目录
文章目录
前文列表
《数据中心网络架构演进 — 从传统的三层网络到大二层网络架构》
《数据中心网络架构演进 — 从物理网络到虚拟化网络》
《数据中心网络架构演进 — CLOS 网络模型的第三次应用》
《数据中心网络架构演进 — 从 Underlay 到 Overlay 网络》
《数据中心网络架构演进 — SDN 将控制面与数据面分离》
《数据中心网络架构演进 — 从私有云到多云到混合云》
前言
VQN 是一种隧道技术,你懂的。
MPLS-VQN
MPLS(Multi-Protocol Label Switching,多协议标签交换)是一种高效且可靠的网络传输技术。简单来说,它就是在数据流上打标签,有点像鸡毛信,告诉沿路的所有设备:“我是谁,我要去哪里”。MPLS 专线,就是一种基于 MPLS 技术的广域网服务专用线路。
MPLS 专线是一种租用服务,它的所有权是属于电信运营商的。运营商把专线租给你,然后承诺这条线路的 SLA(Service Level Agreement,服务等级协议,包括带宽、时延、抖动、丢包率等)能达到什么样的要求。至于你的软件用起来快不快、稳不稳,它是完全不管的。
问题又来了,你租我租大家租,运营商的物理网络就这么一张,这么多公司的业务都在上面跑,怎么保证区分和隔离呢?答案就是 VQN。VQN(Virtual Private Network,虚拟专用网络)其实就是在正常的物理连接基础上,虚拟出了一个专用通道,保证通信的隔离和保密。
根据基于的网络不同,VQN 通常包括 IPSec-VQN 和 MPLS-VQN。
- IPSec-VQN:基于 Internet 的 VQN。这个大家平时用得比较多。大公司员工出差在外,都会拨 VQN,然后就相当于变成了公司内网,可以访问内网的网站。
- MPLS-VQN:基于运营商 MPLS 专用网络的 VQN。整个分公司和总部之间,通过这个连接,逻辑上相当于大家都处于一个内网里。
MPLS 这个技术,从 Cisco 1996 年提出 Tag/Label Switching 开始萌芽,至今已经主宰企业网市场 20 多年,期间没有任何重大改进。相对 Internet 来说,MPLS专线的优点就是比较稳定可靠,安全也有一定的保障。但是,随着时代的发展,它的缺点也越来越明显,备受用户的吐槽:
- 使用成本高。
- 部署周期长。
- 故障排查难。
- 维护人力紧。
SD-WAN
注:此章节的内容主要来自于《云网融合产业发展白皮书》,笔者此处作为搬运、整理,建议查看原文。
SDN 技术从最初的集中控制架构和 Openflow 协议到 Google B4 的商用案例,其萌芽期和幻灭期的关注点一直在云和数据中心内的场景,产业界急切需要找到下一个突破点。而早期出现的混合广域网(Hybrid WAN),企业市场面临着 Internet 互联不稳定而 MPLS VQN 价格昂贵这样的博弈类问题,因此管理 Hybrid WAN 成为了 SDN 技术的重要应用。2014 年 9 月在 networkcomputing 的文章中 SD-WAN 首次出现于公众视野,同年在 ONUG 的开放网络用户论坛上,众多的企业用户也不约而同的提出了此应用需求。
SD-WAN(Software-Defined Wide Area Network,软件定义广域网络)将 SDN 技术应用到广域网场景,SD-WAN 用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务,旨在帮助用户降低广域网的开支和提高网络连接灵活性。
SD-WAN 将 SDN 的概念引入到广域网之中,通过软件和硬件分离、逻辑网络和物理网络分离的理念去简化广域网的部署。同时将网络的控制权收敛到集中式控制器之中,以整个网络为基础去获取拓扑和下发指令;采用开放式软件架构,集中监测和分析当前网络的性能状况和分支状态;可识别应用类型,根据应用类型和业务需求合理分配流量。随着互联网技术的不断发展,互联网线路质量不断提升且价格不断下降,SD-WAN 使用互联网的价值空间也越来越大。
SD-WAN 能利用私有网络(MPLS-VQN)和公共网络(Internet)来将流量路由到最适合的网络的方式。
大家可以看到,整个网络架构的躯干,其实还是 Internet 和 MPLS 专线。但是,在架构之上,多了一个 SD-WAN 控制器。这个控制器,就是 SD-WAN 的管理控制核心。在分公司节点,还有总部节点,多了一些 uCPE 和 vCPE 这样的东西。
CPE(Customer Premise Equipment,客户终端设备):这里的 CPE 和 5G CPE 不一样,5G CPE 是把 5G 信号转成 Wi-Fi 信号的。这里的 CPE 是连入网络的一个接口盒子(可以理解为一个小路由器)。
- uCPE 是 Universal CPE,通用客户端设备
- vCPE 是 Virtual CPE,虚拟客户端设备
管理员可以通过应用层接口对 SD-WAN 控制器进行配置,也可以下发 vFW、vWOC(虚拟广域网优化控制器,WAN Optimization Controller)功能到 CPE,实现相应的功能,无需专门购买硬件。
- 传统的混合 WAN 组网
- 应用 SD-WAN 的混合 WAN 组网
SD-WAN 的特征:
-
多种链路连接并动态选路:为了保障良好网络访问体验,采用传统方法,客户需要购置 MPLS 等专线,带宽成本高,实施周期可能需要数周到数月的时间。随着互联网宽带质量的不断提升,使用互联网宽带取代或部分取代专线已是大势所趋。SD-WAN 将底层物理网络资源如专线、互联网宽带、3G/4G LTE 等充分结合,虚拟成一个资源池,并在此基础上构建Overlay,同时为了达到负载均衡或资源弹性,SD-WAN 可根据现网情况和网络需求动态选择最佳路径。
-
快速灵活部署:传统网络设备的部署一般需要专业 IT 人员到现场支持,不仅成本高,而且实施周期长。SD-WAN 支持设备即插即用的易部署,即不需要 IT 人士现场部署,只需部署边缘设备,插上通信链路,接入电源,设备即可通过集中管理设备自动下载指定配置和策略,实现简化灵活部署。
-
网络集中管理:当 WAN 中分支规模较大时,网络的管理和故障排查就变得较为复杂,SD-WAN 通常会提供集中管理系统,用于网络多设备配置、WAN 连接管理、应用流量设置及网络资源利用率监控等,以此达到网络简化管理和故障排查的目的。
-
支持软件定义安全:由于 SD-WAN 引入互联网宽带,虽然降低了链路成本,但互联网出口容易招致攻击,SD-WAN 在 WAN 连接的基础上,提供更多的,开放的和基于软件的技术,支持集成防火墙、防入侵等安全产品的能力。
SD-WAN 的价值:
-
保障网络性能和可靠性:SD-WAN 综合利用多条公有和私有链路,具有多路由优化及冗余特性,连接的两端只要有一条路径可用,企业应用流量就不会中断,这一整网冗余的机制最大限度保障了连接的可靠性。同时 SD-WAN 根据业务应用需求和实时链路质量检测,智能路径控制可以利用优质的链路承载客户的关键业务,进而保证其运行质量。
-
简化管理运维:SD-WAN 的物理拓扑将比传统网络更复杂,它具有更多的功能。但 SD-WAN 通过即插即用的部署方案和强大的集中管理系统,可对全网可视可控,掩盖了网络大部分复杂性,大幅降低了客户的管理投入和对网络运维人员的能力需求,因此简化了网络运维,增加了管理效率。
-
降低成本:Gartner 报告称,SD-WAN 部署比传统广域网架构节省 2.5 倍费用。SD-WAN 方案利用现有基础设施进行流量传输,允许快速分支部署和实时访问,网络所有部署和管理均由集中控制系统进行,自动化运维减少了问题识别和相关补救成本,从各方面节省了硬件、软件和 IT 资源,尤其分支机构较多时,采用 SD-WAN 模式节省成本效果更加明显。
SD-WAN 真正要实现什么?
转控分离:由于 SD-WAN 更多的是关注面向 Overlay 层的转发控制,因此 Underlay 层的控制更多的会放在转发层面来实现。
全域选路控制:SD-WAN 很大程度上以此替代了传统路由器的动态路由协议。我们知道传统的动态路由协议一般都是通过搜集本地链路 QoS 和可达信息,在域内的路由器间进行路由信息交换和表决,来维护本地动态路由转发表进行实际的转发控制。即使是 BGP 协议也不过通过 Route Reflector 将这些路由信息集中起来进行分发,具体的路由判断,也就是转发控制仍然在本地完成。而 SD-WAN 可以简单的认为是直接在其 SDN Controller 上统一维护“一张”全域的路由表,CPE/Edge 设备只需要将本地链路信息上传,并接收 SDN Controller 针对其发布的路由表就可以了,路由处理和转发控制被极大的简化了。
统一的 QoS 控制:相比于传统网关和路由器设备各行其是的本地 QoS 策略控制,SD-WAN 强调实现集中化的 QoS 分析和统一的 QoS 策略分发。CPE/Edge 设备实时上报本地链路信息数据(其中包含了链路当前的网络特性,包括延迟、jitter、丢包和可用带宽),SDN Controller 统一进行分析,网络管理员将 SLA 目标输入转化为各种特定业务应用的 QoS 定义–带宽、延迟、jitter、数据包丢失等,控制器将这些要求转换为对应边缘设备“即时”的路由策略,以选择发送该流量的最佳路径。从另一个角度来说,统一的 QoS 控制也就是全局选路的判权策略。
业务策略编排:SD-WAN 的 “软件定义” 特征主要依靠 “策略编排” 来体现。策略,说明了 SD-WAN 对于业务、应用、CPE/Edge 设备、链路、网络特性、SLA/QoS 保证、路由等的控制方式。编排,是策略与 SD-WAN 下辖资源(如,可用 Overlay 链路池、Overlay 网络特性、可用 Underlay 链路池、Underlay 链路特性)的映射和关联方式,简单的说,就是业务需要怎样使用 SD-WAN 达到相应 SLA 目标的自动化方式。既然是自动化方式,就意味着 SD-WAN 的 SDN Controller 可以自发的调整那些策略,使用下辖的资源,自动化的程度高低和策略控制粒度的精细程度,决定了 SD-WAN 的业务编排能力,也就是 SD-WAN 实际的实现水平。
SD-WAN 的应用场景
企业组网互联 SD-EN
企业组网互联的需求是将部署在企业总部、各分支机构、企业数据中心以及企业私有云环境上的 IT 系统连接起来形成 IT 架构的一类场景。企业组网场景是 SD-WAN 应用中提及最多,也是被接受最广的一类应用场景。企业组网互联传统上会租用运营商的专线或者 MPLS VQN 专网服务,为企业 IT 系统搭建跨域的私有网络,而对于质量要求和私密性要求不太高的企业,也可能直接采用 Internet 搭建企业网络。SD-WAN 是通过 SDN 技术在原有这两种传统组网方式的基础上,形成的更灵活的一体化解决方案。
SD-WAN 的企业组网场景中,通过在企业总部、各分支机构、企业数据中心部署支持 SDN 集中管理控制 CPE(客户端设备)设备,或者在企业的私有云、公有云环境中部署的 IT 系统中,安装 vCPE(虚拟客户端设备)软件,为企业提供独立的、可灵活调配资源、自助式服务的组网解决方案。SD-WAN 可以将质量要求不高但是对带宽要求高的应用导入成本较低的互联网,而将质量和可靠性要求高的应用导入专用网络,以此降低企业 IT 组网时的成本,加快企业分支节点部署和开通的速度,支持越来越灵活的 IT 架构的部署和运营。
SD-WAN 使得企业的 IT 部门或者运维支撑部门在选择适当的网络以连接分支机构、远程办公室、云应用以及其他数据源时,能够拥有较高程度的自主性,可以通过自动化策略部署,甚至直接调用 SD-WAN 的可编程 API,采用软件方式决定什么时间,以什么方式使用网络资源。
数据中心互联 SD-DCI
随着越来越多的大中型企业构建了自己的数据中心,或者以运营商的数据中心为基础搭建自己的企业 IT 架构,数据中心互联的场景成为了 WAN 网络上的一类重要应用场景,也被称为 SD-DCI。
数据中心互联场景要求 SD-DCI 网络具备以下功能:支持用户级别的数据中心组网拓扑(Full mesh、hub-spoke),支持 DCI 连接的动态调整和优化,支持管理服务功能可视化,支持用户可视化的自助服务功能。
云间互联 SD-CX
云间互联是指云计算产业成熟和业务多样化带来的多云(或数据中心)之间的互联互通,如:公有云内部互通,混合云和跨服务商的云资源池互通。
云间互联是云网融合的一个典型场景,以云间互联为目标的网络部署需求日益旺盛。随着云计算产业的成熟和业务的多样化,企业可根据自身业务需求和实际成本情况选择不同的云服务商提供的云服务,这也形成了丰富的云间互联业务场景。当前混合云的组网技术主要以 VQN 和专线为主,而 SD-WAN 由于其快速开通、灵活弹性、按需付费等特性也逐渐被人们所关注。
企业用户接入云
从云服务商的角度看,一方面是互联网应用服务商选择云平台部署应用系统,提供各类互联网应用服务,另一方面企业也会选择云平台部署企业内部的 IT 系统,为企业的客户或者员工提供通用的 IT 服务。不管是传统企业还是新兴的互联网企业,其总部或者分支机构上云的需求越来越丰富,对上云的网络质量要求也越来越高。
传统方法是企业内部网络通过 Internet 方式接入公有云的 VQN 网关。随着云上应用的需求增加,企业发现 Internet 无法满足内部网络联云的时延、丢包等质量要求,也存在数据和信息保密的安全隐患,由此各厂商纷纷推出支持企业专线上云的解决方案。云接入方案通过 CPE 提供用户网络接入,通过 VxLAN 提供网络 VQN 通道,通过云中心 vCPE 提供用户网络组网服务及路由控制,通过业务及管理系统实现整体的业务部署及设备管理,完成云网一体化协同,提供统一云接入方案,提供丰富的增值类业务,进而实现连接服务、通信服务、云接入增值服务一站式解决方案。
数据中心接入云
从企业用户看,企业的总部、分支机构和企业数据中心都有云接入的需求。而从数据中心服务商的角度看,大中型的数据中心服务商对于与云服务商连接也非常重视。其中非常典型的是美国最大的数据中心服务商 Equinix,其提供 DC Interconnect 系列服务,连接了全球 145 个数据中心和 500 多个云服务商,支持各种云连接服务 17 万。
为支持与企业数据中心或者 IT 架构的互联,公有云服务商也提供了与数据中心服务商对接的高速直连业务,AWS 在其 Direct Connect 业务中专门针对数据中心服务商这类的合作伙伴,提供了 Partner 的服务模式,可以与数据中心服务商对接后,再提供给最终云用户的云专线接入服务。
多云(Multi-Cloud)互联
云计算的发展已经成为一个不可逆转的趋势,混合云是很多企业锚定的下一站。近几年,混合云既利用了公有云的优势,又兼顾了敏感信息的安全防护,成为更多企业用户的首选。早期的混合云解决方案的最大特点是多云管理,而多云管理解决的是管理问题,而不是连接。真正的混合云一定是在私有云和公有云之间,建立同时打通数据面和控制面的高速通道,才能消灭 IT 的孤岛,把碎片化的私有云和集中式的公有云连接起来。
除了企业的私有云和公有云的互联需求,也有一些互联网应用服务商采用多公有云的 IT 架构,针对提供的互联网应用选择合适的公有云平台,因此还有一类需求是跨公有云服务商的 SD-WAN 连接,称为多云互联场景。
SD-WAN 的技术架构
-
SD-WAN 数据转发层:是广域范围内存在的物理设备或者虚拟设备,这些设备以及连接这些设备之间的链路组成了 SD-WAN 的数据转发通道。SD-WAN 数据转发层需具备的特征是:具备网络资源虚拟化的部署能力;具备流表/标签/VLAN/VRF 等逻辑资源隔离的转发能力;具备可开放的网络功能调用的接口,支持控制层的集中管理和资源配置;具备网络边缘设备和广域 WAN 节点的区分,可以支持网络边缘设备选择不同的广域 WAN 节点,即选择不同的 WAN 资源,满足不同业务转发的质量要求。
-
SD-WAN 控制层:是 SD-WAN 的核心组成部分,通常包括两类主要功能:一类功能是自动采集和获取数据转发层的网络拓扑、网络状态和网络资源数据,将物理网络资源抽象成可以独立提供给不同用户或应用的逻辑网络;第二类功能是对 SD-WAN 数据转发层的集中控制和管理,支持按照不同的用户或者上层应用需求,选择和配置不同的网络资源和路径,以提供高性价比且使用灵活的网络连接服务。当底层网络资源不足或者因为故障而不可用时,可以支持自动或者人工干预的方式进行路径切换,提高业务层连接的可靠性、可用性。
-
SD-WAN 业务编排层:是将数据转发层和控制层的能力集成开放的功能层,通常支持各种底层网络功能的集成,如多种边缘接入方式(固网宽带、4G 网络、专线接入等)的选择和集成,如支持多种骨干网络的部署集成,包括骨干传输网、MPLS VQN 网络或者 SDN 骨干网,如支持与不同云服务的集成,包括公有云服务、私有云服务以及行业云等专属云服务;另一方面,业务编排层提供业务数据的采集和统计,支持 SD-WAN 服务的计费话单、业务流量统计等数据的输出。业务编排层的核心特征是具备可开放的北向接口,支持用户服务、上层应用或者云应用的能力开放和调用。
-
SD-WAN 服务层:是 SD-WAN 各类服务的展示层,对于运营商而言,可以提供可视化的 SD-WAN 网络资源的统一管理和控制,具备灵活的运维管理和运营服务能力;对于用户而言,可以提供可视化的业务管理视图,用户可以自主进行网络节点的管理和监控,自助开通、变更和关闭 SD-WAN 服务;同时,SD-WAN 服务层可以与用户的自有 IT 系统、应用系统对接,通过能力开放的 API 或者 SDK 支持各种 SD-WAN 应用的集成。
实践案例:企业用户利用 SD-WAN CPE 接入公有云 VPC 专有网络
在没有 SD-WAN 方案之前,企业用户接入公有云 VPC 可以使用 AWS Direct Connect 方式,在 IXP/Colo(互联网交换中心)数据中心,通过 VPC 路由器和企业本地路由器上的 VLAN 接口,连接 VPC 和企业网络,但这种方式不仅价格昂贵还缺乏灵活的配置方式。
随着 SD-WAN 应用的普及,企业用户只需要简单的几步即可实现 Remote VPC 接入,极大的方便了中小企业上云:
- 网上下单购买 SD-WAN 接入套餐,云公司快递发送小盒子(CPE)去分支机构或者企业总部。
- 给 CPE 上电,扫码,上网,自动注册,自动下载配置。
- 登录统一的管理平台管理 VPC 和 SD-WAN CPE 设备。
- 可配置本地流量的分流,如:访问 VPC,访问 Office365 和视频流量走不同的路径。
2018 年 7 月,微软宣布开始最新的 SD-WAN 接入方案试运行。企业用户可以通过 SD-WAN CPE 设备接入微软的不同 VPC Region,继而访问 VPC 里的各种资源,此举极大加速了分公司/个人基于云产品的 DevOps。
从上面的微软 SD-WAN 控制台可见。客户可以自行创建新的 SD-WAN Site,上线新的 SD-WAN CPE 盒子。管理 Site/Hub(微软 POP 点)之间的 VQN 连接,提供自动化 CPE 配置脚本。还能够配置统一接入策略和监控网络运行情况。
参考文章
http://www.cbdio.com/BigData/2016-06/21/content_4989943.htm
https://v3.opensourcecloud.cn/static-file/media/2018/08/13/8eafd07469eab76fc0957b2f7b7b8ee0.pdf
http://www.sohu.com/a/286517053_753085
http://www.idcquan.com/Special/2019trucs/ppt/suyue.pdf
相关阅读: