SD-WAN那些事(二)
上一篇《SD-WAN那些事(一)》推演了廣域網(wǎng)架構(gòu)的變化,從WAN加速到Hybrid-WAN,再到增強(qiáng)型的混合WAN—SD-WAN。采用SD-WAN技術(shù)使企業(yè)可以通過(guò)廉價(jià)的Internet獲得近似專線的特性,更適應(yīng)業(yè)務(wù)上云的需求,增強(qiáng)了網(wǎng)絡(luò)的敏捷性和魯棒性。本文繼續(xù)圍繞混合WAN場(chǎng)景簡(jiǎn)述SD-WAN特性和技術(shù)實(shí)現(xiàn)。
計(jì)算資源的池化構(gòu)成了云計(jì)算,SDN的目標(biāo)可以看作是網(wǎng)絡(luò)的云化,因?yàn)榫W(wǎng)絡(luò)服務(wù)和云計(jì)算一樣有著彈性伸縮、按需服務(wù)、快速部署的功能訴求。SD-WAN將廣域網(wǎng)鏈路抽象成資源即虛擬的Overlay向業(yè)務(wù)服務(wù),屏蔽底層鏈路的具體形態(tài),幫助業(yè)務(wù)快速獲得匹配需求的資源。從SD-WAN的實(shí)現(xiàn)上可以大致分為三類。
一、傳統(tǒng)設(shè)備廠商
傳統(tǒng)網(wǎng)絡(luò)設(shè)備加入SD-WAN功能,對(duì)于CPE或總部出口網(wǎng)關(guān),按照預(yù)先配置的策略,通過(guò)到目的端的鏈路檢測(cè)協(xié)議,檢測(cè)鏈路負(fù)載、時(shí)延、抖動(dòng)、丟包率,選取滿足業(yè)務(wù)SLA需求的鏈路進(jìn)行路由。例如向控制器下發(fā)如下幾條策略:
- 視頻業(yè)務(wù)A需要選時(shí)延小于20ms的鏈路
- 數(shù)據(jù)業(yè)務(wù)B需要選取剩余帶寬大于10M的鏈路
設(shè)備依據(jù)控制器的策略,識(shí)別出應(yīng)用A和B,選取滿足條件的鏈路進(jìn)行轉(zhuǎn)發(fā),并且根據(jù)鏈路質(zhì)量動(dòng)態(tài)調(diào)整。另一種常見的策略是負(fù)荷分擔(dān),能夠動(dòng)態(tài)依據(jù)鏈路負(fù)載進(jìn)行選路修正,使鏈路資源使用最大化。
圖一 面向應(yīng)用的多出口選擇
對(duì)于這種場(chǎng)景,沒(méi)有保密需求的業(yè)務(wù)直接進(jìn)入SP網(wǎng)絡(luò),需要加密傳輸?shù)臉I(yè)務(wù)通過(guò)隧道進(jìn)入SP網(wǎng)絡(luò),這種隧道可以認(rèn)為是P2P的Overlay,但無(wú)論哪種方式流量進(jìn)入SP后便失去了控制,由Underlay網(wǎng)絡(luò)進(jìn)行傳統(tǒng)路由。SD-WAN服務(wù)由企業(yè)自行部署,可控性更強(qiáng),但由于Internet流量的突發(fā)和不確定性,有時(shí)可能無(wú)法選出滿足SLA需求的鏈路,需要企業(yè)提供多條鏈路。
二、SD-WAN服務(wù)商
以Viptela、 Velocloud為代表的SD-WAN服務(wù)商,提供軟件(NFV)或設(shè)備的接入方式,通過(guò)租用SP線路和數(shù)據(jù)中心,在Underlay網(wǎng)絡(luò)上建立一個(gè)由多個(gè)POP點(diǎn)組成的Overlay邏輯拓?fù)洹H鐖D二所示,用戶邊緣的SD-WAN設(shè)備就近接入POP,采取與上面類似的策略,通過(guò)應(yīng)用識(shí)別和鏈路檢測(cè),從Overlay的邏輯網(wǎng)絡(luò)選取一條滿足業(yè)務(wù)需求的路徑進(jìn)行路由,或者綜合Overlay和Underlay進(jìn)行選擇。由于POP網(wǎng)元比較多,使得對(duì)網(wǎng)絡(luò)的可控性和可視性增強(qiáng),往往很容易選出滿足條件的鏈路。服務(wù)商使企業(yè)不必自行部署控制器等服務(wù),用戶只需要定義策略模板即可實(shí)現(xiàn),降低了企業(yè)使用SD-WAN的技術(shù)要求。
圖二 面向應(yīng)用的Overlay路由
三、運(yùn)營(yíng)商
運(yùn)營(yíng)商具備直接在Underlay網(wǎng)絡(luò)上提供SD-WAN服務(wù)的條件,基于傳統(tǒng)路由實(shí)現(xiàn)面向策略和業(yè)務(wù)的路由,但出于意愿和部署難度的原因,這個(gè)想法有可能僅僅是個(gè)想法。SD-WAN功能特性較多,針對(duì)混合WAN場(chǎng)景,提供軟件定義功能的分支CPE需要滿足如下業(yè)務(wù)需求:
1. 主動(dòng)回連控制器獲取配置和策略
傳統(tǒng)組網(wǎng)的CPE設(shè)備高度自治,無(wú)論是命令行、網(wǎng)管界面還是廠商實(shí)現(xiàn)的所謂零部署等功能,從思維上依然面向孤立網(wǎng)元,依然是配置驅(qū)動(dòng),業(yè)務(wù)模型發(fā)生變化意味著分支站點(diǎn)需要修改配置。SD-WAN約定了轉(zhuǎn)控分離,業(yè)務(wù)配置和策略均由控制器下發(fā),通過(guò)功能分層使用戶界面從面向配置轉(zhuǎn)為面向應(yīng)用,并且做到了真正的即插即用。
Netconf是SD-WAN中很典型的南向協(xié)議,這是一個(gè)C/S模型的協(xié)議,采用SSH或TLS作為安全通道,YANG作為元數(shù)據(jù)完成命令描述的定義,控制器作為Client將上層的REST調(diào)用依據(jù)YANG定義轉(zhuǎn)化為承載在NetConf中的XML-RPC,被配置設(shè)備作為Server根據(jù)YIN校驗(yàn)RPC合法后轉(zhuǎn)成最終設(shè)備配置。
2. 應(yīng)用的深度識(shí)別
面向應(yīng)用的前提是能夠識(shí)別應(yīng)用。傳統(tǒng)基于5元組的流分類和路由策略過(guò)于剛性,且需要大量配置逐一匹配應(yīng)用,界面不友好。SD-WAN場(chǎng)景下需要設(shè)備能夠進(jìn)行深度檢測(cè),通過(guò)本地識(shí)別或是云端識(shí)別歸類應(yīng)用,依據(jù)控制器策略進(jìn)行流量的動(dòng)態(tài)調(diào)度和關(guān)鍵業(yè)務(wù)保障。
3. 鏈路的質(zhì)量檢測(cè)
傳統(tǒng)基于路由的流量調(diào)度是靜態(tài)的,網(wǎng)絡(luò)環(huán)境卻是實(shí)時(shí)變化的,無(wú)法依據(jù)鏈路質(zhì)量的變化動(dòng)態(tài)調(diào)整,SD-WAN場(chǎng)景下要求設(shè)備能夠針對(duì)多條專線或互聯(lián)網(wǎng)鏈路進(jìn)行質(zhì)量檢測(cè),按照業(yè)務(wù)分類和控制器下發(fā)策略對(duì)流量進(jìn)行動(dòng)態(tài)選路。
4. 防火墻功能
分支接入互聯(lián)網(wǎng),分流了專線流量,就近接入公有云獲得了更好的使用體驗(yàn),但同時(shí)安全問(wèn)題也被引入進(jìn)來(lái)。分支CPE需要提供安全網(wǎng)關(guān)功能,劃分安全邊界,清洗非法流量,防范黑客入侵。防火墻功能可在本地完成,也可在云端通過(guò)虛擬化實(shí)現(xiàn)。
5. 加密VPN連接
企業(yè)數(shù)據(jù)在Internet上傳輸時(shí)為了防止泄密需要采用安全通道傳輸,CPE需要能夠與公有云、總部或其它分支VPN網(wǎng)關(guān)建立端到端IPSEC隧道,流量通過(guò)IPSEC隧道加密傳輸。
6. NAT功能
對(duì)于無(wú)需加密的Internet流量,進(jìn)入互聯(lián)網(wǎng)時(shí)需要做NAT轉(zhuǎn)換,解決了公網(wǎng)地址資源有限,同時(shí)也實(shí)現(xiàn)了內(nèi)部地址的隱藏。
7. 鑒權(quán)和審計(jì)
傳統(tǒng)組網(wǎng)出口全部在總部,鑒權(quán)和審計(jì)功能可以在總部單點(diǎn)部署,SD-WAN場(chǎng)景下的鑒權(quán)審計(jì)也變成了分布式,要求每臺(tái)分支的CPE設(shè)備具有相應(yīng)的功能,且能將數(shù)據(jù)日志定期回傳同步。
SD-WAN可以采用專用硬件或VNF編排實(shí)現(xiàn),只要符合集中控制、彈性伸縮、動(dòng)態(tài)可編程的思想都可以劃歸到軟件定義范疇。SD-WAN不是概念,是使用軟件思想重新思考網(wǎng)絡(luò)的必然結(jié)果,是能夠完成網(wǎng)絡(luò)重構(gòu)切實(shí)解決用戶高頻痛點(diǎn)的有效技術(shù)。
