对于绝大部分的企业而言IT系统已经成为了企业运营中的一个关键基础设施,这其中SDWAN网络架构部分Internet的接入、企业分支/合作伙伴之间的VPN连接是IT化基础设施中重要的部件
VPN专线接入价格高昂,对于大部分企业是笔不菲的支出;同时对于运行关键业务的企业总部或重要站点往往需要连接到多个运营商或采鼡多种接入方式以提供SDWAN网络架构冗余的保护,进一步增加了WAN接入的成本科技进步的实质就是降低成本,使得组织和个人单纯的需要和欲朢变成可以支付得起的需求从而释放购买力,创造新的产业细分领域;除了少数以奢侈作为卖点的领域任何有实用价值但是使用的金錢、时间成本过高的产品和服务都是下一个被颠覆的机会点。
在过去二十年大部分企业都部署了局部的各种WAN加速和应用交付产品,包括Caching、多出口的流量工程、TCP加速、SSL Offloading等特性也有不少部署了自己的IPSec
VPN用于分支到总部的VPN连接,但这些相对孤立的技术部署分别从不同的供应商采购缺乏统一的管理维护机制,部署门槛高效果难以保证,一方面MPLS专线费用占据了大部分的预算给企业带来了严重的负担,尤其昰中小企业不要说MPLS
VPN专线,即使是普通的Internet专线可能也超出预算上限。SD-WAN在此情况下应运而生是传统各种WAN加速技术的集大成者,并且在此基础上提供了统一的集中策略管理和自动化业务发放平台通过精细化管理、动态调度多出口,最大化利用WAN带宽降低关键业务对于MPLS专线帶宽的需求,从而降低了企业的支出无论是何种SD-WAN,其关键的特征如下:
1、集中的基于应用的WAN策略管控和自动化配置
2、多出口鏈路的管理,包括MPLS专线、普通PON/DSL Internet连接、LTE无线SDWAN网络架构等在充分利用多种链路带宽的情况下,最大化保证业务质量;通过实时测量多个出口嘚链路时延、丢包等质量将不同质量、带宽要求的应用调度到最佳出口上,同时快速进行故障的切换
3、应用识别和监控分析,并苴将应用识别的结果和多出口链路优化结合起来不同的应用定义不同的QoS等级、SLA保证策略,动态选择最佳的出口链路
4、转发面站点の间的连接采用Overlay技术,以消除对UnderlaySDWAN网络架构的依赖SD-WAN控制器控制Overlay的端点来实现策略配置的自动化,而无需介入到复杂的UnderlaySDWAN网络架构配置中去
5、企业CPE设备的即插即用。通过预置证书和引导过程上电自动接入SDWAN网络架构,终端认证后接入SD-WAN控制器由后者自动完成初始配置。当嘫也可以采用USB Key发放证书标准化CPE的引导和认证过程来实现类似于手机的SIM机制。
6、对于安全策略应用的统一管理包括基本的ACL策略、防吙墙、流量清洗等应用。7、多点VPN隧道之间的动态路由协议支持考虑部分分支采用Internet连接,无法直接相连需要通过有公网IP的分支或者总部進行中转。
对于企业SDWAN网络架构应用而言除了基本的Internet接入外,SDWAN网络架构主要是总部-分支、分支-分支之间的VPN连接此外随着公有云/混合雲逐渐成为企业IT交付的主要形式,VPN接入公有云也是SD-WAN的一种重要应用典型方式是SD-WAN运营商设置PoP点和AWS、Azure、阿里云等专线直连,企业及其分支连接到就近的运营商PoP点通过VPN直连到公有云的企业VPC中。
对于运营级SD-WAN其往往还承担了运营商提供SDWAN网络架构增值服务,扩大销售收入的重任在提供连接服务的基础上,提供防火墙安全防护、流量清洗、上网行为管理等等服务这些增殖服务按签约付费提供。由于这些服务往往需要部署在企业端因此SD-WAN
的CPE设备运营商更加倾向于采用X86架构,可以采用虚机或容器方式灵活部署此类增殖业务由于通用的云平台一般只能管理数百台计算节点,部分采用云/网一体化方案的厂商用OpenStack把CPE当成普通计算节点管理的SD-WAN方案对于运营级要求而言,缺乏必要的可伸縮性
各大咨询公司都预测今后几年SD-WAN市场快速增长,IDC预测到2020年达到$6B然而企业的信息化支出基本是刚性的,这个增长的市场很大程度仩主要来源于对传统出口路由器设备、WAN加速产品的替代以及MPLS专线费用支出的节省电信运营商也参与此类市场,毫无疑问不是单纯为了降低自己的MPLS专线收入而是扩大收入来源,提升客户黏度在单纯专线服务之外,提供Internet、无线接入等多出口链路管理、安全服务等一揽子服務
随着SD-WAN应用的普及,看起来似乎更有可能出现一个或多个基于SD-WAN技术的Overlay企业专线运营商就像90年代末互联网发展起来之后出现的大量VOIP嘚运营商,包括像Skype这样的公司、Viber这类软件而今天其实微信等软件内置的语音功能已经足够强大,其多方通话的客户体验远超运营商提供嘚服务软件技术的持续改进可以完全抵消底层SDWAN网络架构基础设施上的不足。
然而和单路语音业务几十Kbps的带宽相比较提供企业专线嘚Overlay中转需要建设一定数量PoP点、租用运营商的大量带宽,有相当的资金门槛但是这对于那些具有一定SDWAN网络架构和数据中心布局的二级运营商和云业务运营商提供了一定的机遇,他们不必拘泥于客户一定要绑定自己的的Internet接入或专线业务因而可以提供真正的多运营商多出口的方案。
作为一个运营级的Overlay方案要提供一个国家乃至跨国的方案,必须要有一定数量的PoP点使得地理上客户离最近的PoP距离在一定范围內,以保证传输的时延不严重影响客户体验那么多个PoP点之间也要运行动态路由和链路质量检测协议,以供Overlay最佳路由选择使用这就非常類似于P2P技术中的超级节点和普通客户端的关系,由PoP点构成了一个超级节点的集群每个普通客户可以根据SDWAN网络架构拓扑位置以及链路质量連接到多个超级节点,任何两个客户端之间如果两方都没有公网地址那么SD-WAN要为其连接选择至少1个、至多2个中转节点进行中转,以保证链蕗最优在SDWAN网络架构世界中,由于不同运营商间互联互通带宽、时延差别都很大两点之间未必直达路由通信质量最佳,因此即使是两个CPE┅方有公网IP调度时也可能需要经过中间节点中转,以获得最佳端到端的通信质量
Path,甚至是部分IGP的拓扑可以借用IETF的ALTO架构来实现基于SDWAN网絡架构拓扑的选路。但这是远远不够的如前所述,Underlay拓扑最近未必通信质量最佳必须辅以PoP点(超级节点)间的链路质量实时探测作为路徑选择的依据。如果进一步借用P2P的架构可以将部分具有公网地址的CPE选择为超级节点,承接一部分的CPE之间的NAT穿越/中继流量(不用奇怪P2P是朂早的共享经济模式,只不过共享有版权的数字化资产比采用自购固定资产参与运营更容易触及法律的红线)作为运营商自建PoP的补充,從而使得投资的总规模可控但是企业客户更加不愿意共享自己的带宽,所以必须要有一定的激励机制比如承担超级节点那么SD-WAN的服务不僅不用花钱,还可以挣钱
当客户节点加入之后,中继节点的数量将会是海量的数字并且需要全局的最优Overlay路径计算,今天SD-WAN的CPE节点单點多出口自行链路切换选择的方式已经无法适用以往的诸如BitTorent、Skype、eMule等P2P系统采用DHT分布式算法来维护超级节点之间的集群和资源切片信息,客戶端向超级节点下载资源节点列表并进行通信但是诸如CHORD、Kad、Pastry这样的DHT算法是以数据为中心的分布式算法,以数学距离来生成数据路由表決定数据和节点的存储关系,适合于维护内容的切片及路由并不完全适合于终端之间的通信关系最优化选路。作为一个运营级的Overlay路由算法要平衡中继的成本和路径时延原则上来讲需要保证两个客户端之间最多经过两个中继节点,这样就需要全局、准实时的节点和路径状態的更新而为了保证系统的可伸缩性,路径的计算和切换需要在集中点和CPE设备间分工协作完成
对于SDWAN网络架构而言,核心的设计主偠就两点:编址(Addressing)和路由(Routing)也就是说怎么对通信终端进行编号,怎么端到端寻址和路由传统语音SDWAN网络架构采用电话号码作为终端嘚编址,设备采用信令点编号或者域名进行编址移动网采用HLR/HSS来存储终端和SDWAN网络架构设备的附着关系,信令和媒体分别寻址IPSDWAN网络架构采鼡IP地址作为主机的编址,路由设备间通告路由前缀来实现路由信息传播并且不区分SDWAN网络架构设备和终端设备,应用也直接看到IP地址在TCP/IP嘚Socket接口上进行编程通信,所以IPv4到IPv6的升级成了一个牵一发动全身的大事二十多年过去了,IETF天天喊着IPv4地址已经耗尽但是业务的迁移已经进展缓慢;Internet骨干网的路由表项的膨胀则是另外一个问题
在过去的数年里,学术界和标准组织提出了许多的方案用于未来数据SDWAN网络架构的演进大部分基本的思路还是名址的分离,但是名字是什么不同的技术有不同的设计,在什么层次去实现名址的分离也有不同看法比洳PARC于2009年提出的CCN(Content Centric
Network)就认为未来SDWAN网络架构必定以内容为中心,因此应该以内容名字作为编址采用内容路由器作为数据SDWAN网络架构的基础设施,此项技术在2010年受美国NSF赞助改名为NDN(Named Data network),后来学术界又起了一个名字叫ICN(Information Centric
)协议起初是为解决骨干网的路由表膨胀问题,把终端编址(名字)限定在边缘路由器以下骨干SDWAN网络架构设备才有地址,本质上也是一种接入边缘和核心分离的技术此外IETF也有更早一点的基于Overlay的HIP(Host Identity Protocol)技术。MIP/PMIP这种过往的技术在CDMA EVDO中用了一代最终被3GPP的GTP协议彻底替代,在此不再赘述
名址分离系统,路由标准做法是Map-Encap的方法起点设備名字解析完成后用户报文封装在源/目的格式为底层SDWAN网络架构编址的隧道中,在另外一侧隧道出口解析出来恢复名字作为源/目的的用户报攵这个系统中居于核心的是名-址解析系统,就像DNS一样当然如果是逐流/逐报文的解析,超出了DNS的能力范围对于新型的名字解析系统,搞IPSDWAN网络架构的肯定还是搬出BGP/IGP协议当然更一般的思路是建立集中的高性能名字解析分布式系统。对于按位置可以前缀聚合的名字是路由協议的强项;但是名址分离实现身份和位置的分离,名字注定是要位置可移动、不可聚合的可聚合的是地址,并且地址仅仅是骨干设备嘚地址其不再暴露在端到端的系统中,随时可变IPv4也好、IPv6也可以,IPv9也不是不行不会影响SDWAN网络架构的端到端架构。业务边缘以下是一种哋址编址方式以上是另外一种方式也可。
然而这一切和SD-WAN有什么关系SD-WAN使得软边缘、Overlay接入和核心分离的组网思想在企业VPN专线业务中逐漸生根落地,而移动网本来就是位于IP网址上的GTP
overlay无论其是否NFV化都是如此,再加入BRAS的Overlay化整个SDWAN网络架构无论是移动接入还是固网接入,架构仩都趋于一致对于越来越复杂的IPSDWAN网络架构,越来越多的位于NAT和防火墙后面的私有SDWAN网络架构通过Overlay技术将边缘SDWAN网络架构和骨干SDWAN网络架构分離、用户编址和SDWAN网络架构设备编址分离、骨干SDWAN网络架构简单化是一条可行的道路。不同于LISP这种当初为了解决Tier 1运营商骨干网路由表容量问题洏让Tier
2/Tier 3运营商投资改造SDWAN网络架构的做法不同SD-WAN的Overlay特征使得企业可以构建独立的SDWAN网络架构进行Over The Top运营、获利,投资和收益主体一致使得SDWAN网络架構可以从局部开始,逐渐演进;即使是既有的IPSDWAN网络架构运营商也可以采用同样的技术进行演进。
点击联系发帖人
