企业组网的未来演进会是怎样的

文章引读

01.楔子

02.企业多分支组网的演进

 2.1 传统Hub-Spoke VPN组网

 2.2 传统动态VPN组网

 2.3 SDWAN 1.0: 面向企业的SDWAN

 2.4 SDWAN 2.0: 面向服务提供商的SDWAN

 2.5 SDWAN 3.0: 领湾 面向企业与服务提供商相结合的SDWAN

03.多种组网方式的比较

01

写在前面的话

网络世界永恒的话题,就是组网。从局域网,城域网到广域网,每个细分领域都有说不完的话题。今天,我们把话题聚焦在企业多分支互联的组网上。

企业多分支的组网,用通俗的话讲,就是企业的多个分支,通过虚拟专用网络技术,以Internet网络为基础,进行私有网络互联。当然,也有土豪套餐,就是全程采用专线技术,构建企业自己的私有网络。今天,我们暂不讨论土豪套餐,重点关注前者。

02

企业多分支组网的演进

2.1 传统Hub-Spoke VPN组网

拓扑:

实际组网中最常见的是公司总部与多个分支机构通过点到多点IPSec VPN互通,典型组网如下图所示

数据面:

该场景的数据路径通常分为两种:

 分支只与总部有数据交互,分支之间并不需要业务互通。

 分支之间需要数据互通,需要总部中转。

从数据路径上分析,路径二缺点很明显:到总部中转的代价是,浪费带宽资源,浪费总部设备资源,延长数据路径,增加故障点。

管理面:

从配置管理角度看,IPSec的底层配置逻辑还是略显复杂,需要资深网工才能驾驭,能理解下图,方能开工。

理解了配置原理,设计好了配置模板,再来看配置工作量:每添加一个分支,都要配置一遍。大规模部署,不得不考虑一下。

2.2 传统动态VPN组网

传统Hub-Spoke的组网模型,分支之间的流量需要绕行Hub,带来了诸多缺陷,在多数场景是不允许的。

一种简单的解决方案,就是需要通信的站点之间都建立IPSec隧道,流量按需选择隧道,也就是Full-Mesh组网模型。但这种只是理论上的解决方案,配置管理指数级增长,且要求每个站点都具备公网IP,落地不切实际。

Cisco 推出的DMVPN解决方案,就是用来解决上述问题的,既解决Hub-Spoke的流量绕行缺陷,又解决了Full-Mesh的繁琐配置及公网需求。其他硬件厂商都推出了类似的解决方案,Huawei的DSVPN,H3C的DVPN,Juniper的AC-VPN,Fortinet的ADVPN。

该方案是由几个协议配合完成的,以Cisco的DMVPN为例,基本思路与流程如下:

先建立Hub-Spoke模型的IPSec隧道。Spoke与Spoke之间的隧道则是按需动态建立的,采用动态点对多点的GRE隧道技术 – MGRE。Spoke与Spoke建立之前,必须知道对方的地址;这依赖NHRP(下一跳解析协议)来实现。NHRP,基于C/S模型,Hub端充当Server,Spoke端充当Client,Client端启动后,会向Server端注册,Server端会获取和管理所有Client端的隧道信息。DMVPN,当一个Spoke想向另一个Spoke发送数据时,首先需要到Server端查询对端Spoke的信息,然后动态建立隧道,进行数据传输;同时,需要进行隧道保活,当一段时间没有数据后,隧道拆除。动态路由,动态路由协议需要运行在隧道上,用于站点之间的业务路由学习与更新。

技术复杂度再度升级,技术发烧友的福音,IT运维交付人员的噩梦。

2.3 SDWAN 1.0: 面向企业的SDWAN

面向企业的SDWAN解决方案是对传统的IPSec VPN组网的延伸,在企业各个站点边缘的CPE间建立隧道,无论是走Internet还是其他专线,都只提供Underlay的传输线路,企业的组网完全在服务提供商提供的网络之上。从物理上来看,CPE可放在企业的总部/数据中心/分支网,而从组网上来看,无论是Hub-Spoke还是Full Mesh,各站点间逻辑上都是一跳可达。

从数据路径上看,面向企业的SDWAN模式,和传统的VPN组网并没有不同。那么,这种方案到底带来了哪些改进呢?概括起来,主要有以下几个方面:

 引入了控制器的角色,用于CPE的发现与管理,并动态向其下发用于建立隧道的信息,以及组网所需要的路由信息,大大的提高了配置效率。

 增加了WAN链路的监控,优化选路以及链路的故障切换。

上述优势非常明显,但也有明显的不足,就是数通通路还是承载在公共网络之上的,所有的链路优化也是基于公共网络的,在某些场景下,质量与专线差别明显。

2.4 SDWAN 2.0: 面向服务提供商的SDWAN

首先说明一下,SDWAN2.0并非SDWAN1.0简单的升级版本,准确的说,应该是两种不同的解决方案思路。所以,增加了”面向企业“和”面向服务提供商“的描述。

基本上,服务提供商已经拥有了全国甚至全球范围内的骨干网节点,并能够为企业提供MPLS VPN或其他专线接入,专用骨干网的服务质量在绝大部分场景下优于公共网络的质量。

面向服务提供商的SDWAN解决方案的思路是,利用已有的专用骨干网,集中精力解决最后一公里的接入、优化和管理。具体的实施方案通常是在各个骨干节点建立POP点,部署SDWAN网关设备,接入现有的专用骨干网。

面向企业端,为企业端的CPE提供IPSec接入。

该方案的组网方式与数据路径较之前发生了较大的改变,CPE只需要与就近的POP点建立IPSec隧道,从而实现了个企业分支之间的互联。其优势总结如下:

 尽可能利用专用骨干网,提升整体的网络服务质量。

 简化了CPE之间的隧道建立模式,每个分支节点只需要建立1条或2条(备份或负载分担)隧道,就能轻松完成Full-Mesh组网。

 继承了面向企业SDWAN中,控制器对于CPE的发现与管理,及隧道与路由策略的动态计算等优势。

 继承了面向企业SDWAN中,CPE WAN链路的监控,优化选路以及链路故障切换等优势。

但该方案也存在明显的不足,就是POP点通常只会覆盖一,二线城市,这样,对于某些同城/省组网的时候,其网络质量就不如面向企业的SDWAN组网模式。因为同城之间,直接通过公共网络互联,要比经过POP点节省了网络路径的开销。

2.5 SDWAN 3.0 LinkWAN

面向企业与服务提供商相结合的SDWAN

领湾提出的SDWAN 3.0,继承了SDWAN 1.0和SDWAN 2.0的优势部分,同时解决了两者不足的部分,为企业提供灵活、最佳的按需组网方式。

该方案的基本思路是,在同城或同省互联,且公共网络的服务质量可以满足的场景下,采用CPE与CPE之间直接建立隧道的方式,其分支流量不经过POP节点;同城/省内的一台/两台Hub节点接入到POP点,为该城/省内其他分支访问其他城/省的分支提供数据通路。其效果是,同城/省内直接互访,跨城/省经过POP节点互访,达到了不同场景下的路径最优化。

03

多种组网方式对比

下面按照配置管理、数据路径、网络健壮性、运行监控等维度,进行比较。

配置管理评估维度:

 配置逻辑复杂度

 配置工作量:随着站点的增加,工作量的增加比例

数据路径维度:

 流量是否必须经过Hub绕行

 服务质量对公网质量的依赖程度

 WAN链路的优化程度

网络健壮性维度:

 单点故障程度

 运行监控维度

 全网可视化视图监控程度

 WAN链路质量监控,故障切换程度

上述比较可以看出,面向企业+服务提供商相结合的SDWAN组网方式,对于跨地域多分支的组网,适应能力更强,应用更灵活。

审核编辑：符乾江