王曄

?

電信SD-WAN解決方案的關(guān)鍵技術(shù)

王曄

（烽火通信科技股份有限公司，湖北 武漢 430073）

介紹了SD-WAN的基本概念、應用場景及在云網(wǎng)一體化過程中的優(yōu)勢，重點闡述了電信SD-WAN解決方案的關(guān)鍵技術(shù)，包括開放的系統(tǒng)架構(gòu)、豐富的部署形態(tài)、EVPN over VxLAN專線、穿越NAT、多核軟轉(zhuǎn)發(fā)技術(shù)等，為SD-WAN系統(tǒng)應用開發(fā)奠定了基礎(chǔ)。

軟件定義廣域網(wǎng)；以太網(wǎng)虛擬專用網(wǎng)；虛擬擴展局域網(wǎng)；IP安全協(xié)議；軟轉(zhuǎn)發(fā)

1 引言

隨著互聯(lián)網(wǎng)+、云計算、大數(shù)據(jù)和移動辦公等業(yè)務的迅猛發(fā)展，面向企業(yè)的云專線業(yè)務和云數(shù)據(jù)中心服務近年來高速增長，更多的企業(yè)開始將業(yè)務應用轉(zhuǎn)向云服務。企業(yè)分支與總部之間的傳統(tǒng)專線業(yè)務通常采用運營商提供的SDH、OTN、MPLS等類型的專線服務，由于跨網(wǎng)絡、跨運營商、SLA（服務等級協(xié)議）以及專線鏈路等需求，存在業(yè)務開通周期長、網(wǎng)絡配置復雜、靈活性較差和價格昂貴等問題。SDN/NFV技術(shù)的出現(xiàn)，讓企業(yè)新增網(wǎng)絡服務不再依賴固有的硬件，簡化了網(wǎng)絡配置和運維，提高了業(yè)務部署速度，降低了網(wǎng)絡建設和運維成本，SD-WAN（software-defined wide area network，軟件定義廣域網(wǎng)）[1]隨之應運而生。

2 SD-WAN概述

SD-WAN通過SDN技術(shù)將網(wǎng)絡設備的控制和轉(zhuǎn)發(fā)功能分離，為企業(yè)用戶構(gòu)建業(yè)務開放、靈活編程、易于運維的廣域網(wǎng)。同時，SD-WAN整合MPLS專線、光纖、互聯(lián)網(wǎng)、LTE等多種網(wǎng)絡線路資源進行廣域網(wǎng)的流量調(diào)度，用戶能夠按照預定的路由策略自主控制廣域網(wǎng)流量的流向，幫助用戶降低廣域網(wǎng)（WAN）的開支并提高連接的靈活性。SD-WAN典型的應用場景包括混合WAN場景、云接入場景和移動辦公等，通過引入SD-WAN控制器，可完成企業(yè)各分支接入設備的集中管理和自動化配置，將企業(yè)各個分支靈活接入公有云或私有云，為用戶提供可視化的、可調(diào)度的網(wǎng)絡拓撲和流量監(jiān)控，同時，可以為企業(yè)提供安全防護等云化增值服務。

中國電信SD-WAN解決方案基于虛擬化企業(yè)網(wǎng)關(guān)產(chǎn)品和云化業(yè)務部署，為政企客戶提供靈活、智能、定制化、自動化、差異化的智能專線和云專線業(yè)務，適用于site-site、site-internet、site-IDC等不同的應用場景，提供企業(yè)各站點間的互聯(lián)專線，企業(yè)訪問國際互聯(lián)網(wǎng)的加速服務，企業(yè)站點定向訪問公有云、私有云等服務，具有敏捷開通、國際加速、混合組網(wǎng)和云網(wǎng)協(xié)同等特點。

中國電信SD-WAN解決方案構(gòu)建基于VxLAN的VPN專線通道，提供L2/L3 VPN、EVPN（ethernet virtual private network，以太網(wǎng)虛擬專用網(wǎng)絡）、VxLAN over IPSec等功能，為客戶提供點到點、點到多點的以太網(wǎng)連接服務，通過以太網(wǎng)接口替代現(xiàn)有傳輸專線，支持FE/GE/10GE等多種帶寬，提供可視（網(wǎng)絡狀態(tài)）、可配（自助開通）、可調(diào)（帶寬、QoS）的服務。通過SD-WAN控制器實現(xiàn)集約化配置，借助網(wǎng)絡協(xié)同和業(yè)務編排器，實現(xiàn)跨域端到端網(wǎng)絡協(xié)同和業(yè)務編排，客戶可自助配置，網(wǎng)絡資源按需擴/縮容，降低部署和運營成本。SD-WAN解決方案提供云和網(wǎng)絡一站式服務，對云資源（如計算、存儲等）、網(wǎng)絡資源（如站點、VPN、QoS 等）可自動適配，客戶可在同一界面實現(xiàn)對云與網(wǎng)資源一站開通，同時，承載網(wǎng)（如IP 網(wǎng)、傳送網(wǎng)等）與DC/云資源池等統(tǒng)一進行網(wǎng)絡協(xié)同和業(yè)務編排，提供安全、高效的云接入與云互聯(lián)服務。

3 SD-WAN關(guān)鍵技術(shù)

3.1 開放的系統(tǒng)架構(gòu)

傳統(tǒng)集客專線系統(tǒng)架構(gòu)網(wǎng)關(guān)設備、網(wǎng)管系統(tǒng)或控制器均由同一個廠商提供，都是煙囪式封閉系統(tǒng)，容易被設備廠商綁定，不利于降低CAPEX（capital expenditure，資本性支出），如圖1所示。SD-WAN系統(tǒng)架構(gòu)遵循ETSI NFV橫向解耦的設計思想，由基礎(chǔ)架構(gòu)層、業(yè)務控制層、運維管理層和服務門戶層4個層次組成，如圖2所示，不同層次之間開放南北向接口，允許異廠商系統(tǒng)互通組網(wǎng)。

圖1 傳統(tǒng)集客專線系統(tǒng)架構(gòu)

? 基礎(chǔ)架構(gòu)層：由客戶側(cè)物理網(wǎng)元和云端的虛擬化網(wǎng)元互聯(lián)組成，滿足site-to-site/ site-to-internet/site-to-DC[2]不同組網(wǎng)應用需求。

? 業(yè)務控制層：由SDN控制器和VNFM組成，主要完成網(wǎng)元設備的集中管理、自動化配置和生命周期管理，控制器北向提供REST接口，南向接口遵循Netconf等協(xié)議。

? 運維管理層：通過編排器實現(xiàn)跨域的智能專線業(yè)務編排，北向提供REST接口，與第三方OSS/BSS系統(tǒng)對接。

圖2 中國電信SD-WAN系統(tǒng)架構(gòu)

? 服務門戶層：提供統(tǒng)一圖形化界面、實現(xiàn)企業(yè)專線業(yè)務自助定制，為企業(yè)提供一站式專線服務。

3.2 豐富的部署形態(tài)

傳統(tǒng)集客專線設備廠商基于專用硬件來實現(xiàn)網(wǎng)元，限制了設備性能提高，無法快速響應運營商定制化需求。在ETSI提出了NFV概念之后，使用白盒化的標準硬件將硬件設備和業(yè)務解耦是大勢所趨?；贜FV技術(shù)打造的運行在白標準硬件上的vCPE產(chǎn)品，支持豐富的部署形態(tài)，如圖3所示：形態(tài)一基于x86架構(gòu)白盒機部署，適應客戶側(cè)特殊環(huán)境部署要求；形態(tài)二基于通用服務器金屬裸機部署，具備更高性能；形態(tài)三基于云虛擬主機部署，部署靈活，彈性伸縮，可運行于主流商用Hypervisor平臺。

3.3 EVPN over VxLAN專線

EVPN是一種VPN專線技術(shù)，控制平面采用MP-BGP協(xié)議通告EVPN路由信息[3]，數(shù)據(jù)平面采用VxLAN封裝方式轉(zhuǎn)發(fā)報文（即EVPN over VxLAN）。

租戶overlay VPN由分布在不同地理位置的多個站點內(nèi)的虛擬機或白盒機構(gòu)成。租戶的物理站點分散在不同位置時，EVPN可以基于已有的服務提供商或企業(yè)IP網(wǎng)絡，在廣域網(wǎng)上利用VxLAN隧道將這些站點連接起來，為同一租戶的相同子網(wǎng)提供二層互聯(lián)，也可以通過EVPN網(wǎng)關(guān)為同一租戶的不同子網(wǎng)提供三層互聯(lián)，并為其提供與外部網(wǎng)絡的三層互聯(lián)。

圖3 典型部署形態(tài)

為了支持EVPN互聯(lián)，MP-BGP在傳統(tǒng)地址族中擴展定義了新的子地址族——EVPN地址族，并新增EVPN路由，支持遠程跨廣域網(wǎng)通告對端路由或MAC地址[4]。EVPN over VxLAN的強大體現(xiàn)在同一種VPN專線技術(shù)下實現(xiàn)5種典型業(yè)務模型，如圖4所示，具體包括：

圖4 以太網(wǎng)虛擬專用網(wǎng)絡業(yè)務模型

?? 本地二層交換；

??? 跨廣域網(wǎng)的大二層交換；

?? 本地L2橋接L3路由；

?? 跨廣域網(wǎng)的L2橋接L3路由；

?? 跨廣域網(wǎng)的L3路由。

表1將EVPN專線技術(shù)與常用的VPN技術(shù)進行了橫向?qū)Ρ确治?，EVPN具備明顯的優(yōu)勢，能夠更靈活地提供穿越廣域網(wǎng)的專線服務。

3.4 基于IPSec協(xié)議穿越NAT

IPSec是IETF制定的為保證在Internet上安全保密傳送數(shù)據(jù)的一組協(xié)議，它定義了如何在IP數(shù)據(jù)分組中增加字段來保證IP分組的完整性、私有性和真實性以及如何加密數(shù)據(jù)分組。IPSec包括報文驗證頭協(xié)議AH（協(xié)議號51）和報文安全封裝協(xié)議ESP（協(xié)議號50）兩個協(xié)議。AH主要提供的功能有數(shù)據(jù)源驗證、數(shù)據(jù)完整性校驗和防報文重放功能，AH沒有對用戶數(shù)據(jù)進行加密。ESP將需要保護的用戶數(shù)據(jù)進行加密后再封裝到IP分組中，驗證數(shù)據(jù)的完整性、真實性和私有性，可選擇的加密算法有DES、3DES、AES等。

IPSec有隧道（tunnel）和傳送（transport）兩種工作模式。在隧道模式下，用戶的整個IP數(shù)據(jù)分組被用來計算AH或ESP頭， AH或ESP頭和加密用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)分組中；在傳送模式中，只是傳輸層數(shù)據(jù)被用來計算AH或ESP頭，AH或ESP頭和被加密的傳輸層數(shù)據(jù)被放置在原IP分組頭后面。

vCPE采用IPSec對用戶的業(yè)務流量進行加密的保護服務，加密和認證的密鑰采用IKE協(xié)商的動態(tài)密鑰管理技術(shù)進行分發(fā)。除了能夠提供傳統(tǒng)的加密和認證功能，如圖5所示，IPSec使用隧道模式下的ESP協(xié)議保護的是整個IP分組，對整個IP分組進行加密；ESP插入原始IP頭部之前，在ESP之前再增加一個新的IP頭部。

表1 常見VPN技術(shù)對比

IPSec通過使用隧道模式下的ESP能實現(xiàn)動態(tài)NAT的穿越[5]。vCPE通過將VxLAN專線隧道疊加在IPSec隧道之上（即VxLAN over IPSec），可以使用戶業(yè)務完全感知不到NAT網(wǎng)關(guān)設備的存在，從而實現(xiàn)所有業(yè)務的NAT穿越。

圖5 ESP協(xié)議隧道模式封裝

3.5 多核軟轉(zhuǎn)發(fā)

SD-WAN網(wǎng)關(guān)設備硬件通常采用x86架構(gòu)標準硬件，如何在x86多核處理器上實現(xiàn)高性能軟轉(zhuǎn)發(fā)引擎，替代傳統(tǒng)ASIC芯片實現(xiàn)流量轉(zhuǎn)發(fā)成為關(guān)鍵。多核軟轉(zhuǎn)發(fā)架構(gòu)如圖6所示，軟轉(zhuǎn)發(fā)引擎內(nèi)部根據(jù)CPU內(nèi)核數(shù)量定義多個轉(zhuǎn)發(fā)線程，每個核心專職負責至少一個轉(zhuǎn)發(fā)線程，充分發(fā)揮多核處理器并發(fā)計算效率。從多個網(wǎng)絡端口來的報文首先進入不同優(yōu)先級的隊列中排隊，然后根據(jù)報文的五元組或者其他調(diào)度策略，將報文送入不同的轉(zhuǎn)發(fā)線程并發(fā)處理。

實驗室驗證測試結(jié)果如圖7所示，在使用Intel E5-2630v3型號CPU的2個核心的條件下，從XGE物理網(wǎng)口來的128 byte及以上L3報文可以實現(xiàn)100%線速轉(zhuǎn)發(fā)，完全可以滿足SD-WAN場景需求。

圖6 多核軟轉(zhuǎn)發(fā)架構(gòu)

圖7 多核軟轉(zhuǎn)發(fā)性能

圖8 云網(wǎng)互聯(lián)應用案例

4 應用案例

中國電信SD-WAN解決方案應用場景靈活多樣，在云網(wǎng)互聯(lián)場景的典型應用如圖8所示。底層承載網(wǎng)利用城域網(wǎng)和CN2進行客戶入云的MPLS專線客戶側(cè)部署CPE網(wǎng)關(guān)，云資源池部署虛擬CPE網(wǎng)關(guān)。客戶側(cè)流量通過VxLAN隧道直接入云，對接企業(yè)部署在vPC上的應用服務。

在該應用案例中，同一條MPLS VPN專線可以被多個租戶共享復用，在保證了承載網(wǎng)絡質(zhì)量的前提下進一步降低成本?？蛻魝?cè)CPE是x86架構(gòu)的白盒化硬件，在降低設備采購成本的同時，可以部署諸如AAA服務器或防火墻之類的增值業(yè)務軟件。云端的vCPE完全虛擬化部署，對于DC內(nèi)部網(wǎng)絡結(jié)構(gòu)不做任何改變，無縫對接租戶的企業(yè)應用。

5 結(jié)束語

隨著云網(wǎng)一體化進程的加快，SD-WAN以其快速、智能、低成本的部署優(yōu)勢，越來越受到企業(yè)及運營商的青睞。目前，主流運營商均已在多個省公司進行了SD-WAN業(yè)務部署和測試，將加快SD-WAN解決方案研究開發(fā)和落地實踐，推進下一代集客專線技術(shù)和新興產(chǎn)品的市場應用，共同推動SD-WAN產(chǎn)業(yè)的發(fā)展。

[1] 郭曉軍, 萬曉蘭. 重構(gòu)廣域網(wǎng)關(guān)鍵技術(shù)[J]. 電信科學, 2017, 33(4): 26-38.

GUO X J, WAN X L. Key technology of reconstructing WAN[J]. Telecommunications Science, 2017, 33(4): 26-38.

[2] 王瑾. 政企業(yè)務遇瓶頸,SD-WAN助運營商實現(xiàn)云網(wǎng)一體化[J]. 通信世界, 2017(16): 48-49.

WANG J. Enterprise business encounter bottleneck, SD-WAN help operators achieve network integration[J]. Communications World, 2017(16): 48-49.

[3] 鐘耿輝, 唐加山. 基于VxLAN的EVPN技術(shù)研究與實現(xiàn)[J]. 計算機技術(shù)與發(fā)展, 2017, 27(5): 46-50.

ZHONG G H, TANG J S. Research and Implementation of EVPN Technology with VXLAN[J]. Computer Technology and Development, 2017, 27(5): 46-50.

[4] 唐宏, 朱華虹, 曹維華, 等. 基于SDN的大型IP網(wǎng)絡BGP路由優(yōu)化方案[J]. 電信科學, 2016, 32(3): 14-19.

TANG H, ZHU H H, CAO W H, et al. Route optimization method for BGP based on SDN in large-scale IP network [J]. Telecommunications Science, 2016, 32(3): 14-19.

[5] 工業(yè)和信息化部. IP安全協(xié)議（IPSec）穿越網(wǎng)絡地址翻譯（NAT）技術(shù)要求:YD/T 1468-2006[S]. 2006.

MIIT. Technical requirements of IPSec Traverse NAT:YD/T 1468-2006[S]. 2006.

Key technologies in telecom SD-WAN solution

WANG Ye

FiberHome Telecommunication Technologies Co.,Ltd., Wuhan 430073, China

The basic concept of SD-WAN, application scenarios and the advantages in process of cloud network integration were introduced, and the key technologies of telecom SD-WAN solution were emphasized on, including open system architecture, rich deployment pattern, EVPN over VxLAN, traverse NAT, multicore soft-forwarding, etc. A solid foundation was established for the application of SD-WAN system.

SD-WAN, EVPN, VxLAN, IPSec, soft-forwarding

TN915

A

10.11959/j.issn.1000?0801.2017336

2017?11?01；

2017?12?10

王曄（1980?），男，烽火通信科技股份有限公司NFV產(chǎn)品總監(jiān)、高級工程師，主要研究方向為SDN/NFV、光通信系統(tǒng)和軟件工程。