對于絕大部分的企業(yè)而言,IT系統(tǒng)已經(jīng)成為了企業(yè)運營中的一個關鍵基礎設施���,這其中網(wǎng)絡部分Internet的接入����、企業(yè)分支/合作伙伴之間的VPN連接是IT化基礎設施中重要的部件����。
今天的SD-WAN
而MPLS VPN專線接入價格高昂,對于大部分企業(yè)是筆不菲的支出�����;同時對于運行關鍵業(yè)務的企業(yè)總部或重要站點��,往往需要連接到多個運營商或采用多種接入方式以提供網(wǎng)絡冗余的保護,進一步增加了WAN接入的成本�。科技進步的實質(zhì)就是降低成本�,使得組織和個人單純的需要和欲望變成可以支付得起的需求,從而釋放購買力��,創(chuàng)造新的產(chǎn)業(yè)細分領域�;除了少數(shù)以奢侈作為賣點的領域,任何有實用價值但是使用的金錢��、時間成本過高的產(chǎn)品和服務都是下一個被顛覆的機會點��。
在過去二十年����,大部分企業(yè)都部署了局部的各種WAN加速和應用交付產(chǎn)品,包括Caching�����、多出口的流量工程�����、TCP加速���、SSL Offloading等特性�,也有不少部署了自己的IPSec VPN用于分支到總部的VPN連接�,但這些相對孤立的技術部署分別從不同的供應商采購,缺乏統(tǒng)一的管理維護機制���,部署門檻高���,效果難以保證,一方面MPLS專線費用占據(jù)了大部分的預算�����,給企業(yè)帶來了嚴重的負擔��,尤其是中小企業(yè)�,不要說MPLS VPN專線,即使是普通的Internet專線����,可能也超出預算上限。SD-WAN在此情況下應運而生�����,是傳統(tǒng)各種WAN加速技術的集大成者,并且在此基礎上提供了統(tǒng)一的集中策略管理和自動化業(yè)務發(fā)放平臺�,通過精細化管理、動態(tài)調(diào)度多出口�����,最大化利用WAN帶寬��,降低關鍵業(yè)務對于MPLS專線帶寬的需求��,從而降低了企業(yè)的支出���。無論是何種SD-WAN����,其關鍵的特征如下:
1���、集中的基于應用的WAN策略管控和自動化配置����。
2��、多出口鏈路的管理,包括MPLS專線��、普通PON/DSL Internet連接����、LTE無線網(wǎng)絡等,在充分利用多種鏈路帶寬的情況下�����,最大化保證業(yè)務質(zhì)量���;通過實時測量多個出口的鏈路時延、丟包等質(zhì)量����,將不同質(zhì)量、帶寬要求的應用調(diào)度到最佳出口上��,同時快速進行故障的切換�����。
3����、應用識別和監(jiān)控分析����,并且將應用識別的結(jié)果和多出口鏈路優(yōu)化結(jié)合起來����,不同的應用定義不同的QoS等級、SLA保證策略�����,動態(tài)選擇最佳的出口鏈路��。
4����、轉(zhuǎn)發(fā)面站點之間的連接采用Overlay技術,以消除對Underlay網(wǎng)絡的依賴���。SD-WAN控制器控制Overlay的端點來實現(xiàn)策略配置的自動化���,而無需介入到復雜的Underlay網(wǎng)絡配置中去。
5����、企業(yè)CPE設備的即插即用��。通過預置證書和引導過程����,上電自動接入網(wǎng)絡�,終端認證后接入SD-WAN控制器,由后者自動完成初始配置����。當然也可以采用USB Key發(fā)放證書�,標準化CPE的引導和認證過程來實現(xiàn)類似于手機的SIM機制。
6����、對于安全策略應用的統(tǒng)一管理,包括基本的ACL策略����、防火墻、流量清洗等應用���。7�、多點VPN隧道之間的動態(tài)路由協(xié)議支持?���?紤]部分分支采用Internet連接,無法直接相連����,需要通過有公網(wǎng)IP的分支或者總部進行中轉(zhuǎn)。
對于企業(yè)網(wǎng)絡應用而言�,除了基本的Internet接入外,網(wǎng)絡主要是總部-分支��、分支-分支之間的VPN連接��。此外隨著公有云/混合云逐漸成為企業(yè)IT交付的主要形式���,VPN接入公有云也是SD-WAN的一種重要應用����,典型方式是SD-WAN運營商設置PoP點和AWS����、Azure、阿里云等專線直連����,企業(yè)及其分支連接到就近的運營商PoP點�����,通過VPN直連到公有云的企業(yè)VPC中����。
對于運營級SD-WAN�����,其往往還承擔了運營商提供網(wǎng)絡增值服務��,擴大銷售收入的重任��,在提供連接服務的基礎上�����,提供防火墻安全防護�����、流量清洗�����、上網(wǎng)行為管理等等服務�����,這些增殖服務按簽約付費提供�����。由于這些服務往往需要部署在企業(yè)端���,因此SD-WAN 的CPE設備運營商更加傾向于采用X86架構(gòu)�����,可以采用虛機或容器方式靈活部署此類增殖業(yè)務���。由于通用的云平臺一般只能管理數(shù)百臺計算節(jié)點,部分采用云/網(wǎng)一體化方案的廠商���,用OpenStack把CPE當成普通計算節(jié)點管理的SD-WAN方案對于運營級要求而言�����,缺乏必要的可伸縮性���。
各大咨詢公司都預測今后幾年SD-WAN市場快速增長��,IDC預測到2020年達到$6B����,然而企業(yè)的信息化支出基本是剛性的��,這個增長的市場很大程度上主要來源于對傳統(tǒng)出口路由器設備���、WAN加速產(chǎn)品的替代以及MPLS專線費用支出的節(jié)省�。電信運營商也參與此類市場���,毫無疑問不是單純?yōu)榱私档妥约旱腗PLS專線收入��,而是擴大收入來源�,提升客戶黏度��,在單純專線服務之外�����,提供Internet�、無線接入等多出口鏈路管理、安全服務等一攬子服務���。
SD-WAN的發(fā)展
隨著SD-WAN應用的普及��,看起來似乎更有可能出現(xiàn)一個或多個基于SD-WAN技術的Overlay企業(yè)專線運營商�,就像90年代末互聯(lián)網(wǎng)發(fā)展起來之后出現(xiàn)的大量VoIP的運營商�����,包括像Skype這樣的公司����、Viber這類軟件。而今天其實微信等軟件內(nèi)置的語音功能已經(jīng)足夠強大����,其多方通話的客戶體驗遠超運營商提供的服務,軟件技術的持續(xù)改進可以完全抵消底層網(wǎng)絡基礎設施上的不足���。
然而和單路語音業(yè)務幾十Kbps的帶寬相比較����,提供企業(yè)專線的Overlay中轉(zhuǎn)需要建設一定數(shù)量PoP點、租用運營商的大量帶寬����,有相當?shù)馁Y金門檻,但是這對于那些具有一定網(wǎng)絡和數(shù)據(jù)中心布局的二級運營商和云業(yè)務運營商提供了一定的機遇����,他們不必拘泥于客戶一定要綁定自己的的Internet接入或?qū)>€業(yè)務,因而可以提供真正的多運營商多出口的方案�。
作為一個運營級的Overlay方案,要提供一個國家乃至跨國的方案�,必須要有一定數(shù)量的PoP點,使得地理上客戶離最近的PoP距離在一定范圍內(nèi)�,以保證傳輸?shù)臅r延不嚴重影響客戶體驗。那么多個PoP點之間也要運行動態(tài)路由和鏈路質(zhì)量檢測協(xié)議��,以供Overlay最佳路由選擇使用�����。這就非常類似于P2P技術中的超級節(jié)點和普通客戶端的關系����,由PoP點構(gòu)成了一個超級節(jié)點的集群��,每個普通客戶可以根據(jù)網(wǎng)絡拓撲位置以及鏈路質(zhì)量連接到多個超級節(jié)點,任何兩個客戶端之間如果兩方都沒有公網(wǎng)地址��,那么SD-WAN要為其連接選擇至少1個����、至多2個中轉(zhuǎn)節(jié)點進行中轉(zhuǎn),以保證鏈路最優(yōu)���。在網(wǎng)絡世界中����,由于不同運營商間互聯(lián)互通帶寬����、時延差別都很大,兩點之間未必直達路由通信質(zhì)量最佳�����,因此即使是兩個CPE一方有公網(wǎng)IP���,調(diào)度時也可能需要經(jīng)過中間節(jié)點中轉(zhuǎn)��,以獲得最佳端到端的通信質(zhì)量��。
Overlay Routing需要收集全網(wǎng)的BGP AS Path���,甚至是部分IGP的拓撲�����,可以借用IETF的ALTO架構(gòu)來實現(xiàn)基于網(wǎng)絡拓撲的選路����。但這是遠遠不夠的�,如前所述,Underlay拓撲最近未必通信質(zhì)量最佳�����,必須輔以PoP點(超級節(jié)點)間的鏈路質(zhì)量實時探測作為路徑選擇的依據(jù)���。如果進一步借用P2P的架構(gòu)�����,可以將部分具有公網(wǎng)地址的CPE選擇為超級節(jié)點����,承接一部分的CPE之間的NAT穿越/中繼流量(不用奇怪,P2P是最早的共享經(jīng)濟模式���,只不過共享有版權(quán)的數(shù)字化資產(chǎn)比采用自購固定資產(chǎn)參與運營更容易觸及法律的紅線),作為運營商自建PoP的補充����,從而使得投資的總規(guī)模可控��。但是企業(yè)客戶更加不愿意共享自己的帶寬��,所以必須要有一定的激勵機制����,比如承擔超級節(jié)點那么SD-WAN的服務不僅不用花錢,還可以掙錢���。
當客戶節(jié)點加入之后���,中繼節(jié)點的數(shù)量將會是海量的數(shù)字,并且需要全局的最優(yōu)Overlay路徑計算�����,今天SD-WAN的CPE節(jié)點單點多出口自行鏈路切換選擇的方式已經(jīng)無法適用。以往的諸如BitTorent��、Skype�、eMule等P2P系統(tǒng)采用DHT分布式算法來維護超級節(jié)點之間的集群和資源切片信息,客戶端向超級節(jié)點下載資源節(jié)點列表并進行通信��。但是諸如CHORD����、Kad、Pastry這樣的DHT算法是以數(shù)據(jù)為中心的分布式算法�,以數(shù)學距離來生成數(shù)據(jù)路由表,決定數(shù)據(jù)和節(jié)點的存儲關系�,適合于維護內(nèi)容的切片及路由,并不完全適合于終端之間的通信關系最優(yōu)化選路���。作為一個運營級的Overlay路由算法要平衡中繼的成本和路徑時延����,原則上來講需要保證兩個客戶端之間最多經(jīng)過兩個中繼節(jié)點�,這樣就需要全局、準實時的節(jié)點和路徑狀態(tài)的更新���,而為了保證系統(tǒng)的可伸縮性���,路徑的計算和切換需要在集中點和CPE設備間分工協(xié)作完成��。
IP網(wǎng)絡演進探討
對于網(wǎng)絡而言�,核心的設計主要就兩點:編址(Addressing)和路由(Routing)���,也就是說怎么對通信終端進行編號,怎么端到端尋址和路由�����。傳統(tǒng)語音網(wǎng)絡采用電話號碼作為終端的編址�����,設備采用信令點編號或者域名進行編址�,移動網(wǎng)采用HLR/HSS來存儲終端和網(wǎng)絡設備的附著關系,信令和媒體分別尋址����。IP網(wǎng)絡采用IP地址作為對講主機的編址,路由設備間通告路由前綴來實現(xiàn)路由信息傳播�,并且不區(qū)分網(wǎng)絡設備和終端設備�����,應用也直接看到IP地址�,在TCP/IP的Socket接口上進行編程通信���,所以IPv4到IPv6的升級成了一個牽一發(fā)動全身的大事���,二十多年過去了,IETF天天喊著IPv4地址已經(jīng)耗盡���,但是業(yè)務的遷移已經(jīng)進展緩慢��;Internet骨干網(wǎng)的路由表項的膨脹則是另外一個問題
在過去的數(shù)年里����,學術界和標準組織提出了許多的方案用于未來數(shù)據(jù)網(wǎng)絡的演進��。大部分基本的思路還是名址的分離�����,但是名字是什么��,不同的技術有不同的設計,在什么層次去實現(xiàn)名址的分離也有不同看法���。比如PARC于2009年提出的CCN(Content Centric Network)就認為未來網(wǎng)絡必定以內(nèi)容為中心�,因此應該以內(nèi)容名字作為編址���,采用內(nèi)容路由器作為數(shù)據(jù)網(wǎng)絡的基礎設施�����,此項技術在2010年受美國NSF贊助��,改名為NDN(Named Data network),后來學術界又起了一個名字叫ICN(Information Centric Network)��;互聯(lián)網(wǎng)內(nèi)容訪問的長尾效應帶來的Cache命中率低下的問題是否適合內(nèi)容路由在此就不展開討論了(CDN是應用層解決方案)�。IETF在2009年開始標準化LISP(Locator and Identifier Separation Protocol )協(xié)議,起初是為解決骨干網(wǎng)的路由表膨脹問題�,把終端編址(名字)限定在邊緣路由器以下,骨干網(wǎng)絡設備才有地址�,本質(zhì)上也是一種接入邊緣和核心分離的技術。此外IETF也有更早一點的基于Overlay的HIP(Host Identity Protocol)技術�����。MIP/PMIP這種過往的技術在CDMA EVDO中用了一代,最終被3GPP的GTP協(xié)議徹底替代���,在此不再贅述�����。
名址分離系統(tǒng)�,路由標準做法是Map-Encap的方法�����,起點設備名字解析完成后用戶報文封裝在源/目的格式為底層網(wǎng)絡編址的隧道中�����,在另外一側(cè)隧道出口解析出來恢復名字作為源/目的的用戶報文����。這個系統(tǒng)中居于核心的是名-址解析系統(tǒng),就像DNS一樣�����,當然如果是逐流/逐報文的解析,超出了DNS的能力范圍�����。對于新型的名字解析系統(tǒng)�����,搞IP網(wǎng)絡的肯定還是搬出BGP/IGP協(xié)議��,當然更一般的思路是建立集中的高性能名字解析分布式系統(tǒng)�。對于按位置可以前綴聚合的名字,是路由協(xié)議的強項����;但是名址分離實現(xiàn)身份和位置的分離,名字注定是要位置可移動�����、不可聚合的�?���?删酆系氖堑刂罚⑶业刂穬H僅是骨干設備的地址,其不再暴露在端到端的系統(tǒng)中��,隨時可變��,IPv4也好����、IPv6也可以,IPv9也不是不行�,不會影響網(wǎng)絡的端到端架構(gòu)。業(yè)務邊緣以下是一種地址編址方式��,以上是另外一種方式也可���。
然而這一切和SD-WAN有什么關系����?SD-WAN使得軟邊緣��、Overlay接入和核心分離的組網(wǎng)思想在企業(yè)VPN專線業(yè)務中逐漸生根落地�,而移動網(wǎng)本來就是位于IP網(wǎng)址上的GTP overlay,無論其是否NFV化都是如此���,再加入BRAS的Overlay化�,整個網(wǎng)絡無論是移動接入還是固網(wǎng)接入,架構(gòu)上都趨于一致����。對于越來越復雜的IP網(wǎng)絡,越來越多的位于NAT和防火墻后面的私有網(wǎng)絡���,通過Overlay技術將邊緣網(wǎng)絡和骨干網(wǎng)絡分離����、用戶編址和網(wǎng)絡設備編址分離���、骨干網(wǎng)絡簡單化是一條可行的道路����。不同于LISP這種當初為了解決Tier 1運營商骨干網(wǎng)路由表容量問題而讓Tier 2/Tier 3運營商投資改造網(wǎng)絡的做法不同���,SD-WAN的Overlay特征使得企業(yè)可以構(gòu)建獨立的網(wǎng)絡進行Over The Top運營��、獲利�,投資和收益主體一致��,使得網(wǎng)絡可以從局部開始�,逐漸演進;即使是既有的IP網(wǎng)絡運營商�,也可以采用同樣的技術進行演進。
