Enterprise Network Architecture Evolution | SD-WAN

作为在近五年内发展并应用起来的,作为企业网互联的核心技术或杀手级产品或着说是概念——SD-WAN,值得了解下,了解这项技术,对一些花里胡哨的其他概念:企业网云化,SASE,ZTA会有很好的理解。并且这一块的未来发展展望,有点企业网 all in SD-WAN的味道,一套SD-WAN设备大一统小型企业或者分支的网络基础设施。

企业网络的架构演进,催生SD-WAN的诞生,了解这个架构演变的历史,能够更好的理解业务需求,反过来更好的应用技术,在此引用一篇博文:

http://www.uml.org.cn/xjs/202011184.asp

以下为原为:


编辑推荐:
本文主要介绍了SD-WAN的概念、服务商、运营商,希望对您有帮助。
本文来自于通信人家园,由火龙果软件Linda编辑推荐。

(一)

SDN概念的提出已十年多,“转控“分离的思想深入人心,并且延伸到其它领域:软件定义广域网,软件定义存储,软件定义边界…任何技术的提出和落地都是以解决用户痛点为导向的,在经历了概念炒作的泡沫期后,技术开始沉淀并趋于务实。本文将针对SD-WAN(软件定义广域网)带领读者推演这一技术的使用场景和用户价值。

与LAN和MAN不同,WAN完成的是更大范围内的互联,Internet就是最大的一张广域网。对于多地存在分支的政企单位,存在异地互联的需求。出于安全,时延和带宽保证的目的,常常采取租用运营商SDH/MPLS专线的方式。专线接入实现了VPN甚至物理隔离,提供了网络层面的天然安全,充分的Qos机制保障了对时延敏感的应用(视频会议,VOIP等)的可靠传输。但专线也存在着费用高,开通慢的缺陷:本地有无POP点、到达POP点有无物理线路、跨运营商线路租用和协同、各分支线路和业务的逐台部署。而传统的专线网络模型又加重了企业在专线费用这块的经济负担。

图一 传统专线网络模型

如图一所示,出于安全和审计需求,所有分支对互联网访问的流量都要经过专线到达总部,经由总部的互联网出口进入Internet。虽然陆续出现的WAN加速技术(如协议优化、连接复用、数据压缩等)通过优化流量一定程度缓解了WAN链路带宽的需求,但随着企业IT基础设施的不断扩展,WAN链路带宽依旧需要不断扩容。对于业务可靠性要求高的企业常常还租用多家运营商线路进行冗余备份,带宽利用率低。有的企业为了应对突发流量不得不提供满足峰值流量的资源环境,而这些资源平时大部分时间闲置,无法做到动态归还,所有这些都与云时代的资源池化,动态伸缩的思想背道而驰。随着云计算的发展,企业的IT架构发生的巨大变化,传统的DC云化构成企业的私有云。企业的IT资源或是全部迁移到公有云(经典网络/VPC),或是同时兼顾数据本地化和资源弹性采用私有云和公有云混合部署,但无论哪种方式都必然决定了对Internet的访问从之前的伴随型需求变成了刚性需求,数据的同步、备份、迁移也变为常态。

大量的公网流量继续走专线显然已不合时宜,于是WAN的形式出现了一次变化—Hybrid-WAN。如图二所示,访问总部DC或私有云的流量继续走专线,对公有云的访问直接从分支进入Internet。互联网分流了专线流量,减轻了专线的流量负载,但同时也在分支引入了安全和保密的需求。原本只需要在总部部署防火墙和安全策略,现在需要部署到分支CPE上,安全域的边界从总部扩展到分支,同时为了在不安全的公共网络上安全传输企业内部数据需要引入相应的加密传输机制。

图二 Hybrid-WAN网络模型

互联网链路弥补了专线的不足,通过防火墙的安全隔离使分支CPE内部得到了一定的安全保证,SSL/IPSEC又保证了在互联网上传输企业私密数据的安全,Hybrid-WAN看上去似乎比较完美,但在实际应用中又暴露出一些明显的问题:

1、分支业务无法快速开通

分支开通需要配置CPE业务,无论CLI还是网管,都需要对业务进行逐条配置下发,业务变更对于大量的分支机构的维护将是灾难性的。

2、选路策略基于路由,无法动态感知应用

选路策略往往是根据流量目的是去往总部还是公有云进行粗暴区分,检测粒度没有上升到应用级,也就无从考虑应用对链路质量的需求。

3、策略模型过于刚性,不适应业务动态变化

云计算最大特点就是高度动态,传统通信设备上的策略模型严格依赖配置,业务或链路质量发生变化后往往意味着配置要跟随变化。

于是WAN又出现了SDN时代的重大演进—SD-WAN。SD-WAN继承了“转控分离“的思想,通过统一的中央控制器实现各CPE设备的统一管控。新开CPE可通过Call Home自动连接控制器下载配置和策略,真正做到零接触快速开通,且配置变更时只需要在控制器上修改一次,所有分支站点自动同步。通过CPE对流量的深度识别和基于探针的链路状况检测,使得流量选路策略更加精细灵活,实现策略与网络质量随动,是真正意义的动态流量调度。

SD-WAN减轻了企业在专线使用上的开销,利用资费更低、开通便捷的互联网也适应了企业使用公有云、混合云的技术诉求,快速部署、动态调度更是将这种性价比推向极致。虽然SD-WAN的功能还不止于此,但这个功能却是当前最具客户价值的。下一篇将分析具体的SD-WAN技术方案。

(二)

计算资源的池化构成了云计算,SDN的目标可以看作是网络的云化,因为网络服务和云计算一样有着弹性伸缩、按需服务、快速部署的功能诉求。SD-WAN将广域网链路抽象成资源即虚拟的Overlay向业务服务,屏蔽底层链路的具体形态,帮助业务快速获得匹配需求的资源。从SD-WAN的实现上可以大致分为三类。

1、传统设备厂商

传统网络设备加入SD-WAN功能,对于CPE或总部出口网关,按照预先配置的策略,通过到目的端的链路检测协议,检测链路负载、时延、抖动、丢包率,选取满足业务SLA需求的链路进行路由。例如向控制器下发如下几条策略:

1)视频业务A需要选时延小于20ms的链路

2)数据业务B需要选取剩余带宽大于10M的链路

设备依据控制器的策略,识别出应用A和B,选取满足条件的链路进行转发,并且根据链路质量动态调整。另一种常见的策略是负荷分担,能够动态依据链路负载进行选路修正,使链路资源使用最大化。

图一 面向应用的多出口选择

对于这种场景,没有保密需求的业务直接进入SP网络,需要加密传输的业务通过隧道进入SP网络,这种隧道可以认为是P2P的Overlay,但无论哪种方式流量进入SP后便失去了控制,由Underlay网络进行传统路由。SD-WAN服务由企业自行部署,可控性更强,但由于Internet流量的突发和不确定性,有时可能无法选出满足SLA需求的链路,需要企业提供多条链路。

2、SD-WAN服务商

以Viptela、 Velocloud为代表的SD-WAN服务商,提供软件(NFV)或设备的接入方式,通过租用SP线路和数据中心,在Underlay网络上建立一个由多个POP点组成的Overlay逻辑拓扑。如图二所示,用户边缘的SD-WAN设备就近接入POP,采取与上面类似的策略,通过应用识别和链路检测,从Overlay的逻辑网络选取一条满足业务需求的路径进行路由,或者综合Overlay和Underlay进行选择。由于POP网元比较多,使得对网络的可控性和可视性增强,往往很容易选出满足条件的链路。服务商使企业不必自行部署控制器等服务,用户只需要定义策略模板即可实现,降低了企业使用SD-WAN的技术要求。

图二 面向应用的Overlay路由

3、运营商

运营商具备直接在Underlay网络上提供SD-WAN服务的条件,基于传统路由实现面向策略和业务的路由,但出于意愿和部署难度的原因,这个想法有可能仅仅是个想法。

SD-WAN功能特性较多,针对混合WAN场景,提供软件定义功能的分支CPE需要满足如下业务需求:

1、主动回连控制器获取配置和策略

传统组网的CPE设备高度自治,无论是命令行、网管界面还是厂商实现的所谓零部署等功能,从思维上依然面向孤立网元,依然是配置驱动,业务模型发生变化意味着分支站点需要修改配置。SD-WAN约定了转控分离,业务配置和策略均由控制器下发,通过功能分层使用户界面从面向配置转为面向应用,并且做到了真正的即插即用。Netconf是SD-WAN中很典型的南向协议,这是一个C/S模型的协议,采用SSH或TLS作为安全通道,YANG作为元数据完成命令描述的定义,控制器作为Client将上层的REST调用依据YANG定义转化为承载在NetConf中的XML-RPC,被配置设备作为Server根据YIN校验RPC合法后转成最终设备配置。

2、应用的深度识别

面向应用的前提是能够识别应用。传统基于5元组的流分类和路由策略过于刚性,且需要大量配置逐一匹配应用,界面不友好。SD-WAN场景下需要设备能够进行深度检测,通过本地识别或是云端识别归类应用,依据控制器策略进行流量的动态调度和关键业务保障。

3、链路的质量检测

传统基于路由的流量调度是静态的,网络环境却是实时变化的,无法依据链路质量的变化动态调整,SD-WAN场景下要求设备能够针对多条专线或互联网链路进行质量检测,按照业务分类和控制器下发策略对流量进行动态选路。

4、防火墙功能

分支接入互联网,分流了专线流量,就近接入公有云获得了更好的使用体验,但同时安全问题也被引入进来。分支CPE需要提供安全网关功能,划分安全边界,清洗非法流量,防范黑客入侵。防火墙功能可在本地完成,也可在云端通过虚拟化实现。

5、加密VPN连接

企业数据在Internet上传输时为了防止泄密需要采用安全通道传输,CPE需要能够与公有云、总部或其它分支VPN网关建立端到端IPSEC隧道,流量通过IPSEC隧道加密传输。

6、NAT功能

对于无需加密的Internet流量,进入互联网时需要做NAT转换,解决了公网地址资源有限,同时也实现了内部地址的隐藏。

7、鉴权和审计

传统组网出口全部在总部,鉴权和审计功能可以在总部单点部署,SD-WAN场景下的鉴权审计也变成了分布式,要求每台分支的CPE设备具有相应的功能,且能将数据日志定期回传同步。

SD-WAN可以采用专用硬件或VNF编排实现,只要符合集中控制、弹性伸缩、动态可编程的思想都可以划归到软件定义范畴。SD-WAN不是概念,是使用软件思想重新思考网络的必然结果,是能够完成网络重构切实解决用户高频痛点的有效技术。


SD-WAN时代开启了….

Related Posts

Leave a Reply

Your email address will not be published.