什麼是軟體定義廣域網SDWAN?
伴着雲計算的興起,軟體定義網絡(SDN)技術帶來了新一輪的網絡技術變革。SDN技術在資料中心和雲網絡中的應用已非常成熟,近幾年業界逐漸把焦點轉向資料中心之外的廣域網,希望用SDN的技術來解決傳統廣域網中的問題遇到的挑戰。
随着企業新興業務的爆發、迅速增長。傳統以昂貴MPLS專線為主的傳統廣域網互聯難以支撐企業WAN的流量激增,SDWAN逐漸成為企業總部分支互聯在雲時代的首選。
SDWAN(Software-Defined WAN)軟體定義廣域網技術,是以廣域網裝置支援虛拟化功能為基礎,建構多租戶的虛拟化軟體網絡,以及軟硬一體化的網絡配置、監控、排程、可視化等功能,實作按需自助、靈活彈性、低價高效地獲得廣域網服務的目的。
相較于傳統網絡裝置廠商提供SDWAN産品硬體的方案不同,阿裡雲則依托于其全球高品質傳輸網的優勢,利用網際網路、4G/5G,與本地專線、長途專線組合,解決“最後一公裡”就近接入阿裡雲全球SDWAN網絡,使用者隻需通過線上購買阿裡雲SDWAN網絡服務,就可迅速獲得專有虛拟的全球廣域網絡。利用SDWAN的技術優勢,進一步平衡并優化企業應用,進而提高企業WAN網絡的可靠性、靈活性和運維效率。最終讓客戶逐漸淘汰自建的老舊廣域網系統,減少IT在長途專線上昂貴的支出。
本文重點介紹的,就是阿裡雲CCN、CEN、SAG等雲産品組成的阿裡雲SDWAN解決方案。
1.1 什麼是CEN
雲企業網CEN(Cloud Enterprise Network),是建構在阿裡雲全球實體傳輸網絡上、OVERLAY層面的多租戶的SDWAN網絡,用于建立各個租戶專有的企業虛拟核心傳輸網絡(CEN執行個體)。每個租戶都可以建立一個或多個專有CEN執行個體,将其國内外各個VPC網絡、雲連接配接網CCN、邊界路由器VBR等,都加載到這個CEN執行個體後,就能實作本企業雲上VPC、雲下IDC機房、各地分支機構互相之間的互通互聯和防火牆安全控制。
簡單地說,客戶隻需要建立并購買CEN執行個體、SAG CCN連接配接等服務,就立刻擁有了一張企業級、高可用、高性能、大容量、安全隔離、全球連接配接的虛拟廣域網絡,再也不用像以前那般投資建設跨省/跨國的實體骨幹網絡。同時,在跨境雲專線部分,阿裡雲也是和中國聯通合作,由聯通營運、通過阿裡雲銷售管道向客戶提供專線服務,確定了線路的合規性。
1.2 什麼是CCN
雲連接配接網CCN(Cloud Connect Network),是在阿裡雲全球實體傳輸網絡的基礎上,建構的一張OVERLAY的SDWAN網際網路VPN雲接入網絡。CCN網絡主要是由Region裡的CCN控制器(獨立于CEN控制器),分布全國和海外主要城市POP點,以及部署在用戶端的SAG組成。主要功能是通過網際網路,就近建立各POP點與使用者各線下分支機構和資料中心的IPSEC VPN連接配接。再通過阿裡雲高速傳輸網絡,實作與阿裡雲CEN雲企業網的虛拟執行個體連接配接。幫助客戶快速搭建一張客戶專有雲的虛拟SDWAN網絡。
CCN連接配接的最大價值,一是将客戶原來時延和品質不穩定的端到端網際網路VPN連接配接,變成一段本省内/城市内的網際網路連接配接,加一段阿裡雲實體傳輸網絡的穩定時延和品質連接配接。二是客戶不需要投資用戶端網絡裝置和中心側彙接網絡裝置(阿裡雲統一提供),就可以建立起一套分布全國和海外的虛拟廣域網,按需自助靈活地開通任意接入點之間的網絡連接配接,彈性擴縮任意2點間網絡帶寬,靈活靈活地在各條互備網絡連接配接上排程網絡流量。目前CCN的已基本覆寫全國一線城市及二線發達城市,海外目前主要圍繞阿裡雲region城市部署。
1.3 什麼是SAG
SAG(Smart Access Gateway)智能接入網關,有硬體、APP(SDK)、鏡像等3種部署形态。其中SAG 100wm/1000智能接入裝置,支援由阿裡雲CCN和CEN統一遠端管理、支援零配置自動安裝上線,可以部署在客戶各地分支機構和資料中心側,将客戶各級分支機構接入阿裡雲CCN、CEN的主打産品。SAG-APP則可以在手機、電腦等個人移動終端一鍵部署,即可遠端SSL VPN接入使用者在阿裡雲上虛拟SDWAN網絡,進而遠端通路企業雲上、雲下IT業務應用系統;SAG 鏡像,則可在直接部署在客戶IDC虛拟機,即可就近接入到CCN各地POP點,實作POP點到客戶雲上雲下資料中心之間的阿裡雲的高速、優質地網絡轉發。
下面我們主要介紹面向金融分支機構客戶SDWAN方案,那麼首先我們來了解一下,目前金融分支機構的廣域網現狀。
剖析:金融分支機構廣域網現狀
上圖為典型的全國性中大型分支機構客戶扁平化廣域網網絡設計架構
具體架構如下:
- 資料中心之間通過多家營運商MPLS VPN網絡實作高速互聯;
- 省級機構保持2條MPLS VPN線路,連接配接各個資料中心和總部機構,地市級機構隻保留一條專線,另一條采用網際網路寬帶;
- 各個營業網點通過 1條MPLS VPN專線或網際網路線路,連接配接交易所、總部機構、資料中心;
以上扁平化廣域網設計,可實作各級業務人員通過移動網際網路就能線上辦理客戶業務,各級辦公人員也可以實作通過ssl-vpn遠端安全通路企業資料中心的各類業務系統。
但同樣,也存在如下的挑戰:
1、建設成本高:
總部機房和資料中心之間互連專線、省級/地市2條上行專線建設成本高,往往網絡占到了IT總支出相對一部分的成本。
2、分支網際網路線路品質無保證:
分支機構跨省、跨營運商的互聯線路存在較大的時延、抖動、丢包等威脅,網絡品質可靠性不足。
3、分支網絡和裝置運維量大:
三級傳輸網絡高SLA運維依賴内部3級機構協同配合,難以統一集中管理。各級分支機構接入網絡裝置缺少自動化配置和一體化監管控能力。
4、未統籌考慮混合雲組網要求
同時,随着保險、證券業務應用逐漸上雲,客戶的網絡架構也需要解決各級分支機構需要同時高速連接配接雲下和雲上部署的應用系統,如何低成本、平滑建構混合雲組網是面臨的一大挑戰。
解讀:金融機構廣域網發展趨勢
随着我國金融機構的數字化轉型不斷深入,金融業務應用更加場景化、生态化、智能化。這些業務應用的發展趨勢,促使金融機構WAN廣域網向扁平化、線上化、服務化的發展。
而雲計算服務,不僅是一種軟體定義IT基礎設施的技術架構,更是一種規模經濟、服務經濟、平台經濟的商業模式。按需自助服務、靈活彈性擴充、低成本高效、随時随地接入等雲計算的的特性價值将得到最大限度發揮。
随着監管部門不斷開明開放、鼓勵支援、規範管理公共雲/金融行業雲的背景下,以互金、保險、基金為先鋒的金融機構,将會優先擁抱連接配接公共雲、行業雲。金融機建構設發展融合專有雲、公共雲/金融行業雲的一體化混合雲架構,成為必然趨勢。這将促使金融機構廣域網,與公共雲/行業雲的廣域網,進行廣泛地連接配接和融合。
為了更好地服務好金融客戶,阿裡雲網絡面向金融機構廣域網分支互聯場景,推出了阿裡雲雲原生的SDWAN解決方案。
面向金融機構的阿裡雲SDWAN解決方案
場景1-分支機構全面線上
目标場景:
• 全國多分支機構的保險、證劵、基金等金融類客戶。客戶原廣域網絡每個分支機構有2條專線與總部互聯。
• 全國性保險類分支機構,通過此方案與總部資料中心構造扁平化網絡改造。
方案介紹:
• 客戶國内分支機構,通過1條專線+1條網際網路寬帶或者1條網際網路寬帶+1條4G/5G,連接配接到阿裡雲CEN雲企業網。
• 客戶本地資料中心,通過2條專線,就近連接配接到阿裡雲接入點機房
• 客戶将基于阿裡雲CCN、CEN網絡,建立自己專有的、覆寫國内、海外扁平化、虛拟化SDWAN網絡,實作客戶雲下各資料中心、各級分支, 以及雲上各VPC網絡和網際網路出口等靈活互連的混合雲網絡。
場景2-分支機構混合線上
目标場景
• 已經在雲上/雲下分級部署了應用系統的大中型保險類客戶
• 本地資料中心,通過2條專線,就近連接配接到阿裡雲核心節點中某個城市的2個接入點機房,再接入阿裡雲CEN。
• 客戶省分公司,保留1條原營運商專線連接配接本地資料中心,再通過一條專線就近連接配接到阿裡核心節點中某個城市的接入點機房。雲下雲上WAN裝置、連接配接,統一納入阿裡雲SDWAN控制器集中管理。雲上雲下2條網絡連接配接,根據排程負責不同業務流量的路由,并互相備份。
• 客戶地縣區網點,通過1條專線(營運商MPLS VPN),1條網際網路寬帶或1條網際網路4G/5G,連接配接到阿裡雲CCN雲連接配接網再到阿裡雲CEN雲企業網。
• 客戶在香港或其他的海外資料中心,隻需要租使用者1條海外專線連接配接阿裡雲海外機房接入點,再租用一條海外網際網路線路,就可以與國内建立高速網絡連接配接。
針對以上兩種場景的方案,我們總結了以下幾點阿裡雲SDWAN方案價值:
• 成本節約:客戶可節省原大量骨幹網建構的裝置采購,線下分支通過SAG或實體專線即可就近接入阿裡雲全球傳輸網絡。通過阿裡雲SDWAN線路替換其中一條省會、地市2條長途專線,大幅降低網絡成本。日常維護營運成本也将大幅下降,無需5年一次WAN全面更新換代,總體成本節約35%-45%。
• 安全可靠:各級分支機構網際網路就近連接配接阿裡雲全國的POP點,POP點通過多條營運商專線連接配接阿裡雲CEN。配合阿裡雲内部SDWAN的秒級鍊路品質檢測能力和智能排程,為使用者提供品質高于傳統網際網路VPN的接入服務。
• 混合組網:客戶可分鐘級線上自助開通任意2機構之間的網絡互連接配接,打造線上/線下一體化混合雲容災架構。也可以與雲上其他企業之間對等自助開通任何兩點間的網絡連接配接,迅速建構對接的網絡互聯。
• 靈活彈性:線上分鐘級帶寬自助擴縮,大量擴充分支機構,無需新增本地DC裝置。同時也利用阿裡雲全球傳輸網的優勢快速擴充出海機構業務,完成全球一張網的互聯。
• 簡單運維:SAG零配置自動上線、鍊路端到端健康檢查快速故障監控和切換、集中自動配置QOS和安全政策。雲上雲下網絡裝置、鍊路、流量狀态集中可視化管理,大幅降低企業IT運維壓力。
通過對阿裡雲面向金融分支機構的SDWAN兩個場景化的解決方案介紹,我相信大家對阿裡雲SDWAN的能力及價值有了初步的了解。下面我們也來分享一個阿裡雲在某金融機構的最佳實踐。
案例解讀
某金融客戶WAN網絡現狀:
• 雲下兩地災備IDC,雲上兩地2個容災中心架構。雲下2個資料中心之間租用2條MSTP實體線路。同時,兩地資料中心各租用2條MSTP線路連接配接本地阿裡雲。
• 全國30+家省級分支機構各租用2條MPLS VPN線路,接入北京、上海2個雲下資料中心。
• 全國300+個地市級分支機構各租用1條MPLS VPN線路、1條網際網路VPN線路,分别接入北京、上海 2個雲下資料中心。
結合目前客戶的廣域網現狀,我們提出了以下的優化改造方案:
• 雲下2地資料中心,各通過2條1G MSTP線路連接配接本地阿裡雲
• 省級分支機構原有2條MV專線,利用SDWAN線路替換1條MV線路。
• 地市分支機構原有1條MV專線、1條網際網路寬帶專線,改為1條阿裡雲寬帶網際網路CCN連接配接、1條阿裡雲4G網際網路CCN連接配接。
改造成本對比:
| SDWAN服務改造方案 | 成本下降 |
| 兩地資料中心改造 | 33% |
| 省級分支機構改造 | 50% |
| 地市級分支機構改造 | 83% |
| 合計 | 60% |
除了在建設成本的優化,利用阿裡雲SDWAN的靈活彈性,客戶可以根據業務的需求靈活的調配SDWAN帶寬,做到針對的網絡為業務服務,進一步地提升了營運效能。利用阿裡雲SDWAN的簡單運維的特點,客戶可以實作雲上雲下統一的可視化監控管理,讓網絡做到真正的可管可用。同時,基于阿裡雲SDWAN全球一張傳輸網絡的優勢,地級分支機構隻需就近加密加入阿裡雲pop即可完成分支總部的核心網互聯,避免了原有跨省、跨營運商的公網時延、抖動、丢包對業務帶來的可靠性影響,進一步地提升了總部分支機構廣域網的網絡品質,確定業務的穩定性。
寫在最後
與其他廠商的SDWAN方案相比,阿裡雲提供的是一站式雲網端“雲原生”的SDWAN解決方案。從2018年推出智能接入網關作為阿裡雲SDWAN的CPE角色,也是阿裡雲雲網一體化的一次新嘗試及突破。
經過兩年多市場的曆練和考驗,阿裡雲SDWAN已經在金融、傳統政企、跨國集團、零售門店等多個領域落地了最佳實踐。我們希望通過阿裡雲計算網絡的技術和産品,能夠服務更多的客戶,在為使用者提供更加友善快捷的上雲服務同時進一步放大雲計算的優勢和效能,為企業客戶提供一張自服務、便捷、高品質的廣域網服務。