1. SD-WAN组网介绍

SD-WAN（Software-Defined Wide Area Network，软件定义广域网络）将 SDN 技术应用到广域网场景，SD-WAN 用于连接地理分布范围较广、分支机构较多的企业网络、数据中心、互联网应用及云服务，帮助用户降低广域网的开支和提高网络连接灵活性，SD-WAN常见组网如下图所示：

图1 企业SD-WAN与数据中心组网

图1中企业总部、各分支机构、数据中心以及云上环境共同组成企业私有网络，通过SD-WAN Controller集中管理，实现机构自动化互联、业务自动部署和资源灵活调度，同时可根据业务需要申请Internet链路或MPLS专线，为不同业务访问提供不同SLA保障。SD-WAN方案具备如下优点：

1. 成本低：灵活组网，提升链路利用率，数据压缩，节省广域网带宽；
2. 体验优：智能调度，保障关键业务，多云互联；
3. 运维简单：零接触部署，分钟级开局，可视化运维，分钟级故障定位；
4. 安全性高：站点安全，隧道安全；

企业自建的数据中心，通常用来部署其关键业务应用，出于可靠性和安全性的双重考虑，通常会建设双活或者灾备数据中心。多个数据中心之间进行业务同步和备份，同时分支和总部用户会访问数据中心业务。此场景下，SD-WAN网络作为数据中心业务的承载网络，为数据中心租户业务提供互访和隔离能力，同时利用智能选路能力，可优化数据中心之间互访体验。

2.数据中心跨SD-WAN融合组网方案

目前在企业部署数据中心业务时，都是分别通过各自场景的DC Controller进行自动化操作，比如在DC Controller上部署租户VPC、子网、终端接入以及访问外网等业务，在SD-WAN Controller上部署站点、WAN侧互联、LAN侧互联、应用组等业务。但跨场景的业务拉通上，比如数据中心出口Border设备与SD-WAN站点设备之间的互联配置，目前都是需要管理员分别规划配置，无法做到自动化。
越来越多企业希望在部署跨数据中心租户业务时，能够做到数据中心出口与SD-WAN站点之间LAN侧的自动化打通，节省业务部署时间，简化管理员操作复杂度。另外，企业希望数据中心之间的租户业务互访时，能够在SD-WAN网络中进行SLA保障。
为实现客户上述需求，有以下两种实现方案：
 方案一：
以DC Controller为主，集成SD-WAN控制器，通过DC Controller调用SD-WAN Controller接口，与SD-WAN Controller配合，实现跨场景之间的业务自动化部署和SLA保障；
 方案二：
通过上层编排模块，实现跨数据中心与SD-WAN之间业务自动化部署和SLA保障，DC Controller与SD-WAN Controller各自负责本场景内业务，不相互交互；
以上两种方案都是可行方案，相比较而言，方案一存在以下缺点：

• 耦合性较大，DC Controller需要对接SD-WAN Controller，需要获取SD-WAN相关业务，不同厂家的SD-WAN
• Controller业务模型可能不同，需要进行模型适配； DC Controller通常部署在内部管理网中，而SD-WAN Controller通常部署在公网，两者直接交互存在网络安全隐患，某些客户场景可能不满足等保要求；
• 多数据中心互联，每个数据中心都有独立DC Controller，以哪个Controller为主进行操作是问题；

总体来说，方案一存在耦合性较大和使用场景限制，方案二通过增加上层编排模块，减少各场景Controller之间耦合性，控制模块与编排模块分工明确，是优选方案。
数据中心之间业务互访通常分为普通IP出口方式和DCI互联方式，本文介绍普通IP出口方式，并通过SD-WAN的LAN侧VPN实现业务隔离。

3. 数据中心跨SD-WAN融合组网的实现

3.1上层编排模块对接各场景控制器

上层编排模块需要对接DC Controller和SD-WAN Controller，通过添加Controller地址、端口、账户和密码等信息，将Controller对接起来。上层编排模块可以支持与各场景Controller进行业务同步，将各场景现存业务同步到编排模块，也支持与各场景Controller的业务审计，用于向下同步配置到各场景Controller上。

图2 跨场景组网架构

3.2上层编排模块实现跨场景统一编排

对接了各场景DC Controller后，就可以通过上层编排模块进行跨场景业务编排，实现互联部分自动化部署，具体流程如下：

1. 上层编排模块规划数据中心出口网络配置，包含出口网关Border选择、出口互联地址和VLAN分配、出口路由协议选择等，并联动规划与之对应SD-WAN站点设备的LAN侧配置，保持与数据中心出口网关侧一致，比如：VPN与Border 外网VPN一致，路由协议配置对应、互联地址属于同网段、VLAN一致等；
2. 上层编排模块分别调用各场景DC Controller进行业务仿真，进行配置下发、连通性和资源占用校验；
3. 仿真通过后，上层编排模块调用各场景DC Controller，将业务部署到各DC Controller生产态，业务正式下发完成。
   3.3上层编排模块实现跨场景SLA保障
   业务部署完成后，上层编排模块就可以针对该业务进行跨场景SLA保障，业务模型如下图所示：
   
   图3 跨场景SLA保障业务模型

具体编排流程如下：

1. 上层编排模块上配置SD-WAN的应用组和应用策略，指定应用组的网络范围和应用SLA策略，策略中指定对应DSCP值，将该应用组下发到SD-WAN Controller上；

2. 上层编排模块上选择数据中心租户VPC，将该VPC与SD-WAN应用组绑定，表明使用该应用策略的租户VPC，上层编排模块将VPC与之对应的DSCP值绑定，下发到DC Controller上；

3. DC Controller在该VPC出口设备Border上下发配置，为该VPC流量设置对应DSCP值；

4. SD-WAN Contrller在对应的站点设备为匹配该DSCP的流量进行智能选路，保障该VPC流量在SD-WAN网络中的SLA；

5. 如实际组网中部署了具有智能分析能力的模块，则可以通过分析模块进行流量监控，查看该VPC流量在DC和WAN场景中的转发路径和SLA质量情况；

6. 对于不同租户VPC跨数据中心互访，可创建不同外部网络，分别对应站点LAN侧VPN，实现租户VPC之间跨SD-WAN业务隔离。

3.4异构厂家对接方法

以上提到的组网方式中，编排层和各场景DC Controller都为同一厂家。实际组网中往往存在跨厂家情形，如SD-WAN网络和数据中心网络分别为不同厂家。这种情况可以在编排层提供插件能力，厂家各场景DC Controller提供插件部署在编排层上，将编排层的标准业务模型转换为厂家自身的业务模型，进行业务模型适配，实现跨厂家的异构对接。

4总结

总之，通过上层的编排模块，解决了企业数据中心跨SD-WAN场景的业务自动编排，以及针对数据中心特定租户VPC流量在跨SD-WAN网络时进行SLA质量保障的需求，在业务自动化部署以及业务重保时，有重要意义。新华三集团研发的H3C AD-DC Super Controller就是这样的一种产品，通过对接H3C AD-DC Controller和H3C AD-WAN Controller，实现跨场景的业务自动化部署和SLA保障。