作者簡(jiǎn)介:汪軍,畢業(yè)于南京航空航天大學(xué),碩士研究生學(xué)歷。目前擔(dān)任中興通訊承載網(wǎng)產(chǎn)品線SDN規(guī)劃總工,此前先后在中興從事核心網(wǎng)產(chǎn)品研發(fā)、平臺(tái)規(guī)劃以及下一代網(wǎng)絡(luò)研究工作。在2004年加入中興之前,供職于安徽蕪湖電信,先后從事網(wǎng)絡(luò)運(yùn)維、規(guī)劃以及市場(chǎng)等工作。
今天的SD-WAN
對(duì)于絕大部分的企業(yè)而言,IT系統(tǒng)已經(jīng)成為了企業(yè)運(yùn)營(yíng)中的一個(gè)關(guān)鍵基礎(chǔ)設(shè)施,這其中網(wǎng)絡(luò)部分Internet的接入、企業(yè)分支/合作伙伴之間的VPN連接是IT化基礎(chǔ)設(shè)施中重要的部件。而MPLS VPN專線接入價(jià)格高昂,對(duì)于大部分企業(yè)是筆不菲的支出;同時(shí)對(duì)于運(yùn)行關(guān)鍵業(yè)務(wù)的企業(yè)總部或重要站點(diǎn),往往需要連接到多個(gè)運(yùn)營(yíng)商或采用多種接入方式以提供網(wǎng)絡(luò)冗余的保護(hù),進(jìn)一步增加了WAN接入的成本?萍歼M(jìn)步的實(shí)質(zhì)就是降低成本,使得組織和個(gè)人單純的需要和欲望變成可以支付得起的需求,從而釋放購(gòu)買力,創(chuàng)造新的產(chǎn)業(yè)細(xì)分領(lǐng)域;除了少數(shù)以奢侈作為賣點(diǎn)的領(lǐng)域,任何有實(shí)用價(jià)值但是使用的金錢、時(shí)間成本過高的產(chǎn)品和服務(wù)都是下一個(gè)被顛覆的機(jī)會(huì)點(diǎn)。
在過去二十年,大部分企業(yè)都部署了局部的各種WAN加速和應(yīng)用交付產(chǎn)品,包括Caching、多出口的流量工程、TCP加速、SSL Offloading等特性,也有不少部署了自己的IPSec VPN用于分支到總部的VPN連接,但這些相對(duì)孤立的技術(shù)部署分別從不同的供應(yīng)商采購(gòu),缺乏統(tǒng)一的管理維護(hù)機(jī)制,部署門檻高,效果難以保證,一方面MPLS專線費(fèi)用占據(jù)了大部分的預(yù)算,給企業(yè)帶來了嚴(yán)重的負(fù)擔(dān),尤其是中小企業(yè),不要說MPLS VPN專線,即使是普通的Internet專線,可能也超出預(yù)算上限。SD-WAN在此情況下應(yīng)運(yùn)而生,是傳統(tǒng)各種WAN加速技術(shù)的集大成者,并且在此基礎(chǔ)上提供了統(tǒng)一的集中策略管理和自動(dòng)化業(yè)務(wù)發(fā)放平臺(tái),通過精細(xì)化管理、動(dòng)態(tài)調(diào)度多出口,最大化利用WAN帶寬,降低關(guān)鍵業(yè)務(wù)對(duì)于MPLS專線帶寬的需求,從而降低了企業(yè)的支出。無論是何種SD-WAN,其關(guān)鍵的特征如下:
1、集中的基于應(yīng)用的WAN策略管控和自動(dòng)化配置。
2、多出口鏈路的管理,包括MPLS專線、普通PON/DSL Internet連接、LTE無線網(wǎng)絡(luò)等,在充分利用多種鏈路帶寬的情況下,最大化保證業(yè)務(wù)質(zhì)量;通過實(shí)時(shí)測(cè)量多個(gè)出口的鏈路時(shí)延、丟包等質(zhì)量,將不同質(zhì)量、帶寬要求的應(yīng)用調(diào)度到最佳出口上,同時(shí)快速進(jìn)行故障的切換。
3、應(yīng)用識(shí)別和監(jiān)控分析,并且將應(yīng)用識(shí)別的結(jié)果和多出口鏈路優(yōu)化結(jié)合起來,不同的應(yīng)用定義不同的QoS等級(jí)、SLA保證策略,動(dòng)態(tài)選擇最佳的出口鏈路。
4、轉(zhuǎn)發(fā)面站點(diǎn)之間的連接采用Overlay技術(shù),以消除對(duì)Underlay網(wǎng)絡(luò)的依賴。SD-WAN控制器控制Overlay的端點(diǎn)來實(shí)現(xiàn)策略配置的自動(dòng)化,而無需介入到復(fù)雜的Underlay網(wǎng)絡(luò)配置中去。
5、企業(yè)CPE設(shè)備的即插即用。通過預(yù)置證書和引導(dǎo)過程,上電自動(dòng)接入網(wǎng)絡(luò),終端認(rèn)證后接入SD-WAN控制器,由后者自動(dòng)完成初始配置。當(dāng)然也可以采用USB Key發(fā)放證書,標(biāo)準(zhǔn)化CPE的引導(dǎo)和認(rèn)證過程來實(shí)現(xiàn)類似于手機(jī)的SIM機(jī)制。
6、對(duì)于安全策略應(yīng)用的統(tǒng)一管理,包括基本的ACL策略、防火墻、流量清洗等應(yīng)用。7、多點(diǎn)VPN隧道之間的動(dòng)態(tài)路由協(xié)議支持。考慮部分分支采用Internet連接,無法直接相連,需要通過有公網(wǎng)IP的分支或者總部進(jìn)行中轉(zhuǎn).
對(duì)于企業(yè)網(wǎng)絡(luò)應(yīng)用而言,除了基本的Internet接入外,網(wǎng)絡(luò)主要是總部-分支、分支-分支之間的VPN連接。此外隨著公有云/混合云逐漸成為企業(yè)IT交付的主要形式,VPN接入公有云也是SD-WAN的一種重要應(yīng)用,典型方式是SD-WAN運(yùn)營(yíng)商設(shè)置PoP點(diǎn)和AWS、Azure、阿里云等專線直連,企業(yè)及其分支連接到就近的運(yùn)營(yíng)商PoP點(diǎn),通過VPN直連到公有云的企業(yè)VPC中。
對(duì)于運(yùn)營(yíng)級(jí)SD-WAN,其往往還承擔(dān)了運(yùn)營(yíng)商提供網(wǎng)絡(luò)增值服務(wù),擴(kuò)大銷售收入的重任,在提供連接服務(wù)的基礎(chǔ)上,提供防火墻安全防護(hù)、流量清洗、上網(wǎng)行為管理等等服務(wù),這些增殖服務(wù)按簽約付費(fèi)提供。由于這些服務(wù)往往需要部署在企業(yè)端,因此SD-WAN 的CPE設(shè)備運(yùn)營(yíng)商更加傾向于采用X86架構(gòu),可以采用虛機(jī)或容器方式靈活部署此類增殖業(yè)務(wù)。由于通用的云平臺(tái)一般只能管理數(shù)百臺(tái)計(jì)算節(jié)點(diǎn),部分采用云/網(wǎng)一體化方案的廠商,用OpenStack把CPE當(dāng)成普通計(jì)算節(jié)點(diǎn)管理的SD-WAN方案對(duì)于運(yùn)營(yíng)級(jí)要求而言,缺乏必要的可伸縮性。
各大咨詢公司都預(yù)測(cè)今后幾年SD-WAN市場(chǎng)快速增長(zhǎng),IDC預(yù)測(cè)到2020年達(dá)到$6B,然而企業(yè)的信息化支出基本是剛性的,這個(gè)增長(zhǎng)的市場(chǎng)很大程度上主要來源于對(duì)傳統(tǒng)出口路由器設(shè)備、WAN加速產(chǎn)品的替代以及MPLS專線費(fèi)用支出的節(jié)省。電信運(yùn)營(yíng)商也參與此類市場(chǎng),毫無疑問不是單純?yōu)榱私档妥约旱腗PLS專線收入,而是擴(kuò)大收入來源,提升客戶黏度,在單純專線服務(wù)之外,提供Internet、無線接入等多出口鏈路管理、安全服務(wù)等一攬子服務(wù)。
SD-WAN的發(fā)展
隨著SD-WAN應(yīng)用的普及,看起來似乎更有可能出現(xiàn)一個(gè)或多個(gè)基于SD-WAN技術(shù)的Overlay企業(yè)專線運(yùn)營(yíng)商,就像90年代末互聯(lián)網(wǎng)發(fā)展起來之后出現(xiàn)的大量VOIP的運(yùn)營(yíng)商,包括像Skype這樣的公司、Viber這類軟件。而今天其實(shí)微信等軟件內(nèi)置的語音功能已經(jīng)足夠強(qiáng)大,其多方通話的客戶體驗(yàn)遠(yuǎn)超運(yùn)營(yíng)商提供的服務(wù),軟件技術(shù)的持續(xù)改進(jìn)可以完全抵消底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的不足。
然而和單路語音業(yè)務(wù)幾十Kbps的帶寬相比較,提供企業(yè)專線的Overlay中轉(zhuǎn)需要建設(shè)一定數(shù)量PoP點(diǎn)、租用運(yùn)營(yíng)商的大量帶寬,有相當(dāng)?shù)馁Y金門檻,但是這對(duì)于那些具有一定網(wǎng)絡(luò)和數(shù)據(jù)中心布局的二級(jí)運(yùn)營(yíng)商和云業(yè)務(wù)運(yùn)營(yíng)商提供了一定的機(jī)遇,他們不必拘泥于客戶一定要綁定自己的的Internet接入或?qū)>業(yè)務(wù),因而可以提供真正的多運(yùn)營(yíng)商多出口的方案。
作為一個(gè)運(yùn)營(yíng)級(jí)的Overlay方案,要提供一個(gè)國(guó)家乃至跨國(guó)的方案,必須要有一定數(shù)量的PoP點(diǎn),使得地理上客戶離最近的PoP距離在一定范圍內(nèi),以保證傳輸?shù)臅r(shí)延不嚴(yán)重影響客戶體驗(yàn)。那么多個(gè)PoP點(diǎn)之間也要運(yùn)行動(dòng)態(tài)路由和鏈路質(zhì)量檢測(cè)協(xié)議,以供Overlay最佳路由選擇使用。這就非常類似于P2P技術(shù)中的超級(jí)節(jié)點(diǎn)和普通客戶端的關(guān)系,由PoP點(diǎn)構(gòu)成了一個(gè)超級(jí)節(jié)點(diǎn)的集群,每個(gè)普通客戶可以根據(jù)網(wǎng)絡(luò)拓?fù)湮恢靡约版溌焚|(zhì)量連接到多個(gè)超級(jí)節(jié)點(diǎn),任何兩個(gè)客戶端之間如果兩方都沒有公網(wǎng)地址,那么SD-WAN要為其連接選擇至少1個(gè)、至多2個(gè)中轉(zhuǎn)節(jié)點(diǎn)進(jìn)行中轉(zhuǎn),以保證鏈路最優(yōu)。在網(wǎng)絡(luò)世界中,由于不同運(yùn)營(yíng)商間互聯(lián)互通帶寬、時(shí)延差別都很大,兩點(diǎn)之間未必直達(dá)路由通信質(zhì)量最佳,因此即使是兩個(gè)CPE一方有公網(wǎng)IP,調(diào)度時(shí)也可能需要經(jīng)過中間節(jié)點(diǎn)中轉(zhuǎn),以獲得最佳端到端的通信質(zhì)量。
Overlay Routing需要收集全網(wǎng)的BGP AS Path,甚至是部分IGP的拓?fù),可以借用IETF的ALTO架構(gòu)來實(shí)現(xiàn)基于網(wǎng)絡(luò)拓?fù)涞倪x路。但這是遠(yuǎn)遠(yuǎn)不夠的,如前所述,Underlay拓?fù)渥罱幢赝ㄐ刨|(zhì)量最佳,必須輔以PoP點(diǎn)(超級(jí)節(jié)點(diǎn))間的鏈路質(zhì)量實(shí)時(shí)探測(cè)作為路徑選擇的依據(jù)。如果進(jìn)一步借用P2P的架構(gòu),可以將部分具有公網(wǎng)地址的CPE選擇為超級(jí)節(jié)點(diǎn),承接一部分的CPE之間的NAT穿越/中繼流量(不用奇怪,P2P是最早的共享經(jīng)濟(jì)模式,只不過共享有版權(quán)的數(shù)字化資產(chǎn)比采用自購(gòu)固定資產(chǎn)參與運(yùn)營(yíng)更容易觸及法律的紅線),作為運(yùn)營(yíng)商自建PoP的補(bǔ)充,從而使得投資的總規(guī)模可控。但是企業(yè)客戶更加不愿意共享自己的帶寬,所以必須要有一定的激勵(lì)機(jī)制,比如承擔(dān)超級(jí)節(jié)點(diǎn)那么SD-WAN的服務(wù)不僅不用花錢,還可以掙錢。
當(dāng)客戶節(jié)點(diǎn)加入之后,中繼節(jié)點(diǎn)的數(shù)量將會(huì)是海量的數(shù)字,并且需要全局的最優(yōu)Overlay路徑計(jì)算,今天SD-WAN的CPE節(jié)點(diǎn)單點(diǎn)多出口自行鏈路切換選擇的方式已經(jīng)無法適用。以往的諸如BitTorent、Skype、eMule等P2P系統(tǒng)采用DHT分布式算法來維護(hù)超級(jí)節(jié)點(diǎn)之間的集群和資源切片信息,客戶端向超級(jí)節(jié)點(diǎn)下載資源節(jié)點(diǎn)列表并進(jìn)行通信。但是諸如CHORD、Kad、Pastry這樣的DHT算法是以數(shù)據(jù)為中心的分布式算法,以數(shù)學(xué)距離來生成數(shù)據(jù)路由表,決定數(shù)據(jù)和節(jié)點(diǎn)的存儲(chǔ)關(guān)系,適合于維護(hù)內(nèi)容的切片及路由,并不完全適合于終端之間的通信關(guān)系最優(yōu)化選路。作為一個(gè)運(yùn)營(yíng)級(jí)的Overlay路由算法要平衡中繼的成本和路徑時(shí)延,原則上來講需要保證兩個(gè)客戶端之間最多經(jīng)過兩個(gè)中繼節(jié)點(diǎn),這樣就需要全局、準(zhǔn)實(shí)時(shí)的節(jié)點(diǎn)和路徑狀態(tài)的更新,而為了保證系統(tǒng)的可伸縮性,路徑的計(jì)算和切換需要在集中點(diǎn)和CPE設(shè)備間分工協(xié)作完成。
IP網(wǎng)絡(luò)演進(jìn)探討
對(duì)于網(wǎng)絡(luò)而言,核心的設(shè)計(jì)主要就兩點(diǎn):編址(Addressing)和路由(Routing),也就是說怎么對(duì)通信終端進(jìn)行編號(hào),怎么端到端尋址和路由。傳統(tǒng)語音網(wǎng)絡(luò)采用電話號(hào)碼作為終端的編址,設(shè)備采用信令點(diǎn)編號(hào)或者域名進(jìn)行編址,移動(dòng)網(wǎng)采用HLR/HSS來存儲(chǔ)終端和網(wǎng)絡(luò)設(shè)備的附著關(guān)系,信令和媒體分別尋址。IP網(wǎng)絡(luò)采用IP地址作為主機(jī)的編址,路由設(shè)備間通告路由前綴來實(shí)現(xiàn)路由信息傳播,并且不區(qū)分網(wǎng)絡(luò)設(shè)備和終端設(shè)備,應(yīng)用也直接看到IP地址,在TCP/IP的Socket接口上進(jìn)行編程通信,所以IPv4到IPv6的升級(jí)成了一個(gè)牽一發(fā)動(dòng)全身的大事,二十多年過去了,IETF天天喊著IPv4地址已經(jīng)耗盡,但是業(yè)務(wù)的遷移已經(jīng)進(jìn)展緩慢;Internet骨干網(wǎng)的路由表項(xiàng)的膨脹則是另外一個(gè)問題
在過去的數(shù)年里,學(xué)術(shù)界和標(biāo)準(zhǔn)組織提出了許多的方案用于未來數(shù)據(jù)網(wǎng)絡(luò)的演進(jìn)。大部分基本的思路還是名址的分離,但是名字是什么,不同的技術(shù)有不同的設(shè)計(jì),在什么層次去實(shí)現(xiàn)名址的分離也有不同看法。比如PARC于2009年提出的CCN(Content Centric Network)就認(rèn)為未來網(wǎng)絡(luò)必定以內(nèi)容為中心,因此應(yīng)該以內(nèi)容名字作為編址,采用內(nèi)容路由器作為數(shù)據(jù)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,此項(xiàng)技術(shù)在2010年受美國(guó)NSF贊助,改名為NDN(Named Data network),后來學(xué)術(shù)界又起了一個(gè)名字叫ICN(Information Centric Network);互聯(lián)網(wǎng)內(nèi)容訪問的長(zhǎng)尾效應(yīng)帶來的Cache命中率低下的問題是否適合內(nèi)容路由在此就不展開討論了(CDN是應(yīng)用層解決方案)。IETF在2009年開始標(biāo)準(zhǔn)化LISP(Locator and Identifier Separation Protocol )協(xié)議,起初是為解決骨干網(wǎng)的路由表膨脹問題,把終端編址(名字)限定在邊緣路由器以下,骨干網(wǎng)絡(luò)設(shè)備才有地址,本質(zhì)上也是一種接入邊緣和核心分離的技術(shù)。此外IETF也有更早一點(diǎn)的基于Overlay的HIP(Host Identity Protocol)技術(shù)。MIP/PMIP這種過往的技術(shù)在CDMA EVDO中用了一代,最終被3GPP的GTP協(xié)議徹底替代,在此不再贅述。
名址分離系統(tǒng),路由標(biāo)準(zhǔn)做法是Map-Encap的方法,起點(diǎn)設(shè)備名字解析完成后用戶報(bào)文封裝在源/目的格式為底層網(wǎng)絡(luò)編址的隧道中,在另外一側(cè)隧道出口解析出來恢復(fù)名字作為源/目的的用戶報(bào)文。這個(gè)系統(tǒng)中居于核心的是名-址解析系統(tǒng),就像DNS一樣,當(dāng)然如果是逐流/逐報(bào)文的解析,超出了DNS的能力范圍。對(duì)于新型的名字解析系統(tǒng),搞IP網(wǎng)絡(luò)的肯定還是搬出BGP/IGP協(xié)議,當(dāng)然更一般的思路是建立集中的高性能名字解析分布式系統(tǒng)。對(duì)于按位置可以前綴聚合的名字,是路由協(xié)議的強(qiáng)項(xiàng);但是名址分離實(shí)現(xiàn)身份和位置的分離,名字注定是要位置可移動(dòng)、不可聚合的?删酆系氖堑刂,并且地址僅僅是骨干設(shè)備的地址,其不再暴露在端到端的系統(tǒng)中,隨時(shí)可變,IPv4也好、IPv6也可以,IPv9也不是不行,不會(huì)影響網(wǎng)絡(luò)的端到端架構(gòu)。業(yè)務(wù)邊緣以下是一種地址編址方式,以上是另外一種方式也可。
然而這一切和SD-WAN有什么關(guān)系?SD-WAN使得軟邊緣、Overlay接入和核心分離的組網(wǎng)思想在企業(yè)VPN專線業(yè)務(wù)中逐漸生根落地,而移動(dòng)網(wǎng)本來就是位于IP網(wǎng)址上的GTP overlay,無論其是否NFV化都是如此,再加入BRAS的Overlay化,整個(gè)網(wǎng)絡(luò)無論是移動(dòng)接入還是固網(wǎng)接入,架構(gòu)上都趨于一致。對(duì)于越來越復(fù)雜的IP網(wǎng)絡(luò),越來越多的位于NAT和防火墻后面的私有網(wǎng)絡(luò),通過Overlay技術(shù)將邊緣網(wǎng)絡(luò)和骨干網(wǎng)絡(luò)分離、用戶編址和網(wǎng)絡(luò)設(shè)備編址分離、骨干網(wǎng)絡(luò)簡(jiǎn)單化是一條可行的道路。不同于LISP這種當(dāng)初為了解決Tier 1運(yùn)營(yíng)商骨干網(wǎng)路由表容量問題而讓Tier 2/Tier 3運(yùn)營(yíng)商投資改造網(wǎng)絡(luò)的做法不同,SD-WAN的Overlay特征使得企業(yè)可以構(gòu)建獨(dú)立的網(wǎng)絡(luò)進(jìn)行Over The Top運(yùn)營(yíng)、獲利,投資和收益主體一致,使得網(wǎng)絡(luò)可以從局部開始,逐漸演進(jìn);即使是既有的IP網(wǎng)絡(luò)運(yùn)營(yíng)商,也可以采用同樣的技術(shù)進(jìn)行演進(jìn)。