SD-WAN 网络服务化转型
未来几年内,绝大多数的企业都会将业务部署到云端。5G、4K/8K、VR/AR/MR、IOT等新业务的快速普及,将使企业WAN流量爆发式增长。
首先广域网不是互联网,广域网只是互联网的一种。
当前企业WAN互联场景中,除了总部、分支和IDC的互联之外,还将包括公有云,SaaS应用的互联。连接方式也从传统ISP点对点专线到英特网到通过光纤、DSL(Digital Subscriberl Line,数字用户线)、LTE(Long Term Evolution,长期演进)、5G等技术,结合“云”构建面向云时代、易扩展且建设成本可观的网络。
针对到具体案例,云桌面业务的最佳体验要求时延低于20ms,视频会议保证极低丢包率、对试验比云桌面更敏感。没有人建议使用云桌面和开会时,看到马赛克等卡顿现象。而传统企业专线无法感知业务,无法获知应用状态,当遭遇突发流量导致链路拥塞或质量劣化时,往往无法保证关节业务。
服务是以满足消费对象最终业务需求为目的的,其本质是比产品更直接的一种消费形式。今后ISP提供可能不只是“产品”,而是业务服务和承诺。网络转售的传统方式正在向服务化改变。
各厂商基本都有自己的SD-WAN解决方案或设备,一旦形成规模后,就可出现滚雪球的效应。而使用这些SD-WAN方案的往往都是跨国企业(大部分使用cisco方案),毕竟这本质是一种VPN服务(我看到这些模型时,第一时间想到的就是DSVPN)DSVPN的模型和SD-WAN非常相像...
NFV:Network Functions Virtualization,借助虚拟化或容器化部署传统路由器、防火墙等专用网络设备。使其运行在通用的服务器上,从而实现对网络功能的虚拟化,让网络功能和传统网络设备分离。
| 技术 | 方案 | 提供商 | 解释 |
|---|---|---|---|
| TDM | SDH/ MSTP/ OTN | ISP | 基于TDM技术的SDH MSTP以及基于WDM技术的OTN等专线,这些专线是传统的点到点物理专线,具有强安全性,但是费用昂贵,使用者独占专线资源,性价比低。 |
| IP/ MPLS | MPLS VPN | ISP | 基于分组交换技术的MPLS VPN专线,组网型专线。一点接入,全网任意可达。成本低于TDM专线,并性价比更高,接入更便捷。能提供较好的带宽、高可靠性以及可实现隔离需求。在当前WAN市场广泛应用。 |
| 云 | EVPN/ VXLAN/ NVGRE/… | ISP/企业 | 华为华三等大量企业级厂商甚至家用路由器厂商都会退出自己的SD-WAN方案。 |
以上提到的三个技术及方案不是替代关系,而是长期并存,并存在相互依存的关系!
- SDH: Synchronous Digital Hierarchy 同步数字体系
- MSTP: Multi-Service Transport Platform 多业务传送平台
- OTN: Optical Transport Network 虚拟专用网
- EVPN: Expensive VPN(×) Ethernet Virtual Private Network 以太网虚拟专用网
- VXLAN: Virtual extensible Local Area Network 虚拟扩展局域网
- NVGRE: Network Virtualization using Generic Routing Encapsulation 基于通用路由封装的网络虚拟化
所有组件都可以虚拟化运行
vBond:编排设备。可以冗余部署,用于智慧下面的所有设备。需要公网IP地址,下面的vManage、vSmart、vEdge都需要能够连接到vBond
vManage:可以存在租户的概念,可以不去采购,直接由服务商分配账户(租户账户),极简情况只需要创建一个vEdge即可组网。
vSmart:属于控制层面,在SDA中的控制层面是LISP,控制数据应该往那边走(类似于路由),用于将所有vEdge互联在一起。可以容器方式运行。
vEdge:可以是物理设备,也可以是虚拟化存在。
SDN已经在DC领域获得应用和推崇
ONUG定义的SD-WAN
混合WAN,企业站点之间可以通过公共/私有WAN专线灵活互联
硬件无关性,CPE同时支持物理和软件形态,不依赖特定硬件
因特网链路质量劣化,MPLS链路动态分担负载,并保证业务收敛性能及安全的混合WAN连接架构,WAN流量在链路故障、应用质量劣化时,在多个WAN之间动态调整负载分担。
关键应用可视化、优先调度以及QOS
HA与弹性的混合WAN
与现网二三层设备兼容和可互操作
基于站点、应用以及VPN等层面的性能报告和可视化
开放性和北向API
站点零配置开具,简化业务分发操作
FIPS 140-2安全认证
其中有提到4个核心特征:
1、混合链路接入,硬件兼容支持。
2、HA技术
3、Zero-Touch Provisioning 零配置部署
4、支持VPN以及其他增值业务服务。
即,可以灵活利用LTE/DSL/光纤等混合链路的接入,快速开通并优化链路开销。支持丰富的组网模型(层次化、Partial-mesh、Fullmesh、Hub-Spoke等)。记录链路的时延抖动等实时状态信息,并通过应用识别,精准分析流量。可以基于不通的应用类型,动态调整流量路径。
| 典型应用 | 优先级 | 带宽(kbps) | 丢包率 % | 时延(ms) | 抖动(ms) |
| ERP | 最高 | 30 | 1~2 | 50~100 | ~ |
| 电子邮件 | 高 | 5~10 | 5~10 | 200~750 | ~ |
| 文件共享 | 中 | 2~5 | 2~5 | 200~750 | ~ |
| VOIP | 最高 | 80 | 1~2 | 100~200 | 25~40 |
| 视频会议 | 高 | 4000 | 0~1 | 50~150 | 15~30 |
| 屏幕共享 | 中 | 200 | 1~3 | 100~150 | ~ |
| SaaS | 高 | 50 | 1~2 | 100~200 | ~ |
| 一般云化 | 中 | 30 | 2~5 | 100~400 | ~ |
| 社交 | 低 | 400 | 2~5 | 1000~2000 | ~ |
| 新闻 | 低 | 200 | 5~10 | 1000~2000 | ~ |
组网编排步骤:
① 创建站点,可以是分支、总部以及数据中心站点,深圳可以是公有云上的云站点,输入站点的基本链接信息[如CPE的类型和数量以及WAN接口数量和类型]加上一些ZTP所控制器相关连接信息。
② 配置站点之间的内部互联结构,可以是Hub-Spoke、Full-mesh 及 Partial-mesh等多种拓扑方式的组合,然后规划VPN以及站点间的拓扑关系。
③ 定义SD-WAN运行过程中需要的业务策略,如选路策略以及广域优化策略等。
华为SD-WAN的网络模型关键元素基本概念:
① Site ID,站点ID。是企业站点在SD-WAN中的全局唯一标识,通常用一串数字或用IP地址标识,由网络控制器统一自动分配。Site=Subscriber Network Site
② CPE ID,站点CPE的Router ID。是CPE在SD-WAN中的全局唯一标识。一个站点包含一个或两个CPE。CPE ID通常用CPE的Loopback0的IP地址表示,由网络控制器统一自动分配。CPE=Edge。
③ WAN,TN,是ISP提供的广域线路。如果ISP提供的TN彼此路由可达,则认为这些TN在同一个RD内。
④ WAN接口,TNP,传输网接口。是CPE接入传输网的WAN接口,企业分支节点是互联本质上是通过两端的CPE的广域接口进行互联、接口私网地址、Site ID、CPE ID、TN和端口、隧道封装都包含在TNP的关键信息中。
⑤ RD,ISP提供的WAN一般彼此独立建设,通常不能直接互通。但也存在不同ISP提供的WAN可以互通的情况。这种情况属于同一RD。
⑥ SD-WAN Overlay Tunnel,不同站点建立互通,需要建立一条Overlay隧道,两端是两个互联站点CPE的广域接口TNP。该广域接口属于同一TN或属一个RD中的不同TN,就可以在Underlay网络通过Overlay技术实现互通。=SWVC
MEF对于SD-WAN的网络模型关键元素基本概念:
① SWVC EP,SD-WAN Virtual Connection End Point
② SD-WAN Service Provider Network
③ SD-WAN UNI,SD-WAN User Network Interface。是Subscribe Network和Service Network的分界点,是LAN侧业务接口
④ SD-WAN Edge,站点CPE
⑤ UCS,Underlay Connectivity Service,Underlay连接服务,是提供站点之间的网络服务。
⑥ UCS UNI,UCS的用户网络接口。WAN侧业务接口。
⑦ TVC,Tunnel Virtual Connection。是Edge的广域接口之间通过Underlay网络互联的隧道连接方式。是Edge可能通过多个Underlay网络互联的WAN Tunnel。因此一个SWVC可以构建于多个TVC上。
拓扑编排
- Hub-Spoke组网适用于分支之间流量必须经过总部的应用场景,总部(Hub)可以进行安全管控。
- Double Hub(双Hub是为了提高可靠性)
- Full-mesh主要适用于企业所有站点之间互访都需要直接互通,需减少经过总部站点的互访以免增加时延的场景。
- Partial-mesh适用于大部分站点之间的互访都需要直接互通,但是部分站点之间互通需要经过第3个站点的场景,这里的“第3个站点”也被称为“重定向站点”。
- 如图Spoke2和3无法直接访问Spoke4,必须经过Spoke1才能访问Spoke4,Spoke1此时就是重定向站点。
广域NAT穿越
在SD-WAN中,除了CPE提供NAT功能实现{站点内--站点外}的上网需求之外,还要考虑在NAT设备后的站点之间互联时发生的NAT穿越。因为有问题链路构建的Underlay网络来说,CPE位于NAT设备后的情况更普遍。当两端CPE位于NAT设备之后,网络控制器及其他站点的CPE需要通过“广域NAT穿越”让不同组件之间实现通信。
① CPE和网络控制器的连接:
CPE和网络控制器自建会建立通道,由于网络控制器会使用公网地址进行部署,CPE会主动向网络控制器的公网地址发出连接请求,所以这种情况认为CPE和网络控制器之间的NAT问题已解决。
②CPE和CPE之间:
CPE和CPE之间会建立数据通道,站点间互访会通过数据通道传输,此时CPE和CPE之间的就属于P2P类型连接。当CPE谓语NAT设备后的私网,特别是两个站点CPE同时位于NAT设备后的私网时,CPE之间要建立P2P必须考虑NAT问题。
若要解决此类情况的NAT穿越问题,可以考虑使用STUN技术。STUN被定位成一种实现NAT穿越的工具,用于终端检查NAT设备为其分配的IP地址和端口,同时也被用来检查两端之间的互联。
STUN需要服务器和客户端的配合。服务器部署在公网,具有公网IP地址;客户端部署在私网,可以位于NAT后,在SD-WAN中,将网络控制器或者区域控制器作为STUN服务器,CPE作为STUN客户端。
利用STUN,双方可以获取对方经过NAT后的真实公网地址,双方CPE的TNP会基于NAT后的地址建立连接,实现NAT穿越。
与传统网络互联
总的来说,分为两大类:
① 通过站点互通,选取一个SD-WAN站点,将改站点与传统网络打通。可以继续细分为站点背靠背互通和站点本地互通两种方式。
② GW互通方案,通过部署独立的IWG实现互通。IWG具备同时连接SD-WAN以及传统网络的能力,IWG作为网关连通SD-WAN网络域和传统网络域。可以继续细分为OptionA和OptionB两种方式。
站点背靠背互通
当SD-WAN连接的WAN和传统站点之间连接的MPLS网络无法互通(两类站点的Underlay网络无法直接互通)时,可以选择一个SD-WAN站点和一个传统站点进行背靠背互通。这两个不同类型的站点从逻辑上来看可以作为一个网关站点。
具体做法
在传统站点和SD-WAN站点的CPE上分别选择一个LAN接口,并通过一条专用互通链路进行物理互联。在该链路上,按需运行BGP/OSPF等协议,用来交换传统MPLS网络域和SD-WAN网络域的路由,并分发路由给各自域内其他站点。
