這些年網絡在悄悄的改變

記得剛入IT這一行的時候，網絡剛剛興起，網絡作一個神秘和高大上的技術讓無數IT人羨慕，如今隨著混合云和多云互聯時代到來，網絡再次成為業界關注，但是今天提到網絡已經不僅僅是傳統意義上的路由器交換機的Underlay網絡，更多是基于租戶的按需提供服務的Overlay SDN網絡。

在當今云的環境下，計算資源按需提供服務能力，秒級開通已經不是難事，但相對于網絡的按需服務和自動化部署還是有一定的挑戰，尤其是異構網絡環境以及混合Overlay環境，在多域環境、多云互聯如何實現云網協同，SDN網絡該如何設計和部署，目前已經成為中國運營商、線商、云商及大企業非常關心的焦點話題。(有人也稱之為”云網一體或云網融合”，作者更喜歡用”云網協同”一詞)。

作為一名還在奮斗在一線的老網工，最近參與了一些運營商和云商的大型云網SDN協同管理平臺項目的設計和建設，今天圍繞這個話題跟大家做一個分享。

圍繞SDN討論已經很多，尤其是SD-WAN的出現，在云商、運營商和線商， 掀起了非常大波瀾，大家開始捕捉到了很多新的商機。云商由于業務的需求最早在云中心內以及DCI骨干節點間的采納SDN技術滿足云網協同和流量調度需求，這些年隨著SD-WAN的出現，快速上云、把云業務延伸到客戶分支以及為客戶組網為云商及服務商帶來了新的機遇。

在這個背景下傳統的大型運營商業務壓力越來越大，好在運營商擁有無可比擬的全國運營線路資源和客戶資源，這些年開始大刀闊斧調整云網戰略并加大對云網協同技術的投入和重構現網資源，為客戶提供上云和聯云的一站式服務能力，雖然運營商起步稍晚，但是線上線下資源多，實力雄厚，起點高，提供從最后一公里到云端的端到端的云網協同能力強。

云和網兩大技術引擎之失衡

云計算的本質就是網絡計算，云計算通過網絡平臺的橫向能力打通邏輯計算資源池和實現資源按需調度和平衡負載的服務能力，計算和網絡作為IT雙引擎疊加協同成就了今天信息通信的飛速發展。但是客觀講，兩大技術引擎是失衡的，今天計算資源的云化和按需調度和部署倒逼傳統的網絡模式改變。

為了配合云計算的自動開通和秒級部署，網工們10年前就已經開始思考數據中心云化網絡的演進，從早期的FabricPath/Trill/OTV 大二層到今天如日中天的基于VXLAN輕量級Overlay技術，可以說數據中心的云化網絡發展相對要快，尤其是隨著SDN技術的出現，基本實現了云中心內部網絡按需服務能力和自動化管理，但異構網絡環境、混合Overlay環境、以及多域網絡環境依然有很大挑戰，客觀來講網絡協議多和技術復雜導致端到端網絡自動化部署和管理的難度：

• 一方面網絡會牽涉多域的協同配合：除了數據中心網絡，還要考慮骨干網絡以及邊緣接入網絡，多域的協同配合和網絡服務能力是今天SDN的一個焦點；
• 另一方面網絡相關的協議或技術非常復雜， L2/L3/GRE/VXLAN/EVPN/MPLS/SR/OF/ Netconf/Yang/Neutron/ODL/ONOS協議或技術數不勝數，再加上QOS/加密/FW/NAT/流量調度/TE隧道技術等,這年頭做一個好網工實在是不易，設計一個大型云網協同SDN網絡更不易。

如下圖所示：

云網架構對SDN的訴求

云網協同的SDN網絡架構設計，需要滿足云內網絡、云間互聯和上云網絡的需求，需要管理復雜的多域和異構的多個網絡資源系統，實現云網業務的協同工作和一站式管理服務。由于云網協同架構涉及的內容較多，各行業需求不盡相同，目前國內大型運營商、云商以及OTT公司在這個領域的規劃和部署相對比較超前，以運營商、云商和線商為例，簡要分析一下云網協同對SDN設計的主要訴求：

(1) 云內資源池的統一管理需求

多虛擬化資源池(Openstack,Vmware,K8S..)、物理資源池如何統一協同納管，異構網絡設備如何統一納管， HostOverlay和HW Overlay網絡如何選擇或混合組網問題?以及云和網的資源管理和監管等。

(2) 多域網絡系統協同調度

這是大型服務商會碰到的問題，云化網絡涉及多個網絡域，包括：骨干網有云聯網、邊緣接入網絡SD-WAN、云中心內部的網絡系統以及多云互聯網絡系統(內部云資源池網絡，合作伙伴云系統)，多個域用到截然不同的網絡技術，如何通過SDN云網協同技術實現適于跨域部署的云資源布局，讓用戶可以一點接入、多點部署、全網服務。

(3) 網協同網絡服務能力和標準規范

大型的服務商希望自己制定API規范和Yang模型重構云網協同架構，規范多域網絡資源的管理以及云池對接的接口規范和標準，這個思路非常好，但是對網絡廠商提出了更高的要求。但現實中各個域網絡功能不同和廠商的接口規范不同，如何打造統一的云網協同網絡服務能力給業務平臺統一調用也是一個有趣的話題。

云網協同架構下SDN的設計

云網協同架構下SDN的設計涉及面很多，需要考慮從接入到云的多域之間的端到端的租戶VPN自動打通，對不同域的網絡資源納管和協同部署，以及端到端的線路SLA探測和流量調度， 還包括分權分域的管理能力。在2019第二屆中國SDNLAB峰會上，作者分享了《云商、線商和運營商如何成為SD-WAN時代的贏家?》，其中談到SDN設計話題，首先它是網絡技術屬性：在傳統網絡中，傳統廠商如思科對網絡基礎技術如路由策略、服務質量、安全性做的非常好;但是SDN作為一項技術革新和管理模式的革新，SDN/SD-WAN設計里面必須構建在穩健的網絡基礎功能能力上，同時需要更多SDN的屬性和抽象服務功能， 筆者認為云網協同架構下一個好的SDN的設計歸納起來有三個點一定要設計好，今天就重點談談這三個設計點：

(1) SDN南向協同器適配層設計

SDN協同器模塊是負責全程網絡資源的統一收集、抽象和組建，實現網絡資源和能力的模型化，是SDN網絡編排平臺能力和服務支持的基礎組件。SDN協同器南向對接：Openstack平臺、骨干網控制器、SD-WAN控制器 、數據中心網絡設備控制器以及第三方云平臺等。

針對SDN協同適配層，我們的建議如下：SDN協調器實現物理網絡向邏輯網絡的轉化，為物理網絡資源提供統一的網絡服務能力抽象，整合異構廠商設備并實現解耦，這是SDN網絡設計好壞的根基。多域涉及多種網絡設備和技術、多種廠商的控制器、 不同廠家定義的YANG model、命令內容、配置方式， SDN設計師必須掌握多領域最新技術的系統整合設計，并具有創新實踐的能力和經驗。

(2) SDN網絡業務編排器模塊

SDN網絡業務編排器模塊依賴于SDN協同器所提供的統一網絡抽象、邏輯網絡和網絡資源模型，提供業務平臺所需的所有網絡服務的基本機制和管理。網絡服務的基本機制包括基于租戶的VPC網絡路由、基于租戶的VRF虛網和路由、云數據中心內2層VPN和3層VPN，BGP/IGP 路由，SD-WAN的接入和SD-Core骨干整合 ，流量工程和SLA服務策略和安全等等。SDN業務編排器將網絡資源和能力抽象成統一的業務模型，提供給云業務平臺， 業務層無需感知任何底層廠商設備細節，完全解耦。針對統一業務編排模塊，我們提出了2點建議：

• 業務編排器整個系統架構按照業務和功能進行拆分，建議基于現有成熟的微服務架構實現最小粒度化的服務模塊。微服務可以按需組合完成各類業務場景開通，實現完全解耦的模塊化系統架構設計。
• 統一業務編排器的設計需由具備既熟悉網絡的底層架構、技術和協議，又掌握新型云網絡技術和軟件架構的全棧技術的專業架構師來完成，同時還需要對客戶的業務與網絡之間關聯關系有深入的了解。

(3) SDN網絡業務北向API規范

云網協同SDN架構為數據中心、私有云、公有云、分支機構提供了端到端網絡接入服務。API規范和Yang模型不僅要滿足網絡資源的管理和對接，還需要和多個云平臺打通并對接，適配多域網絡系統、多云平臺等可編程平臺，供北向業務系統統一調用，為用戶提供云網一站式打通。由于云商和運營商的API業務流程和調用流程有很大差異，跨域部署的網絡架構和多云資源布局差別很大， 做好SDN 網絡編排的API規范的技術難度也非常復雜。針對API規范，我們的建議如下：

• 云商對接須盡早進行：大部分云商都有各自非標準的API規范，且每個云商的接入方式、路由設計以及API還是有很大差別，須有經驗的開發人員盡早參與討論和設計。
• API調用流程須協調好：比如：在資源申請中，多域環境下是一點登錄還是允許云商和服務商多點登錄，一定要協調好。典型客戶需要：可以讓用戶一點接入、多點部署、全網服務，這需要涉及跨域部署的多服務能力和多站點資源布局和統一管理。

云網協同架構下SDN的實踐分享

前面分析過大型服務商的云網協同架構至少涵蓋接入、骨干網和云中心等幾個層面，這不僅涉及到整體架構的統一規劃還涉及到多域技術整合。

下面針對某客戶SDN實踐部署做一分享：客戶是某大型服務商客戶，希望云網協同統一管理、協同工作，基于SDN技術重構網絡基礎架構，對接公有云和私有云資源，提供端到端的網絡服務自動部署和調度(SDN業務編排)， 為企業客戶提供上云服務、跨云的連接(包括數據中心、公有云、私有云)和分支組網等多重場景，包括解決云計算落地“最后一公里”的問題。

這個客戶是一個大型運營商的項目，在架構設計特別關注以下幾點工作：

• 從接入到骨干到云端的統一業務編排，一站式服務
• SD-WAN 多線機房POP節點+SLA探測
• SD-WAN POP與 MPLS PE節點無縫對接
• 基于租戶SLA業務的SRTE 流量調度
• DCI L2/L3VPN業務自動開通，云DC內部VR到GW的自動打通
• 組網場景：企業一線上云、企業云組網、 企業云寬帶、互聯網+專線混合組網等等

在架構設計特別關注以上幾點，我們采用大地云網SDN解決方案(也算做個小廣告)如下圖所示：

下面就客戶部署的情況加以詳細介紹一下：

(1) SDN編排和服務平臺

我們在項目中針對客戶的需求和服務流程，為客戶提供了多域的服務編排能力，對接公有云和混合云互聯的業務編排， L2/L3VPN網絡業務編排，SD-WAN接入云和骨干網整合業務編排， 通過我們的編排和服務平臺提供端到端統一調度資源、SLA服務質量保障、路徑規劃和VPN租戶安全管理，同時提供從邊緣到骨干以及與各家云商對接的多域業務的統一北向API規范和YANG模型，實現異廠家控制器對接和解耦。大大簡化了傳統的客戶業務系統需要調用多個網絡域的煩惱( 屏蔽了南向各種復雜的網絡資源和接口規范的差異性)，為客戶業務中臺提供了云網協同能力奠定了基礎。由于客戶的業務需求、環境和流程比較復雜，我們基于大地Terra業務編排器并做了大量的定制開發。同時我們在Terra業務編排協同層納管了SDN數據中心控制器，SD-Core骨干網控制器和SD-WAN邊緣接入控制器。

(2) 云數據中心網絡

我們重點考慮以下幾點：在云中心考慮云資源池的VPC的網絡與物理資源池BM網絡部署了混合Overlay組網，包括Openstack Neutron聯動。第二個是由于客戶有招標要求，在不同的POD區采購了多廠商的網絡設備，如何管理多廠商的VXLAN/EVPN 網絡，為上層提供統一的邏輯網絡服務能力;第三個重點設計考慮VPC與外部網絡尤其是骨干網的協同管理，實現VPC和邊界路由器(GW/VBR)互通和統一納管。客戶對于異構環境傳統網絡廠商難以解決或不愿意解決,這都是苦活累活技術活，我們基于大地云網 TerraDC 控制器實現上述功能，并增加L4-L7的NFV服務管理。

(3) 骨干網絡

我們重點考慮L2VPN、L3VPN業務的自動開通和重要業務的SLA和流量工程設計。該服務商的骨干網采用以多協議標簽交換(MPLS)/分段路由隧道(SRTE)為主骨干網路由器組網，通過虛擬專用網絡(L2VPN/L3VPN)與云中心以及租戶分支機構對接，同時客戶利用SRTE實現金銀銅不同業務的SLA服務質量保障，客戶采用SR+SDN重構新一代的骨干網實現流量調度和管理。由于PE節點要延伸到數據中心和公有云，PE和邊界路由器(GW/VBR)互通以及和SD-WAN接入實現自動對接也是本期重點，我們基于大地云網 TerraCore 控制器實現上述功能。

(4) 邊緣接入網

在設計時重點考慮里SD-WAN PoP點組網設計和探測，多線POP節點設計和組網以及POP點如何和骨干網的MPLS整合為一體，接入側CPE設備利用自動探測技術選擇最佳的POP節點，還有一點與MPLS的整合組網要考慮如何防止路由的環路和倒灌，以及SD-WAN租戶與MPLS租戶的完美統一，解決MPLS解決最后一公里問題。隨著今年疫情，客戶正在將移動辦公融合到SD-WAN系統中。這部分我們基于大地云網 TerraEdge實現上述功能。

結束語

新型云服務商追求資源邏輯管理和秒級響應, 傳統的運營商網絡或傳統網絡模式已無法支撐業務的彈性和快速增長。云網協同和SDN技術的出現，將整個物理網絡抽象并簡化為“單一”邏輯網絡資源池，并通過軟件定義用戶業務的自動化流程，實現多個系統聯動、多個域網絡聯動，完成業務端到端快速自動部署。這些年來， SDN網絡技術作為開放軟件架構受到新型云服務商和運營商青睞和認可，但在通用性、標準規范和互操作方面還有很多路要走，但不論如何，SDN和云計算作為未來IT發展的2大最基本的創新引擎勢不可擋，相信不遠的將來SDN與云計算相結合的云網協同將會給運營商、云商和客戶帶來一片新的天地。