屠寅燦

（正泰集團股份有限公司，浙江杭州，310000）

1 國際互聯(lián)解決方案對比分析

最簡單且最廉價的國際組網(wǎng)方式就是跨域的IPSec隧道，但是這也是體驗最差且不符合相關規(guī)定的操作。移動、聯(lián)通、電信等傳統(tǒng)運營商原先更多會提供基于MSTP/MPLS VPN類的國際專線來滿足企業(yè)跨國業(yè)務互聯(lián)需求，該方案的建設往往分為國內段和國外段，部署周期也需要根據(jù)洲區(qū)情況而定，專線理論上可實現(xiàn)網(wǎng)絡延時和丟包雙降，進而提升鏈路穩(wěn)定性。但是其往往存在部署周期長，費用高昂、故障定位繁瑣等問題，在第三世界國家則更為明顯，據(jù)悉常規(guī)情況歐洲、北美、東南亞地區(qū)交付周期需3個月左右，非洲、南美地區(qū)交付周期則預計4-6個月，突如其來的疫情則直接暫停了北美、巴西等國家的國際專線業(yè)務。漫長的部署周期往往無法滿足業(yè)務的快速上線需求，SDWAN解決方案可提供相較國際專線更加高效快捷的部署效率，甚至可實現(xiàn)按天級別的業(yè)務上線。網(wǎng)絡是影響業(yè)務體驗的重要一環(huán)，但是即使是專線也沒法降低由于距離產生的延遲。因此在理想情況下，基于全球業(yè)務點位的分布式部署，即業(yè)務云化部署，才是解決業(yè)務體驗的最佳方案，分布式部署并結合全球智能域名解析可促使用戶就近訪問前端portal，獲得快速響應，但是需要解決后端數(shù)據(jù)同步問題，對于OA系統(tǒng)來說，分布式部署對用戶來說是較為友好的，因為異步的業(yè)務響應機制，用戶無需關心后端數(shù)據(jù)同步時間。

表1 國際互聯(lián)方案對比分析

2 針對各業(yè)務場景的SDWAN解決方案研究

SDN技術在數(shù)據(jù)中心網(wǎng)絡中的應用可支持海量數(shù)據(jù)多路徑轉發(fā)，也為不斷遷移和擴展的虛擬機提供技術支持，最終實現(xiàn)網(wǎng)絡流量的智能管理與規(guī)劃[1]。SDWAN是在SDN還未完全落地之時提出的新一代網(wǎng)絡創(chuàng)新技術，是將SDN技術應用到廣域網(wǎng)場景中所形成的一種服務，這種服務用于連接廣闊地理范圍的企業(yè)網(wǎng)絡、數(shù)據(jù)中心、互聯(lián)網(wǎng)應用及云服務。

無論是國內還是海外的業(yè)務場景都會包含幾個特有場景，較為常見的分類包括移動辦公和園區(qū)辦公。移動辦公講求便捷性、高效性、分散性，而園區(qū)辦公則具有固定性、穩(wěn)定性、集中性等特征，兩者相輔相成，共同組成基本的業(yè)務場景需求。

2.1 SDWAN在移動辦公中的解決方案

移動辦公的解決場景之一是業(yè)務公網(wǎng)發(fā)布，但是當下全球網(wǎng)絡安全環(huán)境形勢嚴峻，越來越多的公網(wǎng)暴露面遭到海量攻擊。企業(yè)為保證業(yè)務安全性，降低安全隱患，則會更多地通過SSL VPN的加密方式進行內網(wǎng)辦公，包括OA、ERP、CRM等系統(tǒng)。結合較為輕松、友好、便捷的商業(yè)SSL VPN解決方案，可以讓用戶有較好的業(yè)務體驗。對于國內業(yè)務而言，傳統(tǒng)三家運營商的三網(wǎng)業(yè)務發(fā)布并通過智能DNS來實現(xiàn)用戶智能選路可較為有效的避免運營商互聯(lián)互通問題。針對國外用戶訪問國內業(yè)務，SDWAN可實現(xiàn)根據(jù)洲區(qū)或者國家的特定性業(yè)務發(fā)布，該場景不僅可滿足內網(wǎng)服務全球業(yè)務轉發(fā)，同時也可實現(xiàn)SSL/L2TP VPN業(yè)務全球發(fā)布。SDWAN在移動辦公中的解決方案不同于CDN的主要原因是其解決并提升的更多是流動性較高的業(yè)務數(shù)據(jù)體驗，而CDN則對于靜態(tài)資源而言會有更好的用戶體驗。

2.2 SDWAN在園區(qū)辦公中的解決方案

海外分公司、海外銷售公司、海外合資子公司、海外辦事處均屬于園區(qū)網(wǎng)辦公場景，該類場景往往會更多選擇專線、國際隧道等直連類的組網(wǎng)方式。但是弊端也很明顯，專線費用高昂，國際直連隧道不穩(wěn)定且不合規(guī)。SDWAN則屬于較為折中的解決方案，各大運營商、SDWAN廠商均需在國外鋪設或租賃高成本的海底光纜，其功力會在應付海外訪問國內資源時會有所體現(xiàn)，大體思路為兩個末端部署專線或隧道技術，中間段為SDWAN全球骨干網(wǎng)。末端場景選擇相對來說會更加靈活一些，可根據(jù)業(yè)務實際情況進行評估。為了保證園區(qū)互聯(lián)的可靠性，SDWAN服務商會提供兼容性較好的廠家來進行對接測試，或者提供內置配置的硬件盒子，即插即用。

3 自研SDWAN解決方案設計理念

第一，SDWAN核心控制端。SDWAN顧名思義為軟件定義廣域網(wǎng)，講求軟件管控的靈活性，往往會存在中間管控系統(tǒng)作為整體調度節(jié)點，對于業(yè)務而言，更多會在意網(wǎng)絡的連續(xù)性和穩(wěn)定性上，因此自研方案中的SDWAN中心樞紐前期必備的功能應包括網(wǎng)絡出現(xiàn)丟包、中斷、抖動時的智能判斷并及時切換能力，保證業(yè)務穩(wěn)定運行在高可靠網(wǎng)絡環(huán)境下，提升SLA。

第二，高可靠骨干網(wǎng)。為了保證互聯(lián)的穩(wěn)定性，SDWAN最重要的就是多條互聯(lián)鏈路組成的業(yè)務骨干網(wǎng)，骨干網(wǎng)的鏈路質量會直接影響業(yè)務，該類骨干網(wǎng)可通過專線、云服務商骨干網(wǎng)、互聯(lián)網(wǎng)鏈路實現(xiàn)組網(wǎng)，自研SDWAN更加講求投入產出比，云服務商骨干網(wǎng)可有效承載自建網(wǎng)絡的主鏈路，而互聯(lián)網(wǎng)鏈路可作為備份鏈路，兩者的切換由中間調度節(jié)點設置的檢測算法決定。當鏈路質量存在異常而出現(xiàn)鏈路切換時，觸發(fā)報警日志，提升人機交互。

第三，動態(tài)數(shù)據(jù)加速。針對靜態(tài)資源的加速往往在于緩存，不論是瀏覽器緩存還是CDN技術，解決的更多是靜態(tài)資源，而動態(tài)數(shù)據(jù)交互則更多還是依賴于網(wǎng)絡傳輸。TCP三次握手，四次斷開的可靠傳輸在不穩(wěn)定的國際鏈路上會讓業(yè)務體驗大打折扣，而UDP雖然可以提升響應效率，但是其不檢測機制則無法保證業(yè)務完整性。魚與熊掌往往不可兼得，但是隨著RUDP技術（可靠用戶數(shù)據(jù)報協(xié)議）的提出，這一僵局逐步被緩解。RUDP采用請求回應機制，實現(xiàn)了UDP的可靠傳輸，其通過重傳、滑動窗口與擁塞控制等來保證可靠性。實時傳輸根據(jù)場景一般需要在成本、質量、時延三者之間找到平衡點。TCP用較高成本和較大時延保證了質量。UDP通過犧牲質量保證了較低的時延。而在特定場景下，RUDP更容易找到一個平衡點來平衡三者的關系。

圖2 RUDP加速前后響應時間對比)

第四，首尾兩端互聯(lián)。核心控制端實現(xiàn)業(yè)務動態(tài)選路，高可靠骨干網(wǎng)保證鏈路承載，動態(tài)數(shù)據(jù)加速則可進一步提升業(yè)務體驗。萬事俱備，只欠東風。首尾兩端的互聯(lián)相對要靈活很多，SDWAN需要在全球分布式部署多個POP接入點位，首尾互聯(lián)其實就是與就近的POP接入點進行互聯(lián)，可通過互聯(lián)網(wǎng)、專線、IPSec、L2TP、OPenVPN等多種方式進行末端互聯(lián)，多樣的互聯(lián)場景可解決不同的業(yè)務需求。移動用戶更愿意使用公網(wǎng)資源來提升便捷性，因此在保證信息安全的前提下，末端應用可考慮使用公網(wǎng)資源進行業(yè)務發(fā)布，為了促使用戶可以更加高效、快捷的接入全球加速網(wǎng)絡內，可通過全球智能DNS來動態(tài)判斷用戶的就近加速節(jié)點，但該判斷較為主觀，可能有失偏頗，最佳的方式是結合業(yè)務精準開發(fā)加速客戶端，通過延遲、丟包等參數(shù)綜合判斷用戶全球就近接入點，進而達到最佳的加速效果及業(yè)務體驗；而固定場景辦公用戶則會更偏向于穩(wěn)定性等特性，可考慮通過專線、IPSec等多種與SDWAN末端互聯(lián)的方式來完成”最后一公里”的數(shù)據(jù)連接。

第五，加速節(jié)點冗余高可用。對于用戶群體規(guī)模較小的加速網(wǎng)絡，常規(guī)云服務器理論上已可滿足需求，而對于用戶群體量大或并發(fā)連接數(shù)較多的場景，節(jié)點冗余及高可用性就顯得尤為重要了，針對這塊可考慮搭建LVS或者NGINX的方式實現(xiàn)業(yè)務負載均衡，進而降低單臺服務器的性能承載。當然更簡單的方式可考慮通過云端的SaaS服務來擴充該能力。高可用性是所有系統(tǒng)的重要特性，應盡早納入。

綜上所述，一套較為完整的SDWAN解決方案應當可以解決多元化的業(yè)務場景，智能化、高效性、便捷性、易擴展等能力將是其重要特性。

4 安全高效的SDWAN互聯(lián)

云計算是以數(shù)據(jù)資源的形式向用戶展示存儲功能，其安全問題是被關注的焦點，將安全問題分為兩類，分別是設備部署在云環(huán)境中需要的新防護手段和引入的新安全問題[2]。

事物往往存在兩面性，SDWAN雖然提升了用戶業(yè)務體驗，但是高效交互也便捷了黑客的滲透。通過對ISO 27000及國家等級保護科學、系統(tǒng)的審查，并結合現(xiàn)有業(yè)務形態(tài)，制定了”跨區(qū)限制、安全防護”的安全理念。整套自研SDWAN系統(tǒng)均需滿足基本信息安全要求。大體思路包括以下幾點：

（1）網(wǎng)絡層實現(xiàn)切實網(wǎng)段互聯(lián)，業(yè)務端通過防火墻或云端安全組進行限制；

（2）不同業(yè)務區(qū)域實行不同安全域策略，避免橫向滲透；

（3）末端互聯(lián)需具備安全性認證，不僅限于證書、雙因子認證等多種方式；

（4）業(yè)務系統(tǒng)上線前的安全體檢、滲透測試、漏洞掃描等；

（5）全球分布式加速POP點均需通過安全評測。

安全互聯(lián)的形態(tài)包括接入層控制暴露面、傳輸層集成流量檢測、管控層重兵把守?？v深防御的安全策略可有效保證各個緯度的業(yè)務安全。

5 結語及展望

實際效果可通過數(shù)據(jù)對比和業(yè)務體驗兩個緯度來進行綜合評判。首先在數(shù)據(jù)對比層面上，自研SDWAN加速效果：香港端到端延時相較原先降低40%，北美端到端延時相較原先降低48%，德國端到端延時相較原先降低50%；其次從實際用戶體驗上，各個洲區(qū)的用戶反饋業(yè)務體驗均有所提升，加速效果明顯，達到了預期的效果。

互聯(lián)SDWAN解決方案應用場景很多，結合RUDP技術，也可滿足跨洲區(qū)的視頻會議、郵箱、網(wǎng)盤等特定業(yè)務場景需求。完整的架構不僅需要龐大的SDWAN加速網(wǎng)絡，而且在用戶接入便捷度上也同樣不可馬虎，通過自研加速客戶端，集成各項業(yè)務控件，迭代化升級操作來滿足業(yè)務動態(tài)需求，同時可通過全球智能化DNS解析技術來進一步提升用戶體驗。網(wǎng)絡安全問題已成為制約云計算發(fā)展的主要因素，通過劃分多個按區(qū)域，制定安全策略，將外部環(huán)境中的安全問題從復雜問題中分離出來，整體提升業(yè)務安全性。

相信SDWAN未來會適用越來越多的業(yè)務場景，自研SDWAN理論上可極大程度的實現(xiàn)降本增效。