電信SD-WAN解決方案的關鍵技術

王曄

?

電信SD-WAN解決方案的關鍵技術

王曄

（烽火通信科技股份有限公司，湖北 武漢 430073）

介紹了SD-WAN的基本概念、應用場景及在云網一體化過程中的優勢，重點闡述了電信SD-WAN解決方案的關鍵技術，包括開放的系統架構、豐富的部署形態、EVPN over VxLAN專線、穿越NAT、多核軟轉發技術等，為SD-WAN系統應用開發奠定了基礎。

軟件定義廣域網；以太網虛擬專用網；虛擬擴展局域網；IP安全協議；軟轉發

1 引言

隨著互聯網+、云計算、大數據和移動辦公等業務的迅猛發展，面向企業的云專線業務和云數據中心服務近年來高速增長，更多的企業開始將業務應用轉向云服務。企業分支與總部之間的傳統專線業務通常采用運營商提供的SDH、OTN、MPLS等類型的專線服務，由于跨網絡、跨運營商、SLA（服務等級協議）以及專線鏈路等需求，存在業務開通周期長、網絡配置復雜、靈活性較差和價格昂貴等問題。SDN/NFV技術的出現，讓企業新增網絡服務不再依賴固有的硬件，簡化了網絡配置和運維，提高了業務部署速度，降低了網絡建設和運維成本，SD-WAN（software-defined wide area network，軟件定義廣域網）[1]隨之應運而生。

2 SD-WAN概述

SD-WAN通過SDN技術將網絡設備的控制和轉發功能分離，為企業用戶構建業務開放、靈活編程、易于運維的廣域網。同時，SD-WAN整合MPLS專線、光纖、互聯網、LTE等多種網絡線路資源進行廣域網的流量調度，用戶能夠按照預定的路由策略自主控制廣域網流量的流向，幫助用戶降低廣域網（WAN）的開支并提高連接的靈活性。SD-WAN典型的應用場景包括混合WAN場景、云接入場景和移動辦公等，通過引入SD-WAN控制器，可完成企業各分支接入設備的集中管理和自動化配置，將企業各個分支靈活接入公有云或私有云，為用戶提供可視化的、可調度的網絡拓撲和流量監控，同時，可以為企業提供安全防護等云化增值服務。

中國電信SD-WAN解決方案基于虛擬化企業網關產品和云化業務部署，為政企客戶提供靈活、智能、定制化、自動化、差異化的智能專線和云專線業務，適用于site-site、site-internet、site-IDC等不同的應用場景，提供企業各站點間的互聯專線，企業訪問國際互聯網的加速服務，企業站點定向訪問公有云、私有云等服務，具有敏捷開通、國際加速、混合組網和云網協同等特點。

中國電信SD-WAN解決方案構建基于VxLAN的VPN專線通道，提供L2/L3 VPN、EVPN（ethernet virtual private network，以太網虛擬專用網絡）、VxLAN over IPSec等功能，為客戶提供點到點、點到多點的以太網連接服務，通過以太網接口替代現有傳輸專線，支持FE/GE/10GE等多種帶寬，提供可視（網絡狀態）、可配（自助開通）、可調（帶寬、QoS）的服務。通過SD-WAN控制器實現集約化配置，借助網絡協同和業務編排器，實現跨域端到端網絡協同和業務編排，客戶可自助配置，網絡資源按需擴/縮容，降低部署和運營成本。SD-WAN解決方案提供云和網絡一站式服務，對云資源（如計算、存儲等）、網絡資源（如站點、VPN、QoS 等）可自動適配，客戶可在同一界面實現對云與網資源一站開通，同時，承載網（如IP 網、傳送網等）與DC/云資源池等統一進行網絡協同和業務編排，提供安全、高效的云接入與云互聯服務。

3 SD-WAN關鍵技術

3.1 開放的系統架構

傳統集客專線系統架構網關設備、網管系統或控制器均由同一個廠商提供，都是煙囪式封閉系統，容易被設備廠商綁定，不利于降低CAPEX（capital expenditure，資本性支出），如圖1所示。SD-WAN系統架構遵循ETSI NFV橫向解耦的設計思想，由基礎架構層、業務控制層、運維管理層和服務門戶層4個層次組成，如圖2所示，不同層次之間開放南北向接口，允許異廠商系統互通組網。

圖1 傳統集客專線系統架構

? 基礎架構層：由客戶側物理網元和云端的虛擬化網元互聯組成，滿足site-to-site/ site-to-internet/site-to-DC[2]不同組網應用需求。

? 業務控制層：由SDN控制器和VNFM組成，主要完成網元設備的集中管理、自動化配置和生命周期管理，控制器北向提供REST接口，南向接口遵循Netconf等協議。

? 運維管理層：通過編排器實現跨域的智能專線業務編排，北向提供REST接口，與第三方OSS/BSS系統對接。

圖2 中國電信SD-WAN系統架構

? 服務門戶層：提供統一圖形化界面、實現企業專線業務自助定制，為企業提供一站式專線服務。

3.2 豐富的部署形態

傳統集客專線設備廠商基于專用硬件來實現網元，限制了設備性能提高，無法快速響應運營商定制化需求。在ETSI提出了NFV概念之后，使用白盒化的標準硬件將硬件設備和業務解耦是大勢所趨。基于NFV技術打造的運行在白標準硬件上的vCPE產品，支持豐富的部署形態，如圖3所示：形態一基于x86架構白盒機部署，適應客戶側特殊環境部署要求；形態二基于通用服務器金屬裸機部署，具備更高性能；形態三基于云虛擬主機部署，部署靈活，彈性伸縮，可運行于主流商用Hypervisor平臺。

3.3 EVPN over VxLAN專線

EVPN是一種VPN專線技術，控制平面采用MP-BGP協議通告EVPN路由信息[3]，數據平面采用VxLAN封裝方式轉發報文（即EVPN over VxLAN）。

租戶overlay VPN由分布在不同地理位置的多個站點內的虛擬機或白盒機構成。租戶的物理站點分散在不同位置時，EVPN可以基于已有的服務提供商或企業IP網絡，在廣域網上利用VxLAN隧道將這些站點連接起來，為同一租戶的相同子網提供二層互聯，也可以通過EVPN網關為同一租戶的不同子網提供三層互聯，并為其提供與外部網絡的三層互聯。

圖3 典型部署形態

為了支持EVPN互聯，MP-BGP在傳統地址族中擴展定義了新的子地址族——EVPN地址族，并新增EVPN路由，支持遠程跨廣域網通告對端路由或MAC地址[4]。EVPN over VxLAN的強大體現在同一種VPN專線技術下實現5種典型業務模型，如圖4所示，具體包括：

圖4 以太網虛擬專用網絡業務模型

?? 本地二層交換；

??? 跨廣域網的大二層交換；

?? 本地L2橋接L3路由；

?? 跨廣域網的L2橋接L3路由；

?? 跨廣域網的L3路由。

表1將EVPN專線技術與常用的VPN技術進行了橫向對比分析，EVPN具備明顯的優勢，能夠更靈活地提供穿越廣域網的專線服務。

3.4 基于IPSec協議穿越NAT

IPSec是IETF制定的為保證在Internet上安全保密傳送數據的一組協議，它定義了如何在IP數據分組中增加字段來保證IP分組的完整性、私有性和真實性以及如何加密數據分組。IPSec包括報文驗證頭協議AH（協議號51）和報文安全封裝協議ESP（協議號50）兩個協議。AH主要提供的功能有數據源驗證、數據完整性校驗和防報文重放功能，AH沒有對用戶數據進行加密。ESP將需要保護的用戶數據進行加密后再封裝到IP分組中，驗證數據的完整性、真實性和私有性，可選擇的加密算法有DES、3DES、AES等。

IPSec有隧道（tunnel）和傳送（transport）兩種工作模式。在隧道模式下，用戶的整個IP數據分組被用來計算AH或ESP頭， AH或ESP頭和加密用戶數據被封裝在一個新的IP數據分組中；在傳送模式中，只是傳輸層數據被用來計算AH或ESP頭，AH或ESP頭和被加密的傳輸層數據被放置在原IP分組頭后面。

vCPE采用IPSec對用戶的業務流量進行加密的保護服務，加密和認證的密鑰采用IKE協商的動態密鑰管理技術進行分發。除了能夠提供傳統的加密和認證功能，如圖5所示，IPSec使用隧道模式下的ESP協議保護的是整個IP分組，對整個IP分組進行加密；ESP插入原始IP頭部之前，在ESP之前再增加一個新的IP頭部。

表1 常見VPN技術對比

IPSec通過使用隧道模式下的ESP能實現動態NAT的穿越[5]。vCPE通過將VxLAN專線隧道疊加在IPSec隧道之上（即VxLAN over IPSec），可以使用戶業務完全感知不到NAT網關設備的存在，從而實現所有業務的NAT穿越。

圖5 ESP協議隧道模式封裝

3.5 多核軟轉發

SD-WAN網關設備硬件通常采用x86架構標準硬件，如何在x86多核處理器上實現高性能軟轉發引擎，替代傳統ASIC芯片實現流量轉發成為關鍵。多核軟轉發架構如圖6所示，軟轉發引擎內部根據CPU內核數量定義多個轉發線程，每個核心專職負責至少一個轉發線程，充分發揮多核處理器并發計算效率。從多個網絡端口來的報文首先進入不同優先級的隊列中排隊，然后根據報文的五元組或者其他調度策略，將報文送入不同的轉發線程并發處理。

實驗室驗證測試結果如圖7所示，在使用Intel E5-2630v3型號CPU的2個核心的條件下，從XGE物理網口來的128 byte及以上L3報文可以實現100%線速轉發，完全可以滿足SD-WAN場景需求。

圖6 多核軟轉發架構

圖7 多核軟轉發性能

圖8 云網互聯應用案例

4 應用案例

中國電信SD-WAN解決方案應用場景靈活多樣，在云網互聯場景的典型應用如圖8所示。底層承載網利用城域網和CN2進行客戶入云的MPLS專線客戶側部署CPE網關，云資源池部署虛擬CPE網關。客戶側流量通過VxLAN隧道直接入云，對接企業部署在vPC上的應用服務。

在該應用案例中，同一條MPLS VPN專線可以被多個租戶共享復用，在保證了承載網絡質量的前提下進一步降低成本。客戶側CPE是x86架構的白盒化硬件，在降低設備采購成本的同時，可以部署諸如AAA服務器或防火墻之類的增值業務軟件。云端的vCPE完全虛擬化部署，對于DC內部網絡結構不做任何改變，無縫對接租戶的企業應用。

5 結束語

隨著云網一體化進程的加快，SD-WAN以其快速、智能、低成本的部署優勢，越來越受到企業及運營商的青睞。目前，主流運營商均已在多個省公司進行了SD-WAN業務部署和測試，將加快SD-WAN解決方案研究開發和落地實踐，推進下一代集客專線技術和新興產品的市場應用，共同推動SD-WAN產業的發展。

[1] 郭曉軍, 萬曉蘭. 重構廣域網關鍵技術[J]. 電信科學, 2017, 33(4): 26-38.

GUO X J, WAN X L. Key technology of reconstructing WAN[J]. Telecommunications Science, 2017, 33(4): 26-38.

[2] 王瑾. 政企業務遇瓶頸,SD-WAN助運營商實現云網一體化[J]. 通信世界, 2017(16): 48-49.

WANG J. Enterprise business encounter bottleneck, SD-WAN help operators achieve network integration[J]. Communications World, 2017(16): 48-49.

[3] 鐘耿輝, 唐加山. 基于VxLAN的EVPN技術研究與實現[J]. 計算機技術與發展, 2017, 27(5): 46-50.

ZHONG G H, TANG J S. Research and Implementation of EVPN Technology with VXLAN[J]. Computer Technology and Development, 2017, 27(5): 46-50.

[4] 唐宏, 朱華虹, 曹維華, 等. 基于SDN的大型IP網絡BGP路由優化方案[J]. 電信科學, 2016, 32(3): 14-19.

TANG H, ZHU H H, CAO W H, et al. Route optimization method for BGP based on SDN in large-scale IP network [J]. Telecommunications Science, 2016, 32(3): 14-19.

[5] 工業和信息化部. IP安全協議（IPSec）穿越網絡地址翻譯（NAT）技術要求:YD/T 1468-2006[S]. 2006.

MIIT. Technical requirements of IPSec Traverse NAT:YD/T 1468-2006[S]. 2006.

Key technologies in telecom SD-WAN solution

WANG Ye

FiberHome Telecommunication Technologies Co.,Ltd., Wuhan 430073, China

The basic concept of SD-WAN, application scenarios and the advantages in process of cloud network integration were introduced, and the key technologies of telecom SD-WAN solution were emphasized on, including open system architecture, rich deployment pattern, EVPN over VxLAN, traverse NAT, multicore soft-forwarding, etc. A solid foundation was established for the application of SD-WAN system.

SD-WAN, EVPN, VxLAN, IPSec, soft-forwarding

TN915

A

10.11959/j.issn.1000?0801.2017336

2017?11?01；

2017?12?10

王曄（1980?），男，烽火通信科技股份有限公司NFV產品總監、高級工程師，主要研究方向為SDN/NFV、光通信系統和軟件工程。