自研SDWAN在全球業務場景中的設計與實現

屠寅燦

（正泰集團股份有限公司，浙江杭州，310000）

1 國際互聯解決方案對比分析

最簡單且最廉價的國際組網方式就是跨域的IPSec隧道，但是這也是體驗最差且不符合相關規定的操作。移動、聯通、電信等傳統運營商原先更多會提供基于MSTP/MPLS VPN類的國際專線來滿足企業跨國業務互聯需求，該方案的建設往往分為國內段和國外段，部署周期也需要根據洲區情況而定，專線理論上可實現網絡延時和丟包雙降，進而提升鏈路穩定性。但是其往往存在部署周期長，費用高昂、故障定位繁瑣等問題，在第三世界國家則更為明顯，據悉常規情況歐洲、北美、東南亞地區交付周期需3個月左右，非洲、南美地區交付周期則預計4-6個月，突如其來的疫情則直接暫停了北美、巴西等國家的國際專線業務。漫長的部署周期往往無法滿足業務的快速上線需求，SDWAN解決方案可提供相較國際專線更加高效快捷的部署效率，甚至可實現按天級別的業務上線。網絡是影響業務體驗的重要一環，但是即使是專線也沒法降低由于距離產生的延遲。因此在理想情況下，基于全球業務點位的分布式部署，即業務云化部署，才是解決業務體驗的最佳方案，分布式部署并結合全球智能域名解析可促使用戶就近訪問前端portal，獲得快速響應，但是需要解決后端數據同步問題，對于OA系統來說，分布式部署對用戶來說是較為友好的，因為異步的業務響應機制，用戶無需關心后端數據同步時間。

表1 國際互聯方案對比分析

2 針對各業務場景的SDWAN解決方案研究

SDN技術在數據中心網絡中的應用可支持海量數據多路徑轉發，也為不斷遷移和擴展的虛擬機提供技術支持，最終實現網絡流量的智能管理與規劃[1]。SDWAN是在SDN還未完全落地之時提出的新一代網絡創新技術，是將SDN技術應用到廣域網場景中所形成的一種服務，這種服務用于連接廣闊地理范圍的企業網絡、數據中心、互聯網應用及云服務。

無論是國內還是海外的業務場景都會包含幾個特有場景，較為常見的分類包括移動辦公和園區辦公。移動辦公講求便捷性、高效性、分散性，而園區辦公則具有固定性、穩定性、集中性等特征，兩者相輔相成，共同組成基本的業務場景需求。

2.1 SDWAN在移動辦公中的解決方案

移動辦公的解決場景之一是業務公網發布，但是當下全球網絡安全環境形勢嚴峻，越來越多的公網暴露面遭到海量攻擊。企業為保證業務安全性，降低安全隱患，則會更多地通過SSL VPN的加密方式進行內網辦公，包括OA、ERP、CRM等系統。結合較為輕松、友好、便捷的商業SSL VPN解決方案，可以讓用戶有較好的業務體驗。對于國內業務而言，傳統三家運營商的三網業務發布并通過智能DNS來實現用戶智能選路可較為有效的避免運營商互聯互通問題。針對國外用戶訪問國內業務，SDWAN可實現根據洲區或者國家的特定性業務發布，該場景不僅可滿足內網服務全球業務轉發，同時也可實現SSL/L2TP VPN業務全球發布。SDWAN在移動辦公中的解決方案不同于CDN的主要原因是其解決并提升的更多是流動性較高的業務數據體驗，而CDN則對于靜態資源而言會有更好的用戶體驗。

2.2 SDWAN在園區辦公中的解決方案

海外分公司、海外銷售公司、海外合資子公司、海外辦事處均屬于園區網辦公場景，該類場景往往會更多選擇專線、國際隧道等直連類的組網方式。但是弊端也很明顯，專線費用高昂，國際直連隧道不穩定且不合規。SDWAN則屬于較為折中的解決方案，各大運營商、SDWAN廠商均需在國外鋪設或租賃高成本的海底光纜，其功力會在應付海外訪問國內資源時會有所體現，大體思路為兩個末端部署專線或隧道技術，中間段為SDWAN全球骨干網。末端場景選擇相對來說會更加靈活一些，可根據業務實際情況進行評估。為了保證園區互聯的可靠性，SDWAN服務商會提供兼容性較好的廠家來進行對接測試，或者提供內置配置的硬件盒子，即插即用。

3 自研SDWAN解決方案設計理念

第一，SDWAN核心控制端。SDWAN顧名思義為軟件定義廣域網，講求軟件管控的靈活性，往往會存在中間管控系統作為整體調度節點，對于業務而言，更多會在意網絡的連續性和穩定性上，因此自研方案中的SDWAN中心樞紐前期必備的功能應包括網絡出現丟包、中斷、抖動時的智能判斷并及時切換能力，保證業務穩定運行在高可靠網絡環境下，提升SLA。

第二，高可靠骨干網。為了保證互聯的穩定性，SDWAN最重要的就是多條互聯鏈路組成的業務骨干網，骨干網的鏈路質量會直接影響業務，該類骨干網可通過專線、云服務商骨干網、互聯網鏈路實現組網，自研SDWAN更加講求投入產出比，云服務商骨干網可有效承載自建網絡的主鏈路，而互聯網鏈路可作為備份鏈路，兩者的切換由中間調度節點設置的檢測算法決定。當鏈路質量存在異常而出現鏈路切換時，觸發報警日志，提升人機交互。

第三，動態數據加速。針對靜態資源的加速往往在于緩存，不論是瀏覽器緩存還是CDN技術，解決的更多是靜態資源，而動態數據交互則更多還是依賴于網絡傳輸。TCP三次握手，四次斷開的可靠傳輸在不穩定的國際鏈路上會讓業務體驗大打折扣，而UDP雖然可以提升響應效率，但是其不檢測機制則無法保證業務完整性。魚與熊掌往往不可兼得，但是隨著RUDP技術（可靠用戶數據報協議）的提出，這一僵局逐步被緩解。RUDP采用請求回應機制，實現了UDP的可靠傳輸，其通過重傳、滑動窗口與擁塞控制等來保證可靠性。實時傳輸根據場景一般需要在成本、質量、時延三者之間找到平衡點。TCP用較高成本和較大時延保證了質量。UDP通過犧牲質量保證了較低的時延。而在特定場景下，RUDP更容易找到一個平衡點來平衡三者的關系。

圖2 RUDP加速前后響應時間對比)

第四，首尾兩端互聯。核心控制端實現業務動態選路，高可靠骨干網保證鏈路承載，動態數據加速則可進一步提升業務體驗。萬事俱備，只欠東風。首尾兩端的互聯相對要靈活很多，SDWAN需要在全球分布式部署多個POP接入點位，首尾互聯其實就是與就近的POP接入點進行互聯，可通過互聯網、專線、IPSec、L2TP、OPenVPN等多種方式進行末端互聯，多樣的互聯場景可解決不同的業務需求。移動用戶更愿意使用公網資源來提升便捷性，因此在保證信息安全的前提下，末端應用可考慮使用公網資源進行業務發布，為了促使用戶可以更加高效、快捷的接入全球加速網絡內，可通過全球智能DNS來動態判斷用戶的就近加速節點，但該判斷較為主觀，可能有失偏頗，最佳的方式是結合業務精準開發加速客戶端，通過延遲、丟包等參數綜合判斷用戶全球就近接入點，進而達到最佳的加速效果及業務體驗；而固定場景辦公用戶則會更偏向于穩定性等特性，可考慮通過專線、IPSec等多種與SDWAN末端互聯的方式來完成”最后一公里”的數據連接。

第五，加速節點冗余高可用。對于用戶群體規模較小的加速網絡，常規云服務器理論上已可滿足需求，而對于用戶群體量大或并發連接數較多的場景，節點冗余及高可用性就顯得尤為重要了，針對這塊可考慮搭建LVS或者NGINX的方式實現業務負載均衡，進而降低單臺服務器的性能承載。當然更簡單的方式可考慮通過云端的SaaS服務來擴充該能力。高可用性是所有系統的重要特性，應盡早納入。

綜上所述，一套較為完整的SDWAN解決方案應當可以解決多元化的業務場景，智能化、高效性、便捷性、易擴展等能力將是其重要特性。

4 安全高效的SDWAN互聯

云計算是以數據資源的形式向用戶展示存儲功能，其安全問題是被關注的焦點，將安全問題分為兩類，分別是設備部署在云環境中需要的新防護手段和引入的新安全問題[2]。

事物往往存在兩面性，SDWAN雖然提升了用戶業務體驗，但是高效交互也便捷了黑客的滲透。通過對ISO 27000及國家等級保護科學、系統的審查，并結合現有業務形態，制定了”跨區限制、安全防護”的安全理念。整套自研SDWAN系統均需滿足基本信息安全要求。大體思路包括以下幾點：

（1）網絡層實現切實網段互聯，業務端通過防火墻或云端安全組進行限制；

（2）不同業務區域實行不同安全域策略，避免橫向滲透；

（3）末端互聯需具備安全性認證，不僅限于證書、雙因子認證等多種方式；

（4）業務系統上線前的安全體檢、滲透測試、漏洞掃描等；

（5）全球分布式加速POP點均需通過安全評測。

安全互聯的形態包括接入層控制暴露面、傳輸層集成流量檢測、管控層重兵把守。縱深防御的安全策略可有效保證各個緯度的業務安全。

5 結語及展望

實際效果可通過數據對比和業務體驗兩個緯度來進行綜合評判。首先在數據對比層面上，自研SDWAN加速效果：香港端到端延時相較原先降低40%，北美端到端延時相較原先降低48%，德國端到端延時相較原先降低50%；其次從實際用戶體驗上，各個洲區的用戶反饋業務體驗均有所提升，加速效果明顯，達到了預期的效果。

互聯SDWAN解決方案應用場景很多，結合RUDP技術，也可滿足跨洲區的視頻會議、郵箱、網盤等特定業務場景需求。完整的架構不僅需要龐大的SDWAN加速網絡，而且在用戶接入便捷度上也同樣不可馬虎，通過自研加速客戶端，集成各項業務控件，迭代化升級操作來滿足業務動態需求，同時可通過全球智能化DNS解析技術來進一步提升用戶體驗。網絡安全問題已成為制約云計算發展的主要因素，通過劃分多個按區域，制定安全策略，將外部環境中的安全問題從復雜問題中分離出來，整體提升業務安全性。

相信SDWAN未來會適用越來越多的業務場景，自研SDWAN理論上可極大程度的實現降本增效。