一、首先我们先来了解一下SDN产生的背景,为什么会产生这么个东西呢,这种东西有什么用,能给我们带来什么样的价值
随着企业IT向云架构的不断推进,以及公有云的崛起和流行,引导着企业数据中心等基础设施云化,越来越多的企业开始在公有云安家,从而打破企业IT的传统封闭架构,引领企业网络架构走向开放之路。与此同时,企业的关键应用也逐渐云化,依赖于应用服务商提供的SaaS服务(如Office、生产ERP系统、销售系统等),企业通过互联网从云端访问日常办公所需关键应用的趋势日渐明显。云化不仅仅是一场技术变革,也是商业模式的变革,但是企业分支的业务向云端迁移,面临的挑战依然不少
传统WAN架构封闭:企业WAN难以实现多云多网互联
数字化与全球化使得企业分支站点面临在更广地域、更多样化的运营商接入网络条件下实现快速互联,同时随着未来几年内,企业业务云端部署的形势加剧发展,企业的传统分支、总部和数据中心,还需要更加开放和灵活地连接到Internet、公有云以及SaaS应用。新形势下,如何高效、快捷地实现企业WAN的多网互联,承载企业庞大、复杂的组织和业务互联诉求,成为企业能否成功完成数字化变革的关键
应用体验难保障:海量应用带宽共享,业务冲突导致体验不佳
随着Internet的普及,其网络的覆盖范围和网络质量有了很大的提高,Internet成为许多企业除了传统专线之外新的重要选择,但是Internet网络本身并不保障服务质量。此外传统网络对业务不感知,无法获知应用的状态,当遭遇突发流量链路拥塞或质量劣化的时候,往往会造成关键业务体验无法保障
业务上线周期长:传统方式难以满足业务灵活部署的诉求
传统的专线新业务发放速度慢,从业务申请到开通往往需要长达1~3个月的时间。同时云化趋势下,企业业务更新发展迅速,当前网络难以满足快速上线和业务变更的要求
网络运维难度大:设备类型多,手工命令行配置低效易错,业务流量不可视,运维效率低下
传统模式下,需要专人到现场对设备进行维护,但随着企业分支跨地域分布越来越广泛,设备类型越来越多,设备数量激增,导致维护难度大、成本高。此外随着业务不断增多和业务云化,WAN网络中分支到分支、公有云、私有云的流向更加复杂,传统的网络运维方式已经难以适应业务的发展
二、SDN的解决方案
2.1 SDN整体架构
管理层:当运营商或者企业客户希望将SD-WAN的端到端业务处理流程纳入到已有的第三方业务编排系统中时,可以借助SD-WAN网络控制器的北向开放API能力,实现对SD-WAN方案的集成和界面的灵活定制网络控制层:网络控制器是管理层的核心部件,是SD-WAN解决方案的智慧大脑,具有网络编排、管理能力,通过已有的Portal界面,进行SD-WAN端到端业务处理,网络编排:负责SD-WAN面向业务的网络模型抽象、编排和配置自动化发放,主要包括企业WAN组网和各种网络策略相关的业务编排。网络控制器通过对企业WAN进行网络模型的抽象和定义,屏蔽了SD-WAN部署和实现的技术细节,使WAN网络配置和业务发放更加简易、灵活。网络管理:通过网络管理功能实现了对企业WAN的网络层设备的统一管理与运维,主要包括统一配置网络业务;采集设备的告警和日志等故障信息;基于链路、应用、网络的性能数据采集、统计和分析;基于网络拓扑、告警管理、性能监控等方式多维度统计和呈现运维信息网络服务层:
从业务角度来说,企业的分支、总部和数据中心以及在云上部署的IT基础设施等都可以统称为企业的站点。用于不同站点WAN互联的网络设备以及中间的WAN一起构成了SD-WAN的网络层。从网络功能层次划分,企业SD-WAN网络可以分为Underlay网络和Overlay网络两层,Underlay网络:即物理网络,是由路由器等网络设备通过运营商提供的物理线路互联组成的WAN,常见类型有MSTP专线、MPLS VPN以及Internet等,Overlay网络:即虚拟网络,是通过引入IP以及软件技术,在同一张物理网络上构建出的一张或者多张虚拟的逻辑网络。不同的虚拟网络虽然共享物理网络中的设备和线路,但是虚拟网络中的业务与物理网络中的物理组网和互联技术相互解耦。虚拟网络的多实例化,既可以服务于同一租户的不同业务(如多个部门),也可以服务于不同租户,是SD-WAN网络层的核心组网技术
计算接入层:接入到SDN网络的服务器,物理服务器、虚拟服务器等等终端
三、产生的价值
华为SD-WAN解决方案可以给用户带来显著价值。
多云多网按需互联:SD-WAN提供包括Hub-Spoke、Full-Mesh、Partial-Mesh等丰富的组网模型,根据网络规模可选择单层组网或分层组网,Hub-Spoke组网支持多Hub站点部署模式,Full-Mesh组网支持主备逃生站点;在分层组网中,负责区域和区域之间互联的边缘站点支持主备双站点增强可靠性。站点可以选择部署CPE单网关或双网关,支持10+种WAN接口采用多链路混合方式接入网络。支持部署vCPE作为云网关,实现企业站点和公有云互通,提供优质的SaaS、IaaS等云业务体验。提供灵活的传统MPLS站点互访模式,使传统企业网络可以平滑演进到SD-WAN网络。改进了传统企业网络只能通过集中模式访问Internet的问题,提供基于应用的策略调度,可选择部分或全部应用通过本地访问Internet无损应用体验:采用首包识别技术、业务感知SA(Service Awareness)技术快速识别应用,支持通过自定义应用规则识别特殊应用。CPE设备通过监控应用所在链路的延迟、抖动以及丢包率实时检测链路质量。支持多种智能选路策略,包括基于应用质量选路、基于负载均衡选路、基于带宽利用率选路、基于应用优先级选路。三级QoS流量调度技术,保障关键应用带宽。支持多种广域网加速技术,实现基于应用的音视频优化、应用优化、TCP传输优化等广域网优化功能,为客户提供极致业务体验极简部署运维:支持邮件开局、U盘开局、DHCP开局、注册查询中心开局、云站点开局的即插即用开局方式,对开局人员零技能要求。基于链路、应用、站点等不同维度的统计结果展示和导出,清晰呈现业务统计信息。通过iMaster NCE-Campus可以对CPE集中运维管理,支持VAS自动加载和业务链灵活编排,支持CPE设备在线升级、远程管理。iMaster NCE-Campus支持强大的日志告警功能,提供了丰富的设备集中管理手段、故障诊断和巡检工具。基于GIS(Geographic Information System)、拓扑的全网站点健康度可视化管理,实现海量分支的简易运维,降低现场维护支出开放生态:iMaster NCE-Campus提供基于开放标准RESTful的API和第三方平台对接,实现客户对于SD-WAN方案的集成和界面的灵活定制。支持iMaster NCE-Campus云化部署、vCPE云化部署,实现企业轻资产运营模式完善的安全体系:iMaster NCE-Campus设置多级管理员权限,iMaster NCE-Campus、RR和CPE(包括普通CPE、vCPE)之间使用增强型双向认证,支持更换为第三方证书的安全机制,部署防火墙采用防攻击等措施保证iMaster NCE-Campus、RR的系统安全。CPE支持安全启动、证书安全存储,并提供对系统中可疑的CPE进行隔离处理,防止攻击者利用被盗CPE设备接入网络。采用基于SSH(Secure Shell)的NETCONF协议、基于SSL加密的HTTP2.0协议和IPSec协议对数据进行加密处理,保证数据在传输过程中的安全。支持ACL流量过滤、URL过滤、IPS(Intrusion Prevention System)、防火墙功能,满足业务安全需求简单总结来说:就是能给客户节约成本,这是最大的,在节约成本的时候能给客户提供稳定的网络服务,并且能开源,能够对接第三方平台,对自己设备的状态、链路的状态进行实时监控,运维起来也更加简单,网络质量体验更加优,组网方式更加多样。
四、系统软件架构
系统管理模块:支撑SDN控制器的管理和运维,包括升级&补丁、证书管理、安全管理,以及备份恢复、系统监控、任务管理等
升级&补丁:管理SDN控制器纳管网络设备的系统版本、补丁系统监控:SDN控制器集群进程状态监控备份&恢复:SDN控制器、纳管网络设备配置备份,以及备份&恢复记录证书管理:管理SDN控制器授权,以及对接第三方平台&设备时提供的证书安全管理:管理SDN控制器系统登录账号认证等安全规则任务管理:管理SDN控制器制定的巡检、备份、设备补丁等任务接口协议模块:支撑SDN控制器对接网络设备和管理平台,南向协议涉及Netconf、SNMP、Openflow,北向协议涉及Restful
SNMP:用于实现SDN控制器发现网络设备,实现设备纳管Netconf:用于实现SDN控制器向网络设备下发配置Openflow:用于实现SDN控制器向网络设备推送路由表、ARP、MAC地址等信息Restful:用于实现SDN控制器与云管平台对接中间件模块:支撑SDN控制器数据库运用,包括数据库、KAFKA、Redis、API网关等
公共服务模块:运行涉及的系统公共服务,包括AAA、租户管理、告警管理、日志管理、分布式事务、选举服务
AAA:管理登录SDN控制器的账号认证、授权租户管理:管理租户信息、权限告警&日志:管理SDN控制器、网络设备的告警&日志选举服务:提供SDN控制器管理模块主备关系选举服务产品服务模块:SDN控制器提供的核心功能(网络资源池化、弹性调度、网络自动化运维)
网络功能服务:
Neutron:对接Openstack云管平台,实现Neutron网络服务下发,实现网络与计算存储服务的协同L2&L3:负责网络二三层业务自主编排以及云网一体化配置的界面还原呈现L4&L7:负责网络L4-7层业务自主编排以及云网一体化配置的界面还原呈现SFC:负责网络VPC出外网、VPC互通以及业务链、微分段业务的自主编排以及云网一体化配置的界面还原呈现DHCP:负责实现DHCP服务Fabric:负责以Fabric为中心的L2(logicSwitch)/L3(LogicRouer)/PBR(灵活引流) /外部路由服务等管道连接服务的虚实资源绑定和业务下发打通五、采集$分析系统组网设计
数据采集:服务器双网卡连接应用服务器区接入交换机(Service_leaf),接收网络运行、业务数据处理报文等(采集服务器独有功能)数据上报&分析(南向):服务器双网卡连接应用服务器区接入交换机(Service_leaf),采集服务器将采集到数据,上报至分析服务器管理平台对接(北向):服务器双网卡连接应用服务器区接入交换机(Service_leaf),通过WEB呈现分析结果,也可开放API接口将分析结果输出至统一监控平台服务器管理(带外):服务器单网卡连接运维管理区接入交换机(ES),实现服务器日常运维操作的通信六、SDN控制器冗余设计
控制器采用集群部署,一个节点故障不影响业务,两个节点或以上故障,SDN控制器无法纳管网络设备,无法下发新增配置,现有业务不中断,如虚拟机发生漂移的情况下,漂移虚机所承载的业务中断七、SDN控制器网络冗余设计
网络设备纳管(南向接口)、管理平台对接(北向接口) 、集群内部心跳:每台服务器网卡均采用负载均衡模式两两进行链路聚合,交叉上联至两台接入交换机,服务器网卡冗余采用Bond 4模式(负载均衡)两台交换机采用M_Lag模式(跨机框链路聚合)配合服务器网卡聚合交换机和服务器均统一采用LACP协议协商链路聚合服务器管理(带外):集群内服务器带外管理网卡均匀接入至2台接入交换机任意1台或者多台物理服务器的其中1个南向网卡故障或者交换机接南向网卡的对应端口故障任何业务都正常任意1台或者2台物理服务器南向网卡均故障,或者交换机接南向网卡的对应端口故障任何业务都正常集群所有物理服务器的南向网卡均故障,或者交换机接南向网卡的对应端口故障,SDN控制器无法纳管网络设备,网络设备无法下发新增配置,虚拟机发生漂移的情况下,漂移虚机所承载的业务中断,现有的业务不中断任意1台或者多台物理服务器的其中1个北向网卡故障或者交换机接北向网卡的对应端口故障:l可正常登录SDN控制器进行操作,网络设备可正常下发新增配置物理服务器1或者2的北向网卡均故障或者交换机接北向网卡的对应端口故障:可正常登录SDN控制器进行操作,网络设备可正常下发新增配置,业务不中断物理服务器1和2的北向网卡均故障或者集群所有服务器的北向网卡均故障或者交换机接北向网卡的对应端口故障:无法登录SDN控制器进行操作,无法操作新增配置,业务不中断任意1台或者多台物理服务器的其中1个心跳网卡故障或者交换机接心跳网卡的对应端口故障:l可正常登录SDN控制器进行操作,网络设备可正常下发新增配置集群任意两台服务器的心跳网卡均故障或者集群所有服务器的心跳网卡均故障或者交换机接心跳网卡的对应端口故障:l可正常登录SDN控制器进行软件状态检查,但控制器无法纳管网络设备,无法操作新增配置,现有业务不中断, 虚拟机发生漂移的情况下,漂移虚机所承载的业务中断物理服务器1或者2的心跳网卡均故障或者交换机接心跳网卡的对应端口故障:正常的服务器(备管理节点&服务节点)自动成为主管理节点,心跳网卡异常的物理服务器显示断联状态,可正常登录SDN控制器进行操作,网络设备可正常下发新增配置,业务不中断八、SDN能给我们最直观的显示出什么东西
非常直接的体现出两个站点之后线路的网络质量,如抖动、延迟、丢包率等等以及整个线路的吞吐量和整体的带宽利用率等等这些都是能直接体现的、量化的东西,相比如传统的MSTP、SDH专线等等,节约超过一半成本的同时能够更直接的体现出客户想看到的、想监控到的数据,图形化的显示出来非常的直观,不再是传统方式直接查看接口的数据包然后根据时间进行计算,这时候还一举双得,SDN还充当了监控系统,可以对线路以及设备的状态进行及时监测,总的来说对客户来说是一个非常不错的选择,但话说回来,线路的成本下降这么多,对于运营商来说,来怎么衡量了,看是想要一个案例往下推还是保持原先高昂的传统专线费用,那就看运营商怎么衡量了
九、总结
SDN就是一个垫付传统网络的东西,让人感受到了“科技发展”、“AI时代”的发展带来的产物,看线路的带宽、延迟、抖动更能直观地显示出来,而不再是在没有监控软件的情况下查看接口的详细信息,看到一串冰冷的数字还要根据时间单位进行换算,可太累了,也不用担心记不住命令,控制器纳管直接批量下发,使用鼠标在图形化界面点点点就行,也不用像传统一样去巡检点检设备,show display,直接在控制器上就能看到设备的状态,还能产生对应的告警,总之,这玩意很好用,不管是对谁来说,对甲方还是乙方,都是很有利的!