在sdwan的(de)網(wang)(wang)絡(luo)模型中(zhong)，EDGE設備通過LTE、internet網(wang)(wang)絡(luo)接入(ru)到POP網(wang)(wang)元，接入(ru)協議為IPSEC，用于保障用戶(hu)數(shu)據(ju)(ju)的(de)安全可靠；POP將(jiang)數(shu)據(ju)(ju)通過VXLAN隧道(dao)轉發給(gei)云(yun)網(wang)(wang)關，進行(xing)入(ru)云(yun)；POP也(ye)可根據(ju)(ju)自(zi)動學習(xi)到的(de)路由(you)將(jiang)數(shu)據(ju)(ju)轉給(gei)其(qi)他的(de)POP；POP再將(jiang)數(shu)據(ju)(ju)通過LTE、internet網(wang)(wang)絡(luo)轉給(gei)指定(ding)的(de)EDGE，來(lai)實現不同站點間的(de)互聯(lian), 如下圖(tu)所示：

圖1

尤其針對分支站點(dian)---->企(qi)業總部這場景，通常(chang)有流量歸(gui)集需求。

流(liu)量歸集(ji)是(shi)指所(suo)有分支站點(dian)的流(liu)量都需(xu)要經過(guo)企業(ye)(ye)總部(bu)，以便企業(ye)(ye)總部(bu)做流(liu)量的監控和業(ye)(ye)務交互等(deng)。與(yu)此同時在分支站點(dian)上的控制(zhi)流(liu)量和一些協議(yi)流(liu)量是(shi)不能被歸集(ji)的企業(ye)(ye)總部(bu)的。

下(xia)面提(ti)供了在(zai)不影響控制流(liu)(liu)量的前提(ti)下(xia)將用戶的業務(wu)流(liu)(liu)量歸(gui)集到總部。

實現方式：

圖2

默(mo)(mo)認(ren)情況下(xia)公網路(lu)(lu)由表(biao)（GLOBAL TABLE）中(zhong)存(cun)在(zai)一(yi)條默(mo)(mo)認(ren)路(lu)(lu)由，Callhome連接(jie)和ipsec隧道(dao)(dao)的建(jian)立(li)都(dou)使用(yong)(yong)(yong)該路(lu)(lu)由。如果流量歸(gui)(gui)集功能(neng)的默(mo)(mo)認(ren)路(lu)(lu)由也下(xia)發到公網路(lu)(lu)由表(biao)里(li)，會影響Callhome連接(jie)和ipsec隧道(dao)(dao)的建(jian)立(li)。所以(yi)流量歸(gui)(gui)集使用(yong)(yong)(yong)的默(mo)(mo)認(ren)路(lu)(lu)由下(xia)發到私網路(lu)(lu)由表(biao)（VRF TABLE）中(zhong), 使用(yong)(yong)(yong)策略路(lu)(lu)由將LAN口的流量引(yin)入到私網路(lu)(lu)由表(biao)中(zhong)，匹(pi)配流量歸(gui)(gui)集的默(mo)(mo)認(ren)路(lu)(lu)由進行(xing)轉發。

具體的實(shi)現步驟如下：

1. 企業總部和分支站點建立BGP鄰居，企業總部發布默認路由。
2. 分支站點收到企業總部的默認路由，不下發公網路由表，使用策略路由再創建一個新的私網路由表，BGP路由下發到私網路由表里。
3. 將策略路由與業務流量入口綁定，這樣業務流量就走私網路由表進行轉發

Callhome和(he)ipsec依然使用公網路由表(biao)中默認(ren)路由進(jin)行轉發。