随着数字化转型时代的到来,企业应用不断向云端迁移,如传统的办公业务和本地数据存储模式开始转向云化。与此同时,云计算成为很多新兴技术发展的底层技术和基础,如VR、AI、无人驾驶汽车、区块链等新技术的发展和应用都将与云计算密不可分,而这样的云化趋势同时也带来企业出口流量的激增。
Gartner发布的数据显示,30%~50%的大型企业的流量正转变为云流量。IDC预测,到2030年,80%的企业新应用将会部署在云端,企业WAN出口流量每3年翻一倍。而传统的企业专线价格昂贵、互联成本高,网络部署效率低、业务发放时间长,应用识别能力低、业务难管理。寻找新的ICT实现业务的转型、创新与增长,是大型企业在数字化转型时代的普遍需求。
本节以大型ICT科技企业某公司的WAN为例,介绍SD-WAN的场景分析和方案设计。
某公司在WAN的演进中面临着诸多挑战。
(1)企业站点数量多、分布广、难运维
企业网络的CAPEX(Capital Expenditure,资本支出)、OPEX(OperatingExpense,运营支出)、维护成本以及IT支持的成本都随企业分支数量的增加而增加,网络中路由信息复杂、业务种类繁多,任何网络/业务的变更都需要逐个站点进行配置。
(2)难以合理利用多种WAN链路
企业难以监控和维护运营商提供的WAN,不同站点的WAN出口带宽、可靠性以及服务等级都不相同,相应的应用质量会随着传输网、区域和应用类型的改变而产生差异,难以实现多个WAN链路的合理利用,有时会出现带宽被抢占的情况。
(3)难以保障业务体验
在企业分支访问企业数据中心、企业分支访问公有云以及分支间互访的场景中,出于合规性、监管以及安全性的考虑,企业分支间的高带宽应用流量需要通过数据中心集中转发。数据中心集中访问公有云造成了带宽的浪费,增加了成本,本地分支通过因特网直接访问公有云又带来了安全性和可靠性的问题。此外,从企业分支/数据中心/公有云到企业分支的“最后一公里”的应用优先级难以得到控制。
(4)企业业务部门难以扩展
大型企业通常会有多个业务部门,各部门之间需要隔离,而现有的隔离机制导致大企业的业务部门难以扩展、配置复杂,难以保障不同部门的业务体验。
(5)难以维护企业跨国业务
不同地域的网络传输质量和可靠性存在差异,OPEX成本也不同,对于IT团队来说,维护遍布全球的企业网络是一个很大的挑战,需要考虑不同区域的法规来同时满足合规性和区域网络的全球互联需求。
SD-WAN解决方案提供商为某公司设计的SD-WAN解决方案实现了因特网链路的合理利用,让网络感知业务、业务智能调度,打造高质量、低成本、可感知的全球互联WAN。该SD-WAN解决方案给某公司带来了以下3方面的改进。
提升业务SLA。实现应用层面的性能监控,多路径智能化调度实现网络故障时链路的快速切换,降低应用的丢包率和时延,网络动态适配应用需求,提升业务SLA和用户体验。
降低WAN成本。通过引入因特网链路,预设应用和路径的优先级,将流量调度到因特网线路上,同时支持关键应用的智能选路,降低企业使用WAN的成本。
简化运维,提升运维效率。通过网络控制器对WAN进行集中控制和管理,实现可视化的监控管理和快速故障定位,使WAN的运维更简单。某公司的SD-WAN解决方案架构如图1所示。
图1某公司的SD-WAN解决方案架构
(1)总体规划
某公司在全球数据中心部署SD-WAN网络控制器,同时对全球数据中心、区域数据中心和代表处进行网络改造。
在全球数据中心部署SD-WAN网络控制器,用于对所有SD-WAN设备进行管理及业务编排;网络控制器南向IP地址采用双地址模式,SDWAN站点开局时可以选择通过MPLS链路或因特网链路向网络控制器注册。
在全球数据中心站点、区域数据中心站点以及代表处站点分别部署两台CPE,作为SD-WAN站点。
Overlay网络规划出两个路由域,每个路由域中分配两个传输网,分别是不同运营商的专线网络(MPLS1、MPLS2)以及不同运营商的因特网(因特网1、因特网2)。部署时,首先部署网络控制器;其次部署具有RR功能的数据中心站点;最后部署代表处站点。
(2)站点设计
数据中心站点
数据中心站点(包括全球数据中心和区域数据中心)是SD-WAN站点,同时也是RR站点。在该站点部署双CPE网关。LAN侧与WAN侧的路由设计如下。
LAN侧接口与数据中心路由器通过eBGP相互学习LAN侧路由。
WAN侧配置两个接口,一个接口与路由器通过eBGP交互Underlay MPLS VPN路由,另一个接口连接因特网。在站点部署双网关,共4条WAN链路(双MPLS链路+双因特网链路)。两台CPE之间通过配置Eth-Trunk直接互联。
代表处站点
代表处站点是SD-WAN站点。在该站点部署双CPE网关。LAN侧与WAN侧的路由设计如下。
LAN侧接口通过有线和无线两种方式与LAN侧交换机或终端互联。双CPE组网时可部署VRRP提高可靠性。LAN侧交换机若工作在二层模式下,可通过VLAN与CPE互通;若工作在三层模式下,可通过OSPF协议、BGP、直连路由协议或静态路由协议与CPE互通,并采用水平分割的方式避免路由环路。
WAN侧配置一个接口,用于连接一条WAN链路,站点的两条WAN链路的组合存在3种场景:双MPLS链路,双因特网链路,MPLS+因特网混合链路。
WAN侧接口的路由配置可根据WAN上层网络的接入情况,部署OSPF协议、eBGP或静态路由协议。
(3)组网设计
控制平面
数据中心站点作为RR站点,通过Overlay控制通道与其他RR站点建立BGP邻居,进行Overlay路由的同步,以实现站点间的Overlay拓扑采用Full-mesh组网。每个数据中心RR站点与所在区域内的代表处站点建立控制通道,通过BGP交互Overlay路由。
数据平面
某公司在全球的站点(包括代表处分支、区域数据中心、全球数据中心)在Overlay网络中都作为SD-WAN站点,其Overlay拓扑采用Full-mesh组网,站点间全互联,业务互访通过站点间Overlay隧道直接访问。选择全球数据中心站点作为重定向站点,作为其他站点互访的逃生路径。
(4)业务设计
业务访问
某公司现网站点间存在多种类型的业务,例如,代表处站点间存在语音、视频会议等业务;代表处站点与数据中心站点间存在数据同步、电子邮件等业务;数据中心之间也存在数据同步等业务。基于Full-mesh组网方式,站点间业务通过直连的Overlay隧道互联访问。
每个SD-WAN站点都有MPLS VPN专线和因特网两条WAN链路,通过应用识别(首包识别/特征识别),识别出现网的业务类型,在应用质量检测和链路质量检测的基础上,通过基于丢包率/时延/抖动的SLA链路质量选路策略,对不同业务选择不同的主备链路,实现流量在MPLS/因特网链路上的负载分担。
将语音、视频会议等关键应用优先调度在MPLS链路上,同时以因特网链路为备链路。
将系统/软件升级和备份等占用带宽大且实时性要求不高的流量调度到因特网链路上;当因特网不稳定时,将非实时的应用流量智能调度到MPLS链路上,以保障所有应用的体验。
采用QoS策略保障关键的应用体验。在SD-WAN解决方案中,根据网络中应用的重要性,对不同应用进行分层分级,优先保障VoIP、视频会议等关键应用。应用总共分成6类,通过QoS策略分别保障这6类应用的带宽,按照优先级从高到低排列如下。
语音业务(占15%的带宽),对时延、抖动和丢包率非常敏感,流量较小,优先级最高,保障带宽,优先转发。超出预留带宽即丢弃。
流媒体业务(占10%的带宽),对时延、抖动和丢包率较敏感,优先级中等,保障带宽。超出预留带宽的报文与其他中等优先级队列报文竞争。
视频会议和桌面云业务(占50%的带宽),对时延、抖动和丢包率较敏感,带宽固定。桌面云流量有收敛比,优先级中等,保障带宽。超出预留带宽的报文与其他中等优先级队列报文竞争。
关键数据和网络管理业务(占15%的带宽),包括交互应用和基础网络应用,业务重要性高,对时延较敏感且带宽需求较小,优先级中等,保障带宽。超出预留带宽的报文与其他中等优先级队列报文竞争。
基础办公业务(占9%的带宽),对实时性要求不高,但用户多、使用广、流量占比高,带宽不足会影响基础办公应用的体验,优先级中等,保障带宽。超出预留带宽的报文与其他中等优先级队列报文竞争。
系统/软件升级和备份业务(占1%的带宽),突发流量较大,占用大量带宽,对实时性要求不高,优先级最低,预留1%的带宽。超出预留带宽的报文不与其他队列报文竞争。
因特网访问
在SD-WAN解决方案中采用集中上网+SaaS应用本地出局上网的方式访问因特网。
对于默认的上网流量,以全球数据中心站点作为集中的上网点,代表处站点的上网流量经过数据中心站点LAN侧出局访问因特网。
可灵活选择SaaS业务的上网点,通过首包识别技术识别出SaaS应用。代表处站点可通过集中上网方式访问SaaS业务,也可以使用本地出局方式通过因特网访问SaaS应用,以保障SaaS业务的体验。
与传统MPLS网络互通
对于某公司SD-WAN站点需要与传统站点互通的场景,采用集中互访的方式,以全球数据中心站点作为传统互访的集中出口,在网络控制器上部署传统站点集中互访的功能,并选择全球数据中心站点作为互访站点。
(5)安全设计
ACL策略:根据某公司的接入规范,在站点WAN侧入方向进行ACL策略,过滤恶意报文和限制危险端口的访问。
保证Overlay隧道的安全性:基于因特网链路的Overlay隧道采用IPSec加密,保障数据传输的安全性。
(6)运维设计网络控制器作为集中的管控和运维平台,实现了网络和业务的状态可视(全局Dashboard、告警实时监控、拓扑、站点/站点间/应用状态监控等),可管控(站点级Underlay/Overlay配置、批量下发业务策略、灵活定义多种运维角色等),可维护(可视化故障定位手段、远程SSH登录、设备系统/补丁批量升级等)。
设备开局:通过网络控制器配置站点的Underlay参数,网络管理员通过网络控制器指定开局邮件中的URL链接,完成开局信息配置,再将开局邮件发送至开局人员的邮箱。开局人员收到邮件后,通过浏览器访问邮件中的URL链接并启动开局流程,设备自动完成开局部署。
设备业务配置下发:网络管理员在网络控制器上配置站点设备的接口、应用识别策略、QoS、ACL和选路策略等,待设备完成注册上线后,网络控制器将配置下发到站点设备。
以上就是大企业SD-WAN组网场景分析和方案设计的介绍,Vecloud作为国内的云服务综合解决方案提供商,我们有着丰富的全球组网经验,拥有包括MPLS VPN、IPLC以及SD-WAN在内的多种云专线产品,可为您提供专业、灵活、多样性的专线及SD-WAN组网解决方案。详询Vecloud电话 400-028-9798。