自研SDWAN在全球業(yè)務(wù)場(chǎng)景中的設(shè)計(jì)與實(shí)現(xiàn)

屠寅燦

（正泰集團(tuán)股份有限公司，浙江杭州，310000）

1 國(guó)際互聯(lián)解決方案對(duì)比分析

最簡(jiǎn)單且最廉價(jià)的國(guó)際組網(wǎng)方式就是跨域的IPSec隧道，但是這也是體驗(yàn)最差且不符合相關(guān)規(guī)定的操作。移動(dòng)、聯(lián)通、電信等傳統(tǒng)運(yùn)營(yíng)商原先更多會(huì)提供基于MSTP/MPLS VPN類的國(guó)際專線來(lái)滿足企業(yè)跨國(guó)業(yè)務(wù)互聯(lián)需求，該方案的建設(shè)往往分為國(guó)內(nèi)段和國(guó)外段，部署周期也需要根據(jù)洲區(qū)情況而定，專線理論上可實(shí)現(xiàn)網(wǎng)絡(luò)延時(shí)和丟包雙降，進(jìn)而提升鏈路穩(wěn)定性。但是其往往存在部署周期長(zhǎng)，費(fèi)用高昂、故障定位繁瑣等問(wèn)題，在第三世界國(guó)家則更為明顯，據(jù)悉常規(guī)情況歐洲、北美、東南亞地區(qū)交付周期需3個(gè)月左右，非洲、南美地區(qū)交付周期則預(yù)計(jì)4-6個(gè)月，突如其來(lái)的疫情則直接暫停了北美、巴西等國(guó)家的國(guó)際專線業(yè)務(wù)。漫長(zhǎng)的部署周期往往無(wú)法滿足業(yè)務(wù)的快速上線需求，SDWAN解決方案可提供相較國(guó)際專線更加高效快捷的部署效率，甚至可實(shí)現(xiàn)按天級(jí)別的業(yè)務(wù)上線。網(wǎng)絡(luò)是影響業(yè)務(wù)體驗(yàn)的重要一環(huán)，但是即使是專線也沒(méi)法降低由于距離產(chǎn)生的延遲。因此在理想情況下，基于全球業(yè)務(wù)點(diǎn)位的分布式部署，即業(yè)務(wù)云化部署，才是解決業(yè)務(wù)體驗(yàn)的最佳方案，分布式部署并結(jié)合全球智能域名解析可促使用戶就近訪問(wèn)前端portal，獲得快速響應(yīng)，但是需要解決后端數(shù)據(jù)同步問(wèn)題，對(duì)于OA系統(tǒng)來(lái)說(shuō)，分布式部署對(duì)用戶來(lái)說(shuō)是較為友好的，因?yàn)楫惒降臉I(yè)務(wù)響應(yīng)機(jī)制，用戶無(wú)需關(guān)心后端數(shù)據(jù)同步時(shí)間。

表1 國(guó)際互聯(lián)方案對(duì)比分析

2 針對(duì)各業(yè)務(wù)場(chǎng)景的SDWAN解決方案研究

SDN技術(shù)在數(shù)據(jù)中心網(wǎng)絡(luò)中的應(yīng)用可支持海量數(shù)據(jù)多路徑轉(zhuǎn)發(fā)，也為不斷遷移和擴(kuò)展的虛擬機(jī)提供技術(shù)支持，最終實(shí)現(xiàn)網(wǎng)絡(luò)流量的智能管理與規(guī)劃[1]。SDWAN是在SDN還未完全落地之時(shí)提出的新一代網(wǎng)絡(luò)創(chuàng)新技術(shù)，是將SDN技術(shù)應(yīng)用到廣域網(wǎng)場(chǎng)景中所形成的一種服務(wù)，這種服務(wù)用于連接廣闊地理范圍的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)應(yīng)用及云服務(wù)。

無(wú)論是國(guó)內(nèi)還是海外的業(yè)務(wù)場(chǎng)景都會(huì)包含幾個(gè)特有場(chǎng)景，較為常見(jiàn)的分類包括移動(dòng)辦公和園區(qū)辦公。移動(dòng)辦公講求便捷性、高效性、分散性，而園區(qū)辦公則具有固定性、穩(wěn)定性、集中性等特征，兩者相輔相成，共同組成基本的業(yè)務(wù)場(chǎng)景需求。

2.1 SDWAN在移動(dòng)辦公中的解決方案

移動(dòng)辦公的解決場(chǎng)景之一是業(yè)務(wù)公網(wǎng)發(fā)布，但是當(dāng)下全球網(wǎng)絡(luò)安全環(huán)境形勢(shì)嚴(yán)峻，越來(lái)越多的公網(wǎng)暴露面遭到海量攻擊。企業(yè)為保證業(yè)務(wù)安全性，降低安全隱患，則會(huì)更多地通過(guò)SSL VPN的加密方式進(jìn)行內(nèi)網(wǎng)辦公，包括OA、ERP、CRM等系統(tǒng)。結(jié)合較為輕松、友好、便捷的商業(yè)SSL VPN解決方案，可以讓用戶有較好的業(yè)務(wù)體驗(yàn)。對(duì)于國(guó)內(nèi)業(yè)務(wù)而言，傳統(tǒng)三家運(yùn)營(yíng)商的三網(wǎng)業(yè)務(wù)發(fā)布并通過(guò)智能DNS來(lái)實(shí)現(xiàn)用戶智能選路可較為有效的避免運(yùn)營(yíng)商互聯(lián)互通問(wèn)題。針對(duì)國(guó)外用戶訪問(wèn)國(guó)內(nèi)業(yè)務(wù)，SDWAN可實(shí)現(xiàn)根據(jù)洲區(qū)或者國(guó)家的特定性業(yè)務(wù)發(fā)布，該場(chǎng)景不僅可滿足內(nèi)網(wǎng)服務(wù)全球業(yè)務(wù)轉(zhuǎn)發(fā)，同時(shí)也可實(shí)現(xiàn)SSL/L2TP VPN業(yè)務(wù)全球發(fā)布。SDWAN在移動(dòng)辦公中的解決方案不同于CDN的主要原因是其解決并提升的更多是流動(dòng)性較高的業(yè)務(wù)數(shù)據(jù)體驗(yàn)，而CDN則對(duì)于靜態(tài)資源而言會(huì)有更好的用戶體驗(yàn)。

2.2 SDWAN在園區(qū)辦公中的解決方案

海外分公司、海外銷售公司、海外合資子公司、海外辦事處均屬于園區(qū)網(wǎng)辦公場(chǎng)景，該類場(chǎng)景往往會(huì)更多選擇專線、國(guó)際隧道等直連類的組網(wǎng)方式。但是弊端也很明顯，專線費(fèi)用高昂，國(guó)際直連隧道不穩(wěn)定且不合規(guī)。SDWAN則屬于較為折中的解決方案，各大運(yùn)營(yíng)商、SDWAN廠商均需在國(guó)外鋪設(shè)或租賃高成本的海底光纜，其功力會(huì)在應(yīng)付海外訪問(wèn)國(guó)內(nèi)資源時(shí)會(huì)有所體現(xiàn)，大體思路為兩個(gè)末端部署專線或隧道技術(shù)，中間段為SDWAN全球骨干網(wǎng)。末端場(chǎng)景選擇相對(duì)來(lái)說(shuō)會(huì)更加靈活一些，可根據(jù)業(yè)務(wù)實(shí)際情況進(jìn)行評(píng)估。為了保證園區(qū)互聯(lián)的可靠性，SDWAN服務(wù)商會(huì)提供兼容性較好的廠家來(lái)進(jìn)行對(duì)接測(cè)試，或者提供內(nèi)置配置的硬件盒子，即插即用。

3 自研SDWAN解決方案設(shè)計(jì)理念

第一，SDWAN核心控制端。SDWAN顧名思義為軟件定義廣域網(wǎng)，講求軟件管控的靈活性，往往會(huì)存在中間管控系統(tǒng)作為整體調(diào)度節(jié)點(diǎn)，對(duì)于業(yè)務(wù)而言，更多會(huì)在意網(wǎng)絡(luò)的連續(xù)性和穩(wěn)定性上，因此自研方案中的SDWAN中心樞紐前期必備的功能應(yīng)包括網(wǎng)絡(luò)出現(xiàn)丟包、中斷、抖動(dòng)時(shí)的智能判斷并及時(shí)切換能力，保證業(yè)務(wù)穩(wěn)定運(yùn)行在高可靠網(wǎng)絡(luò)環(huán)境下，提升SLA。

第二，高可靠骨干網(wǎng)。為了保證互聯(lián)的穩(wěn)定性，SDWAN最重要的就是多條互聯(lián)鏈路組成的業(yè)務(wù)骨干網(wǎng)，骨干網(wǎng)的鏈路質(zhì)量會(huì)直接影響業(yè)務(wù)，該類骨干網(wǎng)可通過(guò)專線、云服務(wù)商骨干網(wǎng)、互聯(lián)網(wǎng)鏈路實(shí)現(xiàn)組網(wǎng)，自研SDWAN更加講求投入產(chǎn)出比，云服務(wù)商骨干網(wǎng)可有效承載自建網(wǎng)絡(luò)的主鏈路，而互聯(lián)網(wǎng)鏈路可作為備份鏈路，兩者的切換由中間調(diào)度節(jié)點(diǎn)設(shè)置的檢測(cè)算法決定。當(dāng)鏈路質(zhì)量存在異常而出現(xiàn)鏈路切換時(shí)，觸發(fā)報(bào)警日志，提升人機(jī)交互。

第三，動(dòng)態(tài)數(shù)據(jù)加速。針對(duì)靜態(tài)資源的加速往往在于緩存，不論是瀏覽器緩存還是CDN技術(shù)，解決的更多是靜態(tài)資源，而動(dòng)態(tài)數(shù)據(jù)交互則更多還是依賴于網(wǎng)絡(luò)傳輸。TCP三次握手，四次斷開(kāi)的可靠傳輸在不穩(wěn)定的國(guó)際鏈路上會(huì)讓業(yè)務(wù)體驗(yàn)大打折扣，而UDP雖然可以提升響應(yīng)效率，但是其不檢測(cè)機(jī)制則無(wú)法保證業(yè)務(wù)完整性。魚(yú)與熊掌往往不可兼得，但是隨著RUDP技術(shù)（可靠用戶數(shù)據(jù)報(bào)協(xié)議）的提出，這一僵局逐步被緩解。RUDP采用請(qǐng)求回應(yīng)機(jī)制，實(shí)現(xiàn)了UDP的可靠傳輸，其通過(guò)重傳、滑動(dòng)窗口與擁塞控制等來(lái)保證可靠性。實(shí)時(shí)傳輸根據(jù)場(chǎng)景一般需要在成本、質(zhì)量、時(shí)延三者之間找到平衡點(diǎn)。TCP用較高成本和較大時(shí)延保證了質(zhì)量。UDP通過(guò)犧牲質(zhì)量保證了較低的時(shí)延。而在特定場(chǎng)景下，RUDP更容易找到一個(gè)平衡點(diǎn)來(lái)平衡三者的關(guān)系。

圖2 RUDP加速前后響應(yīng)時(shí)間對(duì)比)

第四，首尾兩端互聯(lián)。核心控制端實(shí)現(xiàn)業(yè)務(wù)動(dòng)態(tài)選路，高可靠骨干網(wǎng)保證鏈路承載，動(dòng)態(tài)數(shù)據(jù)加速則可進(jìn)一步提升業(yè)務(wù)體驗(yàn)。萬(wàn)事俱備，只欠東風(fēng)。首尾兩端的互聯(lián)相對(duì)要靈活很多，SDWAN需要在全球分布式部署多個(gè)POP接入點(diǎn)位，首尾互聯(lián)其實(shí)就是與就近的POP接入點(diǎn)進(jìn)行互聯(lián)，可通過(guò)互聯(lián)網(wǎng)、專線、IPSec、L2TP、OPenVPN等多種方式進(jìn)行末端互聯(lián)，多樣的互聯(lián)場(chǎng)景可解決不同的業(yè)務(wù)需求。移動(dòng)用戶更愿意使用公網(wǎng)資源來(lái)提升便捷性，因此在保證信息安全的前提下，末端應(yīng)用可考慮使用公網(wǎng)資源進(jìn)行業(yè)務(wù)發(fā)布，為了促使用戶可以更加高效、快捷的接入全球加速網(wǎng)絡(luò)內(nèi)，可通過(guò)全球智能DNS來(lái)動(dòng)態(tài)判斷用戶的就近加速節(jié)點(diǎn)，但該判斷較為主觀，可能有失偏頗，最佳的方式是結(jié)合業(yè)務(wù)精準(zhǔn)開(kāi)發(fā)加速客戶端，通過(guò)延遲、丟包等參數(shù)綜合判斷用戶全球就近接入點(diǎn)，進(jìn)而達(dá)到最佳的加速效果及業(yè)務(wù)體驗(yàn)；而固定場(chǎng)景辦公用戶則會(huì)更偏向于穩(wěn)定性等特性，可考慮通過(guò)專線、IPSec等多種與SDWAN末端互聯(lián)的方式來(lái)完成”最后一公里”的數(shù)據(jù)連接。

第五，加速節(jié)點(diǎn)冗余高可用。對(duì)于用戶群體規(guī)模較小的加速網(wǎng)絡(luò)，常規(guī)云服務(wù)器理論上已可滿足需求，而對(duì)于用戶群體量大或并發(fā)連接數(shù)較多的場(chǎng)景，節(jié)點(diǎn)冗余及高可用性就顯得尤為重要了，針對(duì)這塊可考慮搭建LVS或者NGINX的方式實(shí)現(xiàn)業(yè)務(wù)負(fù)載均衡，進(jìn)而降低單臺(tái)服務(wù)器的性能承載。當(dāng)然更簡(jiǎn)單的方式可考慮通過(guò)云端的SaaS服務(wù)來(lái)擴(kuò)充該能力。高可用性是所有系統(tǒng)的重要特性，應(yīng)盡早納入。

綜上所述，一套較為完整的SDWAN解決方案應(yīng)當(dāng)可以解決多元化的業(yè)務(wù)場(chǎng)景，智能化、高效性、便捷性、易擴(kuò)展等能力將是其重要特性。

4 安全高效的SDWAN互聯(lián)

云計(jì)算是以數(shù)據(jù)資源的形式向用戶展示存儲(chǔ)功能，其安全問(wèn)題是被關(guān)注的焦點(diǎn)，將安全問(wèn)題分為兩類，分別是設(shè)備部署在云環(huán)境中需要的新防護(hù)手段和引入的新安全問(wèn)題[2]。

事物往往存在兩面性，SDWAN雖然提升了用戶業(yè)務(wù)體驗(yàn)，但是高效交互也便捷了黑客的滲透。通過(guò)對(duì)ISO 27000及國(guó)家等級(jí)保護(hù)科學(xué)、系統(tǒng)的審查，并結(jié)合現(xiàn)有業(yè)務(wù)形態(tài)，制定了”跨區(qū)限制、安全防護(hù)”的安全理念。整套自研SDWAN系統(tǒng)均需滿足基本信息安全要求。大體思路包括以下幾點(diǎn)：

（1）網(wǎng)絡(luò)層實(shí)現(xiàn)切實(shí)網(wǎng)段互聯(lián)，業(yè)務(wù)端通過(guò)防火墻或云端安全組進(jìn)行限制；

（2）不同業(yè)務(wù)區(qū)域?qū)嵭胁煌踩虿呗?，避免橫向滲透；

（3）末端互聯(lián)需具備安全性認(rèn)證，不僅限于證書(shū)、雙因子認(rèn)證等多種方式；

（4）業(yè)務(wù)系統(tǒng)上線前的安全體檢、滲透測(cè)試、漏洞掃描等；

（5）全球分布式加速POP點(diǎn)均需通過(guò)安全評(píng)測(cè)。

安全互聯(lián)的形態(tài)包括接入層控制暴露面、傳輸層集成流量檢測(cè)、管控層重兵把守?？v深防御的安全策略可有效保證各個(gè)緯度的業(yè)務(wù)安全。

5 結(jié)語(yǔ)及展望

實(shí)際效果可通過(guò)數(shù)據(jù)對(duì)比和業(yè)務(wù)體驗(yàn)兩個(gè)緯度來(lái)進(jìn)行綜合評(píng)判。首先在數(shù)據(jù)對(duì)比層面上，自研SDWAN加速效果：香港端到端延時(shí)相較原先降低40%，北美端到端延時(shí)相較原先降低48%，德國(guó)端到端延時(shí)相較原先降低50%；其次從實(shí)際用戶體驗(yàn)上，各個(gè)洲區(qū)的用戶反饋業(yè)務(wù)體驗(yàn)均有所提升，加速效果明顯，達(dá)到了預(yù)期的效果。

互聯(lián)SDWAN解決方案應(yīng)用場(chǎng)景很多，結(jié)合RUDP技術(shù)，也可滿足跨洲區(qū)的視頻會(huì)議、郵箱、網(wǎng)盤(pán)等特定業(yè)務(wù)場(chǎng)景需求。完整的架構(gòu)不僅需要龐大的SDWAN加速網(wǎng)絡(luò)，而且在用戶接入便捷度上也同樣不可馬虎，通過(guò)自研加速客戶端，集成各項(xiàng)業(yè)務(wù)控件，迭代化升級(jí)操作來(lái)滿足業(yè)務(wù)動(dòng)態(tài)需求，同時(shí)可通過(guò)全球智能化DNS解析技術(shù)來(lái)進(jìn)一步提升用戶體驗(yàn)。網(wǎng)絡(luò)安全問(wèn)題已成為制約云計(jì)算發(fā)展的主要因素，通過(guò)劃分多個(gè)按區(qū)域，制定安全策略，將外部環(huán)境中的安全問(wèn)題從復(fù)雜問(wèn)題中分離出來(lái)，整體提升業(yè)務(wù)安全性。

相信SDWAN未來(lái)會(huì)適用越來(lái)越多的業(yè)務(wù)場(chǎng)景，自研SDWAN理論上可極大程度的實(shí)現(xiàn)降本增效。