华为 SD-WAN 内联隧道原理

前言：

华为 SD-WAN 通过内联隧道：Loopback 之间互建 Tunnel 来进行隔离和互通，从而实现同一个拓扑结构下，实现不同的网络拓扑

一、实验拓扑：

1、说明：

假设 AR2 是 iMaster NCE 下的一个设备，我们通过配置 AR2 的内联隧道，来实现 NCE 下推配置的一个场景：让 AR1 的业务地址 10.0.1.1 去访问 AR3 的业务地址 10.0.4.4

2、基础配置：

1）AR1 配置 Loop1 10.0.1.1 和 AR2 的直连业务地址 10.0.12.0/24；
AR3 配置 Loop1 10.0.4.4 和 AR2 的直连地址10.0.34.0/24；
AR1 和 AR3 分别配置默认路由指向 AR2
2）AR2 建两个 VRF：OA 和 OB；
AR2 配置和 AR1 的直连地址 10.0.12.0/24，并将接口划入 VRF OA 中；
AR2 起两个 Loop1 和 Loop2 地址，IP分别为 100.1.1.1/24 和 100.2.2.2/24，并将两个 Loop 接口划入 VRF OA 中；
AR2 配置和 AR3 的直连地址 10.0.34.0/24，将接口划入 VRF OB

二、实验过程：

1、建 VRF OA和 OB：

interface GigabitEthernet0/0/0
 ip binding vpn-instance OA
 ip address 10.0.12.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip binding vpn-instance OB
 ip address 10.0.34.3 255.255.255.0 
#

2、将物理接口分别绑定到两个 VRF 中：

interface GigabitEthernet0/0/0
 ip binding vpn-instance OA
 ip address 10.0.12.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip binding vpn-instance OB
 ip address 10.0.34.3 255.255.255.0 
#

3、创建两个Loopback接口，分别划入OA

interface LoopBack1
 ip binding vpn-instance OA
 ip address 100.1.1.1 255.255.255.0 
#
interface LoopBack2
 ip binding vpn-instance OA
 ip address 100.2.2.2 255.255.255.0 
#

dis ip routing-table vpn-instance OA，这时，VRF OA中就有两个 Loopback 的路由了
ping -vpn-instance OA -a 200.1.1.1 200.2.2.2，在 VRF OA 中 ping 另外一个 Loop 地址，是通的

4、创建 tunnel 0/0/1，划入 VRF OA，源是 Loop1，目是本 VRF 的另一个 Loop2 地址

interface Tunnel0/0/1
 ip binding vpn-instance OA
 ip address 1.1.1.1 255.255.255.0 
 tunnel-protocol gre
 source LoopBack1
 destination vpn-instance OA 100.2.2.2
#

5、创建tunnel 0/0/2，划入 VRF OB，源是 Loop2，目是 VRF OA 的 Loop1 地址

interface Tunnel0/0/2
 ip binding vpn-instance OB
 ip address 1.1.1.2 255.255.255.0 
 tunnel-protocol gre
 source LoopBack2
 destination vpn-instance OA 100.1.1.1
#

dis interface tunnel ，看到隧道信息和状态
ping -vpn-instance OA -a 1.100.1.1 100.2.2.2，发现隧道互通

6、给两个 VRF OA、OB 分别起 OSPF，并声明隧道地址：

ospf 1 vpn-instance OA
 area 0.0.0.0 
  network 1.1.1.1 0.0.0.0 
  network 10.0.12.0 0.0.0.255 
#
ospf 2 vpn-instance OB
 default-route-advertise always
 vpn-instance-capability simple
 area 0.0.0.0 
  network 1.1.1.2 0.0.0.0 
#

default-route-advertise always 是在 VRF OB 中给邻居声明默认路由的
vpn-instance-capability simple 是关闭 VRF 防环检测功能的，否则 OSPF 对等体收不到默认路由
dis ospf peer brief 发现 OSPF 通过 tunnel 为 peer 互起邻居
dis ip routing-table vpn-instance OA 发现有了一条O_ASE的默认路由，指向 tunnel0/0/1 的接口地址，下一跳为 Tunnel 1.1.1.2

这种方式在华为 SD-WAN 中称为本地上网，在 NCE 中需要选中 NAT 开启代理；
集中上网则需要指定主网关，让主网关产生一条 IBGP EVPN 的默认路由给需要上网的安全组

三、检测：

在 AR1 上 ping 通 10.0.4.4，再跟踪一下：

四、总结：

NCE 是通过给各个设备的物理链路，绑定不同的 VRF，通过内联隧道实现不同 VPN 实例的隔离和互通，本地上网是通过宣告默认路由的方式上网，集中上网是通过 IBGP EVPN 的默认路由方式上网，从而实现同一个物理拓扑下，不同的 Overlayer 之间 的Full Mesh、Hub-Spoke、分层拓扑、Partial Mesh 的拓扑设计