對于2015年才出現的SD-WAN,一直處在“一個名詞,各自表述”的尴尬中。但由于其在目前的網絡圈太火爆的緣故,已經到了“腳踢×××,拳打路由器”的地步,各路廠商紛紛易幟,不管有的沒的,都言必稱自己的家當就是SD-WAN,以至于各位看官也不清楚誰是誰非,隻能袖手旁觀,看個熱鬧。
了解到Abloomy在市場上釋出自研的SD-WAN産品之際,我對SD-WAN見諸于媒體文章的概念讨論進行了整理,試圖給出有價值的總結。
縱觀各廠商對于SD-WAN的介紹,不管是有意還是無意,都傾向于通過描述使用SD-WAN所帶來的好處說明SD-WAN是什麼,這就好像在暗示,“不管黑貓白貓,抓住老鼠就是好貓”。
Wiki上面的定義是這樣的:SD-WAN is an acronym for software-defined networking in a wide area network (WAN). SD-WAN simplifies the management and operation of a WAN by decoupling (separating) the networking hardware from its control mechanism. This concept is similar to how software-defined networking implements virtualization technology to improve data center management and operation。
國内行業協會的定義也類似:軟體定義廣域網絡,是将SDN技術應用到廣域網場景中所形成的一種服務。
對于大多數非業内人士,通過這個定義仍然不能弄明白SD-WAN是什麼?具備SD-WAN功能的産品該是什麼樣?但最起碼知道了,SD-WAN應該源自于SDN,也就是它應該具有SDN的一些實作思路和技術特點。
SDN追求的是什麼?
傳統意義上的SDN是一個區域網路範圍内技術,其出現來自于校園網,最早被應用到資料中心領域,主要為資料中心部署雲業務服務。而随着SDN在IDC、在雲中心的普及,SDN的這一關鍵思路被進一步與雲計算的概念相契合:
--硬體簡單化、通用化:SDN提倡用功能簡單和标準化的網絡硬體建構IDC的網絡基礎設施,實際上這是降低方案成本的關鍵,這也與雲計算基礎設施的建構思路相吻合。
--網絡虛拟化:可以說SDN促進了網絡虛拟化在自動化業務部署方面的普及。原始的網絡虛拟化技術更像是一種網絡隔離技術,可以認為是一種進化版的VLAN技術。在與SDN的集中控制體系、基于主機的服務虛拟化相結合後,它迅速成為了SDN連接配接控制層面虛拟化、網絡資源虛拟化、虛拟化平面與實體網絡銜接的關鍵手段。同時,網絡虛拟化的概念借此進一步的進化成為一種網絡功能虛拟化方法(NFV)。
--控制中心化:SDN嚴格區分控制層面的行為和轉發層面的行為,這與SDN的實體網絡相對單一不無關系。SDN的中心化控制受限于單一控制器的控制能力和控制區域整體網絡性能。SDN通過集中控制保證了在區域内的管理效率和手段簡化,同時也實作了控制器的虛拟化部署。
--資料透明化:與控制中心化相對應,SDN實作了轉發資料相對控制器和控制層的透明,畢竟,SDN控制器需要通過下發的政策和規則對流經交換機的資料進行轉發控制,SDN控制器所能看到的資料深度和種類決定了整個SDN網絡對客戶業務的SLA的承載能力。
SD-WAN從SDN繼承了什麼?
首先,SD-WAN是SDN思想在廣域網領域的延伸。除了研究的網絡對象不同(SDN面向本地的區域網路,SD-WAN面向廣域網),其“轉控分離”的基本思想被完全繼承。并且,在硬體通用化、網絡虛拟化、控制中心化和資料透明化方面兩者都有相似的說法。
但由于SD-WAN與SDN的應用環境和商業環境都不同,兩者在實作形态和實作途徑上的考慮有很大不同:
--在轉發層面的控制要求不同:SDN強調轉發完全由三層硬體實作,即在端口轉發線速的前提下,能夠對應用轉發控制深度盡量細化。SD-WAN則是要求轉發層面對于傳輸層(Underlay)的抽象封裝提出了要求,也就是說,通過SD-WAN建立的端到端的邏輯鍊路(實體或虛拟)和網絡(overlay)應該能夠以抽象的傳輸資源的方式被調用,overlay的傳輸工作不應該涉及underlay中複雜的傳輸協定處理。這樣就可以簡化對通信的管理和配置。
--在控制層面轉發控制目标不同:SDN的控制目标是保證全域(LAN範圍内)内業務流量的轉發性能(帶寬)達标。SD-WAN的控制目标則是保證全域(廣域網WAN範圍内)内業務流量的可靠性(QoS)和性能(帶寬)達标,為此SD-WAN需要能夠駕馭多種傳輸網絡(MPLS/SDH、以太網、無線、4G/LTE、衛星通訊等),并在全域範圍内排程這些網絡為業務流量轉發服務。
SD-WAN真正要實作什麼?
按照我自己的歸納和了解,SD-WAN真正想要實作的就是:充分利用企業所能夠使用的通信手段(MPLS/SDH、以太網、無線、4G/LTE、衛星通訊等,還有專網和網際網路),以“轉控分離”的方式,實作以全業務流量QoS為目标的,全域選路控制和業務政策編排。
是以,相對于傳統的路由器組網所實作的廣域網傳輸方案,SD-WAN在以下幾點上提出了全新的實作思路:
--轉控分離:這個在前面SDN介紹中已經提及,SD-WAN隻是在分離的程度上有所不同,由于SD-WAN更多的是關注面向overlay層的轉發控制,是以underlay層的控制更多的會放在轉發層面來實作。
--全域選路控制:SD-WAN很大程度上以此替代了傳統路由器的動态路由協定。我們知道傳統的動态路由協定一般都是通過搜集本地鍊路QoS和可達資訊,在域内的路由器間進行路由資訊交換和表決,來維護本地動态路由轉發表進行實際的轉發控制。即使是BGP協定也不過通過Route Reflector将這些路由資訊集中起來進行分發,具體的路由判斷,也就是轉發控制仍然在本地完成。而SD-WAN可以簡單的認為是直接在其SDN Controller上統一維護“一張”全域的路由表,CPE/Edge裝置隻需要将本地鍊路資訊上傳,并接收SDN Controller針對其釋出的路由表就可以了,路由處理和轉發控制被極大的簡化了。
--統一的QoS控制:相比于傳統網關和路由器裝置各行其是的本地QoS政策控制,SD-WAN強調實作集中化的QoS分析和統一的QoS政策分發。CPE/Edge裝置實時上報本地鍊路資訊資料(其中包含了鍊路目前的網絡特性,包括延遲、jitter、丢包和可用帶寬),SDN Controller統一進行分析,網絡管理者将SLA目标輸入轉化為各種特定業務應用的QoS定義--帶寬、延遲、jitter、資料包丢失等,控制器将這些要求轉換為對應邊緣裝置“即時”的路由政策,以選擇發送該流量的最佳路徑。從另一個角度來說,統一的QoS控制也就是全局選路的判權政策。
--業務政策編排:SD-WAN的“軟體定義”特征主要依靠“政策編排”來展現。政策,說明了SD-WAN對于業務、應用、CPE/Edge裝置、鍊路、網絡特性、SLA/QoS保證、路由等的控制方式。編排,是政策與SD-WAN下轄資源(如,可用Overlay鍊路池、overlay網絡特性、可用underlay鍊路池、underlay鍊路特性)的映射和關聯方式,簡單的說,就是業務需要怎樣使用SD-WAN達到相應SLA目标的自動化方式。既然是自動化方式,就意味着SD-WAN的SDN Controller可以自發的調整那些政策,使用下轄的資源,自動化的程度高低和政策控制粒度的精細程度,決定了SD-WAN的業務編排能力,也就是SD-WAN實際的實作水準。
如何識别真假SD-WAN産品?
--在基本了解了SD-WAN的真正含義和來龍去脈後,我們回到本文的初衷:如何辨識真假SD-WAN産品。
--就像文章開始所講,SD-WAN至今沒有統一的定義,這造成衆多廠家的SD-WAN解決方案并不存在統一的評價标準,一些廠家也借此“趕時髦、蹭熱度”,刻意混淆SD-WAN真正的技術概念和方案意圖,客觀上阻礙了SD-WAN市場的健康發展。近來在行業内就曾出現過有廠商采用傳統的×××配合内部的MPLS骨幹簡單實作僞SD-WAN方案的案例,更有甚者,竟然使用L2TP+MPLS+SNMP方案,對客戶宣稱是SD-WAN的笑話。
--由于SD-WAN的産品和方案并不排斥與舊有技術和産品進行整合,這為辨識真假帶來了不少困擾。是以我認為,可以使用兩種方法來對這個問題進行判斷:
--從SD-WAN的根本特征出發進行辨識
--從SD-WAN産品的外在功能點進行歸納判斷
從SD-WAN的根本特征出發進行辨識
這種方法實際上是一個測試方法,需要讀者自身具備分析SD-WAN系統的基本能力,也就是能夠自主的對SD-WAN系統的各部分進行考察,進而判斷某個SD-WAN系統是否存在疑點。
根據前面的介紹,我認為SD-WAN必需具備的四個根本特征是:轉控分離、全域選路、統一QoS控制和業務政策編排能力。為此,讀者可以在某個SD-WAN系統中尋找其是否具備以下特點:
--通過考察Controller判斷其是否具備“轉控分離”
在這個SD-WAN系統宣稱的Controller上,考察其是否與本地的流量轉發功能完全分開。因為SD-WAN系統的Controller作為系統中的中心化的控制設施,可以是一台獨立的專用裝置,也可以是部署于IDC中的虛拟化伺服器,或者企業網絡中心位置的某個虛拟化應用。是以,我們需要确信,這個Controller與其他所有具有本地的流量轉發功能的SD-WAN裝置(CPE/Edge裝置)都具有通信連接配接。
考察這個Controller具備轉發政策的釋出能力。因為SD-WAN系統的轉發政策基本都依賴三層及三層以上的路由規則進行,是以我們需要确信這個Controller能夠生成這樣的路由規則,并涵蓋下轄所有的SD-WAN裝置(CPE/Edge裝置)。
**至此,我們可以基本确認這個Controller基本具有“轉控分離”能力,但這不包括與BGP系統差別開來,為此需要下面的步驟。
--通過考察CPE/Edge裝置進一步确認“轉控分離”
考察SD-WAN系統中的CPE/Edge裝置的路由轉發表。由于SD-WAN系統中的Controller負責更新域内所有轉發裝置的轉發表,是以,判斷線上的CPE/Edge裝置是否完全依賴Controller進行路由轉發表進行更新就可以了。
--通過考察Controller和CPE/Edge裝置判斷其是否具備“全域選路“能力
通過選擇某個CPE/Edge裝置的本地鍊路進行通斷,判斷其是否會上報鍊路資訊給Controller。
考察這個Controller是否更新自己的全局政策表,并更新相關多個CPE/Edge裝置的轉發表。
在這個過程中端到端的的兩個CPE/Edge裝置上的業務連接配接(如,視訊播放)不應該中斷。
--通過考察Controller和CPE/Edge裝置判斷其是否具備” 統一QoS控制“
需要在這個SD-WAN系統中引入至少兩個業務持續流量(比如,兩個視訊播放),以此來表示不同級别的QoS政策所帶來的效果。
對這個SD-WAN系統引入新的傳輸鍊路(最好是新的鍊路類型),設定新的QoS政策,并與前面其中一個業務流量的QoS政策進行關聯。
斷掉原有的傳輸鍊路,應該能夠看到QoS政策對于不同業務流量的傳輸效果變化。(具體政策依賴于具體的實驗方法)。
--通過考察Controller判斷其是否具備業務政策編排能力
考察這個Controller的資源清單所涵蓋的範圍。
考察這個Controller的政策類型所涵蓋的種類。
考察這個Controller的資源編排器(不同的廠家有不同的名字)是否涵蓋上述兩方面的内容。
**據此我們就基本确定這個Controller是否有業務政策編排功能,具體能力大小則需要另外判斷。
當這個系統通過了以上的考察和測試後,我們就能夠比較有把握的認為這個系統是一個SD-WAN系統了。
從SD-WAN産品的外在功能點進行歸納判斷
由于人們并不會都有機會接觸到某個SD-WAN系統,通常隻能接觸到該SD-WAN系統的宣傳資料和部分功能清單,是否可以通過對這些文字資訊進行判斷得到結論呢?這裡我嘗試給出一份基本SD-WAN系統功能清單(Abloomy),輔助讀者進行判斷:
- 遠端站點/分支機構可以通過公有或私有WAN主動接入業務應用。
- 支援分支站點裝置WAN鍊路的多種備份和聚合方式
- SD-WAN的控制器支援單/雙叢集、虛拟化部署方式。
- 支援根據統一的應用政策對跨專用和公共WAN路徑的流量進行動态調整,并在傳輸和應用層上控制(提高或降低)WAN服務的性能。
- 支援以集中的可視化方式管理關鍵性業務和實時應用程式的流量運作狀态,并能對其進行控制優先級的排序。
- 支援分支站點裝置的零接觸部署(ZTP),在直連的基礎裝置上幾乎不做任何配置更改,確定配置和部署的靈活性。
- 支援集中政策配置,保證帶寬配置設定、優先級自動排序和鍊路選擇的實時性。
- 支援基于業務應用程式的性能要求(帶寬、延遲、jitter、資料包丢失)預定義模闆。
- 支援廣域網優化。
- 支援AAA(認證,授權和計費),支援RADIUS、LDAP或AD等。
- 支援具有IPsec和SSL ×××同樣等級的鍊路安全屬性。
- 分支站點裝置支援本地或雲端基于NFV的服務編排,支援封包捕獲與解碼能力(DPI)和防火牆功能。
- 支援基于角色 / 多租戶(同層 / 分層)的通路控制功能
![【網絡篇】第五篇——網絡套接字程式設計(一)(socket詳解)socket程式設計LINUX下socket程式的示範[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)