今天的SD-WAN
對于絕大部分的企業而言,IT系統已經成為了企業運營中的一個關鍵基礎設施,這其中網絡部分Internet的接入、企業分支/合作伙伴之間的VPN連接是IT化基礎設施中重要的部件。而MPLS VPN專線接入價格高昂,對于大部分企業是筆不菲的支出;同時對于運行關鍵業務的企業總部或重要站點,往往需要連接到多個運營商或采用多種接入方式以提供網絡冗余的保護,進一步增加了WAN接入的成本。科技進步的實質就是降低成本,使得組織和個人單純的需要和欲望變成可以支付得起的需求,從而釋放購買力,創造新的產業細分領域;除了少數以奢侈作為賣點的領域,任何有實用價值但是使用的金錢、時間成本過高的產品和服務都是下一個被顛覆的機會點。
在過去二十年,大部分企業都部署了局部的各種WAN加速和應用交付產品,包括Caching、多出口的流量工程、TCP加速、SSL Offloading等特性,也有不少部署了自己的IPSec VPN用于分支到總部的VPN連接,但這些相對孤立的技術部署分別從不同的供應商采購,缺乏統一的管理維護機制,部署門檻高,效果難以保證,一方面MPLS專線費用占據了大部分的預算,給企業帶來了嚴重的負擔,尤其是中小企業,不要說MPLS VPN專線,即使是普通的Internet專線,可能也超出預算上限。SD-WAN在此情況下應運而生,是傳統各種WAN加速技術的集大成者,并且在此基礎上提供了統一的集中策略管理和自動化業務發放平臺,通過精細化管理、動態調度多出口,最大化利用WAN帶寬,降低關鍵業務對于MPLS專線帶寬的需求,從而降低了企業的支出。無論是何種SD-WAN,其關鍵的特征如下:
1、集中的基于應用的WAN策略管控和自動化配置。
2、多出口鏈路的管理,包括MPLS專線、普通PON/DSL Internet連接、LTE無線網絡等,在充分利用多種鏈路帶寬的情況下,最大化保證業務質量;通過實時測量多個出口的鏈路時延、丟包等質量,將不同質量、帶寬要求的應用調度到最佳出口上,同時快速進行故障的切換。
3、應用識別和監控分析,并且將應用識別的結果和多出口鏈路優化結合起來,不同的應用定義不同的QoS等級、SLA保證策略,動態選擇最佳的出口鏈路。
4、轉發面站點之間的連接采用Overlay技術,以消除對Underlay網絡的依賴。SD-WAN控制器控制Overlay的端點來實現策略配置的自動化,而無需介入到復雜的Underlay網絡配置中去。
5、企業CPE設備的即插即用。通過預置證書和引導過程,上電自動接入網絡,終端認證后接入SD-WAN控制器,由后者自動完成初始配置。當然也可以采用USB Key發放證書,標準化CPE的引導和認證過程來實現類似于手機的SIM機制。
6、對于安全策略應用的統一管理,包括基本的ACL策略、防火墻、流量清洗等應用。7、多點VPN隧道之間的動態路由協議支持。考慮部分分支采用Internet連接,無法直接相連,需要通過有公網IP的分支或者總部進行中轉.
對于企業網絡應用而言,除了基本的Internet接入外,網絡主要是總部-分支、分支-分支之間的VPN連接。此外隨著公有云/混合云逐漸成為企業IT交付的主要形式,VPN接入公有云也是SD-WAN的一種重要應用,典型方式是SD-WAN運營商設置PoP點和AWS、Azure、阿里云等專線直連,企業及其分支連接到就近的運營商PoP點,通過VPN直連到公有云的企業VPC中。
對于運營級SD-WAN,其往往還承擔了運營商提供網絡增值服務,擴大銷售收入的重任,在提供連接服務的基礎上,提供防火墻安全防護、流量清洗、上網行為管理等等服務,這些增殖服務按簽約付費提供。由于這些服務往往需要部署在企業端,因此SD-WAN 的CPE設備運營商更加傾向于采用X86架構,可以采用虛機或容器方式靈活部署此類增殖業務。由于通用的云平臺一般只能管理數百臺計算節點,部分采用云/網一體化方案的廠商,用OpenStack把CPE當成普通計算節點管理的SD-WAN方案對于運營級要求而言,缺乏必要的可伸縮性。
各大咨詢公司都預測今后幾年SD-WAN市場快速增長,IDC預測到2020年達到$6B,然而企業的信息化支出基本是剛性的,這個增長的市場很大程度上主要來源于對傳統出口路由器設備、WAN加速產品的替代以及MPLS專線費用支出的節省。電信運營商也參與此類市場,毫無疑問不是單純為了降低自己的MPLS專線收入,而是擴大收入來源,提升客戶黏度,在單純專線服務之外,提供Internet、無線接入等多出口鏈路管理、安全服務等一攬子服務。
SD-WAN的發展
隨著SD-WAN應用的普及,看起來似乎更有可能出現一個或多個基于SD-WAN技術的Overlay企業專線運營商,就像90年代末互聯網發展起來之后出現的大量VOIP的運營商,包括像Skype這樣的公司、Viber這類軟件。而今天其實微信等軟件內置的語音功能已經足夠強大,其多方通話的客戶體驗遠超運營商提供的服務,軟件技術的持續改進可以完全抵消底層網絡基礎設施上的不足。
然而和單路語音業務幾十Kbps的帶寬相比較,提供企業專線的Overlay中轉需要建設一定數量PoP點、租用運營商的大量帶寬,有相當的資金門檻,但是這對于那些具有一定網絡和數據中心布局的二級運營商和云業務運營商提供了一定的機遇,他們不必拘泥于客戶一定要綁定自己的的Internet接入或專線業務,因而可以提供真正的多運營商多出口的方案。
作為一個運營級的Overlay方案,要提供一個國家乃至跨國的方案,必須要有一定數量的PoP點,使得地理上客戶離最近的PoP距離在一定范圍內,以保證傳輸的時延不嚴重影響客戶體驗。那么多個PoP點之間也要運行動態路由和鏈路質量檢測協議,以供Overlay最佳路由選擇使用。這就非常類似于P2P技術中的超級節點和普通客戶端的關系,由PoP點構成了一個超級節點的集群,每個普通客戶可以根據網絡拓撲位置以及鏈路質量連接到多個超級節點,任何兩個客戶端之間如果兩方都沒有公網地址,那么SD-WAN要為其連接選擇至少1個、至多2個中轉節點進行中轉,以保證鏈路最優。在網絡世界中,由于不同運營商間互聯互通帶寬、時延差別都很大,兩點之間未必直達路由通信質量最佳,因此即使是兩個CPE一方有公網IP,調度時也可能需要經過中間節點中轉,以獲得最佳端到端的通信質量。
Overlay Routing需要收集全網的BGP AS Path,甚至是部分IGP的拓撲,可以借用IETF的ALTO架構來實現基于網絡拓撲的選路。但這是遠遠不夠的,如前所述,Underlay拓撲最近未必通信質量最佳,必須輔以PoP點(超級節點)間的鏈路質量實時探測作為路徑選擇的依據。如果進一步借用P2P的架構,可以將部分具有公網地址的CPE選擇為超級節點,承接一部分的CPE之間的NAT穿越/中繼流量(不用奇怪,P2P是最早的共享經濟模式,只不過共享有版權的數字化資產比采用自購固定資產參與運營更容易觸及法律的紅線),作為運營商自建PoP的補充,從而使得投資的總規模可控。但是企業客戶更加不愿意共享自己的帶寬,所以必須要有一定的激勵機制,比如承擔超級節點那么SD-WAN的服務不僅不用花錢,還可以掙錢。
當客戶節點加入之后,中繼節點的數量將會是海量的數字,并且需要全局的最優Overlay路徑計算,今天SD-WAN的CPE節點單點多出口自行鏈路切換選擇的方式已經無法適用。以往的諸如BitTorent、Skype、eMule等P2P系統采用DHT分布式算法來維護超級節點之間的集群和資源切片信息,客戶端向超級節點下載資源節點列表并進行通信。但是諸如CHORD、Kad、Pastry這樣的DHT算法是以數據為中心的分布式算法,以數學距離來生成數據路由表,決定數據和節點的存儲關系,適合于維護內容的切片及路由,并不完全適合于終端之間的通信關系最優化選路。作為一個運營級的Overlay路由算法要平衡中繼的成本和路徑時延,原則上來講需要保證兩個客戶端之間最多經過兩個中繼節點,這樣就需要全局、準實時的節點和路徑狀態的更新,而為了保證系統的可伸縮性,路徑的計算和切換需要在集中點和CPE設備間分工協作完成。
IP網絡演進探討
對于網絡而言,核心的設計主要就兩點:編址(Addressing)和路由(Routing),也就是說怎么對通信終端進行編號,怎么端到端尋址和路由。傳統語音網絡采用電話號碼作為終端的編址,設備采用信令點編號或者域名進行編址,移動網采用HLR/HSS來存儲終端和網絡設備的附著關系,信令和媒體分別尋址。IP網絡采用IP地址作為主機的編址,路由設備間通告路由前綴來實現路由信息傳播,并且不區分網絡設備和終端設備,應用也直接看到IP地址,在TCP/IP的Socket接口上進行編程通信,所以IPv4到IPv6的升級成了一個牽一發動全身的大事,二十多年過去了,IETF天天喊著IPv4地址已經耗盡,但是業務的遷移已經進展緩慢;Internet骨干網的路由表項的膨脹則是另外一個問題
在過去的數年里,學術界和標準組織提出了許多的方案用于未來數據網絡的演進。大部分基本的思路還是名址的分離,但是名字是什么,不同的技術有不同的設計,在什么層次去實現名址的分離也有不同看法。比如PARC于2009年提出的CCN(Content Centric Network)就認為未來網絡必定以內容為中心,因此應該以內容名字作為編址,采用內容路由器作為數據網絡的基礎設施,此項技術在2010年受美國NSF贊助,改名為NDN(Named Data network),后來學術界又起了一個名字叫ICN(Information Centric Network);互聯網內容訪問的長尾效應帶來的Cache命中率低下的問題是否適合內容路由在此就不展開討論了(CDN是應用層解決方案)。IETF在2009年開始標準化LISP(Locator and Identifier Separation Protocol )協議,起初是為解決骨干網的路由表膨脹問題,把終端編址(名字)限定在邊緣路由器以下,骨干網絡設備才有地址,本質上也是一種接入邊緣和核心分離的技術。此外IETF也有更早一點的基于Overlay的HIP(Host Identity Protocol)技術。MIP/PMIP這種過往的技術在CDMA EVDO中用了一代,最終被3GPP的GTP協議徹底替代,在此不再贅述。
名址分離系統,路由標準做法是Map-Encap的方法,起點設備名字解析完成后用戶報文封裝在源/目的格式為底層網絡編址的隧道中,在另外一側隧道出口解析出來恢復名字作為源/目的的用戶報文。這個系統中居于核心的是名-址解析系統,就像DNS一樣,當然如果是逐流/逐報文的解析,超出了DNS的能力范圍。對于新型的名字解析系統,搞IP網絡的肯定還是搬出BGP/IGP協議,當然更一般的思路是建立集中的高性能名字解析分布式系統。對于按位置可以前綴聚合的名字,是路由協議的強項;但是名址分離實現身份和位置的分離,名字注定是要位置可移動、不可聚合的。可聚合的是地址,并且地址僅僅是骨干設備的地址,其不再暴露在端到端的系統中,隨時可變,IPv4也好、IPv6也可以,IPv9也不是不行,不會影響網絡的端到端架構。業務邊緣以下是一種地址編址方式,以上是另外一種方式也可。
然而這一切和SD-WAN有什么關系?SD-WAN使得軟邊緣、Overlay接入和核心分離的組網思想在企業VPN專線業務中逐漸生根落地,而移動網本來就是位于IP網址上的GTP overlay,無論其是否NFV化都是如此,再加入BRAS的Overlay化,整個網絡無論是移動接入還是固網接入,架構上都趨于一致。對于越來越復雜的IP網絡,越來越多的位于NAT和防火墻后面的私有網絡,通過Overlay技術將邊緣網絡和骨干網絡分離、用戶編址和網絡設備編址分離、骨干網絡簡單化是一條可行的道路。不同于LISP這種當初為了解決Tier 1運營商骨干網路由表容量問題而讓Tier 2/Tier 3運營商投資改造網絡的做法不同,SD-WAN的Overlay特征使得企業可以構建獨立的網絡進行Over The Top運營、獲利,投資和收益主體一致,使得網絡可以從局部開始,逐漸演進;即使是既有的IP網絡運營商,也可以采用同樣的技術進行演進。