基于SD-WAN的企业专线应用与实践.pdf

100广播电视网络 2023 年第 7 期 总第 403 期实践探索1 引言随着数字化转型的逐步深入，云技术、网络虚拟化以及网络服务化等一系列技术不断涌现，对传统企业专线的业务模型和网络架构产生了深远的影响。传统专线面临的一系列问题和挑战，如成本高昂、部署周期长、可扩展性差、网络管理复杂等，给企业的业务发展和运营带来了严重的影响。为满足各业务节点灵活的网络访问需求，对网络建设和运维提出了更高的要求。为此，中国广电山东网络有限公司青岛市分公司（以下简称“中国广电青岛市分公司”）以客户需求为核心，以构建智能、敏捷、安全的网络为目标，以 SD-WAN 重构广域网的核心技术，通过自动部署、集中控制、智能调度以及可视化等手段，加速网络交付，优化应用体验，提高带宽利用率，简化网络运维，探索 SD-WAN 架构落地的最佳实践，为推动网络转型和重构提供了新的参照样本。2 技术方案2.1 SD-WAN 概述软件定义广域网（Software Defined WAN，SD-WAN）是 指 通 过 将 传 统的网络控制和数据转发进行分离，利用隧道技术创建出一个 Overlay 虚拟网络，并利用 SDN 在广域范围内对该虚拟网络进行管控，为企业用户构建智能随选、敏捷交付、灵活互联、安全可控的新型云网融合企业专网。同时，SD-WAN 整合传统专线、互联网、LTE、5G 等多种网络链路资源进行广域网的流量调度，使用户能够按照预定的路由策略自主控制广域网流量的流向。SD-WAN 能够提供颗粒度的服务，为每位应用者提供不同的 SLA 饱和增值业务服务，最大化发挥云网资源能力。2.2 总体架构设计中国广电青岛市分公司 SD-WAN 网络平台架构遵循 ETSI NFV 横向解耦的设计思想，由网络层、控制层、业务层 3 个层次组成，如图 1 所示。不同层次之间开放南北向接口，通过统一智能网络编排、智能控制、智能管理，实现“编”“控”“管”融合网络控制的“指挥部”和“司令部”，网络全域覆盖，能够提供端到端的网络和业务自动化、可视化、精细化的网络管理。2.2.1 网络层由各类物理网元构成，通常由总部或者分支机构的 SD-WAN 网关以及SD-WAN 承载网中的 POP 点组成，满足企业分支、总部和数据中心/多云之间的互联互通等不同组网应用需求。2.2.2 控制层主 要 由 SDNC 控 制 器 组 成，部署在广电云计算平台内，实现对接入SD-WAN 网关和汇聚 POP 设备的集中管理、自动化配置、统一分配资源以及网络资源按需发放和回收；感知网络的路径质量和运行状态，为客户流量提供最佳转发路径。2.2.3 业务层提供统一的可视化运营管理平台，可实现全域网络状态总览、流量统计以及数据分析等，形成客户专属的“网络驾驶舱”，便于用户实时了解和调度各分支的网络运行，实现全网数字化和智能化管理。2.3 组网方案设计中国广电青岛市分公司 SD-WAN基于 SDN/NFV 虚拟化技术，结合广电高品质骨干网资源，通过融合网关与SDNC 管理控制系统协同，实现组网、上网、上云等业务的快速开通。在接入层部署 SD-WAN 网关，上联支持基于 SD-WAN 的企业专线应用与实践王英宗 李英杰 李青龙 中国广电山东网络有限公司青岛市分公司摘要：为满足各业务节点灵活的网络访问需求，对网络建设和运维提出了更高的要求，中国广电山东网络有限公司青岛市分公司探索了基于 SD-WAN 技术的新型企业专线建设，并根据实际应用场景进行了组网实践，为更多中小型企业广域网络系统的组网提供了借鉴和参考。关键词：SD-WAN 企业专线 组网 Overlay101广播电视网络 2023 年第 7 期 总第 403 期实践探索4G/5G、互联网、专线等多链接接入；在用户侧提供 GE 以太网接口，直连用户交换机，实现业务信号高速接入和快速转发。SD-WAN 网关为不同业务分配不同的 VNI，并封装进入 VXLAN隧道，传送至汇聚 POP 节点，流量之间区分隔离，从而提高业务安全性。2.4 业务保障设计SD-WAN 系统能够针对不同的业务类型和拥有的线路资源状态选择最佳路径。根据实际情况自定义内网应用流量，如核心系统、视频监控等，将需要指定的业务流量引入高速通道进行选路，不需要调度的业务流量不进入高速隧道，不受任何影响。业务流量能灵活地在不同线路资源上调度，也可在指定时间段内执行指定调度策略，可以有效解决 Underlay 底层承载网络质量劣化、线路调度分配不合理等问题。在灵活调度业务流量的基础上，根据流量分析功能反馈的实际业务流量占用情况，配置并启用与之对应的服务质量保障（QoS）策略。例如，针对实时性要求较高的视频会议流量，在完成调度选路的基础上，为其配置保障带宽的上限和下限，允许在必要时抢占其他非重要业务的带宽。2.5 安全性设计2.5.1 系统安全由于 SD-WAN 网关、POP 节点以及控制器设备都接入了互联网，面临着各种安全威胁，如非法接入、入侵行为、数据泄露、业务侵害等，因此SD-WAN 网关、POP 节点以及控制器设备自身除具备完备的系统架构和完善的安全加固策略，还通过访问控制、鉴权管理、数据保护、入侵检测、安全审计等多种措施来保证其安全性。此外，控制器作为整个网络的大脑，具有逻辑集中的特点，更容易成为被攻击的目标，其开放的 API、南向协议等都会面临安全威胁和攻击。因此，在部署时，可将控制器部署在防火墙的特定安全网络域中防范各类攻击，并配置 ACL 保证访问控制。2.5.2 业务安全与传统的企业 WAN 相比，由于基于 SD-WAN 的底层承载网可能是互联网，因此，对于业务层面的安全，主要关注的是 SD-WAN 解决方案上所承载业务的安全，防范来自互联网的数据泄露和业务侵害，从而保证业务的正常运行。IPSec 是国际互联网工程技术小组（Internet Engineering Task Force，IETF）提出的使用密码学保护 IP 层通信的安全保密架构，它定义了如何在 IP 数据分组中增加字段来保证 IP分组的完整性、机密性、不可抵赖性以及如何加密数据分组。为了实现数据加密和业务隔离，采用 VXLAN over IPSec 技 术，将 VXLAN 的 报 文 封 装在 IPSec 报文中，通过 IPSec Transport模式可实现安全传输。使用该技术，VXLAN 的 外 层 IP 地 址 暴 露 在 外，IPSec 只对 VXLAN 数据包进行加密。因此，无须使用多个 IPSec Tunnel，既减少了加密解密资源开销，又解决了租户隔离，甚至是租户内部跨部门隔离的问题。3 应用案例3.1 某新能源网络组网项目中国广电青岛市分公司成功中标某新能源网络组网项目，需要建设一条从客户青岛分部至雄安总部的专线，以满足业务访问、视频监控等需求。若采用传统专线组网来实现跨省传输，不仅价格昂贵，而且开通时间漫长，随着后续业务的不断扩大，更多的分支需要专线互联，相应的开支也会增加，高效组网更是难以实现。同时，需要专业技术人员在现场进行网络调试，效率低下。此外，当发生故障时，需要分段排查，甚至跨省或地区协同图 1 SD-WAN 网络平台架构102广播电视网络 2023 年第 7 期 总第 403 期实践探索分析处理，消耗大量的时间和资源，维护成本高。基于本项目业务特点，流量主要以客户青岛分部到雄安总部的上下行流量为主，很少涉及其他区域分支网点互访，故组网架构采用 Hub-Spoke模型，分支 Spoke 站点只与 Hub 通信，其他区域分支与青岛分部之间不能直接互访。该方案的特点是以互联网承载构建安全的 SD-WAN 隧道进行组网，因通过 SDNC 控制器配合编排器进行零接触开局，故不再需要专业技术人员现场进行配置安装，实现了分支设备“即插即用”，分支应用“随叫随到”。同时，通过业务 Portal 界面能够实时感知设备、隧道、应用层等的健康状态以及链路质量和利用率，实现流量异常快速追溯，从而节省线路成本和运维成本，提高了性价比。3.2 某大型连锁商超业务网升级优化项目青岛某大型商超拥有 42 家门店，散布在青岛、威海等不同城市，通过租用传统 MPLS 专线实现各门店与总部连接。但存在如下痛点，一是各门店所在地区、位置受到环境因素限制，信息管理困难，一旦出现故障，难以快速准确地定位，且运维成本高；二是各门店无双路由保护机制，当链路发生故障时，无法访问结账系统，影响顾客购物体验。为此，中国广电青岛市分公司提出了“MPLS 专线+5G”的优化方案，在各门店接入交换机前串联了SD-WAN 网关设备，上联主线仍采用传统 MPLS 专线，而备用链路基于 5G无线网络构建了一条可访问到总部业务的 Overlay 隧道。当 MPLS 专线链路延迟过大或发生故障时，自动切换到无线 Overlay 链路；当 MPLS 专线链路恢复时，亦可自动切换到主用链路，从而保障了业务的连续性。该方案特点融合“MPLS 专线+5G”保障业务零中断，与传统专线保护相比，无须再新增一条不同路由的线路资源，可大大节省链路保护成本。同时，所有门店的 SD-WAN 网关都纳入控制器集中远程管理，各门店设备状态、链路关键指标实时呈现，有效解决了该商超此前存在的管理分散、运维成本高、应用体验差等问题，实现了双路由保护机制。4 SD-WAN 新型企业 专线的价值SD-WAN 解决方案为用户提供了与传统部署和管理广域网不同的业务体验和业务保障，极大地简化了用户的网络部署和运维难度以及业务保障成本。其价值主要体现在以下 5 个方面。4.1 加速交付传统专线的开通和部署需要 1 天时间，而即插即用的 SD-WAN 只需要30分钟就可以实现分支新建、搬迁、扩容过程中业务快速上线，支撑业务战略。4.2 降低成本提供灵活的组网方式，可综合使用多种链路资源，如 MPLS、互联网以及 LTE 等，助力以更高性价比的方式组建广域网，满足分支、远程站点不断变化以及不同场景和预算的需求，构建专线产品差异化竞争力，拓展大量潜在的专线客户。4.3 提升体验通过多链路负载均衡，使关键业务数据始终运行在质量最优的链路上，并利用 4G/5G、互联网、专线等进行差异化的线路备份，保障业务的连续性，从而有效提升用户的“黏性”，进而带动对企业专线产品和解决方案的持续采购。4.4 简化运维通过对网络的分权分域管理、拓扑全网绘制、路径状态监控、业务全景可视、威胁全网可视、统一日志审计等功能，简化网络运维复杂度，减少故障定位时间，为分布式、跨地域的分支机构网络无人化运维提供可能。4.5 拓展增值业务SD-WAN CPE 网关可集成 FW、IPS、URL 过滤等安全功能，支持 27 层业务流量的全面监控和过滤，如实现内部员工上网安全管理、行为审计、出口管控，做到合法合规，用户只需要自助购买增值服务，无须新增专业硬件设备，通过 SDNC 控制器自动化配置安全策略，一键开通。5 结语SD-WAN 的成功应用提升了中国广电青岛市分公司在新型企业专线的运行效率和服务质量，为更多中小型企业广域网络系统的建设提供了有益的借鉴和参考。面向未来，针对企业用户面临的办公地点分散、城郊光缆资源匮乏、4G 网络传输慢、传输数据量大等企业组网迫切需要解决的问题，中国广电青岛市分公司持续夯实 SD-WAN 以及 5G 相关技术运用，强化云网一体化服务能力体系建设，充分发挥“云”“管”“端”能力以及服务优势，融合 5G、SD-WAN，为数字创新落地筑造坚实有力的平台，赋能千行百业迈向高质量发展的新阶段。RTN