传统广域网
在深入研究SD-WAN之前,先来回顾一下过去网络通信是如何处理以及为什么采用这种方式处理的。
截止到目前,处理公司网络流量的主要方法是分支机构通过租用线路与公司数据中心或总公司联系,通常使用MPLS。这种方式约占公司网络流量的80%,其中WAN路由器是基于硬件的、专有的、昂贵且相对不灵活。
公司之所以使用这种模型,是因为它允许对路由器进行严格控制,并能够提供安全、可靠的服务质量。但是就跨国公司而言,各个国家通常都需要遵循各自的法规,因此必须经过非常复杂的安排才能建立真正的全球网络。
这就暴露出了广域网的局限性:即,WAN路由器的集中管理非常困难。在许多情况下,路由器需要通过设备后面的端口进行物理访问,并且需要使用专有的命令语言。
虽然这种情况已经在改善了,但目前仍有很多传统设备在使用。大多数WAN路由器在TCP层分离流量,因此无法将业务关键流量与不太紧急的流量分开,而且许多应用程序和进程都需要无抖动的网络连接。例如,VoIP语音应用。
另一个巨大的因素是成本,促使人们寻找摆脱传统WAN拓扑的方式。在传统的WAN部署中,每个网段都需要专用的物理硬件,这通常非常昂贵。即使很小的扩容、升级或重新配置也可能带来巨额的费用。MPLS和宽带之间的成本差异是巨大的。思科曾发布一个公开的案例研究,声称用SD-WAN替代MPLS可以节省70%的网络成本。
SD-WAN
随着软硬件的发展,现在已经可以用软件实现传统WAN硬件设备的功能,基于软件的设备能够实时分析流量并做出明智的决策。还可以使用宽带和通用x86硬件或虚拟机(VM)创建大规模的overlay网络,这些网络可以复制传统广域网的所有功能,而成本只是传统广域网的一小部分。
SD-WAN可以创建成熟的专用网络,增加了动态共享网络带宽的能力,还可以实现中央控制、零接触配置、集成分析和按需电路配置,从而实现基于策略的集中式安全和管理。除此之外,SD-WAN还可以以较低的成本增加带宽。这种配置可实现最佳的速度,并具有限制低优先级应用程序的能力。
SD-WAN允许通过中央管理控制台对分支网络进行集中管理,从而无需对WAN路由器进行物理访问,也无需现场IT人员进行手动配置。它还提供了对网络的更多可见性,并为IT人员和中层管理人员提供了通用的网络视图。由于网络同时使用私有和公共传输介质来路由流量,因此这也为传输介质类型和传输供应商选择提供了更多选择。
MPLS的操作类似于交换机和路由器,位于第2层和第3层之间,并使用包转发技术和标签来制定数据转发策略。SD-WAN基于应用层路由流量,从而确保了用户体验。此外,SD-WAN技术可以根据需要监视和重新路由流量,以满足服务水平协议(SLA)。
SD-WAN的优势可以概括为三类:灵活性、可管理性和低成本:
- 灵活性:SD-WAN可以在可用的传输之间进行选择,在给定的时间为给定的应用程序选择最合适的传输,并且增加了在使用高峰期间将应用程序重新路由到不同传输的功能。它还可以设置策略,按需选择更昂贵或者更便宜的传输。最关键的一点是,控制带宽分配的是SD-WAN,而不是运营商。此外,由于SD-WAN组件是基于软件的,因此部署比较灵活,周期时间短。
- 可管理性:SD-WAN的中央管理控制台允许在需要时即时进行全局更改,例如在出现新的安全威胁或控制成本的情况下。SD-WAN还通过使用多个传输/网络运营商来增强网络连接,如果其中一个发生故障,则可以使用另一个,并且这种故障转移可以在几秒钟内完成。此外,SD-WAN还可以通过对所有流量或流量类别进行加密来帮助提高安全性。
- 低成本:SD-WAN技术可以通过以下几种方式帮助降低WAN连接的总体成本:通过删除或更换昂贵的租用线路(MPLS),允许集中管理和减少对IT人员的需求以及提供商用硬件部署能力。不过SD-WAN也有一些潜在的缺点。与MPLS相比,使用宽带服务的最大缺点是宽带更加不可预测,并且SLA无法保障。相比较而言,MPLS延迟更低和丢包少。很多公司都会选择使用MPLS来处理关键业务流量,而其他情况选择使用较便宜的宽带和4G/5G。
SD-WAN架构
2019年8月,MEF发布了MEF 70,推出了SD-WAN的第一个标准化定义。MEF列出的组件包括SD-WAN Edge、SD-WAN控制器、服务编排器,SD-WAN网关和用户接口等。
(1) SD-WAN Edge可以是在数据中心、总部、物联网、公/私有云或其他需要网络接入的地方提供SD-WAN功能的物理设备或虚拟机(VM)。它们可以替代或补充现有的物理WAN路由器。
SD-WAN Edge设备通常比较便宜,因为它们往往是VM或运行在通用x86服务器上。而许多传统的WAN路由器都是专用的、基于ASIC芯片的专有硬件,并且不可扩展,难以更新。x86芯片能够提供与ASIC芯片差不多的速度处理网络流量,其灵活性和可扩展性一定程度上弥补了性能上的损失。SD-WAN设备更容易在远程位置部署和设置,因为它们是中央管理的,不依赖于本地IT人才。
SD-WAN Edge设备可以提供其他虚拟网络功能(VNF)服务,例如负载平衡,并且由于它们是软件而不是基于硬件的,因此无需升级SD-WAN Edge设备即可实现额外的VNF。
(2) SD-WAN控制器为SD-WAN实现提供集中管理。通过中央控制台或用户接口可以查看整个公司网络。SD-WAN控制器可以在内部部署,也可以在云中实现。由于它仅将网络overlay和策略推送到SD-WAN Edge设备,因此它实际上不会进行数据包检查,它的网络使用量是最小的。通过控制台,IT人员可以设置策略,然后编排器将执行这些策略。
SD-WAN控制器将生成相关报告,通过这些报告,IT人员可以对组织的网络活动做出全面的决策。报告常常是SD-WAN中被忽视的一个方面,因为过去WAN实现往往不能提供SD-WAN控制器所能提供的详细信息。
(3) SD-WAN编排器是虚拟化的网络管理器,可以监控流量并应用策略和协议。SD-WAN编排器通常还包括SD-WAN控制器功能,用于设置集中式策略,然后使用这些策略为应用程序流做出转发决策。应用程序流是分类以确定其用户应用程序或与之关联的应用程序分组的IP数据包。基于通用类型(例如,会议应用程序)的应用程序流分组在MEF-70中称为AFG(Application Group Flows)。
由于SD-WAN仍处于起步阶段,因此许多术语及其边界仍在制定中。SD-WAN网关就是其中一种比较模糊的术语。在有些情况下可能会在数据中心或主办公室中使用SD-WAN网关来优化流量并提供额外的安全性,而某些方式可能会将所有网络流量都路由到中心站点,流量需要经过很长的距离才被路由回其原始位置。为了缓解这个问题,现在有了用于公共云和数据中心的SD-WAN网关。
基本上,SD-WAN网关为来自终端的应用程序提供了最优的数据流,以便在云和云之间提供网络服务。分布式网关网络可提供可扩展性、冗余性和按需灵活性。
策略
SD-WAN是一种策略驱动的结构,其中IP数据包被划分为AGF。AGF可以基于OSI的第2层到第7层分类。此外,AGF可以基于远程SD-WAN Edge上目标SD-WAN UNI的路由的可用性来阻止或允许转发IP数据包。
MEF针对SD-WAN提出了一套基本策略,包括加密、公有/私有、Internet Breakout、计费方法和主备份。公有/私有用于指定AGF可以使用公共或私有传输媒介。Internet Breakout指定是否应将AGF转发到Internet目的地。计费方法指定AGF是根据使用情况还是基于固定的计费模式。带宽设置AGF的速率限制。由于MEF的标准尚未普及,目前并非所有提供商都使用这些术语,但随着技术的成熟,未来通用的术语和定义肯定会进一步普及。
SD-WAN架构
SD-WAN有许多不同的架构,下面对目前正在使用的几种不同架构做一个介绍。
- 本地SD-WAN架构:这是最简单的实现方法。这种架构下,公司的每个位置都有一个SD-WAN Edge设备。通常这种架构不需要SD-WAN网关,并且位置可以通过点对点或网状拓扑相互连接。SD-WAN组件可以位于一个位置,也可以分布在整个组织中。这种架构最适合使用内部SaaS而非云来托管应用程序的公司,能够降低成本,且易于维护。
- 云SD-WAN架构:云SD-WAN架构允许SD-WAN Edge设备连接到基于云的SD-WAN网关。SD-WAN提供实时流量调整、多电路负载平衡、故障转移以及对云应用程序的访问。云网关可由各种云提供商应用程序托管,包括Office 365,Salesforce和Dropbox。企业可以通过让关键的基于云的内部实时应用在小型MPLS管道上运行,让其他应用在公共互联网上运行来降低成本。
- 云骨干架构使SD-WAN Edge设备连接到最近的网络POP点,这时流量将跳到MPLS上,并且还将拥有专线的SLA质量。大多数MPLS管道直接连接到主要的云提供商,这提高了这些应用程序的性能和可靠性。对于那些想要拥有完整SD-WAN架构但仍然担心宽带服务质量的公司来说,这种部署方法是可以使用的。该架构将非关键应用offload到低成本宽带网络中,从而为关键业务应用分配了更多带宽,进而提高了所有应用程序的性能。
如何选择SD-WAN
我们在选择SD-WAN时通常需要考虑以下特征:
- 路径选择——路径选择应该是动态的,并且要基于传输介质和应用。SD-WAN应该能够自动区分用户正在运行的数千种不同的应用程序。
- 安全性-安全是SD-WAN的关键。SD-WAN安全应包括外围防火墙、数据传输加密等等。许多SD-WAN解决方案都支持第三方安全和虚拟专用网。
- 传输介质-需要确保SD-WAN解决方案不仅支持您当前正在使用的传输介质,而且还支持您将来可能使用的传输介质。
- 报告-在考虑使用SD-WAN解决方案时,报告是一个经常被忽视的因素。我们需要确保能够拥有所需的报告功能。
还有一些其他的因素需要考虑。首先,需要确定企业是自己部署SD-WAN,还是使用其他提供商的服务,许多SD-WAN提供商都提供了完全管理的SD-WAN部署场景。其次要确保对组织进行了全面的评估,针对企业的需求确定合适的架构。最后,SD-WAN还应该提供高可用性和弹性。
