基于SD-WAN的多数据中心互联优选的实现方法和系统
技术领域
本发明涉及通信领域,尤其涉及一种基于SD-WAN的多数据中心互联优选的实现方法和系统。
背景技术
目前,分支机构与数据中心实现互联的方式主要是基于IPsec(IP Security,IP安全协议)和专线互联实现的;其中,IPsec是IETF(The Internet Engineering Task Force,国际互联网工程任务组)制定的三层互联加密协议,为互联网上的数据传输提供高质量、可互操作、基于密码学的安全保证。IPsec特定的通信方之间通过在IP层采用数据加密和数据来源认证等方式,提供以下安全服务:
1.数据机密性:IPsec发送方在网络传输前对数据包进行加密;
2.数据完整性:IPsec接收方对发送方发送来的数据包进行认证,以确保数据在传输过程中没有被篡改;
3.数据来源认证:IPsec接收方可以认证发送IPsec报文的发送端是否合法;
4.重放性:IPsec接收方可以检测并拒绝接收过时或重复的IPsec报文;
5.GRE(Generic Routing Encapsulation,通用路由封装):定义在一种网络协议上封装另一种协议的过程,因此可以封闭IPsec;
因为IPsec本身配置部署非常复杂,在分支机构互联场景下,为了路由管理的便利性一般会利用GRE over IPsec的方案来解决路由分发问题,如图1所示。
专线互联是指借助网络运营商的运营骨干传输网(例如MPLS或MSTP)将分支机构进行物理互联,如图2所示。
其中,基于IPsec实现分支机构与数据中心互联存在以下问题:
1.分支机构的IP地址有可能是不固定的,因此IPsec需要不定期的人为建立互联;
2.IPsec受互联网质量影响较大,特别是跨网络运营商部署的场景,严重影响业务体验;
3.IPSec设备性能依赖于设备本身,无法做到纵向扩展,分支机构设备较多的时候,IPSec设备会成为单点隐患;
4.多个数据中心与分支机构互联时,利用GRE over IPsec的方案无法做到路由快速切换,只能基于人为路由处理;
基于专线互联实现分支机构与数据中心互联存在以下问题:
1.专线的价格昂贵,如果分支机构同时需要专线做备份的价格更高,企业往往难以承受;
2.专线的施工、入手都是基于网络运营商的现有体系,实施周期比较长,无法按需扩容;
3.专线互联场景下需要有网络设备做接入,并且路由的快速切换需要人为处理。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于SD-WAN的多数据中心互联优选的实现方法和系统,分支机构与数据中心是基于互联网互联和SD-WAN互联的双重保护,相比专线互联成本较低;分支机构会主动监控多个数据中心的互联网络质量,并上报控制中心,控制中心会实时做出互联优选决策和相应的路由处理,从而保证了业务的体验。
本发明提供基于SD-WAN的多数据中心互联优选的实现方法,所述方法包括以下步骤:
步骤1:将分支机构的云盒和数据中心的云盒接入互联网;
步骤2:当云盒接入互联网后,分支机构的云盒通过互联网和骨干网与数据中心的云盒之间建立两条互联;
步骤3:当互联建立后,分支机构的云盒与数据中心的云盒之间建立两条BGP邻居;
步骤4:分支机构的云盒实时监控互联的网络质量并上报,骨干网的监控中心根据网络质量的差异确定互联的优先级,并将优先级参数通过分支机构的云盒设置到每条BGP邻居上;
步骤5:分支机构的主机根据优先级互联访问数据中心的应用服务器。
进一步的,一条互联对应一条BGP邻居。
进一步的,所述分支机构的云盒和数据中心的云盒支持接入不同运营商的有线宽带,具有4G功能,并且默认通过有线宽度访问互联网。
进一步的,所述分支机构的云盒是采用SSL协议通过互联网和骨干网与数据中心的云盒之间建立两条互联。
进一步的,所述分支机构的云盒采用BGP路由协议与数据中心的云盒之间建立两条BGP邻居。
基于SD-WAN的多数据中心互联优选的系统,所述系统包括分支机构、数据中心、骨干网;所述分支机构包括主机、与主机连接的云盒,所述数据中心包括应用服务器、与应用服务器连接的云盒;所述分支机构的云盒通过互联网和骨干网分别与数据中心的云盒建立两条互联。
进一步的,所述骨干网包括控制中心、与控制中心连接的控制节点;控制中心包括中心服务器、与中心服务器连接的数据库;控制节点包括节点管理器、与节点管理器连接的消息队列,节点管理器和中心服务器是基于HTTP协议实现连接。
进一步的,分支机构的云盒、控制中心的云盒与节点管理器是基于HTTP协议实现连接。
进一步的,所述数据中心的个数不小于两个。
如上所述,本发明的基于SD-WAN的多数据中心互联优选的实现方法和系统,具有以下有益效果:
1、本发明支持接入不同运营商的有线宽度,并集成4G功能,改善原有互联网接入网络不稳定的问题。
2、本发明支持云盒的零配件部署,实施快捷方便,极大改善了业务的快速变化需求。
3、本发明数据中心的云盒是基于x86的软硬件架构,完美地支持横向扩展方案,规避了用户单点故障的风险。
4、本发明统一管理分支机构的云盒,简化了分支机构的网络维护管理,减轻了IT部门的运维压力。
5、本发明实施周期短,实施成本低,能有效降低企业的IT支出成本。
附图说明
图1显示为本发明现有技术中公开的基于IPsec实现分支机构与数据中心互联的系统框架图。
图2显示为本发明现有技术中公开的基于专线互联实现分支机构与数据中心互联的系统框架图。
图3显示为本发明实施例中公开的基于SD-WAN的多数据中心互联优选的系统框架图。
图4显示为本发明实施例中公开的数据中心、骨干网以及分支机构连接示意图。
图5显示为本发明实施例中公开的基于SD-WAN的多数据中心互联优选的实现方法互联建立和重连流程图;
图6显示为本发明实施例中公开的基于SD-WAN的多数据中心互联优选的实现方法互联优选流程图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
本发明提供一种基于SD-WAN(广域软件定义网络)的多数据中心互联优选系统,所述系统包括分支机构、数据中心、骨干网,所述分支机构包括主机、与主机连接的云盒,所述数据中心包括应用服务器、与应用服务器连接的云盒;
所述分支机构的云盒采用SSL(安全套接层)协议通过互联网和骨干网分别与数据中心的云盒建立两条互联互联(虚拟通道),其中,所述数据中心的个数不少于2个。
如图3所示,本发明以两个数据中心进行详细说明,包括数据中心A和数据中心B,数据中心A的云盒、数据中心B的云盒以及分支机构的云盒分别从输入点接入骨干网。
具体的,所述骨干网是基于SDN技术搭建的,所述骨干网包括控制中心、与控制中心连接的控制节点;控制中心包括中心服务器、与中心服务器连接的数据库;控制节点包括节点管理器、与节点管理器连接的消息队列,节点管理器和中心服务器是基于HTTP协议实现连接;分支机构的云盒、控制中心的云盒与节点管理器是基于HTTP协议实现连接。
所述分支机构的云盒、骨干网、数据中心的云盒之间的网络转发平面称为转发面,所述转发面的数据皆为用户的通信数据。
如图4所示,本发明中以两个数据中心对应设置的控制接点进行说明,包括控制节点1、控制节点2以及控制节点3,所述控制节点1与数据中心A的云盒连接,控制节点2与数据中心B的云盒连接,控制节点3与分支机构的云盒连接,控制节点1、控制节点2以及控制节点3的节点管理器分别与控制中心的中心服务器基于HTTP协议实现连接。
具体的,当分支机构的云盒与数据中心的云盒互联建立后,分支机构的云盒会定期对每条互联的质量(延时、丢包、抖动)进行监控,并将数据上报给控制中心,控制中心根据互联的质量进行优先级分配,并通知分支机构的云盒进行互联优先级设定,当互联优先级设定后,分支机构的主机可以根据优先级互联访问多个数据中心的应用服务器;
其中,监控中心用于根据监控数据做出互联优选决策,并通过控制节点向数据中心的云盒传递指令,并且提供图像化的界面,供管理人员对所有的云盒进行配置和监控;
控制节点用于将控制指令传递给所有云盒并接收云盒监控数据上报,通过增加监控节点,可以分摊整个系统的控制压力,做到横向扩展;
数据中心的云盒和分支机构的云盒负责提供网络服务,执行控制节点传输的控制指令;
关于控制指令传输,中心服务器向节点管理器发送指令是采用常规的HTTP协议和接口实现;
由于分支机构的云盒和数据中心的云盒分别在分支机构内网和数据中心内网,因此节点管理器通过向消息队列发送消息,分支机构的云盒和数据中心的云盒主动读取消息队列的消息,间接实现控制指令传输;
关于监控数据上报,分支机构的云盒和数据中心的云盒通过HTTP协议和接口实现向节点管理器上报数据,节点管理器和中心服务器共同连接同一个数据库,节点管理器无需再以接口形式向中心服务器上报,由节点管理器写入数据,中心服务器可以直接读取,降低系统复杂度。
本发明提供一种基于SD-WAN的多数据中心互联优选的实现方法,所述方法是基于上述系统实现的,所述方法包括以下步骤:
步骤1:将分支机构的云盒和数据中心的云盒接入互联网;
其中,当支机构的云盒和数据中心的云盒接入互联网后,在控制中心显示为在线状态;
分支机构的云盒和数据中心的云盒支持接入不同运营商的有线宽带,具有4G功能,并且默认通过有线宽度访问互联网,所有云盒的WAN监测脚本会每秒去获取互联网的IP地址,如果获取失败,则云盒认为互联网中断,云盒会将访问互联网切换到4G,从而保证互联网接入不会中断;
步骤2:当云盒接入互联网后,分支机构的云盒采用SSL协议通过互联网和骨干网与数据中心的云盒建立两条互联;
步骤3:当互联建立后,分支机构的云盒采用BGP路由协议与数据中心的云盒之间建立两条BGP邻居(一条互联对应一条BGP邻居),通过BGP协议的属性调整达到控制路由的目的;
步骤4:分支机构的云盒实时监控互联的网络质量并上报,骨干网的监控中心根据网络质量的差异确定互联的优先级,并将优先级参数通过分支机构的云盒设置到每条BGP邻居上;
步骤5:分支机构的主机根据优先级互联访问数据中心的应用服务器。
本发明以两个数据中心进行详细说明,包括数据中心A和数据中心B,数据中心A的云盒与分支机构云盒之间建立两条互联
具体的,本发明以两个数据中心进行详细说明,分别为数据中心A和数据中心B;分支机构云盒采用SSL协议通过互联网和骨干网分别与数据中心A的云盒建立两条互联(A1和A2),同时与数据中心B的云盒建立两条互联(B1和B2),具体的互联建立和重连流程如图5所示;
互联建立后,分支机构的云盒采用BGP(边界网关)协议与数据中心A和数据中心B建立四个邻居(每一条互联对应一条BGP邻居);
当分支机构的云盒与数据中心的云盒互联建立后,控制中心实时收集分支机构的云盒上报的A1、A2、B1、B2四条互联的网络质量,并根据网络质量的差异(连接延时大小、丢包率等)确定互联的优先级(比如A1>A2>B1>B2),随后控制中心将优先级参数传输到分支机构的云盒,分支机构的云盒将优先级参数设置到每条互联的BGP上(BGP优先级属性为localprefence),如图6所示;
当主互联链路中断的时候,BGP路由协议会利用优先级参数快速地将业务流量切换到备份互联链路上,从而保证了业务的体验;
当主互联链路质量下降的时候,比如A1的互联延时达到了阈值100ms,控制中心就会将优先级顺序进行调整,调整成B1>B2>A1>A2,进而通知分支机构的云盒改变BGP的localprefence(本地优先级属性),从而保证了业务的体验。
实施例1:
以某大型零售企业在城市A的某门店为例;
在改造前,该门店通过一台路由器接入互联网,并通过IPsec方式与城市B、城市C的数据中心进行互联,当遇到网络故障是,门店的业务将中断;
在改造后,互联网的接入层由云盒来承载,支持多家运营商的有线宽带同时接入,同时集成4G功能,当有线宽度接入故障时,将启用4G的方式从而保证接入不中断;
城市A的门店的云盒通过各接入点与城市B、城市C的数据中心同时建立两条以上的网络互联,并将网络质量状况上报控制中心;
控制中心收集到网络质量报告后设定初始的网络优先级,并将优先级通知城市A的门店的云盒,云盒根据优先级调整本地的数据流;
当城市A门店的云盒与城市B的数据中心的云盒互联故障时,城市A门店的云盒将数据流切换到城市C的互联,且城市C数据中心的云盒将调整门店的网络优先级,从而保证业务不中断。
综上所述,本发明相比专线互联成本较低,并且会根据互联的网络质量实时做出互联优选决策和相应的路由处理,从而保证了业务的体验。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
