傳統(tǒng)廣域網(wǎng)向軟件定義廣域網(wǎng)（SD-WAN）架構(gòu)轉(zhuǎn)型淺析

楊帥

隨著企業(yè)網(wǎng)絡(luò)復(fù)雜度的增加及網(wǎng)絡(luò)規(guī)模的發(fā)展，廣域網(wǎng)建設(shè)面對(duì)的問(wèn)題和痛點(diǎn)越來(lái)越多。一是帶寬利用率低，無(wú)法對(duì)流量路徑進(jìn)行可視化的全局調(diào)整，且調(diào)整結(jié)果難以直觀(guān)驗(yàn)證。二是端到端業(yè)務(wù)部署和業(yè)務(wù)變更太慢，配置工作量大，而且需要企業(yè)內(nèi)部多個(gè)部門(mén)及設(shè)備生產(chǎn)廠(chǎng)商的配合。本文通過(guò)分析企業(yè)廣域網(wǎng)管理的具體需求，以某大型金融機(jī)構(gòu)網(wǎng)絡(luò)架構(gòu)為例，提出廣域網(wǎng)向SD-WAN轉(zhuǎn)型的建設(shè)方案。

一、廣域網(wǎng)管理需求分析

IP網(wǎng)絡(luò)路徑調(diào)優(yōu)。金融行業(yè)的省級(jí)機(jī)構(gòu)與各地市州、縣大多通過(guò)MSTP廣域網(wǎng)專(zhuān)線(xiàn)互聯(lián)，由于專(zhuān)線(xiàn)租用成本高昂，專(zhuān)線(xiàn)帶寬往往較低。隨著網(wǎng)絡(luò)流量的增加，專(zhuān)線(xiàn)帶寬將逐漸不能滿(mǎn)足未來(lái)業(yè)務(wù)發(fā)展的需求，在專(zhuān)線(xiàn)帶寬不進(jìn)行擴(kuò)容的情況下，通過(guò)SDWAN技術(shù)提升專(zhuān)線(xiàn)帶寬利用率、優(yōu)化業(yè)務(wù)傳輸路徑。

網(wǎng)絡(luò)資源可視。通過(guò)網(wǎng)絡(luò)拓?fù)淇梢?、業(yè)務(wù)路徑可視、路徑檢測(cè)可視、告警可視、鏈路質(zhì)量可視，提高運(yùn)維效率，簡(jiǎn)化運(yùn)維管理難度，降低運(yùn)維風(fēng)險(xiǎn)，并局部實(shí)現(xiàn)自動(dòng)化運(yùn)維。

QoS自動(dòng)化部署。QoS是一個(gè)端到端的服務(wù)質(zhì)量保障技術(shù)，對(duì)運(yùn)維成員的技術(shù)能力要求頗高。自動(dòng)化、可視化地部署QoS的各種策略，在帶寬有限的情況保障重要業(yè)務(wù)低延時(shí)的優(yōu)先轉(zhuǎn)，是提高運(yùn)維效率的有效手段。

網(wǎng)絡(luò)DDOS安全防攻擊。企業(yè)總部及各分支機(jī)構(gòu)網(wǎng)絡(luò)遭受DDoS攻擊，攻擊流量將可能擠占專(zhuān)線(xiàn)帶寬，進(jìn)而引起網(wǎng)絡(luò)癱瘓和業(yè)務(wù)癱瘓，因此網(wǎng)絡(luò)須具備丟棄攻擊流量和限速攻擊流量的能力。

二、廣域網(wǎng)SD-WAN轉(zhuǎn)型建設(shè)思路

基于SD-WAN的廣域網(wǎng)架構(gòu)是一個(gè)分層、開(kāi)放、靈活的網(wǎng)絡(luò)架構(gòu)，如圖1所示，整個(gè)SD-WAN結(jié)構(gòu)可分為網(wǎng)絡(luò)設(shè)備層、控制器層、用戶(hù)管理層三個(gè)層次。

網(wǎng)絡(luò)設(shè)備層。網(wǎng)絡(luò)設(shè)備控制層采用標(biāo)準(zhǔn)的南向協(xié)議與控制器對(duì)接，接收SDN控制器的控制和管理?？刂破髋c網(wǎng)絡(luò)設(shè)備間的交互協(xié)議應(yīng)支持傳統(tǒng)的NETCONF、SNMP協(xié)議及SDN（軟件定義網(wǎng)絡(luò)）新生的Openflow、BGP-LS等新生技術(shù)協(xié)議，從而與控制器高效交互，提供高性能的數(shù)據(jù)轉(zhuǎn)發(fā)。

控制器層。控制器可考慮基于開(kāi)源的ODL平臺(tái)，支撐豐富的A P P集成，同時(shí)，主流網(wǎng)絡(luò)設(shè)備生產(chǎn)商（H3C、華為）也基于該平臺(tái)封裝自己的控制器，支持力度較好，包括原廠(chǎng)商定制開(kāi)發(fā)及第三方應(yīng)用集成和移植。控制器南向通過(guò)標(biāo)準(zhǔn)南向接口協(xié)議和設(shè)備互通，支持現(xiàn)有網(wǎng)絡(luò)平滑升級(jí)過(guò)渡；北向面向用戶(hù)提供定制化的API接口，實(shí)現(xiàn)與網(wǎng)管、編排、運(yùn)營(yíng)等系統(tǒng)對(duì)接集成，滿(mǎn)足企業(yè)差異化的業(yè)務(wù)需求。

用戶(hù)管理層：通過(guò)調(diào)用控制器提供的標(biāo)準(zhǔn)API接口，實(shí)現(xiàn)應(yīng)用級(jí)別的流量監(jiān)控、流量可視化展示、流量路勁調(diào)整等核心需求，實(shí)現(xiàn)精細(xì)化運(yùn)維、半自動(dòng)化運(yùn)維，提高運(yùn)維效果及效率。

三、建設(shè)案例

（一）廣域網(wǎng)現(xiàn)狀

某省級(jí)金融機(jī)構(gòu)廣域網(wǎng)網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

現(xiàn)網(wǎng)中，營(yíng)業(yè)管理部（市屬支行）直接通過(guò)裸光纖連接到省會(huì)城市分行匯聚路由器，而各地市州中心支行、縣級(jí)支行均通過(guò)租賃運(yùn)營(yíng)商MSTP專(zhuān)線(xiàn)直接以扁平化的方式連接到省會(huì)城市分行匯聚路由器。廣域網(wǎng)全網(wǎng)部署了OSPF動(dòng)態(tài)路由協(xié)議?，F(xiàn)網(wǎng)存在三方面問(wèn)題：一是線(xiàn)路為主備方式，主線(xiàn)路流量壓力大，而備線(xiàn)路幾乎無(wú)流量；二是通過(guò)路由策略進(jìn)行的流量選路，很難手動(dòng)切換流量，路由策略變更風(fēng)險(xiǎn)較高；三是現(xiàn)網(wǎng)設(shè)備配置修改難度較大，在現(xiàn)網(wǎng)設(shè)備上實(shí)施改造風(fēng)險(xiǎn)較高。利用SDWAN技術(shù)，來(lái)實(shí)現(xiàn)應(yīng)用流量在兩條線(xiàn)路上動(dòng)態(tài)按需調(diào)度。

（二）方案概述

由于現(xiàn)網(wǎng)中省會(huì)城市分行匯聚路由器和地市州中心支行上聯(lián)路由器不支持SDN相關(guān)特性，同時(shí)，也為了在實(shí)施和調(diào)試過(guò)程中，不影響現(xiàn)網(wǎng)的正常運(yùn)行，全省各地實(shí)行了分步實(shí)施。具體做法是新增省會(huì)城市分行匯聚路由器以及地市州中心支行、縣級(jí)支行上聯(lián)路由器，作為專(zhuān)門(mén)的SDN網(wǎng)絡(luò)設(shè)備。新增的省會(huì)城市分行SDN匯聚路由器直接上聯(lián)接入核心交換機(jī)，運(yùn)行OSPF動(dòng)態(tài)路由協(xié)議。傳統(tǒng)網(wǎng)絡(luò)與新建的SDN網(wǎng)絡(luò)通過(guò)省級(jí)分行核心交換機(jī)實(shí)現(xiàn)互訪(fǎng)。在安裝調(diào)試過(guò)程中，新增設(shè)備完全獨(dú)立于現(xiàn)網(wǎng)正運(yùn)行設(shè)備，在長(zhǎng)達(dá)數(shù)周的安裝調(diào)試及測(cè)試過(guò)程中，未影響現(xiàn)網(wǎng)正常運(yùn)行和業(yè)務(wù)辦理。在安裝調(diào)試以及測(cè)試完成后，再逐步將各分支行從傳統(tǒng)網(wǎng)絡(luò)切換至SDN網(wǎng)絡(luò)，實(shí)施過(guò)程中的風(fēng)險(xiǎn)可控。割接后，網(wǎng)絡(luò)架構(gòu)如圖3所示，網(wǎng)絡(luò)結(jié)構(gòu)清晰、網(wǎng)絡(luò)層次明了，隨著全省各地逐步的割接完成，下線(xiàn)原省級(jí)分行匯聚路由器，整網(wǎng)直接從傳統(tǒng)網(wǎng)絡(luò)過(guò)渡到SD-WAN架構(gòu)。

由于SDN控制器承載著全網(wǎng)設(shè)備的管理交互，保障要求高，所以控制器由3臺(tái)控制器組成，互為備份，通過(guò)ODL集群機(jī)制進(jìn)行集群同步。集群控制器間工作模式為1主N備，保障了控制平面的可靠。

部署流程如圖4所示。

（三）實(shí)現(xiàn)功能

網(wǎng)絡(luò)可視。一是網(wǎng)絡(luò)拓?fù)淇梢?，?shí)現(xiàn)網(wǎng)絡(luò)拓?fù)涞膶哟位故炯肮芾砭S護(hù)。二是設(shè)備可視，可實(shí)時(shí)監(jiān)控設(shè)備的主機(jī)、板卡等資源管理。三是鏈路可視，設(shè)備接口及鏈路狀態(tài)可見(jiàn)，鏈路歷史質(zhì)量（延時(shí)、抖動(dòng)等）信息可回溯。網(wǎng)絡(luò)可視圖如圖5所示。

應(yīng)用可視。一是應(yīng)用流量可視，實(shí)時(shí)掌握業(yè)務(wù)流量畫(huà)像。二是應(yīng)用路徑可視，并可調(diào)度主備路徑，解決了傳統(tǒng)網(wǎng)絡(luò)端到端應(yīng)用路徑可視不足，運(yùn)維難問(wèn)題。三是應(yīng)用質(zhì)量可視，支持應(yīng)用延時(shí)、抖動(dòng)、丟包可視，構(gòu)建應(yīng)用“知感” 網(wǎng)絡(luò)，支持應(yīng)用質(zhì)量歷史報(bào)表導(dǎo)出，便于故障追溯。應(yīng)用可視展示圖如圖6所示。

業(yè)務(wù)智能調(diào)度?？蓪?shí)現(xiàn)流量的自動(dòng)、半自動(dòng)及手工調(diào)動(dòng)。其中，自動(dòng)調(diào)度策略組合靈活多選，參數(shù)包括帶寬、抖動(dòng)、時(shí)延、丟包率等，滿(mǎn)足不同業(yè)務(wù)自動(dòng)調(diào)度需求，構(gòu)建自愈網(wǎng)絡(luò)；半自動(dòng)調(diào)度增加饋反決策機(jī)制，調(diào)度前需管理員確認(rèn)業(yè)務(wù)流量是否調(diào)度，保障業(yè)務(wù)穩(wěn)定性；手工調(diào)度則可避免網(wǎng)絡(luò)輕微/頻繁震蕩時(shí)，業(yè)務(wù)反復(fù)調(diào)度帶來(lái)穩(wěn)定性問(wèn)題。三種調(diào)度模式按需配置，如圖7所示。

一鍵Qos下發(fā)。多種不同應(yīng)用流量需要差異化保障，如視頻類(lèi)高優(yōu)先級(jí)流量需要進(jìn)行低延時(shí)保障，其他優(yōu)先級(jí)應(yīng)用按正常鏈路帶寬比例進(jìn)行帶寬保障，基于全網(wǎng)視角一鍵部署端到端QoS保障，滿(mǎn)足差異化應(yīng)用保障，配合智能流量調(diào)度功能，實(shí)現(xiàn)全網(wǎng)流量調(diào)度，提升鏈路利用率及應(yīng)用體驗(yàn)。

四、結(jié)束語(yǔ)

本文通過(guò)分析企業(yè)廣域網(wǎng)管理所面臨的痛點(diǎn)及需求，引出傳統(tǒng)廣域網(wǎng)向SD-WAN架構(gòu)轉(zhuǎn)型的思路，并通過(guò)大型金融機(jī)構(gòu)的規(guī)劃建設(shè)實(shí)例，展示了SD-WAN實(shí)現(xiàn)的核心功能，為各行業(yè)廣域網(wǎng)架構(gòu)轉(zhuǎn)型提供了參考。