通性:

从 DC LAN 到 Internet 的数据流使用的是 local breakout,并且是 passthrough,因为数据没有经过 overly tunnel。

测试从 Branch 1 到 Internet:

看起来连通性没有问题,但是当我们查看 flow 时发现实际上这个时候 Branch 1 使用的是 local breakout

在测试一下 Branch 2

由于 Branch 2 只有一条 MPLS 线路,所以直接掉包,并且在 flow 里显示为 “Dropped due to overlay internet policy”

通过上面的测试我们可以看出去往 Internet 的数据绕过了第一条 backhaul 策略,使用了第二条 local breakout。

检查 ECV-Branch-2 的路由表,发现没有从 DC 学到任何的默认路由。

在 DC-ECV-1 和 DC-ECV-2 上我们可以看见两条默认路由,但是由于它们是系统自动生成的并且 Advertise To Peers 为空(代表不能宣告该路由给 SD-WAN peer),所以并不能将其用作 backhaul 的默认路由使用。

我们在 ECV-DC-1 和 ECV-DC-2 上手动配置上默认路由 (注意调整 metric,使数据优先流向 ECV-DC-1)并宣告给 SD-WAN peer:

ECV-DC-1

ECV-DC-2

查看 SD-WAN Fabric 中的 EC,确保它们都学到了从 DC 注入的默认路由:

测试 ECV-Branch-2 连通性

在 ECV-Branch-2 上看到正确的 flow

如果我们回到 ECV-DC-1 上查看 flow 会发现一个特殊现象:每一个从 branch 到 DC 再到 Internet 的数据包会产生两个 flow,并且第一个 flow 显示 HAIRPIN1,第二个 flow 显示 HAIRPIN2:

Hairpin 就是我们平常说所的发夹,这里的逻辑是 backhaul 的数据在 ECV-DC-1 上一进一出,形成了一个像 hairpin 一样的 U 字模样

所以我们使用了 hairpin 这样形象的比喻来形容任何在一个站点进行中转的数据,至此 Internet backhaul 就配置完成。

发表评论

电子邮件地址不会被公开。