四个应用架构
一般企业广域网讲的多一些,比如企业的分支到总部/分支(Site To Site)、分支到DC(Site To DC)的网络;而Site To Internet一般当作互联网。其他大型行业、运营商一般会将其广域网进行明确术语划分,如运营商的骨干网、城域网、接入网。
SD-WAN就是为这些广域网场景下提供的SDN解决方案。在SD-WAN如火如荼的大环境下,SD-WAN Startup企业、传统运营商以及传统设备厂商纷纷提出不同的解决方案,下面汇总这分析下其SD-WAN方案思路、目标定位。目前我们梳理和分析了市场上主流SD-WAN技术和设计思路,将SD-WAN技术大致分成四种应用技术架构:端到端架构、云端POP架构、迭代架构、混合组网架构。
01 端到端架构
SD-WAN骨干调度核心思想是流量调度和基于多租户的服务和管理,有时候我们也称之为SD-WAN DCI/ Core解决方案,这个方案和后面要讲的基于互联网的SD-WAN Edge在功能和定位截然不同,但两个方案定位互补。
这个是运营商和大型的客户端到端SD-WAN架构的目标,实现从接入到骨干网的设备SDN统一管理,如下图所示:
这个场景的应用架构更适合重构基础网络资源的运营商和大型客户,可以重构新一代骨干网和实现端到端的流量工程,提供高品质广域网业务。实现从分支接入到云商、企业DCI到云商等高效互联,是整合架构的一种增强架构。同时这种架构下还有个加强型的模式,就是骨干网基于SRTE流量工程 实现流量调度和管理:流量端到端探测、调度管理,真正实现端到端的流量SLA保障。
目前,主要的技术实现,目前主要有三类方式: 第一类基于白牌机+Openflow SDN控制器,目前业界有一种新的思路基于白牌机的Overlay方案,利用vPE配合白牌机来解决上面提到的问题,vPE与交换机互补来实现流量调度和路由策略等功能。第二类有基于 MPLS +SDN控制器实现全网的流量调度和VPN租户管理,MPLS TE多年前就有在部署,就目前运营商客户部署情况看,绝大部分抱怨MPLS TE的部署过于复杂因而真正在生产网TE隧道使用的并不多。
第三类方案是基于SR(Segment Routing)实现流量调度和管理SR+SDN控制器,和MPLS的网络类似,但是SR可议基于源头组建一个完整的LSP Path而且和现有的MPLS网络可议兼容, 因为SR也是以标签交换为基础的, 只需要对现有的IGP协议进行简单的扩展,就可以实现TE、FRR、MPLS VPN等功能, 包括流量工程TE的自动下发、自动计算、自动调整、自动引流和自动调度。
基于SRTE的SDN控制器目前在业界属于非常领先的技术,SR的基础转发表甚至比LDP更简洁,利用了源路由技术与SDN理念完美结合,在流量TE管理方面,SRTE比RSVP-TE状态少很多,也不需要LDP/RSVP信令那么复杂。但是目前各个硬件厂商(包括第三方控制器+SR路由器)在SRTE具体实现还是有一定差距, 但有几点是部署时需要考虑的:如何根据链路质量(load/loss/delay)动态实时调整TE路径以实现全局负载均衡、隧道快速倒换策略和逃生算法(如思科PBTS技术)、配置回滚的一致性、离线流量规划、TE路径的对称故障检测等等,各家方案功能差别很大, 在国内能真正完整实现基于SRTE的SDN控制器更是屈指可数。
例如金融行业的SD-WAN的升级改造,我们可以看到下图红色框框部分就是SD-WAN的涉及领域。
在这种端到端架构的理念上,是将 SD-WAN Edge 、骨干核心网PE/P节点统一纳管。骨干核心网络可以基于路由器组网或者基于商用化交换机组网, 很多新一代的服务商更愿意采用通用商用化交换机搭建的原生态SD-WAN骨干网。不管哪种方式,这种架构将各个POP节点的VPE/网关设备与骨干网系统统一纳管实现完美结合,真正实现端到端的流量SLA保障。这是一个比较彻底和原生态的端到端SD-WAN架构,可以实时监控和调度全网SD-WAN流量和业务,可以端到端保障低延迟、低丢包率和低抖动。
02 云端POP架构
这个On-POP-Overlay架构是云计算服务商最喜欢的SD-WAN架构,也是SD-WAN大规模分支部署的推荐架构。如下图所示:
这种架构利用云端或运营商的POP节点来终结CPE,设计部署时会选择在各地的多个机房部署多线POP节点,分支机构需要首先探测和选择最佳的POP节点并建立连接。在POP中部署vPE或网关设备,CPE与之POP节点的建立VPN隧道,在POP层解决跨运营商互通提升互联品质, POP之间构建专线骨干网确保SD-WAN远程传输业务品质。
运营商云专线方案中,在云端通常会提供NFV增值服务,比如vFW、vLB等。在Site2Site、Site2DC、Site2Internet三种组网模式均可基于云专线业务链技术享受云端增值服务。就传统运营商的云专线方案,运营商云专线方案的简化版逻辑:
由于采用POP思路,大大简化隧道的数量 ,非常适合大规模SD-WAN部署,统一策略,极简运维,即插即用。中小型企业以及站点数量不多的大型企业,一般都采用单层网络拓扑组网。按照网络的拓扑进行细分,单层网络拓扑进一步又可以划分为Partial-mesh、Hub-spoke和Full-mesh等方式,如下表(表格内容不要读)。这个方式解决了南北运营商Internet瓶颈的问题,提升基于互联网组网SLA服务质量,推荐采用基于Linux 或OpenWRT的CPE盒子,通用的uCPE不再被厂商锁定。
在这个架构中,各个厂商还有各自独特的技术特性,增加了几个非常有特色的增强功能:
POP 动态和精准探测功能:POP站点的信息由控制器发布,CPE盒子可以根据各自租户的策略动态选择或者人工指定POP站点,另一方面 探测算法可以由系统管理员调整。
POP站点的多租户支持:POP站点支持基于租户的的管理和安全隔离,大大节省资源管理和扩展能力。
多隧道机制:任何一个CPE可以实时建立两个VPN隧道到不同的POP点,这样保证任何一个POP点或Internet质量出现问题 业务可以无缝切换到另一个隧道。同时所有的POP站点都是Active/Active和动态流量分担状态。
对于业务层面的安全,主要关注的是SD-WAN解决方案上所承载业务的安全,防范来自Internet的各种攻击和入侵行为,保证业务正常运行。
与传统的企业WAN相比,SD-WAN引入了混合WAN链路,Internet成为传输业务流量的重要方式。站点间互访的业务流量可以通过Internet传输;分支站点可以通过本地上网的方式直接访问Internet;另外,在企业应用云化趋势下,分支站点也会直接通过Internet访问SaaS云应用来开展业务。
SD-WAN还有一个非常有特色的功能就是分级分权管理,如管理员、服务商、合作伙伴和最终租户等。这样可以发展SD-WAN服务生态系统打下一个的基础。SD-WAN解决方案中引入Internet链路后,企业的分支站点可以直接访问Internet,业务模型的改变也带来了安全问题。分支站点直接访问Internet,就相当于向Internet打开了大门,面临安全风险。针对这种业务场景,一般来说,安全防护措施要在站点侧实施,通过CPE提供安全防护功能,即通过启用流量过滤、防火墙、入侵防御、URL过滤等功能。
简单的总结一下:云中心(公有云/混合云/私有云)+企业分支场景,面向客户提供“Dual Internet、Hybrid”链路连接分支到云中心;架构模式:云中心路由器(支持VNF),控制层包括SDN控制器及VNF编排器;服务模式:SD-WAN公司与云服务供应商共同为企业用户提供产品与服务。云服务供应商趋于集成SD-WAN方案,优化其企业市场需求。
03 迭代架构
这种架构即On-Prem-Overlay也是最基本的SD-WAN架构,初期SD-WAN的典型架构,适合中小企业小规模快速组网。如图所示:
适合中小规模企业分支机构互联,由于分支机构需要直接建立隧道,不适合大规模扩展,如果客户有Full-Mesh的需求,这种架构就是一个灾难。
这种架构主要解决的是自动部署和VPN互联问题。在中国,需要考虑南北运营商互联的瓶颈问题,跨南北运营商互联时网络性能完全不可控。
不论是传统硬件厂商、VPN厂商或新型的SD-WAN公司,设计一套SD-WAN控制器,部署在云端或总部,基于互联网统一管理分支机构的CPE设备并组网:
在本地分支机构部署SD-WAN的CPE,云端部署 SD-WAN控制器,与每个分支机构CPE互联,CPE之间利用互联网和VPN技术实现安全连接。(底层技术有用GRE+IPSEC,也有用VLXAN等等)。满足企业分支基于互联网灵活部署和组网。实现SDN控制和统一策略、ZT-PNP自动部署,即插即用。组网模式上推荐Hub-Spoke 或小规模Full-Mesh。
04 混合组网架构
随着企业上云和广域网按需接入的需求日益增加,传统的MSTP和MPLS等专线业务由于成本和部署周期长等问题已经难以满足云和互联网时代的需求,面向基于互联网和POP路径选择的SD-WAN是技术随之诞生,这是一种面向分支灵活接入的SDN-WAN 部署场景。
由于目前国内运营商MPLS VPN网络的已经大规模部署,短期内运营商不会用SD-WAN替换MPLS或其他专线业务,但是会利用SD-WAN技术丰富MPLSVPN业务或者做为最后一公里的接入技术。
这个是MPLS服务商最喜欢的SD-WAN架构,也是实践中许多客户需要的混合组网架构。企业总部(数据中心)+企业分支场景,面向客户提供“Dual Internet(多条Internet,比如不同ISP互联网接入、4G接入等)、Hybrid(一条Internet、一条专线)”链路连接分支到总部;架构模式:设备层为定制化设备或白盒+软件,控制层为SD-WAN控制器;服务模式:单纯为企业类客户提供产品及服务。如下图所示:
SD-WAN接入服务 ,也是最典型和最通俗的场景,有时也称为SD-WAN Edge 解决方案,运营商可以用这个技术作为MPLS互补或下一代MPLS替代,企业可以利用这个技术实现分支机构按需组网。
从网络设备的功能定位划分,SD-WAN的网络层主要由Edge和GW(Gateway)两种类型的网元构成。
Edge:这里的是指企业各种SD-WAN站点的出口CPE设备。对于很多行业垂直型用户来说,出于网络可靠性考虑,每一个站点出口均部署两个Edge。每个Edge支持连接一个或多个WAN链路,实现单条或者多条运营商传统专线、MPLS专线以及Internet等链路的灵活组合。
GW:这里的是指同时具备连接SD-WAN Overlay网络能力以及多种其他传统VPN网络能力的网关设备。比如,由于业务需要,企业新建的SD-WAN站点往往要和企业的传统站点或者第三方业务进行互通,企业传统站点是存量网络,采用传统WAN(如MPLS VPN)技术互联,SD-WAN站点基于IP Overlay隧道互联,两者无法直接互通。由于SD-WAN GW同时具备SD-WAN Overlay和传统网络(MPLS VPN)的连接能力,可以作为中间网关设备,实现两者的互联。
各个POP节点的VPE或GW通过与运营商MPLS网PE直联,通过OptionA 或 别的方式对接,将SD-WAN汇聚上来的流量转发到运营商的MPLS骨干网中以确保障其SLA。在这种架构中,运营商可以把MPLS VPN的PE和租户VPN集成到SD-WAN系统中,真正实现为客户提供全国范围内集MPLS VPN、IPSEC VPN、SD-WAN等多种应用的WAN解决方案。国外将这种能力也称之为“混合架构”能力。这种架构能有效提高网络性能和混合组网能力,特别是各种高服务级别的实时流量,而且可方便实现骨干网与主要云运营商对接。
该架构结构兼顾传统MPLS客户情况,真正实现为客户提供全国范围内集MPLS VPN、IPSEC VPN、SD-WAN等多种应用的WAN解决方案;解决运营商最后一公里的难题。由于实现了MPLS租户VPN与SD-WAN的租户VPN打通,也有称之为“混合架构”能力,非常适合实现骨干网、SD-WAN与主要云运营商对接,开展云联网业务。这种架构的加强模式:控制器将MPLS 服务商PE节点统一纳管,这样但开通VPN业务时可以实现完全的业务自动化。
这种结构下,从实际部署的角度谈谈几点考虑:
1)SD-WAN的租户如何与现网的MPLS租户对接(即租户分支机构有可能是SD-WAN线路,有的是MPLS专线混合组网),前面提到目前几大运营商基本上都已经有自己MPLS网络,SD-WAN与MPLS VPN的对接是必须考虑的问题,我们在PoP点的vPE如何与 MPLS PE节点实现自动化对接上有多重方案可以实现,包括纳管PE, Option B,Overlay等等。
2)对于CPE的自动部署与传统路由设备包括线路之间的的备份和负载分担也是SD-WAN能否成功的关键因素,由于现在多数厂家的SD-WAN 控制器与 CPE盒子是紧耦合,导致后期被厂商锁定,因此有几点建议考虑:如CPE盒子是否支持OpenWRT?小盒子 ZT-PnP自动部署机制如何(防火墙穿越能力)?CPE如何自动选择延时最小或带宽最佳的接入POP点?能否做到即插即用、自动连接、自动切换。
3)在SD-WAN设计和部署时,在中国需要考虑南北运营商Internet瓶颈的问题,客户部署设计时会选择在多个机房部署多线POP节点,在每个POP节点部署vPE设备,各个POP节点的vPE 通过专线组建骨干网保障SD-WAN汇聚上来的流量SLA,在这个案例中 POP节点的VPE 通过客户的MPLS PE节点来组建(在其他项目中我们采用SRTE作为骨干网流量调度)。在一个大SD-WAN部署时,每个CPE会根据控制器的下发列表探测并选择最佳的POP节点,并连接最佳运营商线路的VPE,在SD-WAN设计时Edge和Core都需要考虑线路的SLA保障,再利用SDN控制器的部署全网统一的路由,安全和QOS的策略部署和控制,从而解决基于Internet接入服务质量问题和全网统一策略部署问题;
4)对于整个系统的核心是SDN控制器,控制器的可靠性、集群、租户自服务管理 和易用性也不可忽视,作为一个运营商通常还需要 SD-WAN 控制器的北向与现有的BSS/OSS对接集成也是要考虑。虽然SD-WAN没有大的革新技术,但一个完整和成熟的SD-WAN方案技术上也不简单,SD-WAN带来的部署运维简单易用是明显的,对于分支机构的扩展和部署,传统的MPLS部署可能需要几个月,而现在理论上分钟级就可以了。
这个基于SD-WAN平台,实现企业用户设备的“零接触部署”,实现自动化快速部署,从而降低人力成本;企业用户可以采用互联网接入、4G无线、MPLS专线等中继方式,基于业务进行路径优选,降低专线链路需求并提高链路使用高负载均衡,从而降低运营成本。
SD-WAN对MPLS意味着什么?
SD-WAN的最终目的是根据业务或者说应用来定义流量。这在虚拟化进程中是必不可少的组成部分。至少对于大型、特大型网络来说是这样的。
而MPLS VPN也似乎是根据业务或者应用来定义流量的。而且使用的更早、更加成熟、应用更广。
围绕SD-WAN最热门的争论之一是:软件技术对MPLS的影响,MPLS是一种使用标签来做出数据转发决策的数据包转发技术。最常见的用例是分支机构、园区网络、城域以太网服务和需要实时应用服务质量(QoS)的企业。
大多数情况下,网络供应商认为MPLS会长期存在,并且SD-WAN不会完全取代他。MPLS的主要缺点是价格昂贵、设置复杂。使用或熟悉MPLS的企业中有85%计划在今年增加MPLS网络基础设施,甚至有50%的企业表示,他们将显着增加他们的使用。
究竟如何解决仍然未知,但是无论如何,这两种技术似乎都会在不久的将来发挥作用。
对于拥有全球专用骨干网以确保流量在全球范围内得到优化和安全交付的SD-WAN提供商而言,情况并非如此。对于全球用户访问云资源而言,SD-WAN还具有优于MPLS的优势。仅使用MPLS骨干网,用户回传到企业总部,然后再出入云中会导致长时间的延迟,或者用户通过公共Internet访问云资源会导致更高的附加安全基础架构成本。借助全球SD-WAN基础架构,世界各地的用户都可以访问全球骨干网中的云应用程序和其他公司资源,并期望实现高性能连接。
多年来,MPLS一直是企业网络的流行选择,MPLS可以提供当今应用所需的SLA支持的性能,可靠性保障。尽管它几乎具有传奇般的地位,让我们今天的课程还是看一下有关SD-WAN和MPLS的三个争议点:
(1)整个网络都需要使用MPLS构建
经过这几年的发展和实践,企业已经拥抱云时代,以简化访问并降低成本。很多企业的应用程序不是在公司网络外部的云端,并且MPLS网络没有连接到云。对于在当前MPLS基础架构上投入大量资金的公司,可以采用混合方法并添加SD-WAN以提供对云的改进访问。
(2) MPLS的安全性
MPLS本身安全性基于VLAN的实现,MPLS从技术上讲是一种共享媒体,其中客户流量标记为在其自己的VLAN中。他们不容易受到Internet上所见到的各种攻击的攻击,因为黑客无法接近它们,这就是为什么人们将它们视为安全的原因。
(3) 要求高可用性的企业必须使用MPLS
网络以正常运行时间长而著称,但是当需要高可用性时,它并不是唯一的选择。SD-WAN是一种灵活的解决方案,可将低成本Internet传输集成到虚拟WAN连接中。利用多链路和附加功能(例如负载平衡以及电路运行状况和性能的实时监控),SD-WAN可以实现当今企业所需的高可用性。通过拥有多个电路来实现高可用性是很好的,但是SD-WAN也可以混合电路类型,例如光纤和4G,以保证物理层冗余。
对于新的组网架构来说,MPLS只是另一种选择。我们从来没有说过SD-WAN与MPLS相比,MPLS将会被淘汰或需要被淘汰。客户希望通过以互联网为基础的VPN(通常来自替代提供商)来代替昂贵的MPLS连接,从而为WAN扩展、更新提供资金。但是,Internet连接的适用性因地理位置而异,而且服务提供商将来自多个提供商的连接混合在一起会增加复杂性。长远来看,随着网络技术在不断的演进,如5G的出现、SR-V6的出现势必会改写运营商接入侧、承载侧的格局,SD-WAN自身也在不断演进,与这些新技术融合,软件定义已经成为未来的趋势,传统MPLS专线作为上一代VPN组网技术势必将逐渐退出历史舞台。
总 结
几种的SD-WAN技术架构,更多从功能实现和扩展能力不同,并不是代表那个架构一定好于那个,不同场景客户有不同选择。除此以外,SD-WAN还需考虑集成一定传统网络的功能,如路由协议、安全ACL、防火墙,QOS,流量识别和加速,分级分权管理,互联网线路和专线组网和统一纳管,还有就是基于客户要求开放北向API或定制开发。有人说SD-WAN已经统一管理路由策略了,不需要传统路由支持,其实不对,SD-WAN除了支持SDN本身的策略路由,通常还需要支持传统的 OSPF,BGP,VRRP和静态路由等,这样SD-WAN才可以和已有路由设备可以做到互为备份和混合组网。另外北向API或定制开发也是大客户比较关心:运营商客户通常需要SD-WAN控制器开放北向接口,与现有的BSS/OSS业务系统集成和定制API;企业客户在建设SD-WAN的过程中,由于组网方式、应用需求的不同,也会有一些个性化的定制组网需求。
很多厂商的协同控制器需要根据客户的业务实际情况来定制开发,需要SDN软件厂商有非常强的研发能力和行业经验,包括对厂商硬件的北向接口规范、云网技术的深入了解(如 VXLAN EVPN,L2/L3 MPLS,SR TE、Neutron 、Docker CNI、ODL 等)、主流公有云系统的对接、以及和客户OSS/BSS业务系统集成等,实际做起来是非常的复杂,不是一般的SDN厂商和公司玩的起的。随着SD-WAN多场景和多厂商的部署越来越多,多厂商的协同管理和统一编排将成为未来SD-WAN的重要话题。
还有一点就是,在设计SD-WAN技术架构的时候一定要避免重蹈当年的ATM技术架构的覆辙,甚至吸取 Openflow的SDN技术架构的失败教训,至少不推荐大规模部署。
最后展望一下SD-WAN的未来,SD-WAN将SDN的概念和架构引入WAN是个既浪漫又务实的话题,如同云计算一样,SDN通过新型的管理和网络计算模式将分布而有限的物理网络抽象为统一而无限的逻辑网络资源以便更加灵活地使用和调度。SD-WAN是在互联网高速发展和云网融合的大背景下的新思路和架构创新,SD-WAN在理念上的突破远远大于在技术层面革新,今天SD-WAN的旅程已经开始,SD-WAN作为一种新的业务模式带来的价值和意义前景不可估量,企业的上云和多云互联发展必将使SD-WAN进入一个新高潮,进而颠覆现有的企业网络组网设计理念。相信未来的SDN能够更好理解应用并为应用服务(Intent-Based SDN和流量智能分析),提供精准的智能调度能力(尤其在SRTE,POP探测选择算法),能提供更强大的智能运维工具为 Underlay和Overlay保驾护航 。未来的SDN以及SD-WAN如何和人工智能AI和大数据结合-提供精准的智能调度能力以及流量与业务智能关联分析也值得关注,同时未来的一段时间SD-WAN将与运营商的MPLS融合共存,并为企业网络服务市场带来新的生态环境,除此之外未来的SDN的开放性、通用标准和互操作(不被厂商锁定)也将是大势所趋。
— End —
更多相关大咖视频课程请在苹果App Store 或各安卓市场*载下**“ 技福小咖App ”学习。