青云QingCloudud知行学院 为广大 CIO、云计算、大数据、容器等技术的最佳共享和实践平台是架构师、开发人员、运维工程师和技术爱好者提供的。它包括许多知识共享形式,如在线技术开放课程、云产品分析、离线实践课堂和行业沙龙。
这一次,我们邀请青云QingCloud 解决方案架构师由秀带来《SD-WAN 经典的部署方案和应用实践。
知行学院 | SD-WAN 经典部署方案及应用实践_腾讯视频正文:
随着近几年 SD-WAN 着陆模式逐渐成熟,越来越多的运营商和企业将建立企业专有网络服务 SD-WAN 作为技术的首选。
本文将从以下四个方面进行介绍:
第一,针对 SD-WAN 大致介绍了来龙去脉。
第二,SD-WAN 本身就有一个典型的结构和场景共享。
第三,SD-WAN 对于企业来说,我们将在第三部分解释哪些业务场景和部署模式可以支持。
第四,SD-WAN 特点和优势。
1、SD-WAN 背景和定义众所周知,许多大型或快速增长的企业 IT 它们通常具有相同的特点——它们通常在全国各地都有更多的分支节点和数据中心,这些分支节点和数据中心之间往往有更重要的数据和业务交换需求。
在当前环境下,大多数据交互需求和应用工具都是基于网络架构和计算技术的协调。它们基本上作为延迟敏感性应用出现在企业的应用列表中,引起了企业的关注。
近年来,以云计算为代表的计算技术发生了巨大的变化。然而,在网络中,特别是在企业的广域网架构中,传统的网络模式基本上仍在使用,其部署、管理和维护给企业带来了巨大的负担。重点关注企业市场和广域网类别,SD-WAN 正是在这样的行业背景下产生的。
SD-WAN 这个词最早出现在公众的视野中,因为 2014 Network年发表 Computing,同一时代,美国有一个开源网络用户论坛 ONUG,论坛主要讨论企业大型网络的建设,IT 技术变革等内容。
在讨论中,人们发现 SDN 软件定义网络技术可以更好地应用于广域网,可以很好地满足企业广域网的需求场景。所以在 2014 年的一次 ONUG 会议明确定义 SD-WAN 这个术语。SD-WAN 是软件定义-广域网的缩写,是软件定义网络的重要分支。它将 SDN 通过将网络硬件与控制机制分离,简化广域网的管理和操作,将概念和架构引入广域网。
对企业而言,SD-WAN 在应用软件技术、应用部署策略等技术手段的基础上,实现统一的战略发布模式,减轻企业部署压力 WAN 管理 UI 界面实现了全球调度能力。与传统专线相比,云计算企业采用成本较低的技术,如 Internet 或 LTE 构建广域网服务,为企业节约成本。
提到广域网,这是一种包括互联网、移动蜂窝、MPLS、VPN 实现异地互连网络等多种模式。
企业通过广域网建立跨区域互联。与海外相比,中国的广域网技术略有滞后。中国的广域网模式始于 90 在这个时代,第一个面向企业的广域网是 X.25.它使用电话或电话 SDN 设备作为网络硬件设备构建广域网的一套网络协议。
当时的网络环境非常复杂,噪音高,缺乏抗干扰环境。基于这一需求,X.25 对于当时的企业来说,支持纠错和诊断错误是非常理想的,人们可以在这种环境下实现高可靠的传输。
1993 2000年,中国成立的分组交换数据网(China PC),就是基于 X.25 协议。继 X.25 之后,帧中继即 FR 是 X.25 相对于升级版 X.25 它减少了每个网络节点的协议处理步骤,用户终端执行所有确认和错误恢复,加快了整体数据的传输,减少了端到端的延迟。
真正使用的是 O 模型的底部两层:物理层和数据链路层,简化数据处理可以提高网络效果,增加吞吐量。
与帧中继同时代是异步传输模式(ATM),图片左侧的位置。与帧中继有一点不同,ATM 使用统一的信元传输数据。您可以将信元想象为运输设备。它可以通过设备通过数据块 ATM 交换设备传输到另一个设备。
与局域数据分组不同,所有信元都有相同的大小,使用相同大小的信元可以保证所需的带宽。但是 ATM 有一个问题,信元包头太大,伪装减少了网络的传输,其结构有些理想化,不适合着陆。在海外,广域网的市场份额并没有实现太多有意义的企业。
然而,中国的模式略有不同,2000 年时,中国电信投资建设了中国公共帧中继宽带业务网络(China FRN),它以帧中继为基础,赋予帧中继 APM 数据网络为全社会提供高效的数据传输服务。
在这些之后,我们熟悉互联网 IP 技术,互联网 IP 该技术应用较早,被企业应用于广域网建设,但很少有企业愿意使用纯公共网络环境来承担其内部关键应用,因为纯互联网不能实现端到端服务水平,只能基于一套传输规则,不能保证重要应用的数据传输。与此同时,互联网本身也存在很大的不安全因素,许多需要保密数据业务的重要企业都望而却步。
90 年中后期,IPsec VPN 随着技术的逐步普及,该技术实现了端到端加密。这也是因为互联网本身极大的不稳定性和不安全性。许多企业通常考虑在具有一定规模或预算后使用其他模式。
在中国,公共互联网一般由电信等一类运营商管理 163 网、联通 169 网络等。之后,多协议标签交换技术(MPLS)出现,是建立在基础上的 IP 帧中继技术的后继者在基础上。
在 MPLS 网络中有几个简短的字段,可以作为数据标签,识别数据包转发目的地,使原始图形设备识别路径。同时,根据标签对服务级别进行分类。运营商非常喜欢这个东西,运营商是基于它的 MPLS 构建企业专网,实现包含数据、音频、视频等重要业务的数据传输。
2004 年,中国电信在 163 基于网络的网络, MPLS CN2为大型企业建立了大型网络 网络。MPLS 解决了企业广域网传输问题,但仍面临着架构冗余、成本高等诸多其他问题,MPLS 需要维护,以专线模式对接,使用周期长,维护复杂,给企业带来很多问题和麻烦。
近年来,人们逐渐思考广域网的简化管理,尤其是云平台诞生后,这一需求更加迫切,SD-WAN 正是这一时期的产物。
2、SD-WAN 的架构概览SD-WAN 传统架构
我们知道现在有不同的存在 SD-WAN 每个制造商都有不同的逻辑和模式。相对来说,SD-WAN 有一些传统的简单部署架构,如图所示,它们的传统架构包括四个部分,左下角是 SD-WAN 编译设备 Edge,右下方是 ** Gateway,上方是 SD-WAN 控制器 Controller,上面是安排 Orchestrator。
在这种模式下,SD-WAN 编辑 ** Edge 一般部署在用户侧,通过隧道实现业务交换,开放各节点之间的连接。
因为这个设备 SD-WAN 设备需要连接到互联网上,设备通常具有防火墙功能,以确保安全和转换。同时,基于现有的策略,如果有多个端口访问,将根据数据策略的需要进行战略调整和业务集成模式。
同 SD-WAN 边缘设备对接 SD-WAN ** ,它负责同 SD-WAN 边缘设备对接,按照策略将流量转发到其他节点,实现全网互通。
在这两种设备上,控制器将管理相关的硬件和软件节点。在此基础上,控制器提供配置、激活和激活IP 同时,将上述服务发送到地址管理和推送服务 SD-WAN 边缘设备和 ** 上。
一般来说,控制器上有 Orchestrator 该模块主要实现模块 SD-WAN 统一管理服务生命周期,如服务实现、性能、控制、保证、使用分析、安全和策略等。广域网可以根据安全性和服务水平管理,通过订阅用户接收修改请求,建立转发规则。一般来说,不同的制造商有不同的部署模式 SD-WAN 控制器和 Orchestrator 外部服务将以统一的模式提供。
除上述四个模块外,用户还可以通过门户网站修改和管理自己的业务需求,该模型将与业务安排对接。此外,如果存在 OS、BSS 可通过的服务架构 API 实现远程调用等模式,统一管理内部设备。
SD-WAN 传统的运营商架构
SD-WAN 除了刚才提到的几种架构外,企业广域网的部署架构还包括多种模式。例如,基于纯互联网的叠加模式和基于简单骨干网络的云模式包括集成 MPLS 或者有流量调度工程的集成架构,各种模式不同,许多名称也不同。
青云 SD-WAN 与传统模式相比,青云依托现有骨干网实现了企业异地节点的互联,实现了基于整合架构的广域网部署。我们可以看到图中有几个部分,左右两侧是企业的异地分支节点,部署在分支节点上 SD-WAN。SD-WAN 该设备通过青云网络连接业务和数据,并通过青云骨干网络连接两者之间的业务数据。同时,上面通过 SD-WAN 统一管理控制器。这一部分共有三个模块:
首先是青云的骨干网。
青云骨干网从 2015 2000年开始建设,到目前为止,为全国节点覆盖提供了不同的技术节点。中国的网络环境非常复杂。我们熟悉的北联通南电信,每个节点的网络状况都非常复杂,好坏参差不齐。
针对这种情况,青云网络提供外部服务 BGP 网络接口。我们知道 BGP 网络是通过统一的网络出口对接不同的运营商。除了电信、中国联通和中国移动三大运营商外,青云还实现了部分地区运营商的网络对接,方便用户和企业的快速接入。此外,对于跨区域传输,青云网络内部 DCI 实现高质量冗余线路的传输,确保企业数据的安全。
其次是 SD-WAN 设备。
除骨干网外,SD-WAN 基于用户现有的上网专线、拨号线,设备可以直接部署在用户侧MPLS 和 4G,直接连接青云网络,将数据引入青云网络。同时,用户可以实现主备切换和负载平衡,以确保用户数据的安全。
最后是统一控制平台。
SD-WAN 所有设备的配置策略都由控制器统一管理和发布。设备可以快速部署到企业中,方便企业整体实施。同时,相关网络支持定制网络管理,所有节点都可以通过统一界面进行调整和配置。根据动态带宽的需要,可以根据需要灵活调整带宽。
青云的 SD-WAN 在原有网络的基础上,增加了整合网络和云平台的功能。用户可以通过云控制平台直接管理云资源和网络资源,方便大家管理。
对于 SD-WAN 特别是对 SD-WAN 在设备方面,不同企业分支节点的网络条件不同。
一些企业使用传统的互联网专线,如固定线 IP 网络切入。有些是 PPPOE 拨号主要是家庭宽带,有的可能是当地物业内网地址,有的甚至没有传统的上网线路。
在这种情况下,SD-WAN 该设备可满足不同的需要。对于现有的上网专线,有固定的 IP 和内网静态 IP 只要用户能满足上述需求,设备端口支持静态配置模式 IP 地址配置在 SD-WAN 在端口上,实现业务开放。
同时,在拨号模式下配置帐户密码 SD-WAN 在设备上,实现网络连接。同时,设备支持 DHCP,这意味着它可以直接连接到企业办公网络,并直接连接到网络。设备支持无线网络 4G 模式,保证设备在不同环境下的连接需求。
3、SD-WAN 的部署模式不同的企业有不同的部署模式,一般包括三种模式:设备外置、设备旁挂和设备内置。当然,这三种模式只是一般的计算。我们知道,在不同的环境中,如内置环境中与不同的设备接触,模型是不同的。
设备外置模式
在这三种模式中,底部的外部模式将是 SD-WAN 终端直接放置在企业用户边缘侧外,边缘侧现有公网 IP 拨号能力直接移植到拨号能力直接移植到拨号能力 SD-WAN 终端。根据需要,企业将原有内网流量转发给企业 SD-WAN 在终端上,通过 SD-WAN 终端连接各个节点。
该模型的优点是运营商的设备和企业设备实现了明确的权利和责任分配。运营商网络不进入企业内部网络,以确保企业的安全。当出现问题时,双方可以根据需要进行调查,以提高效率。
设备旁挂模式
中间是 SD-WAN 旁挂模式,一般针对不想把自己放在公网上的人。 IP 改变设备配置的企业希望更多 SD-WAN 设备旁挂在自己的设备集群中,自己统一进行管理。
在这个管理模式中,SD-WAN 直接对应用户自己的路由器、交换机和防火墙,用户根据需求,将需要的流量转发到 SD-WAN 设备上,SD-WAN 设备将转发流量发送到云端或者其他节点实现业务打通。
这种模式的优势在于不需要调整外网公有 IP,劣势在于一旦企业外部网络中断,运营商无法第一时间查看设备的情况,因为它被关在了外面。
设备内置模式
此外,最上面的是内置模式,SD-WAN 设备采用串接或者接入企业办公网实现部署。这个部署的模式优势在于可以实现快速部署,一个设备可以很简单的直接接入用户终端上,很多用户愿意使用这个模式。相对来说,它的劣势比较明显,当设备出现问题时,比如企业内部网络出现问题时,运营商无法通过终端配合企业进行设备的快速定位。
以上三种模式,企业可以根据需求灵活的选择。在这三种模式外还有很多其他的模式,比如在最下方的模式中,如果企业有多个公网 IP 或者多条上网线路,可以由自己的设备进行策略选择。其中,需要访问云端的,直接将其转发到 SD-WAN 终端上,其他流量全部使用原有的上网线路即可。SD-WAN 的接收模式非常灵活。
SD-WAN 设备一旦可以上网后,它会跟云平台、控制器进行对接和注册。如图中所示,左右两侧分别是企业的分支节点,中间是运营商网络,在 SD-WAN 上通过控制器进行统一管理,用户通过业务编排实现自己需求的调整。
在这个模式里,SD-WAN 基于已有的运营直接向控制器实现注册,发起注册请求。待确认后,控制器会将已有对接模块的信息发回 SD-WAN 设备上,SD-WAN 设备根据自己的需求选择最优的节点实现对接。
在对接模式后,控制器会将相应的路由信息和配置直接下发到设备上,通过这种模式实现全网数据的路由互通。用户可以根据需求灵活的配置和调整 SD-WAN 终端设备,不需要单独登录某台设备上进行复杂的管理,这种管理模式下可以直接实现设备的快速注册和全域调度管理模式。
此外,青云骨干网基于 SE-TE 实现全网路由调度,用户可以根据需求灵活调整。在青云骨干网内部基于已有的路径规划策略实现端到端隧道的连接,当链路或者节点出现故障时,启动备用路径保证企业的数据安全。
同时,骨干网基于已有的 BGP 网络实现不同模式下的企业快速对接,企业通过地区线路、联通线路可以快速打通同运营商网络的对接,保证跨地域的传输。
除了接入端和控制平面外,可以在平台的管理上通过统一的控制界面进行管理。在这个界面的左侧位置,SD-WAN 实现了整合,在这部分中 SD-WAN 和云平台资源在同一个控制界面中。
其中我们注意到屏幕上方位置有三个类型,光盒对应的是 SD-WAN 节点, ** 对应云内资源节点,专线对应专线接入节点。企业在申请到 SD-WAN 设备后,将 SD-WAN 设备上的序列号在平台上实现自助服务,根据需要选择带宽。
在这个服务模式注册后设备会自动上线、设备配置下发,企业可以根据需要,在控制界面上灵活的选择包含 WAN 配置、路由配置、防火墙配置和内部的无线配置等,基于已有界面进行包含消费、操作、监控的统一排查。
针对存在的云平台访问需求,企业需要对接云内某资源时,可以基于 ** 做调整。现在青云提供内网路由器和内网路由策略,基于内网路由器和内网路由策略可以直接实现 SD-WAN 节点在云内资源的整体打通,方便企业数据互访。
打通后,各个连接节点会以列表的方式呈现在用户面前,用户可以进行统一的信息管理,包括 ID、名称、状态、区域、带宽和注册模式等。可以看到这里包含两条:一是 SD-WAN 相关节点,二是相应的 VP 节点,都可以进行统一查看。
此外,青云在原有的列表基础上提供地图模式,可以通过地图模式查看当地节点的带宽流量情况,根据需要进行带宽调整。当企业存在多个节点时,地图模式可以更好更直观的查看现有网络情况。右侧有不同的颜色进行标识,正常状态下是绿色,出现故障是红色,可以更方便的对平台实现管理。
4、SD-WAN 的场景与分析SD-WAN 技术和架构在企业场景落地中包含几个典型场景:
一、快速实现混合云组网,一键直达云业务
一是混合云主网场景,在这个场景包含三部分,左侧是企业分支节点,中间是运营商骨干网,右侧是企业公有云、托管云和私有云资源。当企业需要在分支节点和云平台资源之间实现用户互通需求,可以基于 SD-WAN 快速打通运营商网络的对接。打通模式可以基于企业已有的任何上网线路模式,在企业节点和分支之间包含云平台之间实现互动模式,提升访问品质。
二、企业自主构建专属广域网,轻松与企业各分支互联
第二,除了已有的云平台外,企业无须一定要针对云平台资源实现全网的路径,企业可以通过 SD-WAN 构建自己的专属网络,专属网络左侧是企业分支,右侧是企业总部和数据中心。数据中心不是一定要使用云平台,传统服务器架构也是可以的。通过 SD-WAN 模式,基于骨干网实现分支、总部和数据中心的业务互通,保证企业网络传输的要求。
三、基于桌面云企业组网,企业总部与分支协同办公
此外,现有的桌面云服务也可以通过 SD-WAN 的方式实现桌面云网络的构建。我们知道桌面云可以很大的减轻企业终端和资产的负载。桌面云终端对于网络要求稳定性要求较高,基于 SD-WAN 模式可以实现分支和桌面云服务器的打通,方便企业各个分支、内部办公人员使用桌面云服务。
四、案例-支付系统SD-WAN互通
除了以上三个场景外,图中是一个典型的云网互通的场景,在这个场景里,我们可以看到左侧是云平台,云平台内部包含用户需要的云主机服务器,右侧是用户已有的办公网络,办公网络使用了电信、联通、移动等上网线路。
在这个需求场景中,基于 SD-WAN 快速部署能力可以实现企业快速上线。尤其是针对众多跨地域分支节点的企业,SD-WAN 不像传统路由设备一样要实现冗余的调整,通过界面方式直接实现快速部署,保证企业部署速度。
此外,针对跨地域传输,基于运营商网络可以直接实现高品质的传输互访。同时针对各个节点和云平台的资源,通过云网一体的管理模式实现统一的管理,减少企业运维压力和学习成本。
如果用户存在内部的访问策略需求,图中所示右侧位置,假设某些 PC 存在一般性访问业务,绿色虚线可以访问云平台,也希望使用原有的网络进行上网活动,某些业务只需要跟云平台进行对接。
为了保证安全,不希望访问互联网,这种模式下可以基于设备和策略的灵活调整,针对日常应用,满足云平台访问的基础上实现上网路径的调整;针对加强业务,不允许它访问互联网,只允许它通过策略跟云平台服务器实现对接。
针对于存在冗余安全要求的用户,我们基于不同运营商网络和链路模式,保证设备链路之间的切换,形成主备关系,保证网络冗余安全。
可以看到 SD-WAN 针对企业可以实现包含设备快速部署、跨地域高速互访、云网一体的管理模式,同时根据策略进行自定义网络策略调整,最后可以依托现有的网络要求进行冗余的设置,保证企业对于网络的不同要求。
我们知道相对于传统专线来讲,SD-WAN 存在较多的优势。
在管理方面,省去了很多 CLI 命令行管理模式,不需要逐台设备进行远程登录调整。可以通过统一的管理界面降低企业运维成本。
在周期上,MPLS 依托于专线有较长的实施周期和调整周期。SD-WAN 依托于互联网可以实现快速部署。
在设备上线上,SD-WAN 无须经过设备繁杂配置,通过界面化统一进行策略下发,加快部署速度。
最后,SD-WAN 依托于互联网模式,极大的降低了企业运营成本,保证企业在传统专线服务和互联网服务上存在更好的选择平衡。
相对于 SD-WAN 来讲,青云的 SD-WAN 存在一些不同,在管理方面,青云实现端到端的管理模式,存在更多管理深度。用户可以根据需要进行更多的策略调整。在网络管理方面,除了原有的网络功能集成外,通过控制台方式实现了云资源管理和网络管理的统一协调,方便用户对企业的广域资源进行整体管理。
此外,在注册服务上,青云在管理平台上提供自助式服务,企业可以在原有的优势上根据自己的需要灵活安排实施周期和部署周期,更好的加快部署速度。
同时,在保证原有 SD-WAN 的成本下,用户可以根据需要进行动态带宽调整,根据带宽进行计费调整,满足用户高峰值的带宽需求。
在尽量保证网络品质方面,青云骨干网对外提供 BGP 出口,针对不同运营商企业网络实现快速对接。对内针对跨地域互联需求,通过已有的链路实现跨地域互联需求,最大限度的保证我们的品质安全。
前面我们介绍了 SD-WAN 的大概情况,这个情况更多的偏重于企业广域网的管理和配置优势。我们知道 SD-WAN 软件定义广域网相对于广域网来讲,更重要的是软件定义。
通过软件定义的模式,企业可以更好的形成一套资源的全局调度管理,更加方便的进行整体部署运维。传统的 MPLS 模式基于老式硬件,比如传统路由器交换机模式。这些设备的生命周期是按照传统硬件设备功能进行速度迭代,软件定义的模式将这种速度从原有的硬件速度提升到软件速度上,我们发现很多企业和厂商推出 SD-WAN 后,在功能跟进上的速度远远超出老式的速度,加快了功能的叠加速度。
额外举例说明,十几年前我们所需要的通讯设备类似于诺基亚、摩托罗拉等翻盖手机,这些手机传输的是电话和短信数据,我们可以变相理解为电话是老式传统路由交换设备,他们传输的东西和企业产生的内容一样,都是我们所需要的业务数据。
在 iPhone 出现后,颠覆了老式电话的模式,人们发现除了电话和短信外,手机可以将办公、娱乐、应用集成为一体,在原有通信模式上出现了更大的发展。iPhone 的模式是传统的软件定义模式,通过软件定义模式,相对于传统老式路由交换设备,给原有的架构和想象带来无限的可能。
SD-WAN 的模式也是如此,随着越来越多的运营商从架构上进行调整,尤其是针对于交换机、设备的调整,越来越多的功能将会转移。SD-WAN 相对于传统的万网结构,会集成更多的功能模式,通过软件定义的方式,SD-WAN 可以给企业带来更好的统一调度模式,实现更多的功能叠加速度为大家带来功能上更多、无限的可能。
往期文章回顾:
知行学院总结 | 真正多活,不惧宕机——Region及同城多活方案分享
知行学院总结 | 零基础学习音视频技术及场景应用
知行学院 | 运维工程师的逆袭——云资源的管理与维护
知行学院 | QingStor™ 对象存储场景化开发实践
企业智慧办公,高效协同神器 —— Anybox