SD-WAN技术详解
SD-WAN(Software Defined Wide Area Network)是近年来网络技术创新的一个热点,笔者结合自己的体会,和大家一起回顾这一领域的发展过程,对现状作一总结,对未来作一展望。篇幅所限,文中的示例以Cisco的解决方案为主,兼顾其它厂商。欢迎大家发表评论,共同切磋探讨。
一、广域网优化回顾
SDWAN通过转发面与控制面的分离,简化广域网的运行和管理。其技术涵盖两个方面:一是广域网优化,即通过压缩、缓存、传输层和应用层的协议优化等传统广域网优化技术加上广域网接口的流量调度,实现广域网传送效率的最大化。在以前广域网带宽受限的条件下(如MPLS链路~10M带宽),压缩、缓存、协议优化曾经是广域网优化的重点,如今得益于Internet 广域网接口千兆级(Gigabit )的带宽,广域网优化的重点是流量调度;二是广域网的部署、配置与运维的自动化,即所谓的软件定义(Software Defined)部分,例如策略下发的自动化、设备配置的模版化。
广域网优化的代表厂商有Riverbed、Cisco等。Riverbed更专注压缩、缓存、协议优化,Cisco则兼而有之,其流量调度的历史可以追溯到Cisco企业业务路由器ASR/ISR/CSR的两个功能:基于策略的路由控制(Policy Based Routing)和基于性能的路由控制(Performance Routing)。不断拓展的应用和服务要求在原有根据目的地址(Destination IP)路由的基础上,拓展路由控制能力,例如,视频和音频应用对网络的丢包率(Packet Loss)有着苛刻的要求,它们必须在到达同一目的地址的多条路径上选择一条满足丢包率<2%的路径,同时,尽量使得多条路径负载均衡(Load Balance)。基于策略和基于性能的路由控制应运而生,它们赋予用户定义策略,根据性能控制流量流向的能力。 这两个功能后来事实上成为SDWAN路由控制的通行做法。
2010年前后, Internet的运行质量得到大幅提高, 其丢包率已经低于5%,具备了承担企业流量的条件,价格也不断下降(见图1)。
图1:互联网价格与可靠性(1998-2012)另一方面,企业对广域网带宽的需求不断上升,MPLS VPN的高费用(一般是同样Internet带宽的~10 到~100倍)促使企业愿意更多地使用Internet承载企业流量, 他们定义策略,将一些不甚重要或者对网络质量要求不甚高的业务流 导向Internet。 通过在其业务路由器进一步添加性能测量(Performance Measurement)功能,包括丢包率,抖动(Jitter)和延迟(Delay), Cisco使得用户开始可以把语音等对网络性能敏感的流量也导向Internet。 这就是Cisco的第一代广域网优化解决方案 --- IWAN (Intelligent WAN)。
在IWAN 中,Cisco提出并实践了广域网控制器的概念(MC, Master Controller)。 在一个Site 中, 将策略的定义和策略的执行分离开来,策略的定义在广域网控制器,策略的执行在业务路由器BR/Edge (Border Router/Edge)。结合广域网控制器,Cisco首次实现了广域网流量调度的闭合控制环路(见图2)并由此促进了一系列技术的发展,如网络遥测(Telemetry)技术即是由此发展而来。
图2:IWAN实现的广域网流量调度闭环控制广域网控制器和广域网流量调度的闭合控制环路是SDWAN的雏形: 动作的执行如测量(Measure)、路由控制(Routing Control)的实施在路由器中完成,策略的定义、路由控制的决策在控制器中完成。
IWAN推出以后,Cisco根据用户的反馈持续做了一系列的完善和改进,根据公开资料报道,这些改进主要体现在:
1. 从数据传输安全和屏蔽底层传输网络 (Underlay)的异质性考虑,建立独立于底层传输网络的承载网络(Overlay),即策略的定义针对于承载网络而独立于底层传输网络(Transport Independent)。 这一做法后来也被业界其它SDWAN厂商接受和采纳。Cisco选用了企业用户广泛部署的DMVPN作为IWAN的承载网络。
2. 进一步强化广域网控制器对全网的管理。将全网的策略定义、网络遥测定义集中起来并下发给各个分支(Branch),用户不必再为每一个分支单独定义策略和遥测, 使得每个分支的配置从上百行降为十几行。分支的广域网接口可以被自动发现而无需用户配置。
IWAN的推出改变了用户对广域网运维的认知,使用户直观地感受到SDWAN的技术优势,减轻了他们的工作负担,提高了他们对SDWAN技术的认可度;IWAN的推出提高了业界对SDWAN技术的关注度和参与度,促进了广域网市场的竞争,推动了SDWAN技术的发展。
IWAN的部署模式之一是在用户原有Cisco业务路由器的基础上软件升级而来,因而获得迅速的大规模部署,同时,也不得不直面不足 --- 用户仍然感到其部署和配置比较繁琐:策略和网络遥测定义实现了中心配置和分发,但其它配置如搭建DMVPN承载网络,仍然需要用户一个设备、一个设备的配置(DMVPN网络本身的配置就很复杂),即IWAN的软件定义部分功能仍显不足,IWAN尚未能实现部署和配置的自动化(见图3)。
图3:IWAN仅实现策略、网络遥测定义与分发的自动化据报道,IWAN的广域网控制器是在Cisco业务路由器ASR/ISR/CSR上开发的,路由器的存储和处理能力限制了广域网控制器所能管辖的网络规模, 也不太容易采用业界已广泛流行的数据库、数据可视化等技术。 所有这些促使Cisco 在评估Viptela某些技术的优点后(例如vBond的发现机制,vSmart组织网络的灵活度, vManage的管理能力等), 最终收购Viptela并将其产品整合到Cisco 新一代的SDWAN解决方案中 。
二、SDWAN 现状
SDWAN可以显著降低企业运营成本(见图4),IDC 最近的调查显示95% 的受访企业希望在未来两年内采用SDWAN技术(作为对比,2017年,不到10%的全球企业部署了SDWAN;2018年,这一数字上升到40%)。可以预计,企业将开始大规模部署SDWAN网络。
图4:IDC白皮书公布的每100名用户五年内运营成本比较(来自网上资料截图)SDWAN 市场的成熟催生了一大批SDWAN 方案供应商, 包括Cisco,VeloCloud, Silver Peak, Citrix, Fortinet, Huawei等。这些设备提供商的SDWAN产品在功能和网络结构上类似,有些就是在其原有设备上叠加了SDWAN功能,这是保护已有投资的理性选择。据称,Fortinet SDWAN就是Fortinet 在其下一代防火墙FortiGate NGFW上集成了SDWAN功能: 重用其已有的防火墙数据库,用户定义的策略决定信息流的优先级并转发信息流。Fortinet SDWAN通过其FortiManager 实现了集中的网络配置,策略下发和网络监控。
Cisco庞大的在线运行设备也使得其在收购Viptela后,将原有的边界业务路由器ASR/ISR/CSR整合进新一代SDWAN解决方案中,用户轻松地做到自动部署和配置(Zero-Touch Provisioning),自动建立承载网络。图5中vBond 用以设备鉴权,vManage用作网络配置管理和监控,vSmart类似BGP中的路由反射器(Routing Reflector,RR),协助vManage构建承载网络,下发全网策略。
图5:Cisco SDWAN实现自动部署和配置新部署网络在选择SDWAN 解决方案时有更大的灵活性,这些网络在设计之初就特别关注云服务的接入。以Cisco SDWAN提供的接入SaaS 服务方案(Cloud onRamp for Office365)为例,用户配置的策略决定了访问SaaS的方式,在场景3,可信的Office365应用可以直接访问,其它应用则必须通过Secure Web Gateway的安全许可后才可以访问。
图6:Cisco Cloud OnRamp 为不同的SaaS接入场景提供了解决方案(来自网上资料截图)VeloCloud SDWAN在为用户接入云服务时采取的方式是通过部署运营独立运营的VeloCloud Gateway Cloud(见图7),Gateway嵌入Azure,AWS和IBM Cloud中。
图7:VeloCloud SDWAN 方案中的Gateway Cloud(来自网络视频截图)笔者认为,Gateway Cloud既可以提供不同NSX SDWAN Edge之间的互通,也使分支接入云时多了一项选择:NSX SDWAN Edge可以通过测量到Gateway的性能, 选择接入理想的Gateway, 访问Azure、AWS等云服务(见图8)。
图8:VeloCloud SDWAN 网络结构示意图三、SDWAN展望
SDWAN近年来的发展极为迅速,呈现出以下特点:
首先,SDWAN与云的融合越来越深入。
用户将越来越多的应用移到云上,SDWAN的技术特征使之成为广域网接入云服务的不二选择:识别云上应用,获得云上服务是意图(Intent);定义策略控制网络,即软件定义是手段,广域网优化是结果。这正是SDWAN的价值所在:让用户根据意图定义广域网。
从分支来看, BR/Edge 正从单纯的路由功能向具有路由、安全(Security)、IoT Gateway、AI等功能的综合边缘计算平台的方向发展。 用户接入云的方式可以是建立IPSec Tunnel 接入云服务,也可以使 SDWAN成为BR/Edge计算平台上的一个虚拟网络功能,即SDWAN功能的网络虚拟化(NFV), SDWAN事实上延伸、拓展了云的边界,用户因而可以直接从边缘业务路由器获得云服务(见图9)。例如,当安全(Security)成为边缘计算平台的一个NFV后,Security Cloud 可以直接将防火墙数据库推送到BR/Edge并及时更新,Security Cloud的安全服务直接在边缘路由器上执行而无需将业务流量通过IPSec Tunnel送往Security Cloud。Gartner预测IoT设备数在2020年将达到200亿,海量数据的处理从实时性和带宽占用上考虑,显然在边缘计算平台上(预)处理更为合适。
图9:SDWAN Edge可以成为边缘计算的平台从云的角度看,也可以在云的边界设备(Cloud Gateway)中嵌入SDWAN NFV,既可以使用户接入Cloud Gateway后即可获得SDWAN服务,也可以使SDWAN用户易于获得云服务。
其次,面向终端用户体验的完全的端到端服务及其自动化。
端到端的终端用户体验建立在网络控制端到端的基础上,从园区(Campus)到广域网到数据中心,需要沿途不同网络的策略定义和执行的协调。以Cisco的端到端解决方案为例(见图10),从园区网 到广域网到数据中心,都自动建有承载网络,即所谓 Fabric:在园区网,有SDA (Software Defined Access)解决方案; 在广域网, 有SDWAN 解决方案; 在数据中心,有ACI (Application Centric Infrastructure) 解决方案,从而最有效地帮助用户实现完全的端到端的网络部署和流量控制,这是Cisco解决方案的优势,其中的关键在于策略在ACI Fabric、SDWAN Fabric和SDA Fabric之间的互通与协调, 即所谓跨域(Cross-Domain)的策略互通与协调。
图10:Cisco完整的端到端解决方案图11 是在远程医疗应用场景中,Cisco解决方案跨域策略协调的流程示意。
图11:Cisco跨域策略协调在远程医疗中的流程示意图(来自网上视频截图)其他SDWAN设备提供商则采取合作的形式提供端到端的解决方案,例如, VeloCloud通过与无线接入设备提供商Mist的合作提供从无线接入到SDWAN的整体解决方案。
再者,SDWAN更为准确、深入的网络洞察力(Network Insight)。
SDWAN已实现了云端管理(Cloud-based Management),从部署的自动化 ,业务流程的自动化(Workflow Automation),到配置的模版化(Configuration Template),但是发生故障时的自动分析仍有很大的提升空间。目前SDWAN故障分析的自动化仍是故障的分类(Classification)、告警的关联(Correlation),需要维护人员的深入介入做原因分析(Root Cause Analysis)。
除了排除故障,网络在无障碍运行时状态受到用户流量、策略及其他配置变化的影响,新的策略下发前结合预测信息对流量流向和网络影响的初步判断(Design Validation/Design Verification),可以有效提高运维的效率。设想一个已经配置了几百条策略的SDWAN网络,增加、删除、改变一条策略都可能对运维人员带来压力。 软件定义所带来的对网络更为清晰、准确的洞察力, 结合未来网络运行状况的合理预测,如某种应用、某个方向的带宽需求,可以帮助运维人员对上述网络变化有更为合适的应对,给出某种程度上的智能化的策略建议(Policy Recommendation)。
最后, 5G推动SDWAN的发展。
5G低时延、高速率的特点更要求实时、高效地管理5G Edge:灵活、精细的控制粒度(从单个流、单个用户到不同的应用)、集中简便的部署、智能化的运维管理使得5G运营商尝试将SDWAN运行在5G上。据悉,Cisco宣布了与Verizon基于5G、SDWAN的合作关系,VeloCloud则与AT&T合作在SDWAN中部署5G功能。 5G不仅是一个新的广域网接口,它更是将一些应用(如远程诊断、远控驾驶等)真正落地,要求SDWAN的策略定义动态、细致,流量控制准确、可靠。
SDWAN是由技术引导、市场推动的SDN技术在网络中的成功实践,与云技术深入融合,与5G技术相互促进。SDWAN的应用已迈过初步实施阶段,现已进入主流实施阶段。SDWAN的引入既是传统优势网络设备提供商扩大市场份额、拓展业务的机会,也为其他来自不同领域的竞争者提供了在网络设备市场弯道超车的可能。技术上与时俱进、迅速解决用户关切的SDWAN产品将最终赢得市场的青睐。
如果这篇文章帮助到了你,你可以请作者喝一杯咖啡