企業(yè)組網(wǎng)的未來(lái)演進(jìn)會(huì)是怎樣的

文章引讀

01.楔子

02.企業(yè)多分支組網(wǎng)的演進(jìn)

? 2.1 傳統(tǒng)Hub-Spoke VPN組網(wǎng)

? 2.2 傳統(tǒng)動(dòng)態(tài)VPN組網(wǎng)

? 2.3 SDWAN 1.0: 面向企業(yè)的SDWAN

? 2.4 SDWAN 2.0: 面向服務(wù)提供商的SDWAN

? 2.5 SDWAN 3.0: 領(lǐng)灣 面向企業(yè)與服務(wù)提供商相結(jié)合的SDWAN

03.多種組網(wǎng)方式的比較

01

寫在前面的話

網(wǎng)絡(luò)世界永恒的話題,就是組網(wǎng)。從局域網(wǎng),城域網(wǎng)到廣域網(wǎng),每個(gè)細(xì)分領(lǐng)域都有說不完的話題。今天,我們把話題聚焦在企業(yè)多分支互聯(lián)的組網(wǎng)上。

企業(yè)多分支的組網(wǎng),用通俗的話講,就是企業(yè)的多個(gè)分支,通過虛擬專用網(wǎng)絡(luò)技術(shù),以Internet網(wǎng)絡(luò)為基礎(chǔ),進(jìn)行私有網(wǎng)絡(luò)互聯(lián)。當(dāng)然,也有土豪套餐,就是全程采用專線技術(shù),構(gòu)建企業(yè)自己的私有網(wǎng)絡(luò)。今天,我們暫不討論土豪套餐,重點(diǎn)關(guān)注前者。

02

企業(yè)多分支組網(wǎng)的演進(jìn)

2.1 傳統(tǒng)Hub-Spoke VPN組網(wǎng)

拓?fù)?

實(shí)際組網(wǎng)中最常見的是公司總部與多個(gè)分支機(jī)構(gòu)通過點(diǎn)到多點(diǎn)IPSec VPN互通,典型組網(wǎng)如下圖所示

數(shù)據(jù)面:

該場(chǎng)景的數(shù)據(jù)路徑通常分為兩種:

? 分支只與總部有數(shù)據(jù)交互,分支之間并不需要業(yè)務(wù)互通。

? 分支之間需要數(shù)據(jù)互通,需要總部中轉(zhuǎn)。

從數(shù)據(jù)路徑上分析,路徑二缺點(diǎn)很明顯:到總部中轉(zhuǎn)的代價(jià)是,浪費(fèi)帶寬資源,浪費(fèi)總部設(shè)備資源,延長(zhǎng)數(shù)據(jù)路徑,增加故障點(diǎn)。

管理面:

從配置管理角度看,IPSec的底層配置邏輯還是略顯復(fù)雜,需要資深網(wǎng)工才能駕馭,能理解下圖,方能開工。

理解了配置原理,設(shè)計(jì)好了配置模板,再來(lái)看配置工作量:每添加一個(gè)分支,都要配置一遍。大規(guī)模部署,不得不考慮一下。

2.2 傳統(tǒng)動(dòng)態(tài)VPN組網(wǎng)

傳統(tǒng)Hub-Spoke的組網(wǎng)模型,分支之間的流量需要繞行Hub,帶來(lái)了諸多缺陷,在多數(shù)場(chǎng)景是不允許的。

一種簡(jiǎn)單的解決方案,就是需要通信的站點(diǎn)之間都建立IPSec隧道,流量按需選擇隧道,也就是Full-Mesh組網(wǎng)模型。但這種只是理論上的解決方案,配置管理指數(shù)級(jí)增長(zhǎng),且要求每個(gè)站點(diǎn)都具備公網(wǎng)IP,落地不切實(shí)際。

Cisco 推出的DMVPN解決方案,就是用來(lái)解決上述問題的,既解決Hub-Spoke的流量繞行缺陷,又解決了Full-Mesh的繁瑣配置及公網(wǎng)需求。其他硬件廠商都推出了類似的解決方案,Huawei的DSVPN,H3C的DVPN,Juniper的AC-VPN,Fortinet的ADVPN。

該方案是由幾個(gè)協(xié)議配合完成的,以Cisco的DMVPN為例,基本思路與流程如下:

先建立Hub-Spoke模型的IPSec隧道。Spoke與Spoke之間的隧道則是按需動(dòng)態(tài)建立的,采用動(dòng)態(tài)點(diǎn)對(duì)多點(diǎn)的GRE隧道技術(shù) – MGRE。Spoke與Spoke建立之前,必須知道對(duì)方的地址;這依賴NHRP(下一跳解析協(xié)議)來(lái)實(shí)現(xiàn)。NHRP,基于C/S模型,Hub端充當(dāng)Server,Spoke端充當(dāng)Client,Client端啟動(dòng)后,會(huì)向Server端注冊(cè),Server端會(huì)獲取和管理所有Client端的隧道信息。DMVPN,當(dāng)一個(gè)Spoke想向另一個(gè)Spoke發(fā)送數(shù)據(jù)時(shí),首先需要到Server端查詢對(duì)端Spoke的信息,然后動(dòng)態(tài)建立隧道,進(jìn)行數(shù)據(jù)傳輸;同時(shí),需要進(jìn)行隧道保活,當(dāng)一段時(shí)間沒有數(shù)據(jù)后,隧道拆除。動(dòng)態(tài)路由,動(dòng)態(tài)路由協(xié)議需要運(yùn)行在隧道上,用于站點(diǎn)之間的業(yè)務(wù)路由學(xué)習(xí)與更新。

技術(shù)復(fù)雜度再度升級(jí),技術(shù)發(fā)燒友的福音,IT運(yùn)維交付人員的噩夢(mèng)。

2.3 SDWAN 1.0: 面向企業(yè)的SDWAN

面向企業(yè)的SDWAN解決方案是對(duì)傳統(tǒng)的IPSec VPN組網(wǎng)的延伸,在企業(yè)各個(gè)站點(diǎn)邊緣的CPE間建立隧道,無(wú)論是走Internet還是其他專線,都只提供Underlay的傳輸線路,企業(yè)的組網(wǎng)完全在服務(wù)提供商提供的網(wǎng)絡(luò)之上。從物理上來(lái)看,CPE可放在企業(yè)的總部/數(shù)據(jù)中心/分支網(wǎng),而從組網(wǎng)上來(lái)看,無(wú)論是Hub-Spoke還是Full Mesh,各站點(diǎn)間邏輯上都是一跳可達(dá)。

從數(shù)據(jù)路徑上看,面向企業(yè)的SDWAN模式,和傳統(tǒng)的VPN組網(wǎng)并沒有不同。那么,這種方案到底帶來(lái)了哪些改進(jìn)呢?概括起來(lái),主要有以下幾個(gè)方面:

? 引入了控制器的角色,用于CPE的發(fā)現(xiàn)與管理,并動(dòng)態(tài)向其下發(fā)用于建立隧道的信息,以及組網(wǎng)所需要的路由信息,大大的提高了配置效率。

? 增加了WAN鏈路的監(jiān)控,優(yōu)化選路以及鏈路的故障切換。

上述優(yōu)勢(shì)非常明顯,但也有明顯的不足,就是數(shù)通通路還是承載在公共網(wǎng)絡(luò)之上的,所有的鏈路優(yōu)化也是基于公共網(wǎng)絡(luò)的,在某些場(chǎng)景下,質(zhì)量與專線差別明顯。

2.4 SDWAN 2.0: 面向服務(wù)提供商的SDWAN

首先說明一下,SDWAN2.0并非SDWAN1.0簡(jiǎn)單的升級(jí)版本,準(zhǔn)確的說,應(yīng)該是兩種不同的解決方案思路。所以,增加了”面向企業(yè)“和”面向服務(wù)提供商“的描述。

基本上,服務(wù)提供商已經(jīng)擁有了全國(guó)甚至全球范圍內(nèi)的骨干網(wǎng)節(jié)點(diǎn),并能夠?yàn)槠髽I(yè)提供MPLS VPN或其他專線接入,專用骨干網(wǎng)的服務(wù)質(zhì)量在絕大部分場(chǎng)景下優(yōu)于公共網(wǎng)絡(luò)的質(zhì)量。

面向服務(wù)提供商的SDWAN解決方案的思路是,利用已有的專用骨干網(wǎng),集中精力解決最后一公里的接入、優(yōu)化和管理。具體的實(shí)施方案通常是在各個(gè)骨干節(jié)點(diǎn)建立POP點(diǎn),部署SDWAN網(wǎng)關(guān)設(shè)備,接入現(xiàn)有的專用骨干網(wǎng)。

面向企業(yè)端,為企業(yè)端的CPE提供IPSec接入。

該方案的組網(wǎng)方式與數(shù)據(jù)路徑較之前發(fā)生了較大的改變,CPE只需要與就近的POP點(diǎn)建立IPSec隧道,從而實(shí)現(xiàn)了個(gè)企業(yè)分支之間的互聯(lián)。其優(yōu)勢(shì)總結(jié)如下:

? 盡可能利用專用骨干網(wǎng),提升整體的網(wǎng)絡(luò)服務(wù)質(zhì)量。

? 簡(jiǎn)化了CPE之間的隧道建立模式,每個(gè)分支節(jié)點(diǎn)只需要建立1條或2條(備份或負(fù)載分擔(dān))隧道,就能輕松完成Full-Mesh組網(wǎng)。

? 繼承了面向企業(yè)SDWAN中,控制器對(duì)于CPE的發(fā)現(xiàn)與管理,及隧道與路由策略的動(dòng)態(tài)計(jì)算等優(yōu)勢(shì)。

? 繼承了面向企業(yè)SDWAN中,CPE WAN鏈路的監(jiān)控,優(yōu)化選路以及鏈路故障切換等優(yōu)勢(shì)。

但該方案也存在明顯的不足,就是POP點(diǎn)通常只會(huì)覆蓋一,二線城市,這樣,對(duì)于某些同城/省組網(wǎng)的時(shí)候,其網(wǎng)絡(luò)質(zhì)量就不如面向企業(yè)的SDWAN組網(wǎng)模式。因?yàn)橥侵g,直接通過公共網(wǎng)絡(luò)互聯(lián),要比經(jīng)過POP點(diǎn)節(jié)省了網(wǎng)絡(luò)路徑的開銷。

2.5 SDWAN 3.0 LinkWAN

面向企業(yè)與服務(wù)提供商相結(jié)合的SDWAN

領(lǐng)灣提出的SDWAN 3.0,繼承了SDWAN 1.0和SDWAN 2.0的優(yōu)勢(shì)部分,同時(shí)解決了兩者不足的部分,為企業(yè)提供靈活、最佳的按需組網(wǎng)方式。

該方案的基本思路是,在同城或同省互聯(lián),且公共網(wǎng)絡(luò)的服務(wù)質(zhì)量可以滿足的場(chǎng)景下,采用CPE與CPE之間直接建立隧道的方式,其分支流量不經(jīng)過POP節(jié)點(diǎn);同城/省內(nèi)的一臺(tái)/兩臺(tái)Hub節(jié)點(diǎn)接入到POP點(diǎn),為該城/省內(nèi)其他分支訪問其他城/省的分支提供數(shù)據(jù)通路。其效果是,同城/省內(nèi)直接互訪,跨城/省經(jīng)過POP節(jié)點(diǎn)互訪,達(dá)到了不同場(chǎng)景下的路徑最優(yōu)化。

03

多種組網(wǎng)方式對(duì)比

下面按照配置管理、數(shù)據(jù)路徑、網(wǎng)絡(luò)健壯性、運(yùn)行監(jiān)控等維度,進(jìn)行比較。

配置管理評(píng)估維度:

? 配置邏輯復(fù)雜度

? 配置工作量:隨著站點(diǎn)的增加,工作量的增加比例

數(shù)據(jù)路徑維度:

? 流量是否必須經(jīng)過Hub繞行

? 服務(wù)質(zhì)量對(duì)公網(wǎng)質(zhì)量的依賴程度

? WAN鏈路的優(yōu)化程度

網(wǎng)絡(luò)健壯性維度:

? 單點(diǎn)故障程度

? 運(yùn)行監(jiān)控維度

? 全網(wǎng)可視化視圖監(jiān)控程度

? WAN鏈路質(zhì)量監(jiān)控,故障切換程度

上述比較可以看出,面向企業(yè)+服務(wù)提供商相結(jié)合的SDWAN組網(wǎng)方式,對(duì)于跨地域多分支的組網(wǎng),適應(yīng)能力更強(qiáng),應(yīng)用更靈活。

審核編輯：符乾江