(續(xù)上文)Enterprise Oriented SD-WAN給企業(yè)帶來(lái)的價(jià)值非常明顯,在北美訊速地?fù)屨剂算y行、零售、連鎖等行業(yè),包括很多世界500強(qiáng)的大型客戶,2015年下半年開(kāi)始,SD-WAN成為了業(yè)界炙手可熱的新寵。由于SD-WAN對(duì)于上述一系列關(guān)鍵技術(shù)的利用,能夠顯著地提高Internet線路的QoE,這使得Internet線路在某些場(chǎng)景中,得以部分地代替MPLS線路在企業(yè)組網(wǎng)中的作用,因此降低了企業(yè)對(duì)于MPLS的依賴性。
因此,當(dāng)時(shí)業(yè)界談?wù)撟疃嗟脑掝},就是“SD-WAN能否取代傳統(tǒng)的MPLS VPN?”。MPLS VPN是全球各大運(yùn)營(yíng)商的支撐性業(yè)務(wù),SD-WAN的突然崛起,迫使著大T們開(kāi)始思考應(yīng)對(duì)之策。
本文作為下篇將對(duì)“SP Oriented SD-WAN”進(jìn)行介紹。首先,會(huì)介紹廠家給出的SDN-Gateway的方案。其次,將對(duì)運(yùn)營(yíng)商青睞的vCPE方案進(jìn)行介紹。最后,簡(jiǎn)單地聊下MPLS VPN的優(yōu)化問(wèn)題。
二、SP Oriented SD-WAN
關(guān)于“SD-WAN能否取代傳統(tǒng)的MPLS VPN”,其實(shí)這個(gè)問(wèn)題的答案很明顯。SD-WAN最大的價(jià)值之一,就是在Hybrid WAN的場(chǎng)景下更有效地去管理與使用WAN線路,幫助企業(yè)提高在WAN這一塊的ROI。因此,SD-WAN的出發(fā)點(diǎn)并不是要對(duì)抗MPLS VPN,因此就談不上要取代MPLS VPN,因?yàn)閮烧卟⒉辉谝粋€(gè)層面上。
無(wú)論是從紙面上來(lái)看設(shè)計(jì),還是從實(shí)踐中看效果,SD-WAN確實(shí)實(shí)現(xiàn)了它所承諾的價(jià)值。運(yùn)營(yíng)商也很快地就看清楚了問(wèn)題的本質(zhì),盡管SD-WAN客觀上會(huì)降低企業(yè)對(duì)于MPLS VPN的需求,但這是技術(shù)演進(jìn)的自然結(jié)果,另外SD-WAN在靈活性、自動(dòng)化、應(yīng)用感知、上云等方面相比于傳統(tǒng)的技術(shù)方案,也有著不可比擬的優(yōu)勢(shì)。權(quán)衡之下,與其把SD-WAN放到對(duì)立面,倒不如想辦法把其拉到統(tǒng)一的戰(zhàn)線上,作為一個(gè)新的業(yè)務(wù)增長(zhǎng)點(diǎn)。因此,運(yùn)營(yíng)商并沒(méi)有排斥SD-WAN,而是對(duì)其表現(xiàn)出了相當(dāng)開(kāi)放的態(tài)度,這與很多人的設(shè)想是恰恰相反的。
SD-WAN的廠家們心里也很清楚,要做大事情就一定得把生態(tài)搞好,運(yùn)營(yíng)商作為生態(tài)中最關(guān)鍵的環(huán)節(jié),有必要建立起一個(gè)融洽的合作模式。首先,純Overlay的方案存在著一定的局限性,雖然說(shuō)是Transport Independent,但是如果Transport的線路質(zhì)量確實(shí)不行,那也是巧婦難為無(wú)米之炊,另外對(duì)于跨國(guó)企業(yè)來(lái)說(shuō),如果不用MPLS純走Internet,那么基本上就約等于不能用。其次,運(yùn)營(yíng)商擁有著廣泛的客戶基礎(chǔ),業(yè)務(wù)的覆蓋范圍更廣,無(wú)論在運(yùn)營(yíng)還是運(yùn)維方面都有著巨大的優(yōu)勢(shì),這正是SD-WAN廠家們最為欠缺的環(huán)節(jié),一些大型的客戶動(dòng)輒就幾千個(gè)分支,雖然技術(shù)上是ZTP + Cloud Managed,但是從渠道和服務(wù)的角度來(lái)說(shuō),就完全是另外一回事了。
雙方一拍即合。第一種合作的思路是,運(yùn)營(yíng)商把廠家的方案買(mǎi)下來(lái),然后自己來(lái)做渠道和服務(wù),除了能夠分一部分SD-WAN的利潤(rùn)外,更關(guān)鍵地是可以把各種WAN線路打包到方案中,為企業(yè)提供一站式、差異化的WAN解決方案。如果有足夠?qū)嵙Φ脑挘€可以對(duì)產(chǎn)品進(jìn)行一些定制,把SD-WAN的能力嵌入到自己的業(yè)務(wù)系統(tǒng)當(dāng)中。第一種思路,不需要對(duì)Enterprise Oriented SD-WAN的技術(shù)架構(gòu)進(jìn)行改動(dòng),同時(shí)有著清晰的盈利模式,對(duì)于廠家來(lái)說(shuō)是零成本,對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)是一種快速進(jìn)入市場(chǎng)的有效手段。
第二種思路,是對(duì)原有方案的架構(gòu)進(jìn)行調(diào)整。最初所設(shè)計(jì)的SD-WAN方案是Enterprise Oriented的,從技術(shù)上來(lái)看是找不到運(yùn)營(yíng)商位置的,如果要做一個(gè)SP Oriented的SD-WAN,就需要在方案中引入SP的角色。那么SP Oriented SD-WAN該怎么做呢?
1、SD-WAN Gateway
廠家給出的方案,是在運(yùn)營(yíng)商的POP點(diǎn)里面放SD-WAN Gateway,負(fù)責(zé)終結(jié)企業(yè)側(cè)CPE發(fā)起的隧道,然后轉(zhuǎn)發(fā)到運(yùn)營(yíng)商的IP/MPLS網(wǎng)絡(luò)。在這種方案中,Enterprise SD-WAN中的CPE上所有能力都被保留了,不過(guò)端到端的Overlay變成了,兩頭的Last Mile用Overlay而Middle Mile交給運(yùn)營(yíng)商去做,如果運(yùn)營(yíng)商有能力的話就可以把MPLS VPN集成進(jìn)去,如果短期集成不了MPLS VPN,Middle Mile這段用Overlay打過(guò)去也不是不可以。
實(shí)際上這是種很不錯(cuò)的思路,各方接受起來(lái)都很自然。從客戶的角度來(lái)看,不需要去額外地購(gòu)買(mǎi)的設(shè)備,而且傳統(tǒng)的WAN設(shè)備也可以通過(guò)隧道接進(jìn)去了,另外SD-WAN的運(yùn)維也轉(zhuǎn)交給運(yùn)營(yíng)商去做了。從廠家的角度來(lái)看,Enterprise Oriented的特色得以被保留,CPE仍然是高價(jià)值的產(chǎn)品,同時(shí)有效地解決了純Overlay的局限性,另外通過(guò)SD-WAN Gateway也得以參與到運(yùn)營(yíng)商的組網(wǎng)中。從運(yùn)營(yíng)商的角度來(lái)看,SD-WAN Gateway不僅提供了對(duì)接MPLS的入口,另外也提供了更加靈活的接入方式,對(duì)于Last Mile不可達(dá)的Off-Net Customer,走Overlay做接入能夠省去很多的麻煩事兒。
以SD-WAN Gateway為核心的SP Oriented SD-WAN,保留了Enterprise Oriented SD-WAN的所有能力。在此基礎(chǔ)上,主要是提供了對(duì)多租戶的支持,并在控制邏輯方面進(jìn)行了相應(yīng)的加強(qiáng)。
1.1 整體設(shè)計(jì)
對(duì)于運(yùn)營(yíng)商來(lái)說(shuō),SD-WAN Gateway作為業(yè)務(wù)的接入設(shè)備,在位置上和SR/PE并沒(méi)有本質(zhì)上的區(qū)別。對(duì)于Pure Play的SD-WAN廠家來(lái)說(shuō),他們?cè)赑OP里面并沒(méi)有存量的SR/PE,所以就只能推新的設(shè)備進(jìn)去。形態(tài)上就是x86的盒子,相比于Enterprise Oriented SD-WAN方案中的CPE,SD-WAN Gateway作為不同客戶流量的匯聚點(diǎn),接口的速率和數(shù)量都會(huì)做相應(yīng)的增強(qiáng),而且由于它要負(fù)責(zé)大量隧道的終結(jié),因此對(duì)CPU和內(nèi)存的要求高很多,通常會(huì)需要專用的Crypto Accelerator。而對(duì)于傳統(tǒng)的設(shè)備廠商來(lái)說(shuō),比如Juniper、ALU和華為,他們?cè)赑OP里面有存量的SR/PE,這時(shí)候可以選擇把SD-WAN Gateway以板卡的形式插到SR/PE的機(jī)框上,以避免多引入一個(gè)物理設(shè)備的麻煩。隨著CORD在運(yùn)營(yíng)商中的推進(jìn),SD-WAN Gateway的形態(tài)開(kāi)始逐漸向vCPE進(jìn)行靠攏,關(guān)于vCPE等到后面CORD的部分再來(lái)做介紹。
控制器。從宏觀的架構(gòu)來(lái)看,除了Staging Server、Controller和Analytics以外,可能會(huì)需要AAA來(lái)專門(mén)做鑒權(quán)。從細(xì)節(jié)來(lái)看,由于多租戶需求的出現(xiàn),以及設(shè)備、拓?fù)鋸?fù)雜度的提高,使得控制器所用的數(shù)據(jù)模型以及業(yè)務(wù)流程都會(huì)發(fā)生一定的變化。從位置來(lái)看,On-Premise是不可行的,需要放到運(yùn)營(yíng)商自己的機(jī)房當(dāng)中。通常是在地市級(jí)的核心機(jī)房里面,負(fù)責(zé)控制下屬的各個(gè)接入機(jī)房中的SD-WAN Gateway,以及本地企業(yè)分支的CPE。
Portal也要做相應(yīng)的調(diào)整,而且運(yùn)營(yíng)商很可能要自己來(lái)做定制,部署的位置也取決于運(yùn)營(yíng)商站在什么層面上來(lái)看待SD-WAN的業(yè)務(wù),所以這里就不多說(shuō)了。
1.2 多租戶是怎么實(shí)現(xiàn)的?
企業(yè)側(cè)接入SD-WAN Gateway的流量,需要能夠與VRF進(jìn)行關(guān)聯(lián)。按廠家的意思就是用IPSec直接打進(jìn)來(lái),把接入網(wǎng)這一段OTT掉。在這種方式中,需要能夠?qū)PSec流量關(guān)聯(lián)VRF,大概有下面這幾種辦法:(1)用GREoverIPSec,為GRE口關(guān)聯(lián)VRF;(2)用MPLSoverGREoverIPSec,用MPLS來(lái)關(guān)聯(lián);(3)用VxLANoverIPSec,通過(guò)VNI來(lái)關(guān)聯(lián)VRF;(4)通過(guò)VTI口來(lái)關(guān)聯(lián)VRF;(5)用ISAKMP Profile綁定VRF,識(shí)別SPI后直接關(guān)聯(lián)VRF;(6)用私有的IPSec封裝,在IPSec后面單獨(dú)加VPN的字段。比較而言,從標(biāo)準(zhǔn)化程度來(lái)講(1)是最好的,從封裝效率上來(lái)講(3)和(4)要好一些,不同廠家的實(shí)現(xiàn)中會(huì)有不同的選擇。
不過(guò),按運(yùn)營(yíng)商現(xiàn)有的接入網(wǎng)絡(luò)來(lái)看,除IPSec以外,VLAN/QinQ/L2TP/GRE/MPLS VPN甚至是傳輸專線都有是有可能的,這對(duì)于SD-WAN Gateway的要求就比較高了。此時(shí),傳統(tǒng)的設(shè)備廠商相比于Pure Play的廠商就有明顯的優(yōu)勢(shì)了
經(jīng)過(guò)特定VRF的路由后,這里考慮跨地區(qū)的流量,流量要被送到目的站點(diǎn)所接入的SD-WAN Gateway上。根據(jù)實(shí)際情況,又有不同的方式:(1)如果SD-WAN Gateway間要走GRE/IPSec,就還是用上面剛剛所介紹的方法;(2)如果SD-WAN Gateway間要走M(jìn)PLS VPN,且SD-WAN Gateway自己具備MPLS VPN的能力,這時(shí)可以直接給出向流量標(biāo)記Service Label;(3)如果SD-WAN Gateway間要走M(jìn)PLS VPN,但是SD-WAN Gateway并不具備MPLS VPN的能力,那么SD-WAN Gateway就要通過(guò)接口/子接口和PE做連接,同時(shí)與PE間起IGP多實(shí)例,或者BGP/MP-BGP打通路由,然后由PE來(lái)完成MPLS VPN的工作,這實(shí)際上可以看作是VRF-Lite的方案。
不僅是SD-WAN Gateway,整個(gè)系統(tǒng)實(shí)際上都需要進(jìn)行多租戶的改造。對(duì)于CPE來(lái)說(shuō),要接入SD-WAN Gateway,可能需要對(duì)特定的封裝提供支持。對(duì)于控制器來(lái)說(shuō),要明確CPE所屬的租戶,以及SD-WAN Gateway上所接入的租戶列表,然后在分發(fā)策略和路由的時(shí)候,需要能帶著租戶的信息下去。對(duì)于Portal來(lái)說(shuō),則要提供RBAC的能力,對(duì)不同賬號(hào)的權(quán)限進(jìn)行區(qū)分與隔離。多租戶所帶來(lái)的細(xì)節(jié)問(wèn)題,還有很多很多,無(wú)法逐一而述了。
1.3 端到端的控制如何實(shí)現(xiàn)?
在Enterprise Oriented的方案中,控制器看待站點(diǎn)間的連接的角度很簡(jiǎn)單,兩個(gè)設(shè)備+雙向的隧道。在SP Oriented的方案中,由于控制器不僅要控制企業(yè)側(cè)的CPE,還要控制運(yùn)營(yíng)商的SD-WAN Gateway,另外SD-WAN Gateway的引入還將路徑切分成了多段,路由的控制上也很為復(fù)雜了。這些都對(duì)SP Oriented的控制器提出了很大的挑戰(zhàn),甚至可能需要在集中式和分布式間重新進(jìn)行決策。
首先,端到端的拓?fù)渚褪值膹?fù)雜。簡(jiǎn)單來(lái)想,可能是(SD-WAN CPE—SD-WAN Gateway—SD-WAN CPE)做本地中繼,可能是(SD-WAN CPE—SD-WAN Gateway—SD-WAN Gateway—SD-WAN CPE)做跨地區(qū)的隧道拼接,也不排除會(huì)做(SD-WAN CPE—N*SD-WAN Gateway—SD-WAN CPE)的POP點(diǎn)組網(wǎng)。如果有Non SD-WAN的設(shè)備打隧道接進(jìn)來(lái),這個(gè)設(shè)備的控制是不歸控制器來(lái)管的,雖然控制的設(shè)備少了,但實(shí)際上控制器的建模卻變得更加復(fù)雜了。如果Non SD-WAN設(shè)備接入SD-WAN Gateway,而SD-WAN CPE間不走SD-WAN Gateway直接打隧道,就更加混亂了。和路由目前來(lái)看,SP Oriented SD-WAN還沒(méi)有一個(gè)標(biāo)準(zhǔn)的路由控制邏輯,只能是摸著石頭過(guò)河。
在實(shí)際的部署中,SD-WAN Gateway不可能會(huì)是單點(diǎn),相比于主備運(yùn)營(yíng)商更喜歡負(fù)載分擔(dān),那么還要考慮HA下的均衡問(wèn)題。而且一個(gè)地區(qū)的POP點(diǎn)會(huì)有很多個(gè),如何在POP點(diǎn)間進(jìn)行流量的優(yōu)化,也是一個(gè)重要的問(wèn)題。
另外一個(gè)現(xiàn)實(shí)的問(wèn)題是,運(yùn)營(yíng)商不可能完全OTT接入網(wǎng)和MPLS。Overlay在Internet上做接入,雖然在靈活性上有很大的優(yōu)勢(shì),便于接入Off-Net的客戶,但是對(duì)于本地的On-Net客戶這種方式卻不見(jiàn)得合適。對(duì)于一些運(yùn)營(yíng)商來(lái)說(shuō),CPE—BRAS—SD-WAN Gateway—SR/PE的流量模型并不符合路由的規(guī)范,而且BRAS、SD-WAN Gateway、SR/PE這三者間的形態(tài)關(guān)系也是千差萬(wàn)別,現(xiàn)網(wǎng)部署起來(lái)會(huì)遇到很多麻煩。所以說(shuō)對(duì)于On-Net的客戶,SD-WAN Gateway接入這一端更習(xí)慣于over在專線上。這樣的話還要協(xié)同接入網(wǎng)的網(wǎng)管/控制器,如果再考慮與MPLS VPN網(wǎng)管/控制器的協(xié)同,整個(gè)SP Oriented SD-WAN的編排/控制系統(tǒng)會(huì)變得無(wú)比復(fù)雜。全場(chǎng)景、端到端的編排/控制,目前來(lái)看還有相當(dāng)大的差距。
1.4 公網(wǎng)訪問(wèn)如何實(shí)現(xiàn)?
如果是要做Local DIA,那么分流在分支的CPE本地就完成了,流量模型是Branch CPE—BRAS—Internet。如果是要做Backhaul,是由總部/數(shù)據(jù)中心的CPE統(tǒng)一分流,流量模型的一種可能是Branch CPE—SD-WAN Gateway—HQ/DC CPE—Internet,另一種可能是直接Branch CPE—HQ/DC CPE—Internet。關(guān)于DIA和Backhaul,在Enterprise Oriented SD-WAN部分已經(jīng)介紹過(guò)了,這里就不再贅述。
除了Local DIA和Backhaul以外,SP Oriented還提供了Regional Break Out的方式,流量模型是Branch CPE—SD-WAN Gateway—Internet,由SD-WAN Gateway完成公網(wǎng)和VPN流量的分流,公網(wǎng)流量可能還需要進(jìn)一步地對(duì)國(guó)內(nèi)流量和國(guó)際流量進(jìn)行區(qū)分,以提供不同的路由策略。Regional Break Out要求SD-WAN Gateway能夠提供NAT、安全和HQoS的相關(guān)能力,同時(shí)要求SD-WAN Gateway具有Internet的連通性。對(duì)于客戶來(lái)說(shuō),Regional Break Out的優(yōu)勢(shì)在于,既可以避免Internet流量繞行總部/數(shù)據(jù)中心,降低了時(shí)延與帶寬消耗,又可以通過(guò)SD-WAN Gateway為本地的多個(gè)分支集中地提供安全、WAAS這些服務(wù),避免了以分支為單位去使用這些服務(wù)的成本。對(duì)于運(yùn)營(yíng)商來(lái)說(shuō),客戶在本地所有分支的Internet業(yè)務(wù)可以集中地管理起來(lái),比如對(duì)上下行帶寬的統(tǒng)一分配。
至于公網(wǎng)流量如何才能從Branch CPE送到SD-WAN Gateway上,還是要看接入的方式是怎么樣的。如果要Overlay在Internet上,那么控制器就要下發(fā)路由把公網(wǎng)流量通過(guò)隧道送給SD-WAN Gateway,此時(shí)流量模型實(shí)際上是Branch CPE—BRAS—SD-WAN Gateway—Internet,在現(xiàn)網(wǎng)中運(yùn)營(yíng)商不一定會(huì)愿意提供這種連接方式,這取決于運(yùn)營(yíng)商如何去看待BRAS和SD-WAN Gateway兩者的關(guān)系。如果是over在專線上,路徑上就不會(huì)出現(xiàn)BRAS,這時(shí)相當(dāng)于一根線上同時(shí)跑了寬帶和VPN兩種業(yè)務(wù),需要在計(jì)費(fèi)方式上做好考慮。
2、vCPE
在運(yùn)營(yíng)商傳統(tǒng)的POP點(diǎn)中,為了支撐話音、寬帶、專線等不同專業(yè)的業(yè)務(wù),需要采購(gòu)大量專用的硬件設(shè)備,開(kāi)放性和靈活性很差。在Cloud/NFV/SDN等新型架構(gòu)的驅(qū)動(dòng)下,全球各大運(yùn)營(yíng)商紛紛投身于POP點(diǎn)云化的重構(gòu)進(jìn)程中。POP點(diǎn)云化后,各類專用的硬件設(shè)備在形態(tài)上將被基于通用x86平臺(tái)的VNF所替代,在架構(gòu)上轉(zhuǎn)發(fā)和控制得以分離解耦,這對(duì)于運(yùn)營(yíng)商具有巨大的價(jià)值。一方面在于開(kāi)放性、靈活性等方面的提高,長(zhǎng)期來(lái)看能夠有效地降低成本。另一方面,運(yùn)營(yíng)商得以將各種增值服務(wù)的VNF以服務(wù)的形式提供給客戶,這將是一筆相當(dāng)可觀的業(yè)務(wù)增收,也是破局“管道化”困境的有效方式。
在這一大背景下,SD-WAN的架構(gòu)也得到了新的延伸,以vCPE為核心的解決方案開(kāi)始占據(jù)SP Oriented SD-WAN的主流。這里有必要對(duì)vCPE的概念進(jìn)行一下說(shuō)明,從字面上來(lái)直觀理解的話,vCPE應(yīng)該是指一個(gè)與CPE具有相同功能的VNF,但實(shí)際上業(yè)界對(duì)于vCPE的定義并非如此。由于傳統(tǒng)的CPE是一個(gè)泛指的概念,涉及路由、防火墻、WAAS等諸多技術(shù),因此對(duì)CPE進(jìn)行虛擬化的結(jié)果,通常并不是一個(gè)VNF,而是vRouter、vFW、vWAAS等多個(gè)VNF,它們各自完成一部分功能,然后通過(guò)服務(wù)鏈串接在一起,共同交付vCPE的能力。雖然在某些產(chǎn)品和語(yǔ)境下,vCPE可以指代一個(gè)特定的VNF,但是在通用語(yǔ)境下vCPE是指一套完整的解決方案。
至于SD-WAN與vCPE間的關(guān)系,從SD-WAN的角度來(lái)看:
-
如果SD-WAN CPE是基于x86的白盒,而且自身具備單獨(dú)作為vCPE載體的能力,這時(shí)SD-WAN CPE就可以被稱為vCPE,vCPE就是SD-WAN方案中的一個(gè)組件。
-
如果SD-WAN CPE以虛擬機(jī)的形態(tài)存在,那么可以作為vCPE方案中的一類VNF,這時(shí)可以說(shuō)vCPE是SD-WAN方案中的一種實(shí)現(xiàn)手段。
-
如果在vCPE方案中,只提供vRouter、vFW等傳統(tǒng)的VNF,并不提供SD-WAN VNF,那么vCPE和SD-WAN兩者并無(wú)直接的聯(lián)系。
如果理解起來(lái)仍然比較晦澀,那么換作vCPE的角度來(lái)看就清楚很多:
-
如果所有的能力都在企業(yè)邊緣提供,稱為Distributed vCPE,無(wú)論企業(yè)邊緣的設(shè)備是不是SD WAN CPE。
-
如果所有的能力都在POP點(diǎn)提供,稱為Centralized vCPE,無(wú)論提不提供SD-WAN VNF。
-
如果一部分能力在企業(yè)邊緣提供,一部分能力在POP點(diǎn)提供,稱為Hybrid vCPE,無(wú)論是否存在SD WAN CPE或者SD-WAN VNF。
可以看到的是,SD-WAN和vCPE并不存在嚴(yán)格的包含于被包含的關(guān)系。以這篇文章的出發(fā)點(diǎn)來(lái)說(shuō),可暫且把vCPE看作是SP-Oriented SD-WAN中的一種實(shí)現(xiàn)形式。下面就來(lái)對(duì)vCPE進(jìn)行一個(gè)簡(jiǎn)單的介紹。
2.1 整體架構(gòu)
一套完整的vCPE方案的實(shí)現(xiàn)需要Cloud、NFV和SDN技術(shù)的緊密協(xié)同。首先,要有一個(gè)x86的平臺(tái)來(lái)提供虛擬化的能力,可以是在Distributed vCPE中的SD-WAN CPE上,也可以是在Centralized vCPE中的x86資源池中。其次,要有一套虛擬化的中間件+云管平臺(tái),如開(kāi)源的KVM+OpenStack。然后,需要一套VNFM+NFVO,對(duì)VNF進(jìn)行管理和編排。SDN這塊,云POP點(diǎn)的控制器、SD-WAN的控制器,可能是同一套,也可能是兩套,另外一些方案中還會(huì)包括接入網(wǎng)的網(wǎng)管/控制器。Portal就很難說(shuō)了,完全取決于廠家的實(shí)現(xiàn)和運(yùn)營(yíng)商的集成。
vCPE是否要做成多租戶的?除了廠家的實(shí)現(xiàn)以外,其實(shí)還取決于運(yùn)營(yíng)商的銷售策略。如果是賣(mài)VNF的模式,那么一個(gè)實(shí)例只就能屬于一個(gè)租戶,這時(shí)不強(qiáng)制要求多租戶。如果并不直接賣(mài)VNF,而是包裝成網(wǎng)絡(luò)能力來(lái)賣(mài),這時(shí)做成多租戶就比較劃算了,不過(guò)要考慮好性能、容量、配額和擴(kuò)縮容的問(wèn)題。
實(shí)際上,vCPE就是POP點(diǎn)云化的一個(gè)企業(yè)級(jí)用例,上述vCPE的架構(gòu)也就是POP點(diǎn)云化的架構(gòu)。關(guān)于這套大的架構(gòu),本身就可以獨(dú)立成一篇長(zhǎng)文,這里不做深入的展開(kāi)。
2.2 Distributed vCPE和Centralized vCPE
之前提到過(guò),所有能力都在企業(yè)邊緣提供的方式被稱為Distributed vCPE,實(shí)際上Enterprise Oriented SD-WAN中的CPE很可能就是Distributed vCPE的一種表現(xiàn)形式,本地集成VNF,然后通過(guò)一些引流手段把它們串在一起。與之相對(duì)應(yīng)的是Centralized vCPE,所有能力都位于POP點(diǎn)中,并由運(yùn)營(yíng)商以服務(wù)的形式來(lái)集中提供。那么,哪種方式更好一些呢?
先來(lái)看看市場(chǎng)方面的因素。從廠商的角度來(lái)看,如果其產(chǎn)品的能力比較全,就會(huì)傾向于Distributed的方式,把所有的功能都自己做在盒子里,如果其產(chǎn)品能力上有較大的缺口,那不可避免地就要做第三方集成,傾向性就會(huì)稍弱一些。從運(yùn)營(yíng)商的角度來(lái)看,一般會(huì)更傾向于Centralized的方式,一方面有利于運(yùn)維,另一方面能夠增強(qiáng)自身在企業(yè)組網(wǎng)中的地位。從客戶的視角來(lái)看,Distributed是買(mǎi)硬件+服務(wù),Centralized只需要買(mǎi)服務(wù),如果Distributed和Centralized的使用體驗(yàn)一致,從成本來(lái)說(shuō)自然是Centralized更好一些
不過(guò),Centralized并不會(huì)完全地壓倒Distributed。一來(lái),目前運(yùn)營(yíng)商的POP點(diǎn)云化還處在早期的階段,技術(shù)上距離成熟還有相當(dāng)?shù)囊欢尉嚯x。再者,一些VNF部署在企業(yè)邊緣會(huì)獲得更好的使用體驗(yàn),比如WAAS。Hybrid vCPE在兩者間取了一個(gè)平衡,一部分能力在企業(yè)邊緣的盒子上,一部分能力在POP點(diǎn)中,由客戶根據(jù)實(shí)際情況來(lái)自行訂購(gòu)。Hybrid的方式固然靈活,但是VNF的分散性對(duì)于運(yùn)維來(lái)說(shuō)是一個(gè)不小的挑戰(zhàn)。
2.3 Centralized vCPE的流量模型
Centralized vCPE的目標(biāo)是最大程度地簡(jiǎn)化企業(yè)側(cè)的設(shè)備,最好是只留下二層的功能,把路由也移到POP點(diǎn)里面去。對(duì)于運(yùn)營(yíng)商來(lái)說(shuō),自然希望借此獲得對(duì)于企業(yè)業(yè)務(wù)更加完整的控制權(quán),對(duì)于一些中小型的客戶來(lái)說(shuō),這避免了自己去維護(hù)路由的工作,實(shí)現(xiàn)網(wǎng)絡(luò)的即插即用。因此,目前在很多的vCPE應(yīng)用案例中,都會(huì)見(jiàn)到這種二層接入的方式。這時(shí)VPN和公網(wǎng)的流量都會(huì)發(fā)給POP點(diǎn)中的vCPE,vCPE不僅僅是虛擬化了企業(yè)側(cè)的終端,實(shí)際上把BRAS和SR的一部分活兒也都一起給做了。
Centralized vCPE主要包括vRouter、vFW和vWAAS,在實(shí)際的部署中會(huì)有不同的串接順序。當(dāng)然,某些廠商也會(huì)將不同的能力集成到一個(gè)VNF中去實(shí)現(xiàn),比如SD-WAN VNF很可能就是一個(gè)集多種能力于一身,這時(shí)流量的模型就要簡(jiǎn)單很多。這里考慮最常見(jiàn)的串接順序vRouter—vFW下的流量模型,vFW采用路由模式。vRouter對(duì)流量的處理主要包括:(1)對(duì)流量進(jìn)行識(shí)別;(2)為企業(yè)側(cè)的接入設(shè)備分配IP地址;(3)對(duì)流量進(jìn)行限速;(4)將流量送給vFW。在vFW對(duì)流量的處理主要包括:(1)對(duì)流量進(jìn)行識(shí)別;(2)對(duì)公網(wǎng)流量和VPN流量進(jìn)行分流;(3)執(zhí)行安全策略;(4)公網(wǎng)流量送給NAT設(shè)備,VPN流量送給PE。
具體來(lái)看數(shù)據(jù)面的轉(zhuǎn)發(fā)。目前NSH的應(yīng)用還非常少見(jiàn),這里不做分析。
-
客戶接入vRouter這一段。可能的拓?fù)溆泻芏啵↙2 Switch—POP GW—vSwitch—vRouter)、(L2 Switch—POP GW—vRouter)、(L2 Switch—vSwitch—vRouter)、(L2 Switch—POP GW—vSwitch—vRouter)。由于要接入二層,因此可以選擇VLAN/QinQ或者VxLAN,考慮到與物理拓?fù)浣怦钭遃xLAN會(huì)稍好一些,一些節(jié)點(diǎn)上會(huì)需要做轉(zhuǎn)換/拼接。
-
vRouter到vFW這一段。如果在同一個(gè)節(jié)點(diǎn)上,拓?fù)涫牵╲Router—vSwitch—vFW),直接VLAN不用走隧道。如果不在一個(gè)節(jié)點(diǎn)上,拓?fù)渚褪牵╲Router—vSwitch—vSwitch—vFW),vSwitch間走VxLAN就行。少數(shù)情況下,拓?fù)鋾?huì)是(vRouter—vFW),可以選擇MPLSoverGRE,如果不支持MPLS可以用VRF Aware GRE。
-
vFW到NAT/PE這一段。由于NAT/PE通常是物理設(shè)備,因此拓?fù)渥詈弥苯泳褪牵╲FW-NAT/PE),可以選擇MPLSoverGRE,如果不支持MPLS可以用VRF Aware GRE。一些POP點(diǎn)中還會(huì)引入vNAT/vPE,這時(shí)就可以(vFW—vSwitch—vSwitch—vNAT/vPE)了。
可以看到的是,由于涉及到運(yùn)營(yíng)商的網(wǎng)絡(luò),因此底層的連接變得非常復(fù)雜,要針對(duì)現(xiàn)網(wǎng)的實(shí)際環(huán)境來(lái)做具體的方案設(shè)計(jì)。而且,由于拓?fù)錄](méi)有一定固定的形態(tài),因此對(duì)控制器的要求也很高,很可能需要做一些定制化的開(kāi)發(fā)。
3. MPLS VPN的優(yōu)化
從SD-WAN廠家的角度來(lái)看,只要把流量做好標(biāo)記送給PE上就行了,PE間的打通并不屬于SD-WAN要考慮的問(wèn)題。不過(guò)對(duì)于運(yùn)營(yíng)商來(lái)說(shuō),MPLS VPN是企業(yè)廣域網(wǎng)業(yè)務(wù)的基礎(chǔ),也是能夠體現(xiàn)服務(wù)差異化的最關(guān)鍵環(huán)節(jié)。因此,運(yùn)營(yíng)商在設(shè)計(jì)SD-WAN業(yè)務(wù)的時(shí)候,一定會(huì)帶上MPLS VPN一起做考慮。不過(guò),傳統(tǒng)的MPLS VPN所存在的一些局限性,使得它在與SD-WAN進(jìn)行集成時(shí)顯得很不協(xié)調(diào)。首先,開(kāi)通周期太長(zhǎng),交付速度遠(yuǎn)遠(yuǎn)跟不上業(yè)務(wù)的需求。其次,帶寬難以按需調(diào)整,客戶只能按照峰值帶寬的水平進(jìn)行超買(mǎi)。另外,無(wú)法與云進(jìn)行聯(lián)動(dòng),企業(yè)入云的流量難以納入到服務(wù)體系中。
快速開(kāi)通的問(wèn)題,并非單純地引入SDN控制器對(duì)兩端PE/ASBR做自動(dòng)化配置那么簡(jiǎn)單。在運(yùn)營(yíng)商的傳統(tǒng)體系下開(kāi)通一個(gè)MPLS VPN,周期保守估計(jì)在45-90天,從開(kāi)始填寫(xiě)訂單到最后完成交付,其間要流轉(zhuǎn)數(shù)十個(gè)步驟,其中向設(shè)備下發(fā)配置這個(gè)環(huán)節(jié)已經(jīng)是由MPLS VPN網(wǎng)管一類的角色自動(dòng)完成的,換上SDN控制器來(lái)配也沒(méi)有任何本質(zhì)的區(qū)別。真正的問(wèn)題在于,傳統(tǒng)的BOSS系統(tǒng)太過(guò)于臃腫,為保證系統(tǒng)的穩(wěn)定運(yùn)轉(zhuǎn),不僅流程復(fù)雜繁瑣,而且很多步驟需要人工介入。因此破題的關(guān)鍵在于,運(yùn)營(yíng)商要對(duì)BOSS的架構(gòu)和業(yè)務(wù)流程進(jìn)行精簡(jiǎn),否則任何網(wǎng)絡(luò)層面的改進(jìn)都是杯水車(chē)薪。
帶寬按需調(diào)整,在BOSS層面也面臨著同樣的現(xiàn)實(shí)問(wèn)題。單純從網(wǎng)絡(luò)的層面來(lái)講,調(diào)帶寬的方法要看MPLS VPN的QoS模型,如果是Diff-Serv的就是在PE上做限速和Mark,如果是Int-Serv恐怕就要去搞RSVP了。想法是好的,但在現(xiàn)實(shí)中運(yùn)營(yíng)商可能會(huì)遇到一些頭疼的問(wèn)題。首先,是調(diào)帶寬這個(gè)動(dòng)作極容易使網(wǎng)絡(luò)變得不穩(wěn)定,一旦客戶調(diào)的時(shí)候影響了別人,很難去界定責(zé)任。其次,按需的粒度很難掌握,細(xì)了的話太影響收入,粗了很多時(shí)候?qū)蛻艟褪ノα恕A硗猓葱璺?wù)的模式對(duì)計(jì)費(fèi)系統(tǒng)沖擊太大,風(fēng)險(xiǎn)性需要進(jìn)行謹(jǐn)慎的評(píng)估。
與云的聯(lián)動(dòng)不足,需要運(yùn)營(yíng)商與云提供商雙方來(lái)共同解決。云機(jī)房通常會(huì)建設(shè)在城域網(wǎng)核心或者骨干網(wǎng)這一層面,通過(guò)DC Edge來(lái)接入運(yùn)營(yíng)商的Internet。隨著云計(jì)算的逐步成熟,一些高價(jià)值的企業(yè)流量開(kāi)始流向云端,然而Internet卻難以為這部分流量提供足夠的連接質(zhì)量,引入MPLS VPN來(lái)解決這一問(wèn)題是很自然的需求。對(duì)于運(yùn)營(yíng)商而言,如果不是市場(chǎng)策略上有什么額外的考慮,單純從技術(shù)上來(lái)講事情是很簡(jiǎn)單的,DC Edge就是CE,只要搞定它與PE間的接入和路由就可以了。
接入上沒(méi)什么說(shuō)的,裸纖/專線/VPN都可以,對(duì)于幾個(gè)大的公有云,甚至可以直接把PE搬到DC Edge的機(jī)房去做直連,通過(guò)物理接口或者子接口來(lái)隔離租戶。如果由于一些現(xiàn)實(shí)的因素,運(yùn)營(yíng)商和公有云間做接入存在困難,還可以通過(guò)第三方的IXP/CXP來(lái)進(jìn)行中繼。
路由這一塊,由于要跨域一般就是靜態(tài)路由或者BGP,如果是用靜態(tài)路由,就是由控制器把路由配到DC Edge和PE上,如果是用BGP,那就需要控制器去配好Peering和Policy。從分工界面來(lái)看,DC Edge和云內(nèi)部的網(wǎng)絡(luò)由公有云提供商來(lái)負(fù)責(zé),PE和企業(yè)側(cè)的接入由運(yùn)營(yíng)商來(lái)負(fù)責(zé),雙方的控制器各自封裝好API提供出來(lái),上面的Portal或者編排器拆單后直接調(diào)用就可以了。對(duì)于IaaS流量來(lái)說(shuō),企業(yè)側(cè)和云側(cè)的網(wǎng)絡(luò)在同一地址空間內(nèi),路由直接拉通就行了,但是對(duì)于SaaS流量來(lái)說(shuō),云一側(cè)是公網(wǎng)的IP地址,因此路由是沒(méi)法直接通的。因此,對(duì)于企業(yè)側(cè)訪問(wèn)SaaS的流量,運(yùn)營(yíng)商還需要在PE送到DC Edge前做NAT,這是一個(gè)很容易被忽略的問(wèn)題,特此進(jìn)行提示。
