SD-WAN功能
在這些底層技術的基礎之上,SD-WAN最終能為客戶提供哪些創新型服務、解決哪些具體問題?
- 統一管理與監控:SD-WAN整合了路由器、防火牆、DPI檢測、廣域網加速等功能,確保企業真正意義上實現對應用的管理與監控。
- 安全性:可通過使用IPSec或TLS/DTLS加密來保護傳輸中的數據,確保數據安全。
- 智能路徑控制:當一條鏈路發生故障,中央控制台會自動切換鏈路,保證應用程序依然能夠繼續工作,同時發送報告。
或者
- Application-Aware Routing (基於應用的路由選擇)
- Security, Monitoring, and Analytics (安全,監控,和數據分析)
- Zero-Touch Provisioning (全自動服務開通)
- All-in-One uCPE Package (通用白盒CPE, VNF百寶箱)
1. Application-Aware Routing (基於應用的路由選擇)
這一個功能實際上涵蓋了好幾個關鍵技術(比如中心化Policy的制定和下發,實時鏈路狀態檢測,應用類型識別,多徑選擇,等等)。
Application-Aware Routing 本質上是根據客戶流量中不同應用的類別,來選擇使用不同的廣域網(WAN) 鏈路 (比如專線 vs. 公共互聯網vs. 無線移動網絡) 進行數據的傳輸,從而達到在不影響關鍵應用通信質量的情況下,盡可能的降低網絡帶寬成本的目的。
舉個簡單例子:“殼牌石油”是一家大型跨國企業
痛點:
- 如何把這些遍布全球的辦公室和商業網點通過網絡連接起來,並保證他們之間穩定和安全的數據通信。從大型電信運營商那里購買一種叫“企業專線(VPN)”的服務。這種服務覆蓋區域廣,穩定性高,也很安全,但最主要的缺點是費用昂貴。
- 要為新分支開通專線服務時,周期長,少則等數星期、多則等數月(比如,當新分行不在這個電信運營商的傳統服務區域內時,電信運營商需要和本地電信運營商協商租用對方線路,有時甚至迫不得已自己挖溝埋線。)。
解決:
尋找其他的網絡方案。比如,能不能盡可能的多使用、甚至只使用價格優惠的,並且無須漫長等待,隨時可以開通的公共互聯網來進行站點之間的互聯? 或者盡可能把對網絡穩定性和安全性要求沒那么高的流量通過公共互聯網來進行傳輸、只把最重要的信息通過企業專線進行傳輸? 這就是為什么企業想要選擇不同的WAN鏈路來進行數據傳輸背后的原因。
Application-Aware Routing 這個功能使企業用戶方便靈活地通過自己定義策略 (Policy) 的方式來選擇何種類型的應用(語音,視頻,郵件等)在何種鏈路條件下 (時延,丟包率) 選擇使用哪條路徑(專線,公共互聯網,4G-LTE無線網絡)來進行數據的傳輸。這樣既節省了專線帶寬的開銷,也保證了一些關鍵應用的通信質量。
簡單來說,就是三步走:
第一步, 用戶在中心化的用戶管理界面上定義Application-Aware Routing 的策略 (Policy)。
假設應用A是一個對網絡質量要求很高的應用(比如實時視頻會議)。
- 那么用戶定義的Policy可以是:針對應用A,請選擇時延低於100ms, 丟包率低於2% 的路徑進行傳輸。
- Policy的制定可以通過類似配置文件的方式進行手動鍵入,也可以通過對常見的Policy類型先定義模板 (Template),
- 然后再對模板加以賦值的方式在用戶界面上快速方便的制定Policy。后者更加人性化,也減少了用戶手動鍵入Policy時出錯的概率。
- 中心化的Policy制定完成后,就會下發到相應站點處的CPE設備上面,並對設備進行相應的配置。
第二步,不論當前WAN鏈路上有沒有用戶數據在跑,各個站點的CPE設備時時刻刻都在對他們之間的各條數據層鏈路進行着測量(通常使用BFD或類似的鏈路監測協議)。
他們不僅測量各條鏈路是否通暢,同時也詳細記錄下每條鏈路的實時狀態信息,比如時延,丟包率,抖動,等。
第三步,每當一個新的應用流量進入CPE設備時,CPE設備會通過包頭的端口信息(或使用深度包監測 / DPI)識別出這個流量的應用類型。
如果本地Policy中已經存在對於這種應用類型的定義,CPE設備就會將Policy中對於鏈路質量的要求和當前所有鏈路的實時信息進行比對,挑選出能夠滿足用戶Policy定義要求的鏈路來進行傳輸。
- 在上圖中的例子里,路徑1 (企業專線) 和路徑2 (LTE專線網絡) 都能滿足用戶Policy設定的要求,這時CPE就會在路徑1和2中選擇一條來進行應用A的數據傳輸 ;
- 當遇到多條路徑均滿足條件的情況,CPE通常采用等價多徑 (ECMP) 的哈希算法來保證同一個應用流內的所有數據包都走相同的路徑,以避免亂序到達的情況。
注:
用戶對於Application-Aware Routing Policy的制定是中心化的,無須用戶逐一登錄到各個站點的CPE進行手動配置。這是SD-WAN中心化管理和控制這個核心思想的再一次體現。
2. Zero-Touch Provisioning (全自動服務開通)
Zero-Touch Provisioning (以下簡稱ZTP) 。言簡意賅,“Zero-Touch”反映了網絡運維人員對於自動化配置網絡、零接觸開通服務的一個美好願景。通常不同SD-WAN廠商的ZTP功能實現都不太一樣;即使同一廠商的ZTP功能內也往往涵蓋好幾個子場景來滿足不同客戶的需求。嚴格說來這些場景都不能算是“Zero-Touch”,至多只能是在哪個場所進行Touch、和Touch了多少的區別。
2.1 ZTP的提出?
首先ZTP這個技術最早被提出可以追溯到數據中心內對交換機進行自動配置這個應用場景。試想在構建一個大型數據中心的網絡基礎設施時,對其成百上千台的交換機如果都使用傳統的手工命令行鍵入的方式來逐一進行初始化配置,鏡像升級,不僅費時費力,而且還容易出錯。所以交換機廠商們就率先提出了ZTP這個技術: 將初始化配置和鏡像升級文件的位置等信息在交換機第一次上電后,以響應其DHCP請求的方式發送給交換機,從而讓交換機能夠自動去指定位置 (即ZTP Server) 獲取初始化配置,下載和升級鏡像文件。從而大大加快了數據中心網絡的構建速度,同時減小了人為出錯的機率。
隨之推廣到數據中心以外的各種網絡自動化部署的應用場景。對於SD-WAN的 CPE設備的自動化部署和服務開通自然也不例外。而針對SD-WAN 這一場景,除了之前提到提升設備配置效率、減少人為出錯這兩個優點以外,還有一個很重要的原因就是可以避免專業網絡運維人員逐一訪問各個企業站點 (俗稱:Truck Roll) 去配置CPE設備和開通SD-WAN服務。這能幫助網絡運營商和企業用戶省下不少運維成本。
2.2 ZTP的典型流程和實現方式
ZTP的整個過程通常分為兩個階段:
第一階段 (Phase 1) 是對CPE設備入網前進行一些准備工作(也即所謂的CPE On-Boarding)。
此時CPE設備還處在設備廠商或運營商的網管中心,或企業用戶自己的數據中心,在這里關於這個CPE設備的一系列具體信息 (比如: 軟/硬件序列號,端口數量和類型,IP地址和其配置方式,以及即將被部署的站點位置信息,等等) 都會由網絡運維人員手動錄入SD-WAN網管系統。人工錄入的過程通常以填寫模板的方式來進行,從而提升效率、減少人為出錯機率。填寫好的配置模板會自動生成配置文件存放在系統里,用於之后對CPE設備的自動化配置。
第二階段 (Phase 2) 是CPE設備被郵寄到企業用戶站點之后的一系列操作。
按圖中標號細分為如下幾步:
(2) CPE設備開機上電 (在此之前要確保CPE設備的WAN端口已連上可用的WAN網絡)。
(3) CPE設備通過WAN端口以DHCP的方式自動獲取WAN IP地址 。
(4) CPE 設備通過DNS Server 查詢並獲得 ZTP Server 的IP 地址。ZTP Server 的Domain Name 是在Phase 1 On-Boarding時存入CPE設備的。 取決於企業客戶選擇的商業模式,ZTP Server 可以由 SD-WAN 供應商,或運營商,或企業客戶自己,來提供和維護。
(5) ZTP Server 通過比對CPE設備的軟/硬件序列號等信息,查找出這個CPE設備屬於哪個企業用戶,從而導向相應的驗證服務器 (Auth. Server) 對CPE設備進行安全驗證。
(6) 安全驗證的方式可以有很多種,包括使用郵件或短信驗證的方式來確保CPE設備是在正確的客戶站點入網。驗證通過后,Auth. Server 會將 SD-WAN Controller 的IP 地址發送給 CPE設備,從而在Controller 和 CPE 設備之間建立起安全的控制信道。
(7) Controller 將之前生成的初始化的配置信息發送給CPE設備,從而完成設備的初始化配置和升級。之后Controller和CPE設備會交換本站點和其他站點的路由及安全密鑰等信息,用於建立跨站點之間的數據層IPSec鏈路。
至此,這個CPE設備算是徹底加入了SD-WAN網絡, 這個新的企業站點可以與其它的站點利用SD-WAN的各種炫酷的功能開始愉快地通信。
2.3 ZTP的價值:
- 從客戶的角度來看:從企業客戶收到CPE設備的郵遞包裹,到站點SD-WAN 業務上線,客戶只需要插上相應的網線和電源線,通過短信或郵件進行簡單的身份認證,剩下的事情都會自動完成,無需客戶操心。
- 從運營商的角度來看:只需在On-Boarding的階段,在中心化的網管中心內,對CPE設備進行一些初始化的配置操作(而且可以借助模板來快速實現),無需派遣網絡運維人員到客戶站點進行繁瑣的手動配置。這不僅大大加快了開通服務的速度,減少了手動配置出錯的概率,同時也節省了派遣Truck Roll的成本。