摘要
本文详细介绍了 SD-WAN 的发展背景及其所解决的问题,在此基础上进一步对 SD-WAN 的一般架构进行分解论述,包括其逻辑架构、功能模块等,并且对相关术语进行了说明;其次对 SD-WAN 所涉及的主要协议进行分类介绍,并解释了系统的一般初始化流程;最后对 SD-WAN 的商业模式进行了说明,如运营商/MSP转售模式、企业自建模式等。
背景
传统企业使用 WAN 将全球范围内的分支机构连接起来并开展各项业务,极大地促进了经济的全球化发展,但各分支间的通信质量却逐渐无法得到保证。运营商专线的出现有效缓解了这个问题,其提供的专线基本分为两大类:第一类是基于 TDM 技术的 SDH、MSTP 以及基于 WDM(Wavelength Division Multiplexing,波分复用)技术的 OTN 等专线,这些专线是传统的点到点的物理专线,具有很强的安全性;第二类是基于分组交换技术的 MPLS VPN(Multi-Protocol Label Switching,多协议标签交换)专线,也可以称为组网型专线,即一点接入、全网任意点均可达。 MPLS 与第一类专线相比,在组网便利性和成本方面具备一定的优势,且能够提供较好的带宽、可靠性保障及安全隔离等服务,因而在当前的企业 WAN 互联市场有着广泛的应用。随着企业数字化转型逐步深化,云计算、网络虚拟化和网络服务化等一系列外部的商业和技术因素不断涌现,对传统企业 WAN 的业务模型和网络架构产生了深远的影响,且企业的扩张也面临一系列新的问题和挑战,如专线搭建复杂且成本高昂、大型企业难以实现各分部高效互联、分支网络配置运维复杂等。
为了上述这些问题,SD-WAN(Software-Defined Wide Area Network,软件定义广域网)应运而生,它与 SDN WAN 有着类似的理念,但在具体细节上存在很大区别:
从应用场景来看,SD-WAN 解决的是企业分支互联问题,侧重于企业站点之间多条WAN链路间的选路和调优。而 SDN WAN 解决的是运营商IP骨干网(或城域网)的流量调优和链路利用率提升问题,侧重于骨干路由器之间的选路和调优。
从具体实现来看,SD-WAN 主要采用 IP 隧道技术,基于运营商网络构建 Overlay 网络,控制平面一般采用 BGP(Border Gateway Protocol,边界网关协议)等协议,转发平面常见的有 GRE(Generic Routing Encapsulation,通用路由封装)、VXLAN 等IP隧道;为了保障在因特网等公共网络上传输的安全性,还需要具备 IPSec(Internet Protocol Security,IP安全协议)加密能力;智能选路的策略发生在某对站点之间;涉及的网络产品主要为部署在企业分支站点出口的中低端路由器。而 SDN WAN 通常采用 MPLS TE(MPLS Traffic Engineering,MPLS流量工程)或者 SRv6 技术,由网络控制器通过 BGP-LS(Border Gateway Protocol-Link State,BGP链路状态)协议采集全网拓扑和链路信息,集中计算全网最优路径,并通过 PCEP(Path Computation Element Communication Protocol,路径计算单元通信协议)等协议分发路径策略分发给网络设备;涉及的网络产品主要为部署在运营商骨干网的高端路由器。
SD-WAN 至少应该具有以下特性:
- 支持混合 WAN 链路:支持 MPLS,frame relay,LTE,Public Internet 等线路的混合接入以灵活构建 Overlay 网络。
- 设备即插即用:无需专业技能即可快速接入 SD-WAN 网络。
- 智能应用选路:能够在多种连接之间动态选择链路,以达到负载均衡或者资源弹性。
- 连接安全可靠:应用数据传输必须建立在安全保障的基础上。
- 支持VPN,防火墙,网关,WAN优化器等服务。
- 北向开放API,实现SD-WAN对外可编程。
- ……
术语表
| 缩写/名称 | 全称 | 解释 |
|---|---|---|
| Underlay 网络 | — | 下层网络设备所组成的物理网络 |
| Overlay 网络 | — | 上层 SD-WAN 所基于物理网络构建的虚拟网络 |
| NFV | Network Functions Virtualization | 网络功能虚拟化。借助虚拟机或者容器技术,将传统网络设备软件化从而实现网络功能的虚拟化,使网络功能和网络设备分离 |
| CPE | — | 企业站点 |
| uCPE | universal CPE | 通用CPE |
| vCPE | virtual CPE | 虚拟CPE |
| VAS | Value-Added Service | VAS主要是指防火墙、广域优化等网络增值功能,它在管理维度上是独立的网元 |
| GW | Gateway | 网关 |
| IWG | Inter-Working Gateway | 用于 SD-WAN 与传统站点对接 |
| 云GW | — | 用于 SD-WAN 与云站点对接 |
| POP GW | Point of Presence Gateway | 因特网接入点网关,用于彼此互联组建POP网络 |
| RR | Route Reflector | 路由反射器 |
SD-WAN 架构解析
系统架构
SD-WAN 的逻辑架构如图所示,主要包括网络层、管理控制层以及业务呈现层,每层具备明确的功能边界,所承担的功能不同,其中又包括若干核心组件。
网络层
从业务角度来说,企业的分支、总部和数据中心以及在云上部署的IT基础设施等都可以统称为企业的站点,不同站点的网络设备以及 WAN 一起构成了SD-WAN的网络层。从网络功能来说,企业 SD-WAN 可以分为物理网络和虚拟网络两层,且物理网络和虚拟网络彼此解耦,具体如图所示。
- 物理网络
物理网络即 Underlay 网络,如前所述,一般是指路由器等网络设备通过广域物理线路互联组成的广域网络。物理网络常见类型有 MSTP 专线、MPLS VPN 以及因特网等,一般由运营商创建和维护,部分大企业也可能会自己建设专用网络 - 虚拟网络
虚拟网络即Overlay网络,通过引入IP以及软件技术,在同一张物理网络上构建出一张或者多张逻辑网络,不同的逻辑网络共享物理设备和线路,彼此在逻辑上隔离。用户的业务策略部署在虚拟网络上,由于下层的物理网络对上层的虚拟网络是透明的,从而实现了上层业务与下层复杂的物理组网和互联技术解耦。
按网络设备的功能定位划分,SD-WAN 网络层主要由 Edge 和 GW 两种类型的网元构成,同时根据业务需要,按需部署 VAS(Value-Added Service,增值业务)网络增值设备。
- SD-WAN Edge
Edge 是企业各种 SD-WAN 站点的出口 CPE。每个站点(含云站点)至少部署一台 Edge 用于企业站点互联,每台Edge支持连接一条或多条 WAN 链路,实现单条或者多条运营商传统专线、MPLS 专线以及因特网等链路的灵活组合。Edge 本质上是 SD-WAN 的边界点,Edge 之间通过 Overlay 隧道技术互联,且为了确保业务的安全性,Overlay 隧道往往与某种数据加密技术(如 IPSec 等)结合使用。为了提升企业不同应用在 WAN 的传输质量和体验,Edge 往往还需要具备应用识别和选路、QoS、广域加速以及安全等功能。
企业分支站点 Edge 一般可以采用传统硬件 CPE 或者 uCPE,私有云或公有云上站点的 Edge 可以采用 vCPE,所有的 Edge 被 SD-WAN 网络控制器统一纳管,Edge在管理维度上归属于企业租户,并由租户管理员创建、管理和维护。 - SD-WAN GW
GW 一般是指同时具备连接 SD-WAN Overlay 网络能力以及其他网络能力的网关设备,比如用于使新建的 SD-WAN 站点和企业的传统 WAN 站点或者第三方业务站点进行互通。GW 在不同的业务场景有不同的角色名称,比如与传统站点连接的 GW 可以被称为 IWG ;与公有云网络对接的 GW 可以被称为云 GW;GW 彼此互联组建 POP 网络被称为 POP GW。GW 本质上可以被看作一种特殊的 Edge,也可以被 SD-WAN 网络控制器统一纳管,且在设备形态、部署方式以及软件特性方面与 Edge 几乎完全一样。不同之处在于,GW 可以被多个企业和租户共享和复用,属于运营商/MSP提供的多租户运营型设备,因而由运营商/MSP的网络管理员来负责创建、管理和维护。
上述 Edge 和 GW 提供了基础的 SD-WAN 网络互联功能,实现了企业站点和应用的 WAN 互联互通,此外,根据客户业务需求 SD-WAN 还可以按需部署 VAS。VAS 主要是指防火墙、广域优化等网络增值功能,它在管理维度上是独立的网元,其部署通常包括在 uCPE 内部部署的 VNF 网元或者旁挂在 Edge/GW 上用于控制安全互访的物理防火墙等。
管理控制层
网络控制器是网络管理控制层的核心产品,是整个 SD-WAN 架构的“智慧大脑”,广义的 SD-WAN 网络控制器一般具有网络编排、控制和管理三大功能,其逻辑架构如下图所示。
- 网络编排
网络控制器的编排组件负责 SD-WAN 面向业务的网络模型抽象、编排和配置自动化发放,具体可以分为两大类:一类是企业 WAN 组网相关的业务编排,比如 SD-WAN 站点创建、WAN 链路创建、VPN 创建以及VPN 拓扑定义等;另一类是各种网络策略相关的业务编排,比如应用识别、应用选路、QoS以及广域优化策略等。网络编排组件通过RESTful API对外开放北向编程能力,编排后的网络配置南向通过 NETCONF 下发到网络层设备。 - 网络控制
网络控制器的控制组件负责对 SD-WAN 网络层进行集中控制,根据用户意图实现企业 WAN 的按需互联互通,具体功能包括但不限于:SD-WAN 租户 VPN 路由的分发和过滤;VPN 拓扑的创建和修改;驱动站点 Edge/GW 间 Overlay 隧道的创建和维护等。网络控制组件的实际部署形态可以是多样化的,可以由独立的网络控制器(即通常说的狭义的 SD-WAN 网络控制器)实现;也可以将传统网络的角色进行进一步的功能增强后,由传统的网络角色来实现,比如由 BGP 的 RR 来实现。 - 网络管理
网络控制器的管理组件实现了企业WAN的网络管理与运维功能,包括但不限于:SD-WAN网元的告警等故障信息采集;基于链路、应用、网络的性能数据采集、统计和分析,并对最终客户进行网络拓扑、故障、性能等运维信息的多维度统计和呈现。管理组件对设备的管理接口协议一般采用 NETCONF 和 Telemetry ,前者负责网络设备告警、日志和事件等运维信息的采集,后者负责网络设备性能信息的采集。
业务呈现层
SD-WAN 的业务呈现层向下对接 SD-WAN 网络控制器,对外通过业务 Portal 界面实现 SD-WAN 的业务呈现和发放。业务呈现层一般有两种实现方式。一种是 SD-WAN 解决方案提供商提供自研 Portal 界面,该 Portal 界面中包含了解决方案提供商定义的完整的端到端业务配置和发放流程,可供企业客户直接部署和使用,同时自研 Portal 也是解决方案提供商对外进行 SD-WAN 解决方案展示的一种必要的手段。另一种是 SD-WAN 网络控制器可以通过北向开放API的方式,被运营商或者企业客户自己的 BSS/OSS 等第三方业务编排系统集成,并由第三方根据自己的业务功能和展示风格需要,进行界面和业务发放流程的定制开发。
主要接口与协议
SD-WAN 所涉及的接口和协议可以被认为归属于3类不同的系统通道,即管理通道、控制通道和数据通道,如下图所示。
- 管理通道:管理通道主要是指网络控制器与网络层Edge和GW等网络设备之间用于网络配置和运维的通道。(VPN 、NETCONF、SSH、Telemetry、HTTPS、TLS)
- 控制通道:在管理通道建立之后,网络层设备之间需要进行组网和路由的编排。(MP-BGP EVPN、BGP RR)
- 数据通道:管理通道和控制通道建立之后,Edge和GW等网络设备之间需要建立数据通道,用于企业不同站点和GW之间的数据传输。(IPSec、Overlay)
初始化流程
SD-WAN 的系统初始化流程如下图所示。
- 网络管理员通过网络控制器的Portal界面定义业务,调用RESTful接口通知网络控制器的编排组件进行网络业务的编排,包括站点、网络拓扑、VPN划分以及各种业务策略(如选路、QoS、安全等)。
- 区域控制器上线,向网络控制器注册。网络控制器为区域控制器分配全局唯一的管理IP,网络控制器通过该管理IP对区域控制器进行标识和管理。
- 网络设备上线,向网络控制器注册。网络控制器为网络设备分配管理IP,该管理IP用于网络设备的标识和管理,同时网络控制器根据获取的网络设备信息(如地理位置、WAN侧接口、IP地址等)为网络设备分配区域控制器。
- 网络设备向区域控制器(部署网络控制组件功能的设备,如BGP RR)注册,在网络控制器的管理下,区域控制器和网络设备之间建立控制通道。(DTLS、MP-BGP、IPSec SA)
- 网络控制器对网络管理员定义的面向业务的策略进行编排后,通过NETCONF接口通知给区域控制器。
商业模式
SD-WAN 解决方案从设计、开发到最终使用,涉及多个角色的参与,且 SD-WAN 解决方案面向不同的客户,也有不同的商业模式,具体如下图所示。
其中提供商是指通常意义上的设备供应商(Vendor),主要提供完整的SD-WAN解决方案和产品,通常包括网络控制器以及网络层边缘设备和网关设备;最终用户通常为各种规模的企业;服务提供商通常包括运营商和MSP,是负责转售SD-WAN解决方案的中间商。
SD-WAN主要商业模式可以分为下面两类:
- 运营商/MSP转售模式
由运营商负责经营 WAN 专线和因特网业务,并将其出售给企业用户。 - 企业自建模式
具备一定规模和经济实力的企业,往往直接从SD-WAN解决方案提供商处购买SD-WAN解决方案,并自己部署和运维SD-WAN。