SD-WAN和IP網(wǎng)絡演進探討

 對于絕大部分的企業(yè)而言，IT系統(tǒng)已經(jīng)成為了企業(yè)運營中的一個關鍵基礎設施，這其中網(wǎng)絡部分Internet的接入、企業(yè)分支/合作伙伴之間的VPN連接是IT化基礎設施中重要的部件。而MPLSVPN專線接入價格高昂，對于大部分企業(yè)是筆不菲的支出；同時對于運行關鍵業(yè)務的企業(yè)總部或重要站點，往往需要連接到多個運營商或采用多種接入方式以提供網(wǎng)絡冗余的保護，進一步增加了WAN接入的成本。科技進步的實質(zhì)就是降低成本，使得組織和個人單純的需要和欲望變成可以支付得起的需求，從而釋放購買力，創(chuàng)造新的產(chǎn)業(yè)細分領域；除了少數(shù)以奢侈作為賣點的領域，任何有實用價值但是使用的金錢、時間成本過高的產(chǎn)品和服務都是下一個被顛覆的機會點。

在過去二十年，大部分企業(yè)都部署了局部的各種WAN加速和應用交付產(chǎn)品，包括Caching、多出口的流量工程、TCP加速、SSL Offloading等特性，也有不少部署了自己的IPSecVPN用于分支到總部的VPN連接，但這些相對孤立的技術部署分別從不同的供應商采購，缺乏統(tǒng)一的管理維護機制，部署門檻高，效果難以保證，一方面MPLS專線費用占據(jù)了大部分的預算，給企業(yè)帶來了嚴重的負擔，尤其是中小企業(yè)，不要說MPLS VPN專線，即使是普通的Internet專線，可能也超出預算上限。SD-WAN在此情況下應運而生，是傳統(tǒng)各種WAN加速技術的集大成者，并且在此基礎上提供了統(tǒng)一的集中策略管理和自動化業(yè)務發(fā)放平臺，通過精細化管理、動態(tài)調(diào)度多出口，最大化利用WAN帶寬，降低關鍵業(yè)務對于MPLS專線帶寬的需求，從而降低了企業(yè)的支出。無論是何種SD-WAN，其關鍵的特征如下：

1、集中的基于應用的WAN策略管控和自動化配置。

2、多出口鏈路的管理，包括MPLS專線、普通PON/DSLInternet連接、LTE無線網(wǎng)絡等，在充分利用多種鏈路帶寬的情況下，最大化保證業(yè)務質(zhì)量；通過實時測量多個出口的鏈路時延、丟包等質(zhì)量，將不同質(zhì)量、帶寬要求的應用調(diào)度到最佳出口上，同時快速進行故障的切換。

3、應用識別和監(jiān)控分析，并且將應用識別的結果和多出口鏈路優(yōu)化結合起來，不同的應用定義不同的QoS等級、SLA保證策略，動態(tài)選擇最佳的出口鏈路。

4、轉(zhuǎn)發(fā)面站點之間的連接采用Overlay技術，以消除對Underlay網(wǎng)絡的依賴。SD-WAN控制器控制Overlay的端點來實現(xiàn)策略配置的自動化，而無需介入到復雜的Underlay網(wǎng)絡配置中去。

5、企業(yè)CPE設備的即插即用。通過預置證書和引導過程，上電自動接入網(wǎng)絡，終端認證后接入SD-WAN控制器，由后者自動完成初始配置。當然也可以采用USB Key發(fā)放證書，標準化CPE的引導和認證過程來實現(xiàn)類似于手機的SIM機制。

6、對于安全策略應用的統(tǒng)一管理，包括基本的ACL策略、防火墻、流量清洗等應用。7、多點VPN隧道之間的動態(tài)路由協(xié)議支持?？紤]部分分支采用Internet連接，無法直接相連，需要通過有公網(wǎng)IP的分支或者總部進行中轉(zhuǎn).

對于企業(yè)網(wǎng)絡應用而言，除了基本的Internet接入外，網(wǎng)絡主要是總部-分支、分支-分支之間的VPN連接。此外隨著公有云/混合云逐漸成為企業(yè)IT交付的主要形式，VPN接入公有云也是SD-WAN的一種重要應用，典型方式是SD-WAN運營商設置PoP點和AWS、Azure、阿里云等專線直連，企業(yè)及其分支連接到就近的運營商PoP點，通過VPN直連到公有云的企業(yè)VPC中。

對于運營級SD-WAN，其往往還承擔了運營商提供網(wǎng)絡增值服務，擴大銷售收入的重任，在提供連接服務的基礎上，提供防火墻安全防護、流量清洗、上網(wǎng)行為管理等等服務，這些增殖服務按簽約付費提供。由于這些服務往往需要部署在企業(yè)端，因此SD-WAN 的CPE設備運營商更加傾向于采用X86架構，可以采用虛機或容器方式靈活部署此類增殖業(yè)務。由于通用的云平臺一般只能管理數(shù)百臺計算節(jié)點，部分采用云/網(wǎng)一體化方案的廠商，用OpenStack把CPE當成普通計算節(jié)點管理的SD-WAN方案對于運營級要求而言，缺乏必要的可伸縮性。

各大咨詢公司都預測今后幾年SD-WAN市場快速增長，IDC預測到2020年達到$6B，然而企業(yè)的信息化支出基本是剛性的，這個增長的市場很大程度上主要來源于對傳統(tǒng)出口路由器設備、WAN加速產(chǎn)品的替代以及MPLS專線費用支出的節(jié)省。電信運營商也參與此類市場，毫無疑問不是單純?yōu)榱私档妥约旱腗PLS專線收入，而是擴大收入來源，提升客戶黏度，在單純專線服務之外，提供Internet、無線接入等多出口鏈路管理、安全服務等一攬子服務。

SD-WAN的發(fā)展

隨著SD-WAN應用的普及，看起來似乎更有可能出現(xiàn)一個或多個基于SD-WAN技術的Overlay企業(yè)專線運營商，就像90年代末互聯(lián)網(wǎng)發(fā)展起來之后出現(xiàn)的大量VOIP的運營商，包括像Skype這樣的公司、Viber這類軟件。而今天其實微信等軟件內(nèi)置的語音功能已經(jīng)足夠強大，其多方通話的客戶體驗遠超運營商提供的服務，軟件技術的持續(xù)改進可以完全抵消底層網(wǎng)絡基礎設施上的不足。

然而和單路語音業(yè)務幾十Kbps的帶寬相比較，提供企業(yè)專線的Overlay中轉(zhuǎn)需要建設一定數(shù)量PoP點、租用運營商的大量帶寬，有相當?shù)馁Y金門檻，但是這對于那些具有一定網(wǎng)絡和數(shù)據(jù)中心布局的二級運營商和云業(yè)務運營商提供了一定的機遇，他們不必拘泥于客戶一定要綁定自己的的Internet接入或?qū)＞€業(yè)務，因而可以提供真正的多運營商多出口的方案。

作為一個運營級的Overlay方案，要提供一個國家乃至跨國的方案，必須要有一定數(shù)量的PoP點，使得地理上客戶離最近的PoP距離在一定范圍內(nèi)，以保證傳輸?shù)臅r延不嚴重影響客戶體驗。那么多個PoP點之間也要運行動態(tài)路由和鏈路質(zhì)量檢測協(xié)議，以供Overlay最佳路由選擇使用。這就非常類似于P2P技術中的超級節(jié)點和普通客戶端的關系，由PoP點構成了一個超級節(jié)點的集群，每個普通客戶可以根據(jù)網(wǎng)絡拓撲位置以及鏈路質(zhì)量連接到多個超級節(jié)點，任何兩個客戶端之間如果兩方都沒有公網(wǎng)地址，那么SD-WAN要為其連接選擇至少1個、至多2個中轉(zhuǎn)節(jié)點進行中轉(zhuǎn)，以保證鏈路最優(yōu)。在網(wǎng)絡世界中，由于不同運營商間互聯(lián)互通帶寬、時延差別都很大，兩點之間未必直達路由通信質(zhì)量最佳，因此即使是兩個CPE一方有公網(wǎng)IP，調(diào)度時也可能需要經(jīng)過中間節(jié)點中轉(zhuǎn)，以獲得最佳端到端的通信質(zhì)量。

Overlay Routing需要收集全網(wǎng)的BGP AS Path，甚至是部分IGP的拓撲，可以借用IETF的ALTO架構來實現(xiàn)基于網(wǎng)絡拓撲的選路。但這是遠遠不夠的，如前所述，Underlay拓撲最近未必通信質(zhì)量最佳，必須輔以PoP點(超級節(jié)點)間的鏈路質(zhì)量實時探測作為路徑選擇的依據(jù)。如果進一步借用P2P的架構，可以將部分具有公網(wǎng)地址的CPE選擇為超級節(jié)點，承接一部分的CPE之間的NAT穿越/中繼流量(不用奇怪，P2P是最早的共享經(jīng)濟模式，只不過共享有版權的數(shù)字化資產(chǎn)比采用自購固定資產(chǎn)參與運營更容易觸及法律的紅線)，作為運營商自建PoP的補充，從而使得投資的總規(guī)?？煽亍５瞧髽I(yè)客戶更加不愿意共享自己的帶寬，所以必須要有一定的激勵機制，比如承擔超級節(jié)點那么SD-WAN的服務不僅不用花錢，還可以掙錢。

當客戶節(jié)點加入之后，中繼節(jié)點的數(shù)量將會是海量的數(shù)字，并且需要全局的最優(yōu)Overlay路徑計算，今天SD-WAN的CPE節(jié)點單點多出口自行鏈路切換選擇的方式已經(jīng)無法適用。以往的諸如BitTorent、Skype、eMule等P2P系統(tǒng)采用DHT分布式算法來維護超級節(jié)點之間的集群和資源切片信息，客戶端向超級節(jié)點下載資源節(jié)點列表并進行通信。但是諸如CHORD、Kad、Pastry這樣的DHT算法是以數(shù)據(jù)為中心的分布式算法，以數(shù)學距離來生成數(shù)據(jù)路由表，決定數(shù)據(jù)和節(jié)點的存儲關系，適合于維護內(nèi)容的切片及路由，并不完全適合于終端之間的通信關系最優(yōu)化選路。作為一個運營級的Overlay路由算法要平衡中繼的成本和路徑時延，原則上來講需要保證兩個客戶端之間最多經(jīng)過兩個中繼節(jié)點，這樣就需要全局、準實時的節(jié)點和路徑狀態(tài)的更新，而為了保證系統(tǒng)的可伸縮性，路徑的計算和切換需要在集中點和CPE設備間分工協(xié)作完成。

IP網(wǎng)絡演進探討

對于網(wǎng)絡而言，核心的設計主要就兩點：編址(Addressing)和路由(Routing)，也就是說怎么對通信終端進行編號，怎么端到端尋址和路由。傳統(tǒng)語音網(wǎng)絡采用電話號碼作為終端的編址，設備采用信令點編號或者域名進行編址，移動網(wǎng)采用HLR/HSS來存儲終端和網(wǎng)絡設備的附著關系，信令和媒體分別尋址。IP網(wǎng)絡采用IP地址作為主機的編址，路由設備間通告路由前綴來實現(xiàn)路由信息傳播，并且不區(qū)分網(wǎng)絡設備和終端設備，應用也直接看到IP地址，在TCP/IP的Socket接口上進行編程通信，所以IPv4到IPv6的升級成了一個牽一發(fā)動全身的大事，二十多年過去了，IETF天天喊著IPv4地址已經(jīng)耗盡，但是業(yè)務的遷移已經(jīng)進展緩慢；Internet骨干網(wǎng)的路由表項的膨脹則是另外一個問題

在過去的數(shù)年里，學術界和標準組織提出了許多的方案用于未來數(shù)據(jù)網(wǎng)絡的演進。大部分基本的思路還是名址的分離，但是名字是什么，不同的技術有不同的設計，在什么層次去實現(xiàn)名址的分離也有不同看法。比如PARC于2009年提出的CCN(Content Centric Network)就認為未來網(wǎng)絡必定以內(nèi)容為中心，因此應該以內(nèi)容名字作為編址，采用內(nèi)容路由器作為數(shù)據(jù)網(wǎng)絡的基礎設施，此項技術在2010年受美國NSF贊助，改名為NDN(Named Data network)，后來學術界又起了一個名字叫ICN(Information Centric Network)；互聯(lián)網(wǎng)內(nèi)容訪問的長尾效應帶來的Cache命中率低下的問題是否適合內(nèi)容路由在此就不展開討論了(CDN是應用層解決方案)。IETF在2009年開始標準化LISP(Locator and Identifier Separation Protocol )協(xié)議，起初是為解決骨干網(wǎng)的路由表膨脹問題，把終端編址(名字)限定在邊緣路由器以下，骨干網(wǎng)絡設備才有地址，本質(zhì)上也是一種接入邊緣和核心分離的技術。此外IETF也有更早一點的基于Overlay的HIP(Host Identity Protocol)技術。MIP/PMIP這種過往的技術在CDMAEVDO中用了一代，最終被3GPP的GTP協(xié)議徹底替代，在此不再贅述。

名址分離系統(tǒng)，路由標準做法是Map-Encap的方法，起點設備名字解析完成后用戶報文封裝在源/目的格式為底層網(wǎng)絡編址的隧道中，在另外一側隧道出口解析出來恢復名字作為源/目的的用戶報文。這個系統(tǒng)中居于核心的是名-址解析系統(tǒng)，就像DNS一樣，當然如果是逐流/逐報文的解析，超出了DNS的能力范圍。對于新型的名字解析系統(tǒng)，搞IP網(wǎng)絡的肯定還是搬出BGP/IGP協(xié)議，當然更一般的思路是建立集中的高性能名字解析分布式系統(tǒng)。對于按位置可以前綴聚合的名字，是路由協(xié)議的強項；但是名址分離實現(xiàn)身份和位置的分離，名字注定是要位置可移動、不可聚合的?？删酆系氖堑刂罚⑶业刂穬H僅是骨干設備的地址，其不再暴露在端到端的系統(tǒng)中，隨時可變，IPv4也好、IPv6也可以，IPv9也不是不行，不會影響網(wǎng)絡的端到端架構。業(yè)務邊緣以下是一種地址編址方式，以上是另外一種方式也可。

然而這一切和SD-WAN有什么關系？SD-WAN使得軟邊緣、Overlay接入和核心分離的組網(wǎng)思想在企業(yè)VPN專線業(yè)務中逐漸生根落地，而移動網(wǎng)本來就是位于IP網(wǎng)址上的GTP overlay，無論其是否NFV化都是如此，再加入BRAS的Overlay化，整個網(wǎng)絡無論是移動接入還是固網(wǎng)接入，架構上都趨于一致。對于越來越復雜的IP網(wǎng)絡，越來越多的位于NAT和防火墻后面的私有網(wǎng)絡，通過Overlay技術將邊緣網(wǎng)絡和骨干網(wǎng)絡分離、用戶編址和網(wǎng)絡設備編址分離、骨干網(wǎng)絡簡單化是一條可行的道路。不同于LISP這種當初為了解決Tier 1運營商骨干網(wǎng)路由表容量問題而讓Tier 2/Tier 3運營商投資改造網(wǎng)絡的做法不同，SD-WAN的Overlay特征使得企業(yè)可以構建獨立的網(wǎng)絡進行Over The Top運營、獲利，投資和收益主體一致，使得網(wǎng)絡可以從局部開始，逐漸演進；即使是既有的IP網(wǎng)絡運營商，也可以采用同樣的技術進行演進。