今天的SD-WAN
对于绝大部分的企业而言,IT系统已经成为了企业运营中的一个关键基础设施,这其中网络部分Internet的接入、企业分支/合作伙伴之间的VPN连接是IT化基础设施中重要的部件。而MPLS VPN专线接入价格高昂,对于大部分企业是笔不菲的支出;同时对于运行关键业务的企业总部或重要站点,往往需要连接到多个运营商或采用多种接入方式以提供网络冗余的保护,进一步增加了WAN接入的成本。科技进步的实质就是降低成本,使得组织和个人单纯的需要和欲望变成可以支付得起的需求,从而释放购买力,创造新的产业细分领域;除了少数以奢侈作为卖点的领域,任何有实用价值但是使用的金钱、时间成本过高的产品和服务都是下一个被颠覆的机会点。
在过去二十年,大部分企业都部署了局部的各种WAN加速和应用交付产品,包括Caching、多出口的流量工程、TCP加速、SSL Offloading等特性,也有不少部署了自己的IPSec VPN用于分支到总部的VPN连接,但这些相对孤立的技术部署分别从不同的供应商采购,缺乏统一的管理维护机制,部署门槛高,效果难以保证,一方面MPLS专线费用占据了大部分的预算,给企业带来了严重的负担,尤其是中小企业,不要说MPLS VPN专线,即使是普通的Internet专线,可能也超出预算上限。SD-WAN在此情况下应运而生,是传统各种WAN加速技术的集大成者,并且在此基础上提供了统一的集中策略管理和自动化业务发放平台,通过精细化管理、动态调度多出口,最大化利用WAN带宽,降低关键业务对于MPLS专线带宽的需求,从而降低了企业的支出。无论是何种SD-WAN,其关键的特征如下:
1、集中的基于应用的WAN策略管控和自动化配置。
2、多出口链路的管理,包括MPLS专线、普通PON/DSL Internet连接、LTE无线网络等,在充分利用多种链路带宽的情况下,最大化保证业务质量;通过实时测量多个出口的链路时延、丢包等质量,将不同质量、带宽要求的应用调度到最佳出口上,同时快速进行故障的切换。
3、应用识别和监控分析,并且将应用识别的结果和多出口链路优化结合起来,不同的应用定义不同的QoS等级、SLA保证策略,动态选择最佳的出口链路。
4、转发面站点之间的连接采用Overlay技术,以消除对Underlay网络的依赖。SD-WAN控制器控制Overlay的端点来实现策略配置的自动化,而无需介入到复杂的Underlay网络配置中去。
5、企业CPE设备的即插即用。通过预置证书和引导过程,上电自动接入网络,终端认证后接入SD-WAN控制器,由后者自动完成初始配置。当然也可以采用USB Key发放证书,标准化CPE的引导和认证过程来实现类似于手机的SIM机制。
6、对于安全策略应用的统一管理,包括基本的ACL策略、防火墙、流量清洗等应用。7、多点VPN隧道之间的动态路由协议支持。考虑部分分支采用Internet连接,无法直接相连,需要通过有公网IP的分支或者总部进行中转.
对于企业网络应用而言,除了基本的Internet接入外,网络主要是总部-分支、分支-分支之间的VPN连接。此外随着公有云/混合云逐渐成为企业IT交付的主要形式,VPN接入公有云也是SD-WAN的一种重要应用,典型方式是SD-WAN运营商设置PoP点和AWS、Azure、阿里云等专线直连,企业及其分支连接到就近的运营商PoP点,通过VPN直连到公有云的企业VPC中。
对于运营级SD-WAN,其往往还承担了运营商提供网络增值服务,扩大销售收入的重任,在提供连接服务的基础上,提供防火墙安全防护、流量清洗、上网行为管理等等服务,这些增殖服务按签约付费提供。由于这些服务往往需要部署在企业端,因此SD-WAN 的CPE设备运营商更加倾向于采用X86架构,可以采用虚机或容器方式灵活部署此类增殖业务。由于通用的云平台一般只能管理数百台计算节点,部分采用云/网一体化方案的厂商,用OpenStack把CPE当成普通计算节点管理的SD-WAN方案对于运营级要求而言,缺乏必要的可伸缩性。
各大咨询公司都预测今后几年SD-WAN市场快速增长,IDC预测到2020年达到$6B,然而企业的信息化支出基本是刚性的,这个增长的市场很大程度上主要来源于对传统出口路由器设备、WAN加速产品的替代以及MPLS专线费用支出的节省。电信运营商也参与此类市场,毫无疑问不是单纯为了降低自己的MPLS专线收入,而是扩大收入来源,提升客户黏度,在单纯专线服务之外,提供Internet、无线接入等多出口链路管理、安全服务等一揽子服务。
SD-WAN的发展
随着SD-WAN应用的普及,看起来似乎更有可能出现一个或多个基于SD-WAN技术的Overlay企业专线运营商,就像90年代末互联网发展起来之后出现的大量VOIP的运营商,包括像Skype这样的公司、Viber这类软件。而今天其实微信等软件内置的语音功能已经足够强大,其多方通话的客户体验远超运营商提供的服务,软件技术的持续改进可以完全抵消底层网络基础设施上的不足。
然而和单路语音业务几十Kbps的带宽相比较,提供企业专线的Overlay中转需要建设一定数量PoP点、租用运营商的大量带宽,有相当的资金门槛,但是这对于那些具有一定网络和数据中心布局的二级运营商和云业务运营商提供了一定的机遇,他们不必拘泥于客户一定要绑定自己的的Internet接入或专线业务,因而可以提供真正的多运营商多出口的方案。
作为一个运营级的Overlay方案,要提供一个国家乃至跨国的方案,必须要有一定数量的PoP点,使得地理上客户离最近的PoP距离在一定范围内,以保证传输的时延不严重影响客户体验。那么多个PoP点之间也要运行动态路由和链路质量检测协议,以供Overlay最佳路由选择使用。这就非常类似于P2P技术中的超级节点和普通客户端的关系,由PoP点构成了一个超级节点的集群,每个普通客户可以根据网络拓扑位置以及链路质量连接到多个超级节点,任何两个客户端之间如果两方都没有公网地址,那么SD-WAN要为其连接选择至少1个、至多2个中转节点进行中转,以保证链路最优。在网络世界中,由于不同运营商间互联互通带宽、时延差别都很大,两点之间未必直达路由通信质量最佳,因此即使是两个CPE一方有公网IP,调度时也可能需要经过中间节点中转,以获得最佳端到端的通信质量。
Overlay Routing需要收集全网的BGP AS Path,甚至是部分IGP的拓扑,可以借用IETF的ALTO架构来实现基于网络拓扑的选路。但这是远远不够的,如前所述,Underlay拓扑最近未必通信质量最佳,必须辅以PoP点(超级节点)间的链路质量实时探测作为路径选择的依据。如果进一步借用P2P的架构,可以将部分具有公网地址的CPE选择为超级节点,承接一部分的CPE之间的NAT穿越/中继流量(不用奇怪,P2P是最早的共享经济模式,只不过共享有版权的数字化资产比采用自购固定资产参与运营更容易触及法律的红线),作为运营商自建PoP的补充,从而使得投资的总规模可控。但是企业客户更加不愿意共享自己的带宽,所以必须要有一定的激励机制,比如承担超级节点那么SD-WAN的服务不仅不用花钱,还可以挣钱。
当客户节点加入之后,中继节点的数量将会是海量的数字,并且需要全局的最优Overlay路径计算,今天SD-WAN的CPE节点单点多出口自行链路切换选择的方式已经无法适用。以往的诸如BitTorent、Skype、eMule等P2P系统采用DHT分布式算法来维护超级节点之间的集群和资源切片信息,客户端向超级节点下载资源节点列表并进行通信。但是诸如CHORD、Kad、Pastry这样的DHT算法是以数据为中心的分布式算法,以数学距离来生成数据路由表,决定数据和节点的存储关系,适合于维护内容的切片及路由,并不完全适合于终端之间的通信关系最优化选路。作为一个运营级的Overlay路由算法要平衡中继的成本和路径时延,原则上来讲需要保证两个客户端之间最多经过两个中继节点,这样就需要全局、准实时的节点和路径状态的更新,而为了保证系统的可伸缩性,路径的计算和切换需要在集中点和CPE设备间分工协作完成。
IP网络演进探讨
对于网络而言,核心的设计主要就两点:编址(Addressing)和路由(Routing),也就是说怎么对通信终端进行编号,怎么端到端寻址和路由。传统语音网络采用电话号码作为终端的编址,设备采用信令点编号或者域名进行编址,移动网采用HLR/HSS来存储终端和网络设备的附着关系,信令和媒体分别寻址。IP网络采用IP地址作为主机的编址,路由设备间通告路由前缀来实现路由信息传播,并且不区分网络设备和终端设备,应用也直接看到IP地址,在TCP/IP的Socket接口上进行编程通信,所以IPv4到IPv6的升级成了一个牵一发动全身的大事,二十多年过去了,IETF天天喊着IPv4地址已经耗尽,但是业务的迁移已经进展缓慢;Internet骨干网的路由表项的膨胀则是另外一个问题
在过去的数年里,学术界和标准组织提出了许多的方案用于未来数据网络的演进。大部分基本的思路还是名址的分离,但是名字是什么,不同的技术有不同的设计,在什么层次去实现名址的分离也有不同看法。比如PARC于2009年提出的CCN(Content Centric Network)就认为未来网络必定以内容为中心,因此应该以内容名字作为编址,采用内容路由器作为数据网络的基础设施,此项技术在2010年受美国NSF赞助,改名为NDN(Named Data network),后来学术界又起了一个名字叫ICN(Information Centric Network);互联网内容访问的长尾效应带来的Cache命中率低下的问题是否适合内容路由在此就不展开讨论了(CDN是应用层解决方案)。IETF在2009年开始标准化LISP(Locator and Identifier Separation Protocol )协议,起初是为解决骨干网的路由表膨胀问题,把终端编址(名字)限定在边缘路由器以下,骨干网络设备才有地址,本质上也是一种接入边缘和核心分离的技术。此外IETF也有更早一点的基于Overlay的HIP(Host Identity Protocol)技术。MIP/PMIP这种过往的技术在CDMA EVDO中用了一代,最终被3GPP的GTP协议彻底替代,在此不再赘述。
名址分离系统,路由标准做法是Map-Encap的方法,起点设备名字解析完成后用户报文封装在源/目的格式为底层网络编址的隧道中,在另外一侧隧道出口解析出来恢复名字作为源/目的的用户报文。这个系统中居于核心的是名-址解析系统,就像DNS一样,当然如果是逐流/逐报文的解析,超出了DNS的能力范围。对于新型的名字解析系统,搞IP网络的肯定还是搬出BGP/IGP协议,当然更一般的思路是建立集中的高性能名字解析分布式系统。对于按位置可以前缀聚合的名字,是路由协议的强项;但是名址分离实现身份和位置的分离,名字注定是要位置可移动、不可聚合的。可聚合的是地址,并且地址仅仅是骨干设备的地址,其不再暴露在端到端的系统中,随时可变,IPv4也好、IPv6也可以,IPv9也不是不行,不会影响网络的端到端架构。业务边缘以下是一种地址编址方式,以上是另外一种方式也可。
然而这一切和SD-WAN有什么关系?SD-WAN使得软边缘、Overlay接入和核心分离的组网思想在企业VPN专线业务中逐渐生根落地,而移动网本来就是位于IP网址上的GTP overlay,无论其是否NFV化都是如此,再加入BRAS的Overlay化,整个网络无论是移动接入还是固网接入,架构上都趋于一致。对于越来越复杂的IP网络,越来越多的位于NAT和防火墙后面的私有网络,通过Overlay技术将边缘网络和骨干网络分离、用户编址和网络设备编址分离、骨干网络简单化是一条可行的道路。不同于LISP这种当初为了解决Tier 1运营商骨干网路由表容量问题而让Tier 2/Tier 3运营商投资改造网络的做法不同,SD-WAN的Overlay特征使得企业可以构建独立的网络进行Over The Top运营、获利,投资和收益主体一致,使得网络可以从局部开始,逐渐演进;即使是既有的IP网络运营商,也可以采用同样的技术进行演进。
原文发布时间为:2017-10-13
本文作者:汪军
本文来自合作伙伴51CTO,了解相关信息可以关注51CTO。