“十四五”时期国家重点出版物出版专项规划项目
华为网络技术系列
丛书主编 徐文伟
华为数据通信 架构与技术
SD-WAN架构与技术
(第2版)
主 编 盛 成
副主编 何宏伟 冷 婷
人 民 邮 电 出 版 社
北 京
图书在版编目(CIP)数据
SD-WAN架构与技术/盛成主编. -- 2版. -- 北京:人民邮电出版社,2022.3
(华为网络技术系列)
ISBN 978-7-115-57329-2
Ⅰ. ①S… Ⅱ. ①盛… Ⅲ .①广域网一架构 Ⅳ. ①TP393.2
中国版本图书馆CIP数据核字(2021)第184376号
主 编 盛 成
副 主 编 何宏伟 冷 婷
责任编辑 韦 毅
责任印制 李 东 周昇亮
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 https://www.ptpress.com.cn
涿州市京南印刷厂印刷
开本:720×1000 1/16
印张:22.75 2022年3月第2版
字数:446千字 2022年3月河北第1次印刷
定价:99.00元
读者服务热线:(010)81055552 印装质量热线:(010)81055316
反盗版热线:(010)81055315
广告经营许可证:京东市监广登字20170147号
本系列图书基于华为公司工程创新、技术创新的成果以及在全球范围内丰富的商用交付经验,介绍新一代网络技术的发展热点和相关的网络部署方案。
本书从企业WAN当前面临的问题和挑战入手,介绍SD-WAN出现的背景和基本特性,并结合技术实现,详细阐述SD-WAN解决方案的系统架构、运转机制和应用场景。本书通过解读SD-WAN的关键技术,分析SD-WAN的实际部署案例,为读者提供SD-WAN解决方案的设计方法和部署建议。在第1版的基础上,本书特别增加了IPv6、5G和SRv6场景下的新技术内容。
本书内容通俗易懂,针对性和实用性强,能够帮助读者了解SD-WAN解决方案的实现原理,掌握SD-WAN解决方案的设计原则。本书可作为网络技术支持工程师、网络管理员、网络规划工程师等ICT从业人员的学习用书,也可以作为网络技术爱好者的参考资料。
主 任 徐文伟 华为战略研究院院长
副主任 胡克文 华为数据通信产品线总裁
赵志鹏 华为数据通信产品线副总裁
刘少伟 华为数据通信产品线研发部总裁
委 员(按姓氏音序排列)
陈金助 丁兆坤 杜志强 段俊杰
付 洁 国大正 胡 伟 李 兴
刘建宁 马 烨 孟文君 钱 骁
孙 亮 王 辉 王 雷 王晨曦
王建兵 吴局业 业苏宁 左 萌
主 编 盛 成
副主编 何宏伟 冷 婷
编写人员 王春宁 房永龙 侯建强 唐鹏合
田 旭 叶 涛 李 坤 黄炜恒
尹智峰 虞玲玲 李 辉 龙 华
董 林
技术审校 曹同强 李方力 王成愿 于 颀
达呼·巴雅尔 许辉曲 毛建华
刘国栋 余 兴 向虹媛 李晓阳
胡 军 陈 博 王永博 汤丹丹
该丛书由华为公司的一线工程师编写,从行业趋势、原理和实战案例等多个角度介绍了与数据通信相关的网络架构和技术,同时对虚拟化、大数据、软件定义网络等新技术给予了充分的关注。该丛书可以作为网络与数据通信领域教学及科研的参考书。
——李幼平
中国工程院院士,东南大学未来网络研究中心主任
当前,国家大力加强网络强国建设,数据通信就是这一建设的基石。这套丛书的问世对进一步构建完善的网络技术生态体系具有重要意义。
——何宝宏
中国信息通信研究院云计算与大数据研究所所长
该丛书以网络工程师的视角,呈现了各类数据通信网络设计部署的难点和未来面临的业务挑战,实践与理论相结合,包含丰富的第一手行业数据和实践经验,适用于网络工程部署、高校教学和科研等多个领域,在产学研用结合方面有着独特优势,填补了业界空白。
——王兴伟
东北大学教授、研究生院常务副院长,国家杰出青年科学基金获得者
该丛书对华为公司近年来在数据通信领域的丰富经验进行了总结,内容实用,可以作为数据通信领域图书的重要补充,也可以作为信息通信领域,尤其是计算机通信网络、无线通信网络等领域的教学参考。该丛书既有扎实的技术性,又有很强的实践性,它的出版有助于加快推动产学研用一体化发展,有助于培养信息通信技术方面的人才。
——徐恪
清华大学教授、计算机系副主任,国家杰出青年科学基金获得者
该丛书汇聚了作者团队多年的从业经验,以及对技术趋势、行业发展的深刻理解。无论是作为企业建设网络的参考,还是用于自身学习,这都是一套不可多得的好书。
——王震坡
北京理工大学教授,电动车辆国家工程实验室主任
这是传统网络工程师在云时代的教科书,了解数据通信网络的现在和未来也是网络人的一堂必修课。如果不了解这些内容,迎接我们的可能就只有被淘汰或者转行,感谢华为为这个行业所做的知识整理工作!
——丘子隽
平安科技平安云网络产品部总监
该丛书将园区办公网络、数据中心网络和广域互联网的网络架构与技术讲解得十分透彻,内容通俗易懂,对金融行业的IT主管和工作人员来说,是一套优秀的学习和实践指导图书。
——郑倚志
兴业银行信息科技部数据中心主任
“2020年12月31日,华为CloudEngine数据中心交换机全球销售额突破10亿美元。”
我望向办公室的窗外,一切正沐浴在旭日玫瑰色的红光里。收到这样一则喜讯,倏忽之间我的记忆被拉回到2011年。
那一年,随着数字经济的快速发展,数据中心已经成为人工智能、大数据、云计算和互联网等领域的重要基础设施,数据中心网络不仅成为流量高地,也是技术创新的热点。在带宽、容量、架构、可扩展性、虚拟化等方面,用户对数据中心网络提出了极高的要求。而核心交换机是数据中心网络的中枢,决定了数据中心网络的规模、性能和可扩展性。我们洞察到云计算将成为未来的趋势,云数据中心核心交换机必须具备超大容量、极低时延、可平滑扩容和演进的能力,这些极致的性能指标,远远超出了当时的工程和技术极限,业界也没有先例可循。
作为企业BG的创始CEO,面对市场的压力和技术的挑战,如何平衡总体技术方案的稳定和系统架构的创新,如何保持技术领先又规避不确定性带来的风险,我面临一个极其艰难的抉择:守成还是创新?如果基于成熟产品进行开发,或许可以赢得眼前的几个项目,但我们追求的目标是打造世界顶尖水平的数据中心交换机,做就一定要做到业界最佳,铸就数据中心带宽的“珠峰”。至此,我的内心如拨云见日,豁然开朗。
我们勇于创新,敢于领先,通过系统架构等一系列创新,开始打造业界最领先的旗舰产品。以终为始,秉承着打造全球领先的旗舰产品的决心,我们快速组建研发团队,汇集技术骨干力量进行攻关,数据中心交换机研发项目就此启动。
CloudEngine 12800数据中心交换机的研发过程是极其艰难的。我们突破了芯片架构的限制和背板侧高速串行总线(SerDes)的速率瓶颈,打造了超大容量、超高密度的整机平台;通过风洞试验和仿真等,解决了高密交换机的散热难题;通过热电、热力解耦,突破了复杂的工程瓶颈。
我们首创数据中心交换机正交架构、Cable I/O、先进风道散热等技术,自研超薄碳基导热材料,系统容量、端口密度、单位功耗等多项技术指标均达到国际领先水平,“正交架构+前后风道”成为业界构筑大容量系统架构的主流。我们首创的“超融合以太”技术打破了国外FC(Fiber Channel,光纤通道)
存储网络、超算互联IB(InfiniBand)网络的技术封锁;引领业界的AI ECN(Electronic Communication Network,电子通信网络)技术实现了RoCE(RDMA over Converged Ethernet,基于聚合以太网的远程直接存储器访问)网络的实时高性能;PFC(Power Factor Correction,功率因数校正)死锁预防技术更是解决了RoCE大规模组网的可靠性问题。此外,华为在高速连接器、SerDes、高速AD/DA(Analog to Digital/Digital to Analog,模数/数模)转换、大容量转发芯片、400GE光电芯片等多项技术上,全面填补了技术空白,攻克了众多世界级难题。
2012年5月6日,CloudEngine 12800数据中心交换机在北美拉斯维加斯举办的Interop展览会闪亮登场。CloudEngine 12800数据中心交换机闪耀着深海般的蓝色光芒,静谧而又神秘。单框交换容量高达48 Tbit/s,是当时业界最高水平的3倍;单线卡支持8个100GE端口,是当时业界最高水平的4倍。业界同行被这款交换机超高的性能数据所震撼,业界工程师纷纷到华为展台前一探究竟。我第一次感受到设备的LED指示灯闪烁着的优雅节拍,设备运行的声音也变得如清谷幽泉般悦耳。随后在2013年日本东京举办的Interop展览会上,CloudEngine 12800数据中心交换机获得了DCN(Data Center Network,数据中心网络)领域唯一的金奖。
我们并未因为CloudEngine 12800数据中心交换机的成功而停止前进的步伐,我们的数据通信团队继续攻坚克难,不断进步,推出了新一代数据中心交换机——CloudEngine 16800。
华为数据中心交换机获奖无数,设备部署在90多个国家和地区,服务于3800多家客户,2020年发货端口数居全球第一,在金融、能源等领域的大型企业以及科研机构中得到大规模应用,取得了巨大的经济效益和社会效益。
数据中心交换机的成功,仅仅是华为在数据通信领域众多成就的一个缩影。CloudEngine 12800数据中心交换机发布一年多之后,2013年8月8日,华为在北京发布了全球首个以业务和用户体验为中心的敏捷网络架构,以及全球首款S12700敏捷交换机。我们第一次将SDN(Software Defined Network,软件定义网络)理念引入园区网络,提出了业务随行、全网安全协防、IP(Internet Protocol,互联网协议)质量感知以及有线和无线网络深度融合四大创新方案。基于可编程ENP(Ethernet Network Processor,以太网络处理器)灵活的报文处理和流量控制能力,S12700敏捷交换机可以满足企业的定制化业务诉求,助力客户构建弹性可扩展的网络。在面向多媒体及移动化、社交化的时代,传统以技术设备为中心的网络必将改变。
多年来,华为以必胜的信念全身心地投入数据通信技术的研究,业界首款2T路由器平台NetEngine 40E-X8A/X16A、业界首款T级防火墙USG9500、业界首款商用Wi-Fi 6产品AP7060DN……随着这些产品的陆续发布,华为IP产品在勇于创新和追求卓越的道路上昂首前行,持续引领产业发展。
这些成绩的背后,是华为对以客户为中心的核心价值观的深刻践行,是华为在研发创新上的持续投入和厚积薄发,是数据通信产品线几代工程师孜孜不倦的追求,更是整个IP产业迅猛发展的时代缩影。我们清醒地意识到,5G、云计算、人工智能和工业互联网等新基建方兴未艾,这些都对IP网络提出了更高的要求,“尽力而为”的IP网络正面临着“确定性”SLA(Service Level Agreement,服务等级协定)的挑战。这是一次重大的变革,更是一次宝贵的机遇。
我们认为,IP产业的发展需要上下游各个环节的通力合作,开放的生态是IP产业成长的基石。为了让更多人加入到推动IP产业前进的历史进程中来,华为数据通信产品线推出了一系列图书,分享华为在IP产业长期积累的技术、知识、实践经验,以及对未来的思考。我们衷心希望这一系列图书对网络工程师、技术爱好者和企业用户掌握数据通信技术有所帮助。欢迎读者朋友们提出宝贵的意见和建议,与我们一起不断丰富、完善这些图书。
华为公司的愿景与使命是“把数字世界带入每个人、每个家庭、每个组织,构建万物互联的智能世界”。IP网络正是“万物互联”的基础。我们将继续凝聚全人类的智慧和创新能力,以开放包容、协同创新的心态,与各大高校和科研机构紧密合作。希望能有更多的人加入IP产业创新发展活动,让我们种下一份希望、发出一缕光芒、释放一份能量,携手走进万物互联的智能世界。
徐文伟
华为董事、战略研究院院长
2021年12月
初识华为,要从二十多年前的一件小事说起。那时候我刚入职中国电信,华为的MA5200也刚发布,正于上海的城域网中试用。后来联调过程中出现了问题,思科、华为的工程师和我一起赶到现场通宵诊断,最终确定是以太网后退时延赋值不正确以及缓存过小所致。原以为项目会因此延期,没想到仅过了一天,华为工程师就拿出了新版本,使得联调顺利通过。这样的效率和实力让我又惊讶又钦佩。我想,这也正是华为公司快速发展、成为业界翘楚的重要原因吧。
感谢华为数据通信产品线广域网络领域的领导邀请我为《SD-WAN架构与技术》一书作序,让我能有机会和同行们分享对SD-WAN的个人见解,抛砖引玉。在我看来,就像二十多年前的以太网,SD-WAN是生长在互联网沃土上的野雏菊,虽然在技术上未见得有革命性的突破,却能野蛮生长,最终在数据通信市场上傲然绽放。为什么这么说呢?
首先,SD-WAN的扁平化架构使其组网更为便捷、经济,可管理性也更强。与传统的组网方式相比,SD-WAN因其具有统一管理、细分策略、集约部署、安全增值和终端现场零配置等优点,逐步被市场所接受,尤其在连锁业中率先得到运用。企业既可自主组网,也可由SD-WAN运营商提供服务。近两年来,金融业、制造业中的很多企业,包括跨国企业,对SD-WAN的接受度也越来越高。
其次,SD-WAN为数据通信行业的繁荣创造了一片新天地。众所周知,传统通信运营网络都比较“重”,投资大、回收期长,业务变革也严重依赖设备制造商,中小企业想要从事通信运营,心有余而力不足。现如今,以云基础设施为底座,只需几个月的时间和少量的花费,任何一家数据通信企业都能构建起覆盖全国的SD-WAN,对外提供组网等服务,于是一大批与SD-WAN产品研发、运营相关的企业如雨后春笋般应运而生。各大云商也纷纷推出了以SD-WAN技术为重要支撑的虚拟网络平台,如华为的iMaster NCE(Network Cloud Engine,网络云化引擎)、阿里巴巴的洛神和腾讯的云联网,这些平台既可作为自身云网融合的管道,又可对外提供通信服务,可谓一举两得。
互联网行业蓬勃发展,SD-WAN运营商异军突起,组网业务“五马分肥”。在这样的大背景下,全球的通信运营商受到了巨大的冲击,唯有转型才能浴火重生。近年来,国内三大通信运营商先后发布了云战略,陆续开发了多款智能连接产品,其中就包括SD-WAN。通信运营商具有熟悉客户需求、接入网资源丰富、骨干网品质可靠、服务体系健全等先天优势,因而必将成为提供SD-WAN服务的主力军,比如中国电信的SD-WAN已对接亚马逊的AWS Direct Connect和万国数据的Xelerator,为云计算厂商提供服务。
面临同样挑战的还有通信设备制造商。坦率地讲,前几年大部分通信设备制造商并不太关注SD-WAN这朵通信市场中的小花,但华为却敏锐地洞察了这一技术的前景,较早开展了SD-WAN的研发。在2018华为全联接大会上,华为向业界同行展示了相关产品、网络和服务成果。近两年来,华为更是集中了一大批研发人员来支持通信运营商开展SD-WAN产品研发,在实现SD-WAN全国组网的基础上,开发入云网关和融合网管,实现了真正意义上的云网融合。
SD-WAN前景广阔,百家争鸣。但同时,缺乏统一标准也成为制约SDWAN发展的障碍。不过,从混沌到有序是任何一种新技术都必然要经历的过程。据我了解,通信行业的相关管理部门也正着手制定针对SD-WAN运营的规范性文件,这会为SD-WAN业务的健康发展提供重要保障。
关于SD-WAN的文章已有不少,见仁见智,但系统地介绍SD-WAN的起源、工作原理、关键技术、增值服务、应用场景和发展前景的专业图书并不多见。《SD-WAN架构与技术》出自华为广域网络的“硬核”研发之手,干货满满,特推荐给同行们认真一读。
张慷
中国电信上海公司信息网络部党委书记、总经理
2019年12月
看到华为编写的图书《SD-WAN架构与技术》即将出版,我深有感触,不由得想起了这几年在SD-WAN领域与华为合作的经历。
从概念到落地,SD-WAN的发展一直受到业内的关注。在早年概念期,作为新生事物的SD-WAN一直处于不温不火的状态。归其原因大概有两点:一是玩家众多,产业没有形成事实标准,SD-WAN技术不成熟且不稳定、引入费用高昂,客户仍在观望中,若贸然引入SD-WAN,将是对客户极其不负责任的作为;二是SD-WAN相关的产业环境还不够成熟,对它的需求还不够迫切。
直到云、大数据、人工智能等技术集中爆发和逐步落地后,推出SD-WAN解决方案的迫切性才逐渐凸显。SD-WAN是云时代的必然产物,是企业应用在多云、多分支的不同混合链路之间的平衡与优化,是提高企业广域网的可靠性、灵活性和运维效率的必然结果。
中企通信作为中信集团旗下专注于ICT(Information and Communication Technology,信息通信技术)业务的板块,长期服务于全球化企业,为客户提供广泛的网络覆盖和综合的ICT解决方案,打造高品质的数字化体验。截至2019年,我们已经在全国重点城市部署了近90个节点,合作伙伴遍布全球,覆盖了140多个节点,遍及130多个国家和地区,其中包含“一带一路”沿线国家和地区。
伴随着SD-WAN逐渐进入成熟期,我们先于2018年推出了SD-WAN产品(CeOne-CONNECT Hybrid混合广域网服务),并于同年12月拿到了中国跨境数据通信产业联盟“SD-WAN服务标准起草单位”的聘书,承担了相关标准的起草工作。而市场上也渐渐响起钟声,大量企业开始在其分支机构中部署SD-WAN,很多国际客户与行业伙伴与我们携手,积极探讨SD-WAN的技术能力及整体服务如何在中国落地。
巧合的是,在2018华为全联接大会上,我们第一次看到华为一下子推出了16款新一代SD-WAN路由器,其中包含新一代NetEngine AR6000 SDWAN路由器,而且还看到了首次面向企业客户发布的SD-WAN云服务。通过这些产品和解决方案,我们感受到了华为对SD-WAN的重视程度,这也为双方的合作奠定了良好的基础。
随后在2019年年初,我们和华为的SD-WAN产品团队开始密切接触,双方在提出各自的诉求后,可谓“一拍即合”,非常默契地达成了共识。2019年8月,我们与华为数据通信产品线广域网络领域团队举办了合作仪式。至此,我们正式成为华为SD-WAN解决方案领先级合作伙伴。
作为领先级合作伙伴,我们不只是简单地进行“转售”,而是与华为有更深层次的合作。双方一起制定了详细的合作工作细则,包括技术与服务创新、项目需求、商务谈判、平台建设和售后运维等几个维度。开展各项合作时,双方均有专门的服务小组负责对接。
我们特别看重华为在SD-WAN领域的技术优势、方案落地能力和售后运维能力,尤其是华为在技术层面形成的方法论,能在不断跟踪、发展SD-WAN这项新技术的同时,将其落地形成可销售的方案。此外,华为还可以提供多场景、端到端的混合网络连接,具备平台到技术的全周期运营服务保障。同时,我们也积极为华为提供自身的价值,包括服务全球化客户的经验能力与资源部署,针对SD-WAN需求的落地实力,以及在交付服务、管理、运维等方面的高品质保障。
通过此次携手,我们与华为决定要联合打造全新的科技服务技术与生态体系,为客户提供增值服务。在实际的合作过程中,华为也言出必行。例如,有一次我们在北京的客户临时提出要在第二天上午9点对接研发人员。当天晚上,华为的工程师就乘坐高铁抵达北京。面对我们的需求,华为可以做到7×24小时的全天候配合和支持,这使得双方能更紧密地合作,同心为客户服务。
当前,双方的合作已过了磨合期,正步入共同进步的阶段。从产品到平台,我们拥有了业内数一数二的SD-WAN解决方案实施及售后的能力,可以有效地满足云时代客户的网络需求。依据客户的反馈,华为一直在改进产品和解决方案。
双方合作的SD-WAN解决方案已经在制造、零售、保险等多个行业成功落地。我们信心倍增,正更加全面地与华为展开合作。比如,我们的创新研究部门正和华为的SD-WAN产品团队共同开发大数据分析、人工智能和AR(Augmented Reality,增强现实)等相关技术。在新技术的发展上,我们既有基于大数据分析的SD-WAN创新,也有基于AR的SD-WAN创新,这些都离不开华为SD-WAN产品团队的支持。
放眼未来,云、人工智能、物联网和5G等技术正在大规模落地,全球化趋势不可逆转。SD-WAN的应用前景是一片无垠的蓝海。相信双方之间的合作会更为广阔、美好,也非常推荐大家阅读这本《SD-WAN架构与技术》,共同切磋、探讨,并展望SD-WAN的未来。
蓝泰来
中信国际电讯CPC产品部副总裁
2019年12月
本书以企业WAN(Wide Area Network,广域网)当前所面临的业务挑战为切入点,介绍了SD-WAN(Software Defined Wide Area Network,软件定义广域网)的产生背景和基本特征,并系统地讲解了SD-WAN解决方案的系统架构、技术实现和规划设计等内容,给出了SD-WAN解决方案的设计原则和部署建议。对于网络工程师等ICT从业人员,本书可作为网络架构、规划设计、网络部署等方面的指南;对于广大网络技术爱好者及在校学生,本书也可作为学习和了解网络新技术的参考书。
关于本书第2版
本书第1版上市,获得了广大读者和行业从业人员的认可。SD-WAN技术的不断演进、SD-WAN市场的蓬勃发展,以及广大读者的持续阅读需求,促使我们对本书进行了修订。
相比于第1版,第2版增加了SD-WAN在IPv6、5G、SRv6和SASE场景下的技术、实践等内容,其余变化介绍如下。SD-WAN组网方面,路由设计方案是核心,我们对其重点进行了补充优化。在行业实践方面,我们新增了SD-WAN在石化与能源行业的案例,并对运营商、MSP的应用案例进行了补充。在华为SD-WAN的组件方面,华为iMaster NCE-Campus能同时管理、控制SD-WAN和园区网络,未来将作为华为SD-WAN网络控制器的主力产品。第2版中的案例主要使用iMaster NCE-Campus作为SD-WAN网络控制器,另外还新增了对华为NetEngine AR1000V虚拟路由器的介绍。
同时,我们在第2版中还对整体结构做了微调,对部分内容进行了文字上的优化,希望通过这些变化使本书的内容更加清晰、明了。
本书共11章,每章内容的概要如下。
第1章 WAN有引力
本章以WAN为出发点,首先回顾WAN的基本概念,然后介绍企业WAN的发展历程以及当前企业WAN所面临的问题和挑战。
第2章 SD-WAN应运而生
本章通过SDN与WAN的结合来引出SD-WAN,介绍SD-WAN的产生背景和基本概念,然后对SD-WAN进行深入的剖析,介绍SD-WAN的基本特征和核心价值。
第3章 谋定后动话方案
本章对SD-WAN的系统架构、基本组件、运转机制以及解决方案全景进行详细的介绍,帮助读者在部署SD-WAN解决方案之前做到胸有成竹。
第4章 九层之台起于站点
本章介绍站点的相关内容,包括站点的定义和分类、站点“代言人”CPE(Customer Premises Equipment,用户终端设备,也称用户驻地设备)的形态和作用,以及CPE应具备的关键能力,此外还介绍CPE零接触配置(也称零配置开局)的内容,即如何通过邮件开局、注册中心开局、U盘开局和DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)开局等方式实现CPE即插即用。
第5章 站点互联若比邻
本章详细介绍如何通过SD-WAN组网实现站点间的互联互通。首先讲解SD-WAN组网的设计原则,然后介绍Overlay网络设计和网络编排与自动化等内容。另外,本章还介绍SD-WAN中企业访问因特网、NAT(Network Address Translation,网络地址转换)穿越、与传统站点互通、POP(Point of Presence,因特网接入点)组网以及连接公有云等业务需求的实现方式。最后,本章介绍IPv6技术在SD-WAN的实践以及网络可靠性设计。
第6章 应用体验有保障
本章介绍SD-WAN解决方案中的应用体验保障措施,首先讲解保证应用体验的前提技术——应用识别技术,然后介绍应用选路、QoS(Quality of Service,服务质量)、多种广域优化技术,以及如何综合运用这些技术实现企业应用的快速、稳定运行。
第7章 安全乃重中之重
本章首先介绍SD-WAN中存在的安全风险,然后从系统安全和业务安全两个层面,详细介绍SD-WAN解决方案应具备的安全防护措施。
第8章 轻松运维无难事
本章介绍SD-WAN在运维方面的特点,以及SD-WAN基于网络控制器这个智慧大脑的运维架构如何帮助客户实现轻松运维。本章的主要内容包括 SD-WAN的运维模式与管理角色、全网监控能力、故障定位、设备日常维护、日志管理以及智能排障等。另外,本章还简要介绍将传统站点改造为SD-WAN站点的方案设计和操作原则。
第9章 SD-WAN成熟实践
本章首先介绍SD-WAN解决方案的应用场景分类,然后选取金融行业、石化与能源行业、运营商和MSP(Managed Service Provider,管理服务提供商)等方面典型的应用场景,介绍SD-WAN在这些不同应用场景中的实践案例。
第10章 SD-WAN相关组件
华为SD-WAN解决方案的组件包含NetEngine AR系列路由器、iMaster NCE-Campus网络控制器和NetEngine AR1000V虚拟路由器,本章详细介绍这三个组件的应用场景、产品架构和主要功能特性。
第11章 SD-WAN未来展望
本章从技术发展的新趋势和产业格局的变化两个方面,介绍5G、SRv6(Segment Routing IPv6,IPv6段路由)、AI(Artificial Intelligence,人工 智能)、SASE(Secure Access Service Edge,安全访问服务边缘)等新技术对SD-WAN的影响,同时展望SD-WAN的未来。
致谢
本书由华为技术有限公司“数据通信数字化信息和内容体验部”及“交换机与企业网关设计部”联合编写。在写作期间,华为数据通信产品线的领导给予了指导、支持和鼓励,在此诚挚地表示感谢!
衷心感谢顾雄飞、李军辉、郭俊、李教峰、杨新峰、张浩、陈勇、李大伟、陈俊峰、田其磊、杨飞飞、魏治坤、朱明营、任锋、沈康、万睿、徐辉、汤慕航、周健、史振、邓宇一直以来对于SD-WAN的支持和帮助,特别致敬白杰、孙奇对本书曾经做过的开创性的贡献。
参与本书编写和技术审校的人员虽然有多年ICT从业经验,但因时间仓促,书中错漏之处在所难免,望读者不吝赐教,有任何意见和建议,请发送至weiyi@ptpress.com.cn,在此表示衷心的感谢。
本书常用图标
打破地理位置的束缚,实现畅通无阻的交流,是人们一直追求的目标。从鸿雁传书到电报、电话,再到即时通信,科技的进步使人们虽远隔千里却如同近在眼前。“天涯若比邻”如今已成为现实,而不再仅仅是诗人诉诸笔端的美好愿望。
不仅个人有交流畅通无阻的需求,企业在这方面的需求更是强烈。伴随着经济全球化与数字化变革的浪潮,企业规模不断扩大,越来越多的分支机构分布于不同地域,总部和各分支机构之间需要跨越地理障碍来实现通信与交流。如今的信息社会以网络为根、连接为本,企业需要通过WAN将分散在不同地理位置的分支机构连接起来,以便更好地开展业务。
WAN具有“引力”,它不仅使企业千里之外的分支与总部紧密相连、共享信息、互通有无,还吸引着众多网络厂商为提高连接质量和创造更佳的网络体验而不懈努力。下面让我们一起来探索波澜壮阔的企业广域互联世界。
WAN对每一个通信行业的人来说并不陌生。初入网络世界,通信人最早接触到的名词大概就是LAN(Local Area Network,局域网)、MAN(Metropolitan Area Network,城域网)和WAN了。温故而知新,下面先来回顾一下WAN的发展历程。
WAN一般是指跨越多个国家、地区或城市的用于企业、组织或个人远距离通信的广域互联网络,其覆盖范围从几十千米到几千千米,可以实现相当大范围内的信息与资源共享。出于成本以及建设难度的考虑,WAN一般由运营商提供。比如,与日常生活息息相关的因特网,就是一个由全球不同运营商搭建的WAN。
正是因为有了WAN,企业把分散在不同地理位置的分支连接起来的目标才得以实现。依靠WAN,企业将全球范围内的分支机构连接起来并开展各项业务,极大地促进了经济的全球化发展。那么,企业如何获得WAN呢?通常情况下,企业会租用运营商提供的WAN专线来搭建自己的企业WAN。例如,企业可以租用运营商提供的多条点到点的专线来实现分支间互联,也可以租用运营商提供的公用网络来搭建自己的WAN,并利用这个公用网络,使企业的各分支站点通过单一线路就可以连通其他分支站点。网络技术的浪潮浩浩荡荡、势不可当,企业WAN也在不断演进,经历了从TDM(Time Division Multiplexing,时分复用)时代到IP/MPLS(Multi-Protocol Label Switching,多协议标签交换)时代再到云时代,与之对应,运营商提供的构建企业WAN的专线也在不断演进,如图1-1所示。
图1-1 企业WAN的演进趋势
运营商提供的专线基本分为两大类。
第一类是基于TDM技术的SDH、MSTP以及基于WDM(Wavelength Division Multiplexing,波分复用)技术的OTN等专线,这些专线是传统的点到点的物理专线,具有很强的安全性。同时,使用者独占专线资源,带宽和服务质量能够得到很好的保障,因而价格也非常昂贵。金融行业的企业用户对广域线路的质量、通信的安全性和私密性的要求很高,往往选用这类专线。
第二类是基于分组交换技术的MPLS VPN专线,也可以称为组网型专线,即一点接入、全网任意点均可达。MPLS VPN专线在本质上和第一类专线相同,都是由运营商提供的专线接入方式。不同的是,MPLS VPN专线与第一类专线相比,在组网便利性和成本方面具备一定的优势。同时,MPLS VPN专线能够提供较好的带宽、可靠性保障及安全隔离等服务,因而在当前的企业WAN互联市场有着广泛的应用。
伴随着企业IT数字化以及经济全球化的发展,企业开始进入云时代,因而需要一种更加便捷、智能、简易的网络连接方式,以实现随时随地、触手可得的高品质WAN互联。同时,随着因特网的快速发展,IP网络覆盖范围越来越广,网络质量越来越好,这也使通过因特网进行企业WAN互联成为可能。
在这种形势下,以EVPN、VXLAN、NVGRE等为核心的新一代基于Overlay的VPN技术崭露头角。该类专线技术在业务开通敏捷性、组网灵活性以及互通性等方面的优势突出,因而已经逐渐成为新一代的企业WAN互联的主流技术。
需要特别说明的是,企业WAN专线演进的3种阶段性网络技术并不是替代关系,而是长期并存的,彼此之间还存在互相依存的关系。比如MPLS VPN作为一种组网型专线,因具有组网和可靠性方面的优点而会长期存在;新兴的Overlay专线更多的时候可以被看作一种可以灵活调度的组网技术,它与MPLS VPN专线不是相互取代的关系,而是可以运行于MPLS VPN专线之上,增加调度因特网等其他WAN的能力。
在传统的企业WAN互联场景中,企业通过WAN实现跨地域组织机构的互联互通,如图1-2所示。一般来说,传统的企业WAN互联场景具有如下基本特征。
图1-2 传统的企业WAN互联场景
·企业的组织机构通常由总部、分支和数据中心组成。
·企业通过购买运营商提供的SDH/MSTP/OTN/MPLS专线构建WAN。
·企业的多个分支访问总部/数据中心开展业务,并经由总部/数据中心中转访问因特网。
在传统的企业WAN互联场景下,企业WAN的网络架构相对来说比较封闭,其原因如下。
·关键应用和信息数据存储在企业内部,WAN带宽需求较小,业务变化不频繁。
·运营商专线的互联方式较单一,组网拓扑变化小。
·在总部/数据中心集中实施安全策略,安全性可以得到保证。
在相当长的一段时间内,这种传统的WAN的架构为企业分支的互联互通发挥了重要的作用,较好地满足了企业的业务需求。
但是企业数字化转型逐步深化,云计算、网络虚拟化和网络服务化等一系列外部的商业和技术因素不断涌现,对传统企业WAN的业务模型和网络架构产生了深远的影响,传统的企业WAN面临一系列新的问题和挑战。
(1)业务云化如火如荼
云计算的兴起带动了公有云的蓬勃发展,越来越多的企业考虑在公有云上建设IT系统,以此来降低企业自身IT系统的建设成本并缩短建设周期。同时,企业的传统应用也在逐渐云化。更多的时候,企业会借助WAN访问SaaS(Software as a Service,软件即服务)应用,如办公软件、数据库等。
企业的业务向云端迁移,企业WAN正在承载越来越多和云相关的应用流量,这就导致WAN流量大增,企业对WAN的带宽需求明显增大。同时,企业WAN的传输质量也成为影响企业云应用体验的关键因素。此外,由于因特网存在过高的时延、过多的丢包,以及MPLS专线不易接入云等问题,企业实现云网融合仍然困难重重,因而无法充分享受云计算带来的卓越速度和性能体验。
(2)网络虚拟化方兴未艾
NFV(Network Functions Virtualization,网络功能虚拟化)是指借助虚拟机或者容器技术,将传统的路由器、防火墙等网络设备软件化,使其运行在通用的服务器上,从而实现网络功能的虚拟化,使网络功能和网络设备分离。
NFV通过软件实现多种网络功能,具有显而易见的优势,例如降低硬件成本和运营维护成本,实现业务的灵活、快速部署等。NFV等网络虚拟技术促使企业WAN基础设施的部署和运维方式发生变革,朝着业务快速发放、按需简化部署的方向加速发展。
(3)网络服务化大势所趋
当前企业WAN有两个基本组成部分:一是路由器、交换机等网络设备;二是MSTP/MPLS等企业级WAN专线。无论是网络设备还是WAN专线,其本质都是一种产品。设备商或者运营商转售产品给企业客户,以产品的功能和性能规格为承诺目标,而不对企业客户的IT应用最终是否可以带来令人满意的体验负责。因此,企业将购买的产品集成后,如果企业WAN应用的访问质量不佳,这个问题仍然需要客户自己解决。
相对上述产品的商业模式而言,服务是以满足消费对象最终的业务需求为目的的,其本质是比产品更直接的一种消费形态。网络服务化使得企业购买到的不再是分开的产品组件,而是业务服务和承诺,衡量其质量的标准是客户对所获得服务的满意度。
目前,网络的转售从产品化发展到服务化已经是大势所趋。对运营商来说,这不仅可以改变其粗放的产品销售模式,还可以让企业从IT网络建设的主体演变成单纯的需求提出方,逐渐把企业从繁重的IT网络建设工作中解放出来,使企业可以更好地集中各种资源,专注于核心业务,从而提升生产效率。
(4)企业通信互联网化
近些年,因特网的覆盖范围和网络性能不断提升,其网络质量与传统专线的差距正迅速缩小。在企业通信领域,选择因特网进行网络传输已是发展趋势,能从整体上实现对网络资源的更有效利用。因此,除了传统的上网服务,因特网正越来越多地发挥使企业总部、分支和数据中心互联互通的作用,成为企业WAN互联场景中除运营商提供的传统专线外的另一选择。
综上所述,在网络技术发展和商业模式变革的双重作用下,企业WAN互联互通产生了新的变化,新形势下的企业WAN互联场景如图1-3所示。
图1-3 新形势下的企业WAN互联场景
与传统的企业WAN互联场景相比,当前的企业WAN互联场景中,除了总部、分支和数据中心的互联外,还包括公有云、SaaS应用的互联。同时,因特网也是一个不能忽视的元素。总体来看,企业WAN的互联场景变得更加复杂,具体来说,在云网融合、应用体验、高性能网络以及管理运维等方面正面临一系列新的问题。
(1)全球化和云化大势所趋,多云多网如何联?
未来几年内,绝大多数的企业都会将业务部署到云端。同时,5G、4K/8K高清视频、VR(Virtual Reality,虚拟现实)/AR(Augmented Reality,增强现实)、物联网等新兴业务的快速普及,将使企业WAN流量爆发式增长。企业的互联场景将愈加复杂,涉及企业总部园区、分支、混合云、IaaS(Infrastructure as a Service,基础设施即服务)/SaaS、移动办公等,且需适配不同地域、不同运营商的不同网络环境,如光纤、DSL(Digital Subscriber Line,数字用户线)、4G LTE(Long Term Evolution,长期演进)、5G等。如何构建面向云时代、易扩展且建设成本合理的网络,是建设企业WAN将要面对的重要问题。
这一问题对跨国公司来说尤为重要。以华为为例,作为全球化企业,截至2019年,华为的业务已覆盖全球170多个国家和地区、900多个分支机构、15个研发中心和36个联合创新中心,以及百万级的合作伙伴和供应商。深圳总部、分支机构、研究中心、华为公有云、第三方IaaS/SaaS、私有云、供应商、合作伙伴等不同场景的连接需求各异。如何高效地实现多云多网互联,承载如此庞大、复杂的组织架构,成为华为等跨国公司成功完成数字化变革的关键所在。
(2)应用数量急剧增长,关键应用体验如何保?
步入云和数字化时代,大量新兴的企业业务正与云计算紧密结合、蓬勃发展,企业应用的数量和种类呈爆发式增长,如语音、视频、文件传输、电子邮件、SaaS应用等。不同的应用对链路质量有着不同的要求,例如,云桌面业务的最佳体验要求时延低于20ms,视频会议对丢包、时延敏感,要求不能出现卡顿和花屏,因为没有人愿意在使用云桌面和同事开视频会议时,看到带有马赛克的脸。
传统的企业专线无法感知业务,无法获知应用的状态,因而当遭遇突发流量导致链路拥塞或质量劣化时,往往无法保障关键业务。如何在多样的应用中快速识别关键应用并优化体验,成为企业提高内部效率和客户满意度的关键所在。
(3)分支网络设备性能低,网络拥塞如何破?
在传统的企业WAN场景中,运营商卖专线送硬件网络设备,但这些设备本身往往仅具备基础的路由转发能力,业务处理和转发性能均有限。随着云、视频以及VR等新兴业务的兴起,企业WAN对带宽的需求迅速增加。此外,为了保证应用体验,设备需要具备一定的应用识别及广域优化的能力。
总之,随着分支业务愈加复杂,以基础的路由转发能力为核心的传统盒子必然会遭遇性能瓶颈。使能增值服务后,在应对企业流量激增这一情况的过程中,一旦出现业务高峰,遭遇突发流量,往往会造成关键业务拥塞,从而影响企业WAN业务的开展。如何进一步优化和提升设备性能,是企业WAN在新时期需要解决的关键问题。
(4)分支网络部署运维难,手工配置何时休?
在数字化和全球化的大潮中,分布更广、数量更多的企业分支需要被连接,分支网络上线必须更加快速、灵活,分支网络运维更需简单、便捷,这样才能适应业务快速发展的需要。然而,不同分支的网络诉求复杂多变,网络分布分散且数量多,配置项往往多达成百上千条,且需要专业网络工程师上门进行网络开通、业务调试、故障定位等,造成网络部署和运维成本居高不下。
谁可以快速开展业务,谁就能够在商业竞争中占得先机。以保险行业为例,大型保险企业往往有数千个保险网点,而且存在大量的网点新建和搬迁诉求,要想通过传统专线上线一个新的分支,往往需要经过专线申请、资源分配、接入施工等多个环节,业务上线周期动辄几个月。此外,业务开通主要依靠网络工程师到现场手工配置,对配置人员的技能要求高,开通效率低。如何降低网络部署和运维成本,提升客户满意度,是企业无法忽视的重要问题。
