SD-WAN解決方案
華為技術(shù)有限公司
網(wǎng)絡(luò)改造技術(shù)篇/成熟技術(shù)/工廠外網(wǎng)改造
1 概述
1.1 背景
伴隨著企業(yè)的數(shù)字化轉(zhuǎn)型以及云計(jì)算和SDN/NFV技術(shù)的興起和普及,傳統(tǒng)企業(yè)的WAN網(wǎng)絡(luò)正在經(jīng)歷著深刻的變化。
傳統(tǒng)的企業(yè)WAN網(wǎng)絡(luò)通常租用運(yùn)營商的物理專線或者M(jìn)PLS VPN專線來實(shí)現(xiàn)企業(yè)分支的廣域互聯(lián),保證網(wǎng)絡(luò)的服務(wù)質(zhì)量,因此企業(yè)WAN業(yè)務(wù)開通依賴運(yùn)營商,業(yè)務(wù)開通時(shí)間較長且價(jià)格也比較昂貴,另外傳統(tǒng)企業(yè)采取自建數(shù)據(jù)中心的方式來承載企業(yè)IT關(guān)鍵資產(chǎn),企業(yè)網(wǎng)絡(luò)架構(gòu)是封閉的,開放性不足導(dǎo)致業(yè)務(wù)發(fā)放效率低。
隨著Internet的普及以及云計(jì)算等新技術(shù)的興起,傳統(tǒng)企業(yè)網(wǎng)絡(luò)架構(gòu)正在經(jīng)歷革命性的變化,首先全球范圍內(nèi)internet的快速普及,無論從覆蓋范圍還是到網(wǎng)絡(luò)質(zhì)量,都有了質(zhì)的提高,除了傳統(tǒng)的專線互聯(lián)技術(shù)外,Internet成為傳統(tǒng)企業(yè)的分支互聯(lián)以及全球化推進(jìn)的一個(gè)新的重要選擇;此外,云計(jì)算技術(shù)風(fēng)起云涌,AWS等公有云的崛起和流行,引導(dǎo)企業(yè)DC等基礎(chǔ)設(shè)施云化,從而打破了企業(yè)IT傳統(tǒng)的封閉架構(gòu),引導(dǎo)企業(yè)網(wǎng)絡(luò)架構(gòu)走向開放之路,越來越多的企業(yè)選擇公有云服務(wù);此外,就是企業(yè)的關(guān)鍵應(yīng)用的云化,企業(yè)的重要應(yīng)用也逐漸被應(yīng)用提供商改以SaaS云化方式提供,企業(yè)連接SaaS云業(yè)務(wù)逐年增長。
1.2 實(shí)施目標(biāo)
本解決方案的實(shí)施目標(biāo):
1) 零配置開局,設(shè)備即插即用;
2) 快速的發(fā)放連接業(yè)務(wù),實(shí)現(xiàn)分支CPE即插即用以及園區(qū)/分支和云的按需快速互連;
3) 借助低價(jià)值的Internet鏈路進(jìn)行更廣泛的互聯(lián)并且保證關(guān)鍵應(yīng)用的體驗(yàn)不受影響;
4) 能夠以云的方式提供管理手段,讓企業(yè)用戶更加方便快捷的自助定義新業(yè)務(wù)和進(jìn)行網(wǎng)絡(luò)管理。
1.3 適用范圍
SD-WAN解決方案幫助制造企業(yè)實(shí)現(xiàn)未來較長一段時(shí)期的SD-WAN業(yè)務(wù)運(yùn)營需求,主要包含如下場景的網(wǎng)絡(luò)訪問服務(wù):
1) 零配置開局,設(shè)備即插即用
2) Site to Site訪問:為企業(yè)客戶提供企業(yè)分支之間的互訪服務(wù)。
3) Site to Internet訪問:為企業(yè)客戶提供企業(yè)分支內(nèi)到Internet的訪問服務(wù)(含安全策略管理)。
4) Site to Legacy Network:為企業(yè)客戶提供企業(yè)分支到傳統(tǒng)網(wǎng)絡(luò)(非SD-WAN網(wǎng)絡(luò))的訪問服務(wù)。
5) 基于應(yīng)用/應(yīng)用質(zhì)量的智能選路:如關(guān)鍵業(yè)務(wù)走高質(zhì)量專線、普通業(yè)務(wù)走低質(zhì)量;同時(shí)可以互為備份
6) 支持基于鏈路、應(yīng)用、流量的可視化分析
1.4 在工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系架構(gòu)中的位置
SD-WAN解決方案適用于圖1中6,7,8場景。基于本解決方案提供的高可靠、低時(shí)延的數(shù)據(jù)傳輸保障,并通過應(yīng)用級(jí)智能選路與智能加速、VAS業(yè)務(wù)隨需獲取和智能運(yùn)維,構(gòu)建極致業(yè)務(wù)體驗(yàn),重塑企業(yè)專線全流程的業(yè)務(wù)體驗(yàn)。可以減少數(shù)據(jù)傳輸線路的部署、適用于多種環(huán)境以及設(shè)備移動(dòng)的場景。
圖1 工業(yè)互聯(lián)網(wǎng)互聯(lián)示意圖
2 需求分析
由于業(yè)務(wù)云化,工業(yè)制造企業(yè)需頻繁與工業(yè)云互動(dòng),這就需要更高的網(wǎng)絡(luò)帶寬,為了保證服務(wù)質(zhì)量,工業(yè)制造企業(yè)WAN 網(wǎng)絡(luò)互聯(lián)通常采用運(yùn)營商MPLS 專線,雖然專線網(wǎng)絡(luò)質(zhì)量有保障,但價(jià)格過于昂貴,平均占企業(yè)OPEX 達(dá)50% 以上,隨著Internet 的普及,其網(wǎng)絡(luò)的覆蓋范圍和網(wǎng)絡(luò)質(zhì)量有了很大的提高,Internet 成為許多工業(yè)制造企業(yè)除了傳統(tǒng)專線之外新的重要選擇,但是Internet 網(wǎng)絡(luò)本身并不保障服務(wù)質(zhì)量,此外傳統(tǒng)網(wǎng)絡(luò)對業(yè)務(wù)不感知,無法獲知應(yīng)用的狀態(tài),當(dāng)遭遇突發(fā)流量鏈路擁塞或質(zhì)量劣化的時(shí)候,往往會(huì)造成關(guān)鍵業(yè)務(wù)體驗(yàn)無法保障;云化趨勢下,工業(yè)制造企業(yè)業(yè)務(wù)更新發(fā)展迅速,當(dāng)前網(wǎng)絡(luò)難以滿足快速上線要求;傳統(tǒng)專線需要專人到現(xiàn)場對設(shè)備進(jìn)行維護(hù),但隨著企業(yè)分支跨地域分布越來越廣泛,數(shù)量激增,導(dǎo)致維護(hù)難度大、成本高;此外隨著業(yè)務(wù)不斷增多和業(yè)務(wù)云化,WAN網(wǎng)絡(luò)中分支到分支、公有云、私有云的流向更加復(fù)雜,傳統(tǒng)的網(wǎng)絡(luò)運(yùn)維方式已經(jīng)難以適應(yīng)業(yè)務(wù)的發(fā)展。
3 解決方案
3.1 方案介紹
SD-WAN解決方案主要包含以下創(chuàng)新點(diǎn):
1) 全場景互聯(lián)
支持MPLS、Internet 等多種類型WAN 鏈路(xDSL, LTE/4G 等)靈活捆綁;提供支持單/ 雙CPE、單雙Hub、SaaS 接入等豐富的組網(wǎng)接入,實(shí)現(xiàn)低成本的Internet 鏈路與專線鏈路的混合接入;支持云端部署 vCPE,優(yōu)化云業(yè)務(wù)訪問體驗(yàn)。在保證關(guān)鍵業(yè)務(wù)質(zhì)量的同時(shí)可節(jié)省50% 的廣域網(wǎng)帶寬租用成本。
2) 應(yīng)用體驗(yàn)優(yōu)化
支持6000+ 已知應(yīng)用識(shí)別,并可以通過用戶自定義應(yīng)用,靈活識(shí)別行業(yè)特殊應(yīng)用;通過IP FPM 鏈路檢測、SPR智能選路、三級(jí)QoS流量調(diào)度等技術(shù),實(shí)現(xiàn)業(yè)務(wù)智能感知和應(yīng)用的智能流量調(diào)度,優(yōu)先保障關(guān)鍵應(yīng)用優(yōu)質(zhì)體驗(yàn);通過傳輸優(yōu)化、應(yīng)用優(yōu)化等多種廣域優(yōu)化手段,實(shí)現(xiàn)關(guān)鍵應(yīng)用智能加速,提升和業(yè)務(wù)體驗(yàn)。
3) VAS 業(yè)務(wù)隨需
基于X86/ARM 架構(gòu)的系列化開放uCPE,覆蓋不同規(guī)模的分支場景;支持10+ 業(yè)界主流VAS (vFW、vWoC 等),業(yè)務(wù)按需擴(kuò)展;VNFs 全生命周期管理及業(yè)務(wù)鏈自動(dòng)化編排,VAS 業(yè)務(wù)分鐘級(jí)獲取。
4) 智能運(yùn)維
郵件、U盤等多種開局方式,設(shè)備即插即用;業(yè)務(wù)策略配置、增值服務(wù)編排及VPN 動(dòng)態(tài)連接等全業(yè)務(wù)自動(dòng)化配置,簡化分支網(wǎng)絡(luò)部署;應(yīng)用與鏈路的可視化管理,自定義報(bào)表按需呈現(xiàn),支持故障預(yù)知及快速定位。
3.2 系統(tǒng)架構(gòu)
本解決方案的總體架構(gòu)如圖2所示:
圖2 SD-WAN解決方案總體架構(gòu)
業(yè)務(wù)呈現(xiàn)層:
1) 面向運(yùn)營商、MSP、大企業(yè)的自研Portal;
2) 提供業(yè)務(wù)靈活定制化界面。
網(wǎng)絡(luò)編排/控制層:
1) 網(wǎng)絡(luò)控制平臺(tái)(SDN Controller) – 華為Agile Controller,完成網(wǎng)絡(luò)業(yè)務(wù)編排以及網(wǎng)絡(luò)業(yè)務(wù)發(fā)放;
2) 北向支持開放API接口,實(shí)現(xiàn)業(yè)務(wù)快速定制和自動(dòng)發(fā)放;
3) 南向支持Netconf/Http2/SNMP等接口,統(tǒng)一管理控制物理和虛擬網(wǎng)絡(luò)。
網(wǎng)絡(luò)層:
1) 由物理和虛擬設(shè)備組成的企業(yè)WAN的基礎(chǔ)物理組網(wǎng), 主要包括uCPE/vCPE,vFW,第三方VAS等;
2) 基于DSVPN隧道提供靈活Overlay組網(wǎng)。
3.3 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)
SD-WAN Site:企業(yè)的辦公場所或者關(guān)鍵IT設(shè)施部署點(diǎn),業(yè)務(wù)上需要彼此通過WAN網(wǎng)絡(luò)互聯(lián),實(shí)現(xiàn)互訪:
1) 每個(gè)站點(diǎn)通常具備一個(gè)或者多個(gè)出口CPE,不同站點(diǎn)的CPE通過IP Overlay隧道方式進(jìn)行互聯(lián);
2) 常見的站點(diǎn)類型:企業(yè)分支、園區(qū)、DC、公有云VPC。
圖3 SD-WAN解決方案拓?fù)浣Y(jié)構(gòu)
3.4 功能設(shè)計(jì)
圖4 SD-WAN解決方案全家福
SD-WAN解決方案產(chǎn)品主要包含AC控制器、CPE/uCPE、vCPE、 VAS (vFW、第三方VAS)組成,各部件功能簡介如下:
表1 EC-IoT解決方案組成
部件 | 產(chǎn)品 | 功能說明 |
控制器 | Agile controller-Campus | 1、網(wǎng)絡(luò)基礎(chǔ)服務(wù)/南北向標(biāo)準(zhǔn)化,開放對接第三方構(gòu)建生態(tài)系統(tǒng) 2、面向商用,構(gòu)筑高可靠性/高性能/安全性 |
VAS | 包含: 華為自研vFW:USG6000v 第三方軟件,如riverbed的廣域加速等 | 虛擬化網(wǎng)絡(luò)功能,獨(dú)立軟件 |
CPE | AR系列的傳統(tǒng)CPE,如AR161EW,AR3260 | 傳統(tǒng)AR設(shè)備支持向SD-WAN演進(jìn) |
uCPE | AR3600系列,AR650系列 | 可安裝VNF的CPE設(shè)備 |
vCPE | AR1000V | 1、架構(gòu)領(lǐng)先:AR1000v支持單VM單vCPU和單VM多vCPU綁定方式 2、性能強(qiáng)勁:單VM多vCPU部署方式,轉(zhuǎn)發(fā)進(jìn)程和安全進(jìn)程獨(dú)占vCPU,可顯著提升系統(tǒng)的性能 3、兼容性強(qiáng):可運(yùn)行于KVM、FusionSphere和Vmware vSphere等多個(gè)平臺(tái) |
3.5 安全及可靠性
SD-WAN端到端安全解決方案:
圖5 SD-WAN解決安全解決方案
綜上所述,通過確保集中的管理控制系統(tǒng)(控制器)的安全性、用戶接入設(shè)備(CPE)的安全性、用戶業(yè)務(wù)隔離以及報(bào)文數(shù)據(jù)安全性以及用戶接入SD-WAN網(wǎng)絡(luò)的安全性,確保SD-WAN解決方案系統(tǒng)的機(jī)密性、完整性、可用性和可追溯性,從而保證整個(gè)SD-WAN解決方案業(yè)務(wù)的安全和正常運(yùn)轉(zhuǎn)。
3.6 開放性設(shè)計(jì)
本解決方案符合SDN的目標(biāo),即將管理和控制功能與數(shù)據(jù)平面網(wǎng)絡(luò)分開。這個(gè)目標(biāo)的一個(gè)關(guān)鍵因素是開放性,以確保整個(gè)生態(tài)系統(tǒng)的互操作性。
1) 敏捷控制器北向接口通過Restconf接口(RFC6020,draft-ietf-netconf-restconf-03(Yang))與Orchestrator進(jìn)行通信,并通過傳輸層安全(TLS)傳輸。
2) SDN解決方案支持OpenFlow,OVSDB,SNMP,Netconf,PCEP,IGP,BGP-LS等覆蓋和底層組網(wǎng)的多個(gè)南向接口,當(dāng)與網(wǎng)絡(luò)基礎(chǔ)設(shè)施接口時(shí),SDN控制器使用YANG模型的接口和參數(shù),可以根據(jù)需要非常靈活的創(chuàng)建新策略,修改原始策略。
3) 敏捷控制器實(shí)現(xiàn)了全面的Neutron API接口,可以與標(biāo)準(zhǔn)的Openstack和自有的Openstack分布式Fusionsphere集成。在Openstack社區(qū)提供ML2驅(qū)動(dòng),L3代理,F(xiàn)W和VPN插件。這些插件或驅(qū)動(dòng)程序提供網(wǎng)絡(luò),子網(wǎng),端口,安全組,路由器,EIP,SNAT和IPSEC VPN等的管理。
4 成功案例
SD-WAN解決方案在日本軟銀,瑞士電信等項(xiàng)目中規(guī)模部署。