SDWAN解决方案详解
来自企业和服务提供商终端用户群体的反馈表明,SDWAN技术需求强劲,SDWAN能够下降部署和管理企业网络的资本支出(capex)和运营支出(opex)。
思科和VMware等主要网络运营商嗅到了潜伏增长机会,进入SDWAN市场进行了重大收购(思科以6.1亿美元收购了Viptela,VMware以4.5亿美元收购了VeloCloud)。与此同时,少数私营SDWAN初创公司收入仿佛已到达1亿美元。
许多公司在战略上已落后于这个市场。像诺基亚,爱立信和Juniper这样的网络运营商仿佛缺少全面的SDWAN战略。而且大多数服务提供商都只是简单地转售初创平台,以应对SDWAN对组网和专线业务的影响。
市场内部在搜集并分析行业数据后,Futuriom预测该市场的增长速度会比去年更快。在调查终端用户和提供商时发现,SDWAN的增长速度正在加快,由于初创公司的收入基数相对较低。这类收入增长突然出现的缘由有几个,其中包括:
组网和带宽疲劳:企业正在努力跟上带宽需求,同时保持低本钱。
云加速:迁移到云迫使企业寻觅新的WAN体系架构并直接转向企业云利用程序。
技术成熟度:市场中的许多创业公司已经过数年时间调剂和完善了其技术,以满足客户的需求。
SDWAN减轻了企业在专线使用上的开消,利用资费更低、开通便捷的互联网也适应了企业使用公有云、混合云的技术诉求,快速部署、动态调度更是将这类性价比推向极致。虽然SDWAN的功能还不止于此,但这个功能却是当前最具客户价值的。
SDWAN的今天
采取SDWAN技术使企业可以通过便宜的Internet取得近似专线的特性,更适应业务上云的需求,增强了网络的敏捷性和鲁棒性。本文继续围绕混合WAN场景简述SDWAN特性和技术实现从SDWAN的实现上可以大致分为三类。
对这类场景,没有保密需求的业务直接进入SP网络,需要加密传输的业务通过隧道进入SP网络,这类隧道可以认为是P2P的Overlay,但不管哪一种方式流量进入SP后便失去了控制,由Underlay网络进行传统路由。SDWAN服务由企业自行部署,可控性更强,但由于Internet流量的突发和不肯定性,有时可能没法选出满足SLA需求的链路,需要企业提供多条链路。
SDWAN功能特性较多,针对混合WAN场景,提供软件定义功能的分支CPE需要满足以下业务需求:
1.主动回连控制器获得配置和策略
传统组网的CPE装备高度自治,不管是命令行、网管界面或厂商实现的所谓零部署等功能,从思惟上仍然面向孤立网元,仍然是配置驱动,业务模型产生变化意味着分支站点需要修改配置。SDWAN约定了转控分离,业务配置和策略均由控制器下发,通过功能分层使用户界面从面向配置转为面向利用,并且做到了真实的即插即用。Netconf是SDWAN中很典型的南向协议,这是一个C/S模型的协议,采取SSH或TLS作为安全通道,YANG作为元数据完成命令描写的定义,控制器作为Client将上层的REST调用根据YANG定义转化为承载在NetConf中的XMLRPC,被配置装备作为Server根据YIN校验RPC合法后转成终究装备配置。
2.利用的深度辨认
面向利用的条件是能够辨认利用。传统基于5元组的流分类和路由策略过于刚性,且需要大量配置逐一匹配利用,界面不友好。SDWAN场景下需要装备能够进行深度检测,通过本地辨认或是云端辨认归类利用,根据控制器策略进行流量的动态调度和关键业务保障。
3.链路的质量检测
传统基于路由的流量调度是静态的,网络环境却是实时变化的,没法根据链路质量的变化动态调剂,SDWAN场景下要求装备能够针对多条专线或互联网链路进行质量检测,依照业务分类和控制器下发策略对流量进行动态选路。
4.防火墙功能
分支接入互联网,分流了专线流量,就近接入公有云取得了更好的使用体验,但同时安全问题也被引入进来。分支CPE需要提供安全网关功能,划分安全边界,清洗非法流量,防范黑客入侵。防火墙功能可在本地完成,也可在云端通过虚拟化实现。
5.加密方案连接
企业数据在Internet上传输时为了避免泄密需要采取安全通道传输,CPE需要能够与公有云、总部或其它分支方案网关建立端到端IPSEC隧道,流量通过IPSEC隧道加密传输。
6.NAT功能
对无需加密的Internet流量,进入互联网时需要做NAT转换,解决了公网地址资源有限,同时也实现了内部地址的隐藏。
7.鉴权和审计
传统组网出口全部在总部,鉴权和审计功能可以在总部单点部署,SDWAN场景下的鉴权审计也变成了散布式,要求每台分支的CPE装备具有相应的功能,且能将数据日志定期回传同步。
SDWAN可以采取专用硬件或VNF编排实现,只要符合集中控制、弹性伸缩、动态可编程的思想都可以划归到软件定义范畴。SDWAN不是概念,是使用软件思想重新思考网络的必定结果,是能够完成网络重构切实解决用户高频痛点的有效技术。
3.SDWAN整体方案设计
SDWAN也就是软件定义广域网,它是软件定义网络(SDN)技术在广域网(WAN)中的一种特定的利用场景,广域网连接主要用于连接包括分支机构和数据中心在内的企业网。
从上述角度来讲,我们认为的SDWAN最少要遭到两个主要变量的影响:SDN和WAN。SDN(软件定义网络)诞生10年,目前已在业界开始实践落地,SDWAN作为SDN在WAN中的利用,我们认为需要满足SDN的特性,即需要集中控制;也需要满足WAN的特性,即连接性。
Gartner在2015年发布的报告认为,SDWAN相对应的是传统的基于路由的广域网,还是延伸一点说是基于硬件装备连接的广域网。维基百科上给的定义是SDWAN是一系列技术的集合,主要概念是将SDN的技术利用在广域网。软件定义网络技术使用虚拟化技术,简化数据中心的管理及运维的工作,同时也能够将相干技术利用于广域网络之上,可以简化企业级用户对广域网络的控管。
通过SDWAN,公司可以用低本钱的网络构建方式建立起高效能的广域网络。企业因此可以部份或完全替换掉昂贵的私有广域网络技术,例如组网。
WAN遇到的问题
WAN作为企业的连接方式,在过去的数十年中延续为企业提供服务。随着企业的数字化转型和业务多样化的需求,和数据大爆炸的影响,目前的WAN中传输的流量已造成了WAN不堪重负。
广域网接入节点散布广泛、数量众多、部署周期长、保护难度高
传统网络技术僵化,难以满足业务敏捷性的需求,特别是随着企业云化的需要的增长
WAN难以满足云计算的发展需求:
广域网带宽与性能需求迅猛,本钱压力逐步提升
缺少对WAN流量的可视化监控和管理
传统的WAN性能相对照较固化,难以实现对WAN的优化,即使能够对WAN进行优化也很难具有本钱效益。
为应对企业多样化的网络连接需求及对性价比的寻求,SDWAN的概念在2014年被正式提出,并在诞生后的三年内迅速升温。根据Gartner的报告,2016年只有1%的企业部署了SDWAN,但预计到2019年底,部署SDWAN的企业将会增长到30%。
快速配置:传统的组网CE装备需要专业的网工才能完成客户侧的配置,而理想的SDWAN客户侧装备更像是一个消费级电子产品,假定用户都是非IT工程师,只要接上电源线并做一些基本的配置就能够实现网络通达和优化。这些基本配置可能都是采取普通消费者可以理解的平常语言来描写专业的网络功能。而为啥SDWAN可以做到这个呢?其中一个缘由是全部消费电子的进步,另外一个决定因素是网络大部份的功能都在云端,所以真正在CPE上且需要用户去参与配置的功能就会很少。
提高可靠性:相信在SDWAN的产品早期,可靠性仍然不是很强的,但是SDWAN将网络功能集中化的一个好处就是CPE上的功能会很简单,更复杂的网络功能都在“云端”,所谓的云端就是提供商的控制器,而简单必定会带来可靠性的提升。
提升性能:由于SDWAN可以针对用户的需求有针对性的优化链路质量,比如用户需要提升访问office365的体验,只要建立用户CPE到office365云真个专用链路,便可以提升office365的使用体验
下降本钱:通过利用零接触配置和自动化,组织可以节省硬件、软件和IT资源,特别是在分支机构尤其明显,另外,很多企业可以通过采取混合广域网的模式来节省本钱。
SDWAN整体网络架构计划设计
三种不同场景的SDWAN的部署案例,包括:SDWAN接入基于InternetEdge解决方案,SDWAN骨干网基于SRTE流量调度的Core解决方案,和基于多厂商WAN的SDN协同控制器或业务协同编排器。这三个场景比较有代表性,也是目前遇到的典型的SDWAN的需求
第一类部署场景:
SDWAN接入服务,也是最典型和最通俗的场景,有时也称为SDWANEdge解决方案,运营商可以用这个技术作为组网互补或下一代组网替换,企业可以利用这个技术实现分支机构按需组网。
市场需求情况:随着企业上云和广域网按需接入的需求日趋增加,传统的MSTP和组网等专线业务由于本钱和部署周期长等问题已难以满足云和互联网时期的需求,面向基于互联网和POP路径选择的SDWAN是技术随之诞生,这是一种面向分支灵活接入的SDNWAN部署场景。由于目前国内运营商组网方案网络的已大范围部署,短时间内运营商不会用SDWAN替换组网或其他专线业务,但是会利用SDWAN技术丰富组网方案业务还是做为最后一千米的接入技术。
主要的技术实现:其实SDWAN在技术上没有本质上的革新,但SDWAN在理念上有了新的突破,融入了SDN控制思想结合POP线路SLA探测技术,同时可以实现云网一体的协同部署。
SDWAN通用技术及通用功能不在这里赘述,这里从实际部署的角度谈谈几点斟酌:
1)在SDWAN设计和部署时,在中国需要斟酌南北运营商Internet瓶颈的问题,客户部署设计时会选择在多个机房部署多线POP节点,在每一个POP节点部署vPE装备,各个POP节点的vPE通过专线组建骨干网保障SDWAN会聚上来的流量SLA,在这个案例中POP节点的vPE通过客户的组网PE节点来组建(在其他项目中我们采取SRTE作为骨干网流量调度)。在一个大SDWAN部署时,每一个CPE会根据控制器的下发列表探测并选择最好的POP节点,并连接最好运营商线路的vPE,在SDWAN设计时Edge和Core都需要斟酌线路的SLA保障,再利用SDN控制器的部署全网统一的路由,安全和QOS的策略部署和控制,从而解决基于Internet接入服务质量问题和全网统一策略部署问题;
2)另外一个要解决的问题是SDWAN的租户如何与现网的组网租户对接(租户分支机构有多是SDWAN线路,有的是组网专线混合组网),前面提到目前几大运营商基本上都已有自己组网网络,SDWAN与组网方案的对接是一定要斟酌的问题,我们在PoP点的vPE如何与组网PE节点实现自动化对接上有多重方案可以实现,包括纳管PE,OptionB,Overlay等等
3)对CPE的自动部署与传统路由装备包括线路之间的的备份和负载分担也是SDWAN能否成功的关键因素,由于现在多数厂家的SDWAN控制器与CPE盒子是紧耦合,致使后期被厂商锁定,因此有几点建议斟酌:如CPE盒子是否是支持OpenWRT?小盒子ZTPnP自动部署机制如何(防火墙穿越能力)?CPE如何自动选择延时最小或带宽最好的接入POP点?能否做到即插即用、自动连接、自动切换。
4)对全部系统的核心是SDN控制器,控制器的可靠性、集群、租户自服务管理和易用性也不可忽视,作为一个运营商通常还需要SDWAN控制器的北向与现有的BSS/OSS对接集成也是要斟酌。虽然SDWAN没有大的革新技术,但一个完全和成熟的SDWAN方案技术上也不简单,SDWAN带来的部署运维简单易用是明显的,而且企业不再需要专业的CCIE人员设计和运维,对分支机构的扩大和部署,传统的组网部署可能需要几个月,而现在理论上分钟级就能够了。
主要的技术实现,目前主要有三类方式:
第一类基于白牌机+OpenflowSDN控制器GoogleB4就是基于这个方案(20102012年),GoogleB4的核心是它的TE调度和算法而且它奇妙地避开了Openflow的众多缺点,包括基于源和目的地址配合DSCP作为流表的转发策略,但项目其关键技术细节(如SDN控制器平台算法)即不对外公布,也不对外销售,后来者虽然有模仿但也很少能超出,除Google,我说了解到一些客户对这个组合方案反馈或有些问题,包括白牌机对SRTE支持能力、BFD/Tunnel支持性能和数量,路由策略和方案能力,交换机流表和端口缓存的大小等等,毕竟是交换机的方案也不能勉为其难,更何况连NickMcKeown现在又转向主导的可编程语言P4并创建BarefootNetworks;固然目前业界有一种新的思路基于白牌机的Overlay方案,利用vPE配合白牌机来解决上面提到的问题,vPE与交换机互补来实现流量调度和路由策略等功能,由于篇幅问题这里就不在展开讨论;
第二类有基于组网+SDN控制器实现全网的流量调度和方案租户管理类似工行SDWAN骨干网(2017发布),组网TE多年前就有在部署,就目前运营商客户部署情况看,绝大部份抱怨组网TE的部署过于复杂因此真正在生产网TE隧道使用的其实不多,由于组网成熟有余先进不足,这里就不想过量的赘述;
第三类方案也是笔者更希望看到的,是基于SR(SegmentRouting)实现流量调度和管理SR+SDN控制器,和组网的网络类似,但是SR可议基于源头组建一个完全的LSPPath而且和现有的组网网络可议兼容,由于SR也是以标签交换为基础的,只需要对现有的IGP协议进行简单的扩大,就能够实现TE、FRR、组网方案等功能,包括流量工程TE的自动下发、自动计算、自动调剂、自动引流和自动调度。
基于SRTE的SDN控制器目前在业界属于非常领先的技术,SR的基础转发表乃至比LDP更简洁,利用了源路由技术与SDN理念完善结合,在流量TE管理方面,SRTE比RSVPTE状态少很多,也不需要LDP/RSVP信令那末复杂。但是目前各个硬件厂商(包括第三方控制器+SR路由器)在SRTE具体实现或有一定差距,但有几点是部署时需要斟酌的:如何根据链路质量(load/loss/delay)动态实时调剂TE路径以实现全局负载均衡、隧道快速倒换策略和逃生算法(如思科PBTS技术)、配置回滚的一致性、离线流量计划、TE路径的对称故障检测等等,各家方案功能差别很大,在国内能真正完全实现基于SRTE的SDN控制器更是寥寥可数。
第三类部署场景:
基于多厂商的SDN协同控制器或业务协同编排器,目前大型运营商和OTT客户和超大企业在SDWAN多厂商异构环境下已开始斟酌。
代表客户案例:2018年3月中国联通宣布”国内首个大型运营商云网融会商业SDN成功上线(基于联通A网的SDWANDCI系统)”
主要的市场需求:在前面两大类SDWAN在部署时,客户常常需要多个厂商装备实现一种平衡,客户是不希望被厂商锁定,但目前多数SDWAN的网络或封闭的管理系统,基于多厂商的SDN协同控制器或业务协同编排器是一个困难,互操作和资源统一管理问题是需要上层SDN协同控制器来解决,这类解决方案对大型SDN网络运营特别重要。目前几大运营商和OTT行业都意想到或开始斟酌这个问题,相信将来企业客户随着SDN部署也会有类似需求。
SDWAN分层网络计划设计
下面我们看看有关SDN的两个具体技术:VXLAN和SegmentRouting。目前看基于VXLAN的BGPE方案已成为云数据中心网络标配技术,VXLAN可以为数据中心内部或数据中心间大二层网络,为虚拟化、集群和云的部署提供Overlay的网络,由于VXLAN基于传统的L3网络,充分利用UnderlayNetwork网络的稳定和可扩大能力,而且目前主流厂商乃至白牌机都已支持,初期还有OTT客户想基于Openflow部署,但由于Openflow的Scaling问题,终究基本上都选择了VXLANE方案的解解决方案。
另外一个技术SegmentRouting能否作为未来广域网重构的关键技术,仁者见仁智者见智,但我认为在广域网基于SRTE的广域网SDN的解决方案前程不可估计;一方面源头路由控制最合适广域网SDN,另外一方面SRTE解决了传统WAN流量调度的困难(组网TE由于太复杂即便在运营商也一直没有大范围部署),SR可以在独立提供FRR保护,提供快速重路由保护也是传统组网网络的难以媲美,固然有一个话题,在数据中心内是否是可以用SR替换VXLAN,是一个好问题,但目前看还有一定难度或难以替换。
SDWAN广域网重构实践分享
接下来我们介绍第二部份:SDWAN广域网重构实践分享。这个话题比较大,我们从两个维度看看业界SDN的发展:一个维度是SDN可以适用在甚么场景,一个维度是哪些行业可使用SDN。首先看看第一个维度适用在甚么场景,基本上企业(包括运营商、OTT或大企业)分支,骨干网和数据中心三个场景都比较合适。比如现在运营商在谈ECord解决方案,实际上就是基于SDN+Openstack实现端局云化,在骨干网基于SDN的流量调度和多厂商管理是个非常大的热门,特别是基于SDN+Internet广域网接入怎样解决”最后一千米”或南北运营商服务质量的困难,在云数据中心特别是公有云、托管云等SDN早已被采用和部署。对第二个维度行业维度,在SDN部署走在前列的是OTT客户和三大运营商,海外Google最早开始部署SDN的网络,OTT客户在公有云、托管云方面明显走在业界前列,三大运营商由于一般都有12张的全国性的骨干网,对SDWAN的热度明显高于一般行业。最近在造访的一些大企业客户中,也已把SDN的计划列入未来几年的发展重点。
对SDWAN的一些利用场景,这张胶片介绍了几种典型场景。
包括企业到企业分支internet或专线最后一千米问题,企业到公有云和托管云,企业到数据中心,公有云到私有云和托管云。他们的共性都是基于SDN做统一的控制和管理,包括装备自动部署,路径调度,隧道选择或加密,流量的可视化和服务质量保障,基于租户的管理等等。就像这张基于互联网利用场景动画,企业利用可以放在数据中心或放在云端,分支机构可以基于互联网或MSTP专线接入,但SDN控制器作为全网络的调度和管理中心,为企业提供企业分支快速上云,访问云服务。
下面介绍一个典型SegmentRouting在SDN环境下的部署案例(参考思科的SR技术文档)。
骨干网的PE/P装备注册到SDN控制器,PE/P装备BGPLS将网络节点和拓扑、链路状态和带宽、现有TE隧道的能力、时延/丢包等信息传递给SDNController,由Controller完成选路,并将选路信息下发给路由器,从而避免散布式TE计算的问题,一个包进入网络入口时,基于Sourcerouting算法标签栈已肯定,SDNController对外提供统一的用户UI、流量监控接口、网管和业务层面的北向接口。
