楊帥

隨著企業(yè)網(wǎng)絡(luò)復(fù)雜度的增加及網(wǎng)絡(luò)規(guī)模的發(fā)展，廣域網(wǎng)建設(shè)面對的問題和痛點越來越多。一是帶寬利用率低，無法對流量路徑進行可視化的全局調(diào)整，且調(diào)整結(jié)果難以直觀驗證。二是端到端業(yè)務(wù)部署和業(yè)務(wù)變更太慢，配置工作量大，而且需要企業(yè)內(nèi)部多個部門及設(shè)備生產(chǎn)廠商的配合。本文通過分析企業(yè)廣域網(wǎng)管理的具體需求，以某大型金融機構(gòu)網(wǎng)絡(luò)架構(gòu)為例，提出廣域網(wǎng)向SD-WAN轉(zhuǎn)型的建設(shè)方案。

一、廣域網(wǎng)管理需求分析

IP網(wǎng)絡(luò)路徑調(diào)優(yōu)。金融行業(yè)的省級機構(gòu)與各地市州、縣大多通過MSTP廣域網(wǎng)專線互聯(lián)，由于專線租用成本高昂，專線帶寬往往較低。隨著網(wǎng)絡(luò)流量的增加，專線帶寬將逐漸不能滿足未來業(yè)務(wù)發(fā)展的需求，在專線帶寬不進行擴容的情況下，通過SDWAN技術(shù)提升專線帶寬利用率、優(yōu)化業(yè)務(wù)傳輸路徑。

網(wǎng)絡(luò)資源可視。通過網(wǎng)絡(luò)拓撲可視、業(yè)務(wù)路徑可視、路徑檢測可視、告警可視、鏈路質(zhì)量可視，提高運維效率，簡化運維管理難度，降低運維風(fēng)險，并局部實現(xiàn)自動化運維。

QoS自動化部署。QoS是一個端到端的服務(wù)質(zhì)量保障技術(shù)，對運維成員的技術(shù)能力要求頗高。自動化、可視化地部署QoS的各種策略，在帶寬有限的情況保障重要業(yè)務(wù)低延時的優(yōu)先轉(zhuǎn)，是提高運維效率的有效手段。

網(wǎng)絡(luò)DDOS安全防攻擊。企業(yè)總部及各分支機構(gòu)網(wǎng)絡(luò)遭受DDoS攻擊，攻擊流量將可能擠占專線帶寬，進而引起網(wǎng)絡(luò)癱瘓和業(yè)務(wù)癱瘓，因此網(wǎng)絡(luò)須具備丟棄攻擊流量和限速攻擊流量的能力。

二、廣域網(wǎng)SD-WAN轉(zhuǎn)型建設(shè)思路

基于SD-WAN的廣域網(wǎng)架構(gòu)是一個分層、開放、靈活的網(wǎng)絡(luò)架構(gòu)，如圖1所示，整個SD-WAN結(jié)構(gòu)可分為網(wǎng)絡(luò)設(shè)備層、控制器層、用戶管理層三個層次。

網(wǎng)絡(luò)設(shè)備層。網(wǎng)絡(luò)設(shè)備控制層采用標(biāo)準(zhǔn)的南向協(xié)議與控制器對接，接收SDN控制器的控制和管理?？刂破髋c網(wǎng)絡(luò)設(shè)備間的交互協(xié)議應(yīng)支持傳統(tǒng)的NETCONF、SNMP協(xié)議及SDN（軟件定義網(wǎng)絡(luò)）新生的Openflow、BGP-LS等新生技術(shù)協(xié)議，從而與控制器高效交互，提供高性能的數(shù)據(jù)轉(zhuǎn)發(fā)。

控制器層。控制器可考慮基于開源的ODL平臺，支撐豐富的A P P集成，同時，主流網(wǎng)絡(luò)設(shè)備生產(chǎn)商（H3C、華為）也基于該平臺封裝自己的控制器，支持力度較好，包括原廠商定制開發(fā)及第三方應(yīng)用集成和移植。控制器南向通過標(biāo)準(zhǔn)南向接口協(xié)議和設(shè)備互通，支持現(xiàn)有網(wǎng)絡(luò)平滑升級過渡；北向面向用戶提供定制化的API接口，實現(xiàn)與網(wǎng)管、編排、運營等系統(tǒng)對接集成，滿足企業(yè)差異化的業(yè)務(wù)需求。

用戶管理層：通過調(diào)用控制器提供的標(biāo)準(zhǔn)API接口，實現(xiàn)應(yīng)用級別的流量監(jiān)控、流量可視化展示、流量路勁調(diào)整等核心需求，實現(xiàn)精細化運維、半自動化運維，提高運維效果及效率。

三、建設(shè)案例

（一）廣域網(wǎng)現(xiàn)狀

某省級金融機構(gòu)廣域網(wǎng)網(wǎng)絡(luò)拓撲如圖2所示。

現(xiàn)網(wǎng)中，營業(yè)管理部（市屬支行）直接通過裸光纖連接到省會城市分行匯聚路由器，而各地市州中心支行、縣級支行均通過租賃運營商MSTP專線直接以扁平化的方式連接到省會城市分行匯聚路由器。廣域網(wǎng)全網(wǎng)部署了OSPF動態(tài)路由協(xié)議?，F(xiàn)網(wǎng)存在三方面問題：一是線路為主備方式，主線路流量壓力大，而備線路幾乎無流量；二是通過路由策略進行的流量選路，很難手動切換流量，路由策略變更風(fēng)險較高；三是現(xiàn)網(wǎng)設(shè)備配置修改難度較大，在現(xiàn)網(wǎng)設(shè)備上實施改造風(fēng)險較高。利用SDWAN技術(shù)，來實現(xiàn)應(yīng)用流量在兩條線路上動態(tài)按需調(diào)度。

（二）方案概述

由于現(xiàn)網(wǎng)中省會城市分行匯聚路由器和地市州中心支行上聯(lián)路由器不支持SDN相關(guān)特性，同時，也為了在實施和調(diào)試過程中，不影響現(xiàn)網(wǎng)的正常運行，全省各地實行了分步實施。具體做法是新增省會城市分行匯聚路由器以及地市州中心支行、縣級支行上聯(lián)路由器，作為專門的SDN網(wǎng)絡(luò)設(shè)備。新增的省會城市分行SDN匯聚路由器直接上聯(lián)接入核心交換機，運行OSPF動態(tài)路由協(xié)議。傳統(tǒng)網(wǎng)絡(luò)與新建的SDN網(wǎng)絡(luò)通過省級分行核心交換機實現(xiàn)互訪。在安裝調(diào)試過程中，新增設(shè)備完全獨立于現(xiàn)網(wǎng)正運行設(shè)備，在長達數(shù)周的安裝調(diào)試及測試過程中，未影響現(xiàn)網(wǎng)正常運行和業(yè)務(wù)辦理。在安裝調(diào)試以及測試完成后，再逐步將各分支行從傳統(tǒng)網(wǎng)絡(luò)切換至SDN網(wǎng)絡(luò)，實施過程中的風(fēng)險可控。割接后，網(wǎng)絡(luò)架構(gòu)如圖3所示，網(wǎng)絡(luò)結(jié)構(gòu)清晰、網(wǎng)絡(luò)層次明了，隨著全省各地逐步的割接完成，下線原省級分行匯聚路由器，整網(wǎng)直接從傳統(tǒng)網(wǎng)絡(luò)過渡到SD-WAN架構(gòu)。

由于SDN控制器承載著全網(wǎng)設(shè)備的管理交互，保障要求高，所以控制器由3臺控制器組成，互為備份，通過ODL集群機制進行集群同步。集群控制器間工作模式為1主N備，保障了控制平面的可靠。

部署流程如圖4所示。

（三）實現(xiàn)功能

網(wǎng)絡(luò)可視。一是網(wǎng)絡(luò)拓撲可視，實現(xiàn)網(wǎng)絡(luò)拓撲的層次化展示及管理維護。二是設(shè)備可視，可實時監(jiān)控設(shè)備的主機、板卡等資源管理。三是鏈路可視，設(shè)備接口及鏈路狀態(tài)可見，鏈路歷史質(zhì)量（延時、抖動等）信息可回溯。網(wǎng)絡(luò)可視圖如圖5所示。

應(yīng)用可視。一是應(yīng)用流量可視，實時掌握業(yè)務(wù)流量畫像。二是應(yīng)用路徑可視，并可調(diào)度主備路徑，解決了傳統(tǒng)網(wǎng)絡(luò)端到端應(yīng)用路徑可視不足，運維難問題。三是應(yīng)用質(zhì)量可視，支持應(yīng)用延時、抖動、丟包可視，構(gòu)建應(yīng)用“知感” 網(wǎng)絡(luò)，支持應(yīng)用質(zhì)量歷史報表導(dǎo)出，便于故障追溯。應(yīng)用可視展示圖如圖6所示。

業(yè)務(wù)智能調(diào)度?？蓪崿F(xiàn)流量的自動、半自動及手工調(diào)動。其中，自動調(diào)度策略組合靈活多選，參數(shù)包括帶寬、抖動、時延、丟包率等，滿足不同業(yè)務(wù)自動調(diào)度需求，構(gòu)建自愈網(wǎng)絡(luò)；半自動調(diào)度增加饋反決策機制，調(diào)度前需管理員確認(rèn)業(yè)務(wù)流量是否調(diào)度，保障業(yè)務(wù)穩(wěn)定性；手工調(diào)度則可避免網(wǎng)絡(luò)輕微/頻繁震蕩時，業(yè)務(wù)反復(fù)調(diào)度帶來穩(wěn)定性問題。三種調(diào)度模式按需配置，如圖7所示。

一鍵Qos下發(fā)。多種不同應(yīng)用流量需要差異化保障，如視頻類高優(yōu)先級流量需要進行低延時保障，其他優(yōu)先級應(yīng)用按正常鏈路帶寬比例進行帶寬保障，基于全網(wǎng)視角一鍵部署端到端QoS保障，滿足差異化應(yīng)用保障，配合智能流量調(diào)度功能，實現(xiàn)全網(wǎng)流量調(diào)度，提升鏈路利用率及應(yīng)用體驗。

四、結(jié)束語

本文通過分析企業(yè)廣域網(wǎng)管理所面臨的痛點及需求，引出傳統(tǒng)廣域網(wǎng)向SD-WAN架構(gòu)轉(zhuǎn)型的思路，并通過大型金融機構(gòu)的規(guī)劃建設(shè)實例，展示了SD-WAN實現(xiàn)的核心功能，為各行業(yè)廣域網(wǎng)架構(gòu)轉(zhuǎn)型提供了參考。