傳統廣域網向軟件定義廣域網（SD-WAN）架構轉型淺析

楊帥

隨著企業網絡復雜度的增加及網絡規模的發展，廣域網建設面對的問題和痛點越來越多。一是帶寬利用率低，無法對流量路徑進行可視化的全局調整，且調整結果難以直觀驗證。二是端到端業務部署和業務變更太慢，配置工作量大，而且需要企業內部多個部門及設備生產廠商的配合。本文通過分析企業廣域網管理的具體需求，以某大型金融機構網絡架構為例，提出廣域網向SD-WAN轉型的建設方案。

一、廣域網管理需求分析

IP網絡路徑調優。金融行業的省級機構與各地市州、縣大多通過MSTP廣域網專線互聯，由于專線租用成本高昂，專線帶寬往往較低。隨著網絡流量的增加，專線帶寬將逐漸不能滿足未來業務發展的需求，在專線帶寬不進行擴容的情況下，通過SDWAN技術提升專線帶寬利用率、優化業務傳輸路徑。

網絡資源可視。通過網絡拓撲可視、業務路徑可視、路徑檢測可視、告警可視、鏈路質量可視，提高運維效率，簡化運維管理難度，降低運維風險，并局部實現自動化運維。

QoS自動化部署。QoS是一個端到端的服務質量保障技術，對運維成員的技術能力要求頗高。自動化、可視化地部署QoS的各種策略，在帶寬有限的情況保障重要業務低延時的優先轉，是提高運維效率的有效手段。

網絡DDOS安全防攻擊。企業總部及各分支機構網絡遭受DDoS攻擊，攻擊流量將可能擠占專線帶寬，進而引起網絡癱瘓和業務癱瘓，因此網絡須具備丟棄攻擊流量和限速攻擊流量的能力。

二、廣域網SD-WAN轉型建設思路

基于SD-WAN的廣域網架構是一個分層、開放、靈活的網絡架構，如圖1所示，整個SD-WAN結構可分為網絡設備層、控制器層、用戶管理層三個層次。

網絡設備層。網絡設備控制層采用標準的南向協議與控制器對接，接收SDN控制器的控制和管理?？刂破髋c網絡設備間的交互協議應支持傳統的NETCONF、SNMP協議及SDN（軟件定義網絡）新生的Openflow、BGP-LS等新生技術協議，從而與控制器高效交互，提供高性能的數據轉發。

控制器層?？刂破骺煽紤]基于開源的ODL平臺，支撐豐富的A P P集成，同時，主流網絡設備生產商（H3C、華為）也基于該平臺封裝自己的控制器，支持力度較好，包括原廠商定制開發及第三方應用集成和移植?？刂破髂舷蛲ㄟ^標準南向接口協議和設備互通，支持現有網絡平滑升級過渡；北向面向用戶提供定制化的API接口，實現與網管、編排、運營等系統對接集成，滿足企業差異化的業務需求。

用戶管理層：通過調用控制器提供的標準API接口，實現應用級別的流量監控、流量可視化展示、流量路勁調整等核心需求，實現精細化運維、半自動化運維，提高運維效果及效率。

三、建設案例

（一）廣域網現狀

某省級金融機構廣域網網絡拓撲如圖2所示。

現網中，營業管理部（市屬支行）直接通過裸光纖連接到省會城市分行匯聚路由器，而各地市州中心支行、縣級支行均通過租賃運營商MSTP專線直接以扁平化的方式連接到省會城市分行匯聚路由器。廣域網全網部署了OSPF動態路由協議?，F網存在三方面問題：一是線路為主備方式，主線路流量壓力大，而備線路幾乎無流量；二是通過路由策略進行的流量選路，很難手動切換流量，路由策略變更風險較高；三是現網設備配置修改難度較大，在現網設備上實施改造風險較高。利用SDWAN技術，來實現應用流量在兩條線路上動態按需調度。

（二）方案概述

由于現網中省會城市分行匯聚路由器和地市州中心支行上聯路由器不支持SDN相關特性，同時，也為了在實施和調試過程中，不影響現網的正常運行，全省各地實行了分步實施。具體做法是新增省會城市分行匯聚路由器以及地市州中心支行、縣級支行上聯路由器，作為專門的SDN網絡設備。新增的省會城市分行SDN匯聚路由器直接上聯接入核心交換機，運行OSPF動態路由協議。傳統網絡與新建的SDN網絡通過省級分行核心交換機實現互訪。在安裝調試過程中，新增設備完全獨立于現網正運行設備，在長達數周的安裝調試及測試過程中，未影響現網正常運行和業務辦理。在安裝調試以及測試完成后，再逐步將各分支行從傳統網絡切換至SDN網絡，實施過程中的風險可控。割接后，網絡架構如圖3所示，網絡結構清晰、網絡層次明了，隨著全省各地逐步的割接完成，下線原省級分行匯聚路由器，整網直接從傳統網絡過渡到SD-WAN架構。

由于SDN控制器承載著全網設備的管理交互，保障要求高，所以控制器由3臺控制器組成，互為備份，通過ODL集群機制進行集群同步。集群控制器間工作模式為1主N備，保障了控制平面的可靠。

部署流程如圖4所示。

（三）實現功能

網絡可視。一是網絡拓撲可視，實現網絡拓撲的層次化展示及管理維護。二是設備可視，可實時監控設備的主機、板卡等資源管理。三是鏈路可視，設備接口及鏈路狀態可見，鏈路歷史質量（延時、抖動等）信息可回溯。網絡可視圖如圖5所示。

應用可視。一是應用流量可視，實時掌握業務流量畫像。二是應用路徑可視，并可調度主備路徑，解決了傳統網絡端到端應用路徑可視不足，運維難問題。三是應用質量可視，支持應用延時、抖動、丟包可視，構建應用“知感” 網絡，支持應用質量歷史報表導出，便于故障追溯。應用可視展示圖如圖6所示。

業務智能調度?？蓪崿F流量的自動、半自動及手工調動。其中，自動調度策略組合靈活多選，參數包括帶寬、抖動、時延、丟包率等，滿足不同業務自動調度需求，構建自愈網絡；半自動調度增加饋反決策機制，調度前需管理員確認業務流量是否調度，保障業務穩定性；手工調度則可避免網絡輕微/頻繁震蕩時，業務反復調度帶來穩定性問題。三種調度模式按需配置，如圖7所示。

一鍵Qos下發。多種不同應用流量需要差異化保障，如視頻類高優先級流量需要進行低延時保障，其他優先級應用按正常鏈路帶寬比例進行帶寬保障，基于全網視角一鍵部署端到端QoS保障，滿足差異化應用保障，配合智能流量調度功能，實現全網流量調度，提升鏈路利用率及應用體驗。

四、結束語

本文通過分析企業廣域網管理所面臨的痛點及需求，引出傳統廣域網向SD-WAN架構轉型的思路，并通過大型金融機構的規劃建設實例，展示了SD-WAN實現的核心功能，為各行業廣域網架構轉型提供了參考。