SD-WAN解決方案
SD-WAN解決方案
華為技術有限公司
網絡改造技術篇/成熟技術/工廠外網改造
1 概述
1.1 背景
伴隨著企業的數字化轉型以及云計算和SDN/NFV技術的興起和普及,傳統企業的WAN網絡正在經歷著深刻的變化。
傳統的企業WAN網絡通常租用運營商的物理專線或者MPLS VPN專線來實現企業分支的廣域互聯,保證網絡的服務質量,因此企業WAN業務開通依賴運營商,業務開通時間較長且價格也比較昂貴,另外傳統企業采取自建數據中心的方式來承載企業IT關鍵資產,企業網絡架構是封閉的,開放性不足導致業務發放效率低。
隨著Internet的普及以及云計算等新技術的興起,傳統企業網絡架構正在經歷革命性的變化,首先全球范圍內internet的快速普及,無論從覆蓋范圍還是到網絡質量,都有了質的提高,除了傳統的專線互聯技術外,Internet成為傳統企業的分支互聯以及全球化推進的一個新的重要選擇;此外,云計算技術風起云涌,AWS等公有云的崛起和流行,引導企業DC等基礎設施云化,從而打破了企業IT傳統的封閉架構,引導企業網絡架構走向開放之路,越來越多的企業選擇公有云服務;此外,就是企業的關鍵應用的云化,企業的重要應用也逐漸被應用提供商改以SaaS云化方式提供,企業連接SaaS云業務逐年增長。
1.2 實施目標
本解決方案的實施目標:
1) 零配置開局,設備即插即用;
2) 快速的發放連接業務,實現分支CPE即插即用以及園區/分支和云的按需快速互連;
3) 借助低價值的Internet鏈路進行更廣泛的互聯并且保證關鍵應用的體驗不受影響;
4) 能夠以云的方式提供管理手段,讓企業用戶更加方便快捷的自助定義新業務和進行網絡管理。
1.3 適用范圍
SD-WAN解決方案幫助制造企業實現未來較長一段時期的SD-WAN業務運營需求,主要包含如下場景的網絡訪問服務:
1) 零配置開局,設備即插即用
2) Site to Site訪問:為企業客戶提供企業分支之間的互訪服務。
3) Site to Internet訪問:為企業客戶提供企業分支內到Internet的訪問服務(含安全策略管理)。
4) Site to Legacy Network:為企業客戶提供企業分支到傳統網絡(非SD-WAN網絡)的訪問服務。
5) 基于應用/應用質量的智能選路:如關鍵業務走高質量專線、普通業務走低質量;同時可以互為備份
6) 支持基于鏈路、應用、流量的可視化分析
1.4 在工業互聯網網絡體系架構中的位置
SD-WAN解決方案適用于圖1中6,7,8場景。基于本解決方案提供的高可靠、低時延的數據傳輸保障,并通過應用級智能選路與智能加速、VAS業務隨需獲取和智能運維,構建極致業務體驗,重塑企業專線全流程的業務體驗。可以減少數據傳輸線路的部署、適用于多種環境以及設備移動的場景。
圖1 工業互聯網互聯示意圖
2 需求分析
由于業務云化,工業制造企業需頻繁與工業云互動,這就需要更高的網絡帶寬,為了保證服務質量,工業制造企業WAN 網絡互聯通常采用運營商MPLS 專線,雖然專線網絡質量有保障,但價格過于昂貴,平均占企業OPEX 達50% 以上,隨著Internet 的普及,其網絡的覆蓋范圍和網絡質量有了很大的提高,Internet 成為許多工業制造企業除了傳統專線之外新的重要選擇,但是Internet 網絡本身并不保障服務質量,此外傳統網絡對業務不感知,無法獲知應用的狀態,當遭遇突發流量鏈路擁塞或質量劣化的時候,往往會造成關鍵業務體驗無法保障;云化趨勢下,工業制造企業業務更新發展迅速,當前網絡難以滿足快速上線要求;傳統專線需要專人到現場對設備進行維護,但隨著企業分支跨地域分布越來越廣泛,數量激增,導致維護難度大、成本高;此外隨著業務不斷增多和業務云化,WAN網絡中分支到分支、公有云、私有云的流向更加復雜,傳統的網絡運維方式已經難以適應業務的發展。
3 解決方案
3.1 方案介紹
SD-WAN解決方案主要包含以下創新點:
1) 全場景互聯
支持MPLS、Internet 等多種類型WAN 鏈路(xDSL, LTE/4G 等)靈活捆綁;提供支持單/ 雙CPE、單雙Hub、SaaS 接入等豐富的組網接入,實現低成本的Internet 鏈路與專線鏈路的混合接入;支持云端部署 vCPE,優化云業務訪問體驗。在保證關鍵業務質量的同時可節省50% 的廣域網帶寬租用成本。
2) 應用體驗優化
支持6000+ 已知應用識別,并可以通過用戶自定義應用,靈活識別行業特殊應用;通過IP FPM 鏈路檢測、SPR智能選路、三級QoS流量調度等技術,實現業務智能感知和應用的智能流量調度,優先保障關鍵應用優質體驗;通過傳輸優化、應用優化等多種廣域優化手段,實現關鍵應用智能加速,提升和業務體驗。
3) VAS 業務隨需
基于X86/ARM 架構的系列化開放uCPE,覆蓋不同規模的分支場景;支持10+ 業界主流VAS (vFW、vWoC 等),業務按需擴展;VNFs 全生命周期管理及業務鏈自動化編排,VAS 業務分鐘級獲取。
4) 智能運維
郵件、U盤等多種開局方式,設備即插即用;業務策略配置、增值服務編排及VPN 動態連接等全業務自動化配置,簡化分支網絡部署;應用與鏈路的可視化管理,自定義報表按需呈現,支持故障預知及快速定位。
3.2 系統架構
本解決方案的總體架構如圖2所示:
圖2 SD-WAN解決方案總體架構
業務呈現層:
1) 面向運營商、MSP、大企業的自研Portal;
2) 提供業務靈活定制化界面。
網絡編排/控制層:
1) 網絡控制平臺(SDN Controller) – 華為Agile Controller,完成網絡業務編排以及網絡業務發放;
2) 北向支持開放API接口,實現業務快速定制和自動發放;
3) 南向支持Netconf/Http2/SNMP等接口,統一管理控制物理和虛擬網絡。
網絡層:
1) 由物理和虛擬設備組成的企業WAN的基礎物理組網, 主要包括uCPE/vCPE,vFW,第三方VAS等;
2) 基于DSVPN隧道提供靈活Overlay組網。
3.3 網絡拓撲設計
SD-WAN Site:企業的辦公場所或者關鍵IT設施部署點,業務上需要彼此通過WAN網絡互聯,實現互訪:
1) 每個站點通常具備一個或者多個出口CPE,不同站點的CPE通過IP Overlay隧道方式進行互聯;
2) 常見的站點類型:企業分支、園區、DC、公有云VPC。
圖3 SD-WAN解決方案拓撲結構
3.4 功能設計
圖4 SD-WAN解決方案全家福
SD-WAN解決方案產品主要包含AC控制器、CPE/uCPE、vCPE、 VAS (vFW、第三方VAS)組成,各部件功能簡介如下:
表1 EC-IoT解決方案組成
部件 | 產品 | 功能說明 |
控制器 | Agile controller-Campus | 1、網絡基礎服務/南北向標準化,開放對接第三方構建生態系統 2、面向商用,構筑高可靠性/高性能/安全性 |
VAS | 包含: 華為自研vFW:USG6000v 第三方軟件,如riverbed的廣域加速等 | 虛擬化網絡功能,獨立軟件 |
CPE | AR系列的傳統CPE,如AR161EW,AR3260 | 傳統AR設備支持向SD-WAN演進 |
uCPE | AR3600系列,AR650系列 | 可安裝VNF的CPE設備 |
vCPE | AR1000V | 1、架構領先:AR1000v支持單VM單vCPU和單VM多vCPU綁定方式 2、性能強勁:單VM多vCPU部署方式,轉發進程和安全進程獨占vCPU,可顯著提升系統的性能 3、兼容性強:可運行于KVM、FusionSphere和Vmware vSphere等多個平臺 |
3.5 安全及可靠性
SD-WAN端到端安全解決方案:
圖5 SD-WAN解決安全解決方案
綜上所述,通過確保集中的管理控制系統(控制器)的安全性、用戶接入設備(CPE)的安全性、用戶業務隔離以及報文數據安全性以及用戶接入SD-WAN網絡的安全性,確保SD-WAN解決方案系統的機密性、完整性、可用性和可追溯性,從而保證整個SD-WAN解決方案業務的安全和正常運轉。
3.6 開放性設計
本解決方案符合SDN的目標,即將管理和控制功能與數據平面網絡分開。這個目標的一個關鍵因素是開放性,以確保整個生態系統的互操作性。
1) 敏捷控制器北向接口通過Restconf接口(RFC6020,draft-ietf-netconf-restconf-03(Yang))與Orchestrator進行通信,并通過傳輸層安全(TLS)傳輸。
2) SDN解決方案支持OpenFlow,OVSDB,SNMP,Netconf,PCEP,IGP,BGP-LS等覆蓋和底層組網的多個南向接口,當與網絡基礎設施接口時,SDN控制器使用YANG模型的接口和參數,可以根據需要非常靈活的創建新策略,修改原始策略。
3) 敏捷控制器實現了全面的Neutron API接口,可以與標準的Openstack和自有的Openstack分布式Fusionsphere集成。在Openstack社區提供ML2驅動,L3代理,FW和VPN插件。這些插件或驅動程序提供網絡,子網,端口,安全組,路由器,EIP,SNAT和IPSEC VPN等的管理。
4 成功案例
SD-WAN解決方案在日本軟銀,瑞士電信等項目中規模部署。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業互聯網產業聯盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯系本聯盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯盟將追究其相關法律責任。
AII微信公眾號
AII頭條號