服务热线139-2345-5437

SD-WAN功能模块与关键

阅读:1202021-12-17

SD-WAN功能模块与关键

我们将SD-WAN功能切分为4层:运营支撑系统(OSS)/业务支撑系统(BSS)层、服务编排器层、SD-WAN控制器层,以及SD-WAN边缘设备层。

(1)OSS/BSS层。在SD-WAN技术架构中,OSS/BSS层主要支持将业务配置、业务变更、监测控制、可视化、计费管理、运维功能于一体的面向自动化信息管理和智能化运营的支撑系统。

(2)服务编排器层。在SD-WAN技术架构中,服务编排器负责编排整套服务生命周期的服务。服务编排器提供多种管理模板,支持配置端到端管理业务的多种策略定义和资源统一编排功能,提供开放的RESTful接口,敏捷部署新业务。

(3)控制器层。SD-WAN控制器支持软件化、集中化、自动化管理边缘设备。SD-WAN控制器与边缘设备建立安全连接,通过执行服务编排器下发的各種策略,向各个边缘设备分发路由协议并支持实时感知边缘设备状态。同时SD-WAN控制器支持实时采集流量信息,并可快速应对网络异常情况进行弹性路径调整。

(4)边缘设备层。边缘设备是创建和终止SD-WAN隧道连接的终端设备。边缘设备支持常见的SDN南向接口协议,支持零接触配置(ZTP)部署能力,支持安全隧道绑定功能,支持识别多种应用程序功能,支持面向应用的访问控制策略,并还可以支持路由协议。

边缘设备层对应的边缘设备在市场上主要由客户终端设备(CPE)、通用客户终端设备(uCPE)、虚拟客户终端设备(vCPE)3种设备形态组成。CPE是SD-WAN服务提供商提供的专用硬件设备。uCPE是一个支持运行虚拟网络功能(VNF)的可远程管理的基于物理硬件的通用平台。通过uCPE,SD-WAN服务提供商可以实现WAN的轻松部署、修改,以及客户端VNF的删除。vCPE是一种通过使用软件而不是专用硬件设备向企业提供网络服务的方法。通过vCPE,供应商可以大大简化并加速服务交付,远程配置和管理设备,并允许客户订购新服务或根据需求调整现有服务。vCPE是网络功能虚拟化(NFV)部署的主要推动力之一。

边缘设备的关键功能包括ZTP、动态隧道建立、WAN优化、自动化检测与服务质量(QoS)、动态功能服务链、应用程序识别、动态路径调整、安全。

(1)ZTP。ZTP是一种允许自动配置物理节点的机制,该机制将解放边缘设备的北向接口,使边缘设备与SD-WAN控制器形成一个从设备加电到设备与控制器互信互通的完整自动化部署的业务态。

(2)动态隧道建立。在SD-WAN场景中,动态隧道VPN技术支持使用动态的IP地址来建立企业自己的VPN网络,并由SD-WAN控制器来集中完成隧道的建立和路由的分发。动态隧道技术主要有可扩展虚拟局域网(VXLAN)、通用路由封装(GRE)、无状态传输隧道(STT)等。

(3)WAN优化。在SD-WAN方案中CPE会支持WAN优化功能。WAN优化功能主要有以下技术实现:数据压缩,利用算法压缩/解压缩数据包头;数据消重,对高频次的数据进行编码并利用指针替换;内容缓存,统计热点内容,进行边缘存储和本地访问直接分发;传输控制协议(TCP)优化,利用优化TCP协议过程来改善标准TCP的拥塞控制和重传机制等。

(4)自动化检测与QoS。SD-WAN技术方案根据实时网络路径传输性能(主要包括丢包率、时延、时延抖动、带宽利用率)来动态选择路径转发,弹性保障上层应用的服务质量。SD-WAN技术架构中将网络链路的性能检测分为被动方式和主动方式:主动测量方式主要利用探针技术主动探测业务流,以Internet控制报文协议(ICMP)、双向转发检测机制协议(BFD)、连接故障管理(CFM)、单向主动测量协议(OWAMP)技术实现为主;被动测量方式主要是通过在边缘设备上定制可自动统计和过滤网络相关性能指标的算法或协议栈功能。

(5)动态功能服务链。动态功能服务链与底层的物理拓扑相隔离,可通过SD-WAN技术架构中的服务编排器和控制器来自动创建、增加、删除、移动网络服务功能,提升了网络架构的可扩展性。动态功能服务链技术主要是通过将SDN技术与NFV技术相结合,即在业务编排器层通过策略驱动资源(包含网络资源、计算资源、存储资源等)的统一编排来组合不同服务功能,同时下发流量分类策略到控制器层来动态控制数据转发路径,实现面向用户业务的不同需求。

(6)应用程序识别。边缘设备的应用程序识别技术主要是采用深度包检测(DPI)技术,主要包含协议解析器、检测算法引擎、检测结果处理功能模块等。在SD-WAN技术架构中,DPI通过将业务流量的前几个数据包给协议解析器对应用层协议进行解析,同时并行镜像给检测引擎,检测引擎将业务流量与应用间的映射关系写入边缘设备的缓存数据库中,后续的同一业务流数据包将直接匹配映射关系,因此缓存数据库不再镜像给检测引擎而直接进行后续的检测结果处理。另一方面,后续检测结果处理功能模块会根据不同的应用ID与特征进行差异化的数据路径转发,进而实现完整的应用程序识别过程。

(7)动态路径调整。在SD-WAN技术架构中,动态路径调整的实现方式是将多个WAN线路绑定到一起,共同提供业务传输服务,尤其在检测到某个WAN线路的传输质量较差时,可以将业务直接切换到其他WAN线路或者均衡一部分业务流量到其他WAN线路。隧道绑定技术可以实现不同流不同线路、不同应用不同线路、不同数据包不同线路3种颗粒度的WAN传输。

(8)安全。安全的实现贯穿整个SD-WAN技术架构。SD-WAN技术架构一般通过集成认证服务器/公钥生成(PKI)服务器,或对接第三方的提供轻量目录访问协议(LDAP)/远程身份验证拨入用户服务的服务器(RADIUS)来实现身份认证服务功能,包括对边缘设备的ID注册认证、SD-WAN控制器的IP登记认证、VNF序列号注册认证等。在WAN传输的安全技术主要是通过2种密钥加解密的IPSec技术来保障。第1种是因特网密钥交换协议(IKE)身份认证的密钥,第2套是数据流加密的密钥。第2套密钥在传统方案中是通过去中心化加密通信框架(DH)来分布式计算;但在一些SD-WAN方案里则会直接由SD-WAN控制器来进行同步,并周期性地进行更新这个密钥,以实现关键帧加密保护。SD-WAN技术架构中的控制信道主要是将一般使用的路由协议嵌套在安全套接层协议(SSL)/传输层安全协议(TLS)/数据包传输层安全协议(DTLS)协议来实现加密。由于MD5的破解难度低,针对边界网关协议(BGP)安全,在SD-WAN技术方案种一般会选择嵌套在IPSec协议中。针对SD-WAN业务层的安全,一般使用缓存、访问控制列表(ACL)、防火墙(FW)、深度数据包检测(DPI)技术手段或者通过集成第三方的VNF如入侵检测系统(IDS)、入侵防御系统(IPS)、下一代防护墙(NGFW)功能来保障。


  • Tags:企业网络专线SD-WAN广域网
  • 版权声明:本文部分资料来源于网络,转载目的在于传递更多信息及学习参考!
  • 转载请注明:SD-WAN功能模块与关键
猜您需要
最新文章
资讯中心介绍:
云景通信提供最新国际互联网行业新闻,及企业组网专线、SD-WAN相关的资讯,同时为您提供国际互联网IT常见的技术问题等。
友情链接:SDWANSDWAN组网IPLCMyCms校宇宙博凡口腔防爆小屋倍加福光电传感器茅世原宣传栏厂家柔性链板输送机美邦定制百科词条创建真空滤油机网上配音喷漆电泳线乌鲁木齐纹身企业微信scrm沧州网站建设赤乐川官网东莞二手房腾讯企业邮箱北京波纹管厂进口报关代理进口清关公司进口报关
©2016 广东云景通信有限公司版权所有 备案号:粤ICP备2021154866号 为企业提供:SD-WAN网络加速、SDWAN组网、云专线等企业网络综合解决方案