SD-WAN(Software Defined Wide Area Network)是近年來網絡技術創新的一個熱點,筆者結合自己的體會,和大家一起回顧這一領域的發展過程,對現狀作一總結,對未來作一展望。篇幅所限,文中的示例以Cisco的解決方案為主,兼顧其它廠商。歡迎大家發表評論,共同切磋探討。
一、廣域網優化回顧
SDWAN通過轉發面與控制面的分離,簡化廣域網的運行和管理。其技術涵蓋兩個方面:一是廣域網優化,即通過壓縮、緩存、傳輸層和應用層的協議優化等傳統廣域網優化技術加上廣域網接口的流量調度,實現廣域網傳送效率的最大化。在以前廣域網帶寬受限的條件下(如MPLS鏈路~10M帶寬),壓縮、緩存、協議優化曾經是廣域網優化的重點,如今得益於Internet 廣域網接口千兆級(Gigabit )的帶寬,廣域網優化的重點是流量調度;二是廣域網的部署、配置與運維的自動化,即所謂的軟件定義(Software Defined)部分,例如策略下發的自動化、設備配置的模版化。
廣域網優化的代表廠商有Riverbed、Cisco等。Riverbed更專注壓縮、緩存、協議優化,Cisco則兼而有之,其流量調度的歷史可以追溯到Cisco企業業務路由器ASR/ISR/CSR的兩個功能:基於策略的路由控制(Policy Based Routing)和基於性能的路由控制(Performance Routing)。不斷拓展的應用和服務要求在原有根據目的地址(Destination IP)路由的基礎上,拓展路由控制能力,例如,視頻和音頻應用對網絡的丟包率(Packet Loss)有着苛刻的要求,它們必須在到達同一目的地址的多條路徑上選擇一條滿足丟包率<2%的路徑,同時,盡量使得多條路徑負載均衡(Load Balance)。基於策略和基於性能的路由控制應運而生,它們賦予用戶定義策略,根據性能控制流量流向的能力。 這兩個功能后來事實上成為SDWAN路由控制的通行做法。
2010年前后, Internet的運行質量得到大幅提高, 其丟包率已經低於5%,具備了承擔企業流量的條件,價格也不斷下降(見圖1)。
圖1:互聯網價格與可靠性(1998-2012)
另一方面,企業對廣域網帶寬的需求不斷上升,MPLS VPN的高費用(一般是同樣Internet帶寬的~10 到~100倍)促使企業願意更多地使用Internet承載企業流量, 他們定義策略,將一些不甚重要或者對網絡質量要求不甚高的業務流 導向Internet。 通過在其業務路由器進一步添加性能測量(Performance Measurement)功能,包括丟包率,抖動(Jitter)和延遲(Delay), Cisco使得用戶開始可以把語音等對網絡性能敏感的流量也導向Internet。 這就是Cisco的第一代廣域網優化解決方案 --- IWAN (Intelligent WAN)。
在IWAN 中,Cisco提出並實踐了廣域網控制器的概念(MC, Master Controller)。 在一個Site 中, 將策略的定義和策略的執行分離開來,策略的定義在廣域網控制器,策略的執行在業務路由器BR/Edge (Border Router/Edge)。結合廣域網控制器,Cisco首次實現了廣域網流量調度的閉合控制環路(見圖2)並由此促進了一系列技術的發展,如網絡遙測(Telemetry)技術即是由此發展而來。
圖2:IWAN實現的廣域網流量調度閉環控制
廣域網控制器和廣域網流量調度的閉合控制環路是SDWAN的雛形: 動作的執行如測量(Measure)、路由控制(Routing Control)的實施在路由器中完成,策略的定義、路由控制的決策在控制器中完成。
IWAN推出以后,Cisco根據用戶的反饋持續做了一系列的完善和改進,根據公開資料報道,這些改進主要體現在:
1. 從數據傳輸安全和屏蔽底層傳輸網絡 (Underlay)的異質性考慮,建立獨立於底層傳輸網絡的承載網絡(Overlay),即策略的定義針對於承載網絡而獨立於底層傳輸網絡(Transport Independent)。 這一做法后來也被業界其它SDWAN廠商接受和采納。Cisco選用了企業用戶廣泛部署的DMVPN作為IWAN的承載網絡。
2. 進一步強化廣域網控制器對全網的管理。將全網的策略定義、網絡遙測定義集中起來並下發給各個分支(Branch),用戶不必再為每一個分支單獨定義策略和遙測, 使得每個分支的配置從上百行降為十幾行。分支的廣域網接口可以被自動發現而無需用戶配置。
IWAN的推出改變了用戶對廣域網運維的認知,使用戶直觀地感受到SDWAN的技術優勢,減輕了他們的工作負擔,提高了他們對SDWAN技術的認可度;IWAN的推出提高了業界對SDWAN技術的關注度和參與度,促進了廣域網市場的競爭,推動了SDWAN技術的發展。
IWAN的部署模式之一是在用戶原有Cisco業務路由器的基礎上軟件升級而來,因而獲得迅速的大規模部署,同時,也不得不直面不足 --- 用戶仍然感到其部署和配置比較繁瑣:策略和網絡遙測定義實現了中心配置和分發,但其它配置如搭建DMVPN承載網絡,仍然需要用戶一個設備、一個設備的配置(DMVPN網絡本身的配置就很復雜),即IWAN的軟件定義部分功能仍顯不足,IWAN尚未能實現部署和配置的自動化(見圖3)。
圖3:IWAN僅實現策略、網絡遙測定義與分發的自動化
據報道,IWAN的廣域網控制器是在Cisco業務路由器ASR/ISR/CSR上開發的,路由器的存儲和處理能力限制了廣域網控制器所能管轄的網絡規模, 也不太容易采用業界已廣泛流行的數據庫、數據可視化等技術。 所有這些促使Cisco 在評估Viptela某些技術的優點后(例如vBond的發現機制,vSmart組織網絡的靈活度, vManage的管理能力等), 最終收購Viptela並將其產品整合到Cisco 新一代的SDWAN解決方案中 。
二、SDWAN 現狀
SDWAN可以顯著降低企業運營成本(見圖4),IDC 最近的調查顯示95% 的受訪企業希望在未來兩年內采用SDWAN技術(作為對比,2017年,不到10%的全球企業部署了SDWAN;2018年,這一數字上升到40%)。可以預計,企業將開始大規模部署SDWAN網絡。
圖4:IDC白皮書公布的每100名用戶五年內運營成本比較(來自網上資料截圖)
SDWAN 市場的成熟催生了一大批SDWAN 方案供應商, 包括Cisco,VeloCloud, Silver Peak, Citrix, Fortinet, Huawei等。這些設備提供商的SDWAN產品在功能和網絡結構上類似,有些就是在其原有設備上疊加了SDWAN功能,這是保護已有投資的理性選擇。據稱,Fortinet SDWAN就是Fortinet 在其下一代防火牆FortiGate NGFW上集成了SDWAN功能: 重用其已有的防火牆數據庫,用戶定義的策略決定信息流的優先級並轉發信息流。Fortinet SDWAN通過其FortiManager 實現了集中的網絡配置,策略下發和網絡監控。
Cisco龐大的在線運行設備也使得其在收購Viptela后,將原有的邊界業務路由器ASR/ISR/CSR整合進新一代SDWAN解決方案中,用戶輕松地做到自動部署和配置(Zero-Touch Provisioning),自動建立承載網絡。圖5中vBond 用以設備鑒權,vManage用作網絡配置管理和監控,vSmart類似BGP中的路由反射器(Routing Reflector,RR),協助vManage構建承載網絡,下發全網策略。
圖5:Cisco SDWAN實現自動部署和配置
新部署網絡在選擇SDWAN 解決方案時有更大的靈活性,這些網絡在設計之初就特別關注雲服務的接入。以Cisco SDWAN提供的接入SaaS 服務方案(Cloud onRamp for Office365)為例,用戶配置的策略決定了訪問SaaS的方式,在場景3,可信的Office365應用可以直接訪問,其它應用則必須通過Secure Web Gateway的安全許可后才可以訪問。
圖6:Cisco Cloud OnRamp 為不同的SaaS接入場景提供了解決方案(來自網上資料截圖)
VeloCloud SDWAN在為用戶接入雲服務時采取的方式是通過部署運營獨立運營的VeloCloud Gateway Cloud(見圖7),Gateway嵌入Azure,AWS和IBM Cloud中。
圖7:VeloCloud SDWAN 方案中的Gateway Cloud(來自網絡視頻截圖)
筆者認為,Gateway Cloud既可以提供不同NSX SDWAN Edge之間的互通,也使分支接入雲時多了一項選擇:NSX SDWAN Edge可以通過測量到Gateway的性能, 選擇接入理想的Gateway, 訪問Azure、AWS等雲服務(見圖8)。
圖8:VeloCloud SDWAN 網絡結構示意圖
三、SDWAN展望
SDWAN近年來的發展極為迅速,呈現出以下特點:
首先,SDWAN與雲的融合越來越深入。
用戶將越來越多的應用移到雲上,SDWAN的技術特征使之成為廣域網接入雲服務的不二選擇:識別雲上應用,獲得雲上服務是意圖(Intent);定義策略控制網絡,即軟件定義是手段,廣域網優化是結果。這正是SDWAN的價值所在:讓用戶根據意圖定義廣域網。
從分支來看, BR/Edge 正從單純的路由功能向具有路由、安全(Security)、IoT Gateway、AI等功能的綜合邊緣計算平台的方向發展。 用戶接入雲的方式可以是建立IPSec Tunnel 接入雲服務,也可以使 SDWAN成為BR/Edge計算平台上的一個虛擬網絡功能,即SDWAN功能的網絡虛擬化(NFV), SDWAN事實上延伸、拓展了雲的邊界,用戶因而可以直接從邊緣業務路由器獲得雲服務(見圖9)。例如,當安全(Security)成為邊緣計算平台的一個NFV后,Security Cloud 可以直接將防火牆數據庫推送到BR/Edge並及時更新,Security Cloud的安全服務直接在邊緣路由器上執行而無需將業務流量通過IPSec Tunnel送往Security Cloud。Gartner預測IoT設備數在2020年將達到200億,海量數據的處理從實時性和帶寬占用上考慮,顯然在邊緣計算平台上(預)處理更為合適。
圖9:SDWAN Edge可以成為邊緣計算的平台
從雲的角度看,也可以在雲的邊界設備(Cloud Gateway)中嵌入SDWAN NFV,既可以使用戶接入Cloud Gateway后即可獲得SDWAN服務,也可以使SDWAN用戶易於獲得雲服務。
其次,面向終端用戶體驗的完全的端到端服務及其自動化。
端到端的終端用戶體驗建立在網絡控制端到端的基礎上,從園區(Campus)到廣域網到數據中心,需要沿途不同網絡的策略定義和執行的協調。以Cisco的端到端解決方案為例(見圖10),從園區網 到廣域網到數據中心,都自動建有承載網絡,即所謂 Fabric:在園區網,有SDA (Software Defined Access)解決方案; 在廣域網, 有SDWAN 解決方案; 在數據中心,有ACI (Application Centric Infrastructure) 解決方案,從而最有效地幫助用戶實現完全的端到端的網絡部署和流量控制,這是Cisco解決方案的優勢,其中的關鍵在於策略在ACI Fabric、SDWAN Fabric和SDA Fabric之間的互通與協調, 即所謂跨域(Cross-Domain)的策略互通與協調。
圖10:Cisco完整的端到端解決方案
圖11 是在遠程醫療應用場景中,Cisco解決方案跨域策略協調的流程示意。
圖11:Cisco跨域策略協調在遠程醫療中的流程示意圖(來自網上視頻截圖)
其他SDWAN設備提供商則采取合作的形式提供端到端的解決方案,例如, VeloCloud通過與無線接入設備提供商Mist的合作提供從無線接入到SDWAN的整體解決方案。
再者,SDWAN更為准確、深入的網絡洞察力(Network Insight)。
SDWAN已實現了雲端管理(Cloud-based Management),從部署的自動化 ,業務流程的自動化(Workflow Automation),到配置的模版化(Configuration Template),但是發生故障時的自動分析仍有很大的提升空間。目前SDWAN故障分析的自動化仍是故障的分類(Classification)、告警的關聯(Correlation),需要維護人員的深入介入做原因分析(Root Cause Analysis)。
除了排除故障,網絡在無障礙運行時狀態受到用戶流量、策略及其他配置變化的影響,新的策略下發前結合預測信息對流量流向和網絡影響的初步判斷(Design Validation/Design Verification),可以有效提高運維的效率。設想一個已經配置了幾百條策略的SDWAN網絡,增加、刪除、改變一條策略都可能對運維人員帶來壓力。 軟件定義所帶來的對網絡更為清晰、准確的洞察力, 結合未來網絡運行狀況的合理預測,如某種應用、某個方向的帶寬需求,可以幫助運維人員對上述網絡變化有更為合適的應對,給出某種程度上的智能化的策略建議(Policy Recommendation)。
最后, 5G推動SDWAN的發展。
5G低時延、高速率的特點更要求實時、高效地管理5G Edge:靈活、精細的控制粒度(從單個流、單個用戶到不同的應用)、集中簡便的部署、智能化的運維管理使得5G運營商嘗試將SDWAN運行在5G上。據悉,Cisco宣布了與Verizon基於5G、SDWAN的合作關系,VeloCloud則與AT&T合作在SDWAN中部署5G功能。 5G不僅是一個新的廣域網接口,它更是將一些應用(如遠程診斷、遠控駕駛等)真正落地,要求SDWAN的策略定義動態、細致,流量控制准確、可靠。
SDWAN是由技術引導、市場推動的SDN技術在網絡中的成功實踐,與雲技術深入融合,與5G技術相互促進。SDWAN的應用已邁過初步實施階段,現已進入主流實施階段。SDWAN的引入既是傳統優勢網絡設備提供商擴大市場份額、拓展業務的機會,也為其他來自不同領域的競爭者提供了在網絡設備市場彎道超車的可能。技術上與時俱進、迅速解決用戶關切的SDWAN產品將最終贏得市場的青睞。