本文主要介紹了SD-WAN的總體架構(gòu)和關(guān)鍵技術(shù)：ZTP開局、靈活組網(wǎng)、智能選路、廣域優(yōu)化、安全、運(yùn)維與監(jiān)控等。

SD-WAN 總體架構(gòu)

華為SD-WAN解決方案總體架構(gòu)如圖1-1所示，主要包括：管理層、控制層和網(wǎng)絡(luò)層。每層具備明確的核心組件并承擔(dān)不同的功能。圖1-1 華為SD-WAN解決方案總體架構(gòu)

管理層：網(wǎng)絡(luò)控制器是管理層的核心部件，是SD-WAN解決方案的智慧大腦，具有網(wǎng)絡(luò)編排、管理能力，通過已有的Portal界面，進(jìn)行SD-WAN端到端業(yè)務(wù)處理。

控制層：RR（SD-WAN Route Reflector，SD-WAN路由反射器），是控制層的核心產(chǎn)品組件，主要負(fù)責(zé)集中控制SD-WAN網(wǎng)絡(luò)層的路由轉(zhuǎn)發(fā)和拓?fù)涠x。

網(wǎng)絡(luò)層：從業(yè)務(wù)角度來說，企業(yè)的分支、總部和數(shù)據(jù)中心以及在云上部署的IT基礎(chǔ)設(shè)施等都可以統(tǒng)稱為企業(yè)的站點(diǎn)。用于不同站點(diǎn)WAN互聯(lián)的網(wǎng)絡(luò)設(shè)備以及中間的WAN一起構(gòu)成了SD-WAN的網(wǎng)絡(luò)層。

SD-WAN 關(guān)鍵技術(shù)

安全可靠的系統(tǒng)通道

SD-WAN解決方案的各個(gè)產(chǎn)品組件需要協(xié)同運(yùn)作來共同實(shí)現(xiàn)SD-WAN解決方案的各種功能。邏輯上抽象為如下三個(gè)系統(tǒng)通道，如圖1-2所示，實(shí)現(xiàn)不同類型的數(shù)據(jù)邏輯隔離，業(yè)務(wù)互不影響。

圖1-2 SD-WAN系統(tǒng)通道

多場(chǎng)景ZTP開局，設(shè)備即插即用

傳統(tǒng)分支網(wǎng)絡(luò)的開局存在技術(shù)門檻高、易出錯(cuò)、耗時(shí)長(zhǎng)的問題。SD-WAN解決方案提供多種ZTP開局方式，來滿足不同場(chǎng)景的訴求。當(dāng)前支持的開局方式如表1-1所示，開局流程如圖1-3所示。

表1-1 ZTP開局方式開局方式適用場(chǎng)景

郵件開局適用于到現(xiàn)場(chǎng)進(jìn)行開局的場(chǎng)景。網(wǎng)絡(luò)管理員將開局郵件發(fā)送到指定郵箱，開局人員在收到開局郵件后，通過點(diǎn)擊郵件中的URL，設(shè)備自動(dòng)完成開局部署。

U盤開局適合于在庫房批量開局的場(chǎng)景。設(shè)備管理員在庫房對(duì)CPE進(jìn)行導(dǎo)入配置操作后，開局人員只需對(duì)CPE進(jìn)行連線，插入U(xiǎn)盤后設(shè)備上電。

DHCP Option開局僅適用于CPE通過DHCP接入的場(chǎng)景。站點(diǎn)開局人員只需對(duì)CPE進(jìn)行連線上電，無須其他額外操作。

圖1-3 ZTP開局流程

靈活組網(wǎng)，滿足不同網(wǎng)絡(luò)需求

LAN側(cè)組網(wǎng)

華為SD-WAN解決方案提供FE、GE、XGE、Eth-Trunk等豐富的接口進(jìn)行LAN側(cè)對(duì)接，并支持二層、三層2種對(duì)接場(chǎng)景。

LAN側(cè)二層對(duì)接

對(duì)于規(guī)模較小的站點(diǎn)，當(dāng)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單時(shí)，CPE通常通過二層方式連接站點(diǎn)的內(nèi)部網(wǎng)絡(luò)。當(dāng)前支持四種組網(wǎng)方式，如圖1-4所示。

圖1-4 LAN側(cè)二層組網(wǎng)

LAN側(cè)三層對(duì)接

對(duì)于較大的企業(yè)站點(diǎn)，站點(diǎn)網(wǎng)絡(luò)有著較復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)設(shè)施比較復(fù)雜，不僅由眾多的路由器、交換機(jī)構(gòu)建而成，而且會(huì)伴隨著分層結(jié)構(gòu)和多網(wǎng)絡(luò)設(shè)計(jì)。SD-WAN路由器可以通過靜態(tài)路由、BGP和OSPF路由的方式打通與LAN側(cè)的三層聯(lián)接，并提供圖1-5所示三種組網(wǎng)。圖1-5 LAN側(cè)三層組網(wǎng)

WAN側(cè)組網(wǎng)

華為SD-WAN解決方案提供以太接口、LTE/5G接口、xDSL接口等豐富的WAN側(cè)接口。根據(jù)SD-WAN站點(diǎn)內(nèi)部署的CPE數(shù)量以及CPE的WAN側(cè)連接鏈路數(shù)量，提供多種組網(wǎng)模型。

部署單CPE組網(wǎng)

對(duì)于小型站點(diǎn)可以選擇部署單CPE設(shè)備，如圖1-6所示。圖1-6 單CPE組網(wǎng)

部署雙CPE組網(wǎng)

對(duì)于可靠性要求較高的站點(diǎn)建議選擇部署雙CPE設(shè)備，如圖1-7所示，以提供設(shè)備級(jí)冗余。圖1-7 雙CPE組網(wǎng)

Overlay隧道按需構(gòu)建

SD-WAN站點(diǎn)通過在Underlay網(wǎng)絡(luò)上構(gòu)建Overlay隧道實(shí)現(xiàn)站點(diǎn)間的互通。企業(yè)WAN的拓?fù)淠Ｐ停饕譃閱螌泳W(wǎng)絡(luò)模型和分層網(wǎng)絡(luò)模型兩種。按照網(wǎng)絡(luò)的拓?fù)溥M(jìn)行細(xì)分，單層網(wǎng)絡(luò)模型進(jìn)一步又可以劃分為Hub-spoke、Full-mesh和Partial-mesh方式，具體如圖1-8所示。

圖1-8 企業(yè)WAN的拓?fù)淠Ｐ?/p>

應(yīng)用智能選路，保障關(guān)鍵應(yīng)用，提升帶寬利用率

SD-WAN的一個(gè)重要特性就是可以根據(jù)應(yīng)用訴求進(jìn)行智能選路，即能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)的質(zhì)量，并根據(jù)應(yīng)用的SLA要求，在多條不同網(wǎng)絡(luò)質(zhì)量的WAN鏈路上，動(dòng)態(tài)、自動(dòng)地選擇符合應(yīng)用的SLA要求的網(wǎng)絡(luò)路徑，同時(shí)兼顧WAN網(wǎng)絡(luò)的整體使用效率。

SD-WAN解決方案提供如下智能選路算法。

鏈路質(zhì)量選路

不同應(yīng)用對(duì)鏈路質(zhì)量的要求不同，比如語音和視頻業(yè)務(wù)對(duì)時(shí)延、丟包率的容忍度較低，一般要求時(shí)延在150ms以內(nèi)，丟包率低于1%；則可將語音和視頻業(yè)務(wù)的主選鏈路配置為質(zhì)量較好的MPLS鏈路，備選鏈路配置為Internet鏈路，并配置業(yè)務(wù)的SLA要求，按照鏈路SLA進(jìn)行選路。

如圖1-9所示，在MPLS鏈路/網(wǎng)絡(luò)沒有發(fā)生擁塞時(shí)質(zhì)量較好，此時(shí)語音選擇在MPLS鏈路上傳輸。當(dāng)由于擁塞導(dǎo)致MPLS質(zhì)量下降時(shí)，CPE通過實(shí)時(shí)的鏈路質(zhì)量檢測(cè)，在檢測(cè)到鏈路SLA變差并達(dá)到語音所能容忍的SLA邊界時(shí)，將語音流量調(diào)整到符合SLA要求的負(fù)載較輕的Internet鏈路上。另外在MPLS鏈路由于故障斷鏈時(shí)，SD-WAN CPE實(shí)時(shí)檢測(cè)到鏈路故障，及時(shí)地將MPLS鏈路上所有業(yè)務(wù)遷移到Internet鏈路上，保證業(yè)務(wù)不受MPLS鏈路故障的影響。

負(fù)載分擔(dān)選路

在企業(yè)有多條鏈路時(shí)，希望能夠充分利用線路帶寬，基于鏈路帶寬進(jìn)行負(fù)載分擔(dān)選路，此時(shí)可配置負(fù)載均衡方式的選路調(diào)度方式。圖1-10 負(fù)載分擔(dān)選路

如圖1-10所示，企業(yè)分別購買了不同運(yùn)營(yíng)商的兩條MPLS鏈路，運(yùn)營(yíng)商A的100M的MPLS和運(yùn)營(yíng)商B的50M的MPLS，則可將語音業(yè)務(wù)的主選鏈路設(shè)置為這兩條MPLS鏈路。在兩條鏈路質(zhì)量均滿足語音業(yè)務(wù)SLA的前提下，語音業(yè)務(wù)可以以負(fù)載分擔(dān)的方式跑在兩條MPLS鏈路上，充分利用線路帶寬。

應(yīng)用優(yōu)先級(jí)選路

如果在同一條鏈路上有多種業(yè)務(wù)報(bào)文，為了在鏈路擁塞時(shí)優(yōu)先保證高優(yōu)先級(jí)應(yīng)用的使用，在發(fā)生擁塞時(shí)低優(yōu)先級(jí)應(yīng)用避讓高優(yōu)先級(jí)應(yīng)用，此時(shí)可使用優(yōu)先級(jí)選路。比如語音和視頻以及文件傳輸都在MPLS上，在鏈路帶寬不夠時(shí)優(yōu)先保證語音和視頻業(yè)務(wù)不受影響。

如圖1-11所示，由于MPLS線路質(zhì)量相對(duì)Internet鏈路好，為充分利用MPLS鏈路，將語音和FTP業(yè)務(wù)的主選鏈路均選擇為MPLS，備選鏈路為Internet。設(shè)置語音業(yè)務(wù)的優(yōu)先級(jí)高于FTP。初始時(shí)，語音和FTP均選擇MPLS鏈路，隨著語音業(yè)務(wù)和FTP業(yè)務(wù)的增加，MPLS鏈路出現(xiàn)擁塞，為保證語音業(yè)務(wù)的體驗(yàn)，將FTP業(yè)務(wù)逐步遷移到Internet鏈路，在MPLS擁塞解除后停止遷移。另外，為充分利用MPLS帶寬，可以配置在MPLS恢復(fù)時(shí)將FTP業(yè)務(wù)逐步遷移回MPLS鏈路。

帶寬利用率選路

如果在同一條鏈路上有多種業(yè)務(wù)報(bào)文，為了在鏈路擁塞時(shí)優(yōu)先保證高優(yōu)先級(jí)應(yīng)用的使用，在線路帶寬利用率達(dá)到一個(gè)閾值后時(shí)，低優(yōu)先級(jí)應(yīng)用避讓高優(yōu)先級(jí)應(yīng)用同時(shí)選擇其他滿足要求的鏈路轉(zhuǎn)發(fā)，此時(shí)可使用帶寬利用率選路。比如語音和文件傳輸都在MPLS上，在鏈路帶寬利用率超過閾值上限時(shí)，優(yōu)先保證語音業(yè)務(wù)不受影響。

如圖1-12所示，由于MPLS線路質(zhì)量相對(duì)Internet鏈路好，為充分利用MPLS鏈路，將語音和FTP業(yè)務(wù)的主選鏈路均選擇為MPLS，備選鏈路為Internet。設(shè)置語音業(yè)務(wù)的優(yōu)先級(jí)高于FTP，并且設(shè)置MPLS鏈路切換的閾值上限為70%、閾值下限為50%。初始時(shí)，語音和FTP均選擇MPLS鏈路，隨著語音業(yè)務(wù)和FTP業(yè)務(wù)的增加，MPLS鏈路出現(xiàn)擁塞，當(dāng)MPLS鏈路的帶寬利用率超過70%時(shí)，為保證語音業(yè)務(wù)的體驗(yàn)，將FTP業(yè)務(wù)逐步遷移到Internet鏈路。另外，為充分利用MPLS帶寬，當(dāng)MPLS鏈路的帶寬利用率小于50%時(shí)，將FTP業(yè)務(wù)逐步遷移回MPLS鏈路。

廣域網(wǎng)優(yōu)化，提升應(yīng)用的訪問體驗(yàn)

隨著音視頻分辨率的提升，音視頻會(huì)議和視頻監(jiān)控技術(shù)應(yīng)用更加廣泛，音視頻對(duì)帶寬和時(shí)延的要求也在迅速增長(zhǎng)。企業(yè)數(shù)據(jù)流量WAN側(cè)比重逐漸加大，造成了企業(yè)租用線路的費(fèi)用大幅提升。而Internet線路質(zhì)量也帶來了企業(yè)應(yīng)用體驗(yàn)問題，為了解決這些問題，企業(yè)網(wǎng)絡(luò)需要引入廣域鏈路優(yōu)化技術(shù)來優(yōu)化應(yīng)用的訪問體驗(yàn)，并且降低企業(yè)帶寬費(fèi)用。

FEC優(yōu)化

FEC（Forward Error Correction，前向錯(cuò)誤糾正）通過配置流策略的方式，對(duì)報(bào)文丟包進(jìn)行優(yōu)化。FEC通過流分類攔截指定數(shù)據(jù)流，增加攜帶校驗(yàn)信息的冗余包，并在接收端進(jìn)行校驗(yàn)。如果網(wǎng)絡(luò)中出現(xiàn)了丟包或者報(bào)文損傷，則通過冗余包還原報(bào)文。

多路包復(fù)制

多路包復(fù)制（雙發(fā)選收）是一種抗丟包技術(shù)。發(fā)送端CPE對(duì)數(shù)據(jù)包進(jìn)行復(fù)制，把原始包和復(fù)制包通過多條鏈路中的兩條一起發(fā)送。如果一條鏈路上有丟包，則接收端CPE通過另一條鏈路上的冗余包還原，從而不用重傳。適用于流量小、高可靠的業(yè)務(wù)。例如：VoIP、付款業(yè)務(wù)等。

逐包負(fù)載分擔(dān)

當(dāng)某條流特別大（即大象流），一條鏈路承載不了，但是其他鏈路空閑。逐包負(fù)載分擔(dān)可以將大象流分擔(dān)到多條鏈路上，提升鏈路利用率。在有多條出口鏈路的站點(diǎn)中，對(duì)加速大文件傳輸有很好的效果，常見的應(yīng)用有：FTP/HTTP下載大文件、數(shù)據(jù)備份復(fù)制等。

主動(dòng)防御，構(gòu)建端到端安全保障

SD-WAN解決方案從系統(tǒng)安全、業(yè)務(wù)安全、組件安全三個(gè)方面，如圖1-15所示來保證安全。

系統(tǒng)安全：是SD-WAN解決方案必備的基礎(chǔ)安全能力，系統(tǒng)在初始化之后就自動(dòng)具備這些能力，使得SD-WAN解決方案系統(tǒng)能夠安全、可靠地運(yùn)轉(zhuǎn)。

業(yè)務(wù)安全：是單獨(dú)部署的安全功能，根據(jù)企業(yè)用戶實(shí)際的業(yè)務(wù)安全需求，靈活選擇合適的安全防護(hù)措施。

組件安全：iMaster NCE、CPE、RR組件本身提供的安全功能以及在組件部署時(shí)需要考慮的安全因素。

可視化運(yùn)維與監(jiān)控，提升運(yùn)維效率

數(shù)字大屏和運(yùn)維監(jiān)控一體化界面

基于拓?fù)?、GIS、50+報(bào)表等方式展示全網(wǎng)狀態(tài)，如圖1-16所示，提升運(yùn)維效率和業(yè)務(wù)體驗(yàn)質(zhì)量。

基于拓?fù)涞囊徽臼竭\(yùn)維

基于拓?fù)涞囊徽臼竭\(yùn)維，如圖1-17所示，實(shí)現(xiàn)物理網(wǎng)絡(luò)和邏輯網(wǎng)絡(luò)互視，集成常用診斷工具，典型故障一鍵定位。

提供敏捷報(bào)表功能支持設(shè)備/鏈路/網(wǎng)絡(luò)性能/告警等數(shù)據(jù)靈活的圖形化展示能力，如圖1-18。通過拖拽式創(chuàng)建、自助式分析，提供業(yè)務(wù)決策的有力依據(jù)，如圖1-19。

提供精準(zhǔn)的告警信息郵件通知

多種告警管理手段，如圖1-20所示，及時(shí)掌握現(xiàn)網(wǎng)網(wǎng)絡(luò)健康狀態(tài)。

原文標(biāo)題：SD-WAN的架構(gòu)與關(guān)鍵技術(shù)

文章出處：【微信公眾號(hào)：華為產(chǎn)品資料】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。