SD-WAN首次出现于2015年,随着技术、架构以及商业模式的快速发展和完善,已成为众多企业解决传统WAN架构封闭、业务体验难保障、业务部署慢和运维困难等问题的首要选择。SD-WAN搭乘云计算和SDN技术的快车,能够将企业的分支、总部以及多云/数据中心互联起来,应用在不同链路之间选择最优路径进行传输,组建安全、可靠、稳定的企业WAN网络,部署简单,运维方便,为企业提供优质的组网上云体验。
1. SD-WAN技术介绍
企业WAN(广域网,Wide Area Network)历经TDM(时分复用电路)到Packet-over-SONET(同步光纤网上分组数据),再到MPLS(多标签协议交互)以及以太网接入的过程,虽然所用技术发生了翻天覆地的变化,但是仍然存在WAN架构封闭、带宽昂贵、服务配置周期长、业务体验差等问题。
在此背景下,SD-WAN应运而生。SD-WAN(Software Defined Wide Area Network,软件定义广域网),是SDN(软件定义网络)技术在WAN(广域网)中的一种特定应用场景,多用于企业分支、总部和数据中心/多云之间的互联互通,其典型特征是将网络控制能力通过软件方式“虚拟化”,支持可感知的网络能力开放,提供一种快速、低成本的部署方式,极大程度的降低企业WAN成本,显著提高网络连接灵活性,能够有效解决上述问题,受到企业、运营商以及通讯设备商的热烈追捧。
2. SD-WAN技术术语
在SD-WAN应用场景中,一般涉及以下术语和缩略语。
3.SD-WAN技术架构
近年来,SD-WAN虽然发展迅速,但是没有一个事实的衡量标准,各家技术差别较大。目前,主流市场上,按照SD-WAN控制器对网络域的控制边界,SD-WAN技术架构大致分为四类:
3.1 无PoP网络架构也称叠加网络结构(On-Prem-Overlay)
3.2 云端PoP架构也称(On-POP-Overlay架构)
3.3 混合架构也称(Integrated SD-WAN架构)
4.无PoP网络架构,适用于中小规模的企业
在原先单一的WAN接入方式基础上,提供多种接入方式。在企业分支、数据中心、公有云上等站点分别部署CPE/vCPE,与SD-WAN控制器互联,CPE/vCPE之间利用互联网和VPN技术实现加密安全连接,网络架构如下图所示:
图1 无PoP网络架构
在无PoP网络架构中,分支机构通过隧道连接,由SD-WAN控制器统一管理控制,简化了传统WAN的操作和管理,组网更灵活。但是如果企业用户有Full-mesh的网络需求,隧道管理就会比较复杂,因此适用于中小规模的企业。
5.云端PoP架构,适用于分支众多、有跨省业务的中大型企业
云端PoP架构中,SD-WAN服务商提供多个接入点(PoP),PoP点的一侧与企业分支机构的CPE互联,另一侧与运营商的MPLS网PE直连,在PoP之间建立专线骨干网以保障SLA,解决跨运营商的网络质量问题。企业分支与总部可就近接入PoP点,通过PoP点进行互联互通。
图2 云端PoP架构图
云端PoP架构采用PoP接入,大大简化隧道数量和配置,是SD-WAN服务商向中大型企业推荐的经典架构,尤其适用于分支众多、有跨省业务的中大型企业。
6.云端PoP架构,适合有大量云联网业务的企业
在混合架构中,SD-WAN控制器可纳管1个或多个运营商的MPLS网PE、租户VPN等,支持与客户原有VPN网络进行混合组网,可方便对接各运营商骨干网,实现全国范围内集成VXLAN、IPSEC VPN、MPLS VPN、SD-WAN等多种应用技术的WAN解决方案。
图3 混合架构图
混合架构集成多种Overlay技术,解决了运营商“最后一公里”问题,打通了MPLS租户VPN与SD-WAN租户VPN,适合有大量云联网业务的企业
7.应用场景
SD-WAN面向大、中、小、微型企业,提供互联网访问、分支互联和入云管理等多种应用场景,满足用户不同网络连接需求。
7.1 互联网访问
在SD-WAN场景中,用户可通过CPE直接访问互联网,满足企业用户本地上网需求。CPE作为企业出口网关,可直接与Internet互通,并提供应用策略、网络QoS、ACL等精细化流量管理服务。
7.2 分支互联
SD-WAN根据企业实际需求,可在各个站点的CPE设备之间基于Internet、MPLS、专线、4G、5G等多种WAN链路建立隧道,支持隧道两端的分支机构通过隧道互联互通。SD-WAN将每个企业作为一个租户,基于租户进行网络资源的规划建设,支持对不同租户构建相互隔离的VxLAN封装的2层或3层叠加VPN网络,同时可根据企业的业务发展灵活调整,弹性伸缩网络分支站点,组网安全、便捷,运维自主可控。
7.3 入云管理
在云计算发展的如火如荼的今天,多数企业选择租用运营商或第三方厂商的公有云服务,替代传统的数据中心,在云端部署企业业务,降低企业成本。SD-WAN提供Internet、MPLS、专线、4G、5G等多种接入方式,通过在云端以虚拟机或裸金属形式部署vCPE服务,与部署在企业分支的CPE之间建立隧道,打通从企业用户本地到云内的网络通道,实现一跳入云,并提供安全组管理、访问控制管理、应用策略管理等功能,为企业用户提供安全、可靠的上云服务。