自研SDWAN在全球业务场景中的设计与实现

屠寅灿

（正泰集团股份有限公司，浙江杭州，310000）

1 国际互联解决方案对比分析

最简单且最廉价的国际组网方式就是跨域的IPSec隧道，但是这也是体验最差且不符合相关规定的操作。移动、联通、电信等传统运营商原先更多会提供基于MSTP/MPLS VPN类的国际专线来满足企业跨国业务互联需求，该方案的建设往往分为国内段和国外段，部署周期也需要根据洲区情况而定，专线理论上可实现网络延时和丢包双降，进而提升链路稳定性。但是其往往存在部署周期长，费用高昂、故障定位繁琐等问题，在第三世界国家则更为明显，据悉常规情况欧洲、北美、东南亚地区交付周期需3个月左右，非洲、南美地区交付周期则预计4-6个月，突如其来的疫情则直接暂停了北美、巴西等国家的国际专线业务。漫长的部署周期往往无法满足业务的快速上线需求，SDWAN解决方案可提供相较国际专线更加高效快捷的部署效率，甚至可实现按天级别的业务上线。网络是影响业务体验的重要一环，但是即使是专线也没法降低由于距离产生的延迟。因此在理想情况下，基于全球业务点位的分布式部署，即业务云化部署，才是解决业务体验的最佳方案，分布式部署并结合全球智能域名解析可促使用户就近访问前端portal，获得快速响应，但是需要解决后端数据同步问题，对于OA系统来说，分布式部署对用户来说是较为友好的，因为异步的业务响应机制，用户无需关心后端数据同步时间。

表1 国际互联方案对比分析

2 针对各业务场景的SDWAN解决方案研究

SDN技术在数据中心网络中的应用可支持海量数据多路径转发，也为不断迁移和扩展的虚拟机提供技术支持，最终实现网络流量的智能管理与规划[1]。SDWAN是在SDN还未完全落地之时提出的新一代网络创新技术，是将SDN技术应用到广域网场景中所形成的一种服务，这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。

无论是国内还是海外的业务场景都会包含几个特有场景，较为常见的分类包括移动办公和园区办公。移动办公讲求便捷性、高效性、分散性，而园区办公则具有固定性、稳定性、集中性等特征，两者相辅相成，共同组成基本的业务场景需求。

2.1 SDWAN在移动办公中的解决方案

移动办公的解决场景之一是业务公网发布，但是当下全球网络安全环境形势严峻，越来越多的公网暴露面遭到海量攻击。企业为保证业务安全性，降低安全隐患，则会更多地通过SSL VPN的加密方式进行内网办公，包括OA、ERP、CRM等系统。结合较为轻松、友好、便捷的商业SSL VPN解决方案，可以让用户有较好的业务体验。对于国内业务而言，传统三家运营商的三网业务发布并通过智能DNS来实现用户智能选路可较为有效的避免运营商互联互通问题。针对国外用户访问国内业务，SDWAN可实现根据洲区或者国家的特定性业务发布，该场景不仅可满足内网服务全球业务转发，同时也可实现SSL/L2TP VPN业务全球发布。SDWAN在移动办公中的解决方案不同于CDN的主要原因是其解决并提升的更多是流动性较高的业务数据体验，而CDN则对于静态资源而言会有更好的用户体验。

2.2 SDWAN在园区办公中的解决方案

海外分公司、海外销售公司、海外合资子公司、海外办事处均属于园区网办公场景，该类场景往往会更多选择专线、国际隧道等直连类的组网方式。但是弊端也很明显，专线费用高昂，国际直连隧道不稳定且不合规。SDWAN则属于较为折中的解决方案，各大运营商、SDWAN厂商均需在国外铺设或租赁高成本的海底光缆，其功力会在应付海外访问国内资源时会有所体现，大体思路为两个末端部署专线或隧道技术，中间段为SDWAN全球骨干网。末端场景选择相对来说会更加灵活一些，可根据业务实际情况进行评估。为了保证园区互联的可靠性，SDWAN服务商会提供兼容性较好的厂家来进行对接测试，或者提供内置配置的硬件盒子，即插即用。

3 自研SDWAN解决方案设计理念

第一，SDWAN核心控制端。SDWAN顾名思义为软件定义广域网，讲求软件管控的灵活性，往往会存在中间管控系统作为整体调度节点，对于业务而言，更多会在意网络的连续性和稳定性上，因此自研方案中的SDWAN中心枢纽前期必备的功能应包括网络出现丢包、中断、抖动时的智能判断并及时切换能力，保证业务稳定运行在高可靠网络环境下，提升SLA。

第二，高可靠骨干网。为了保证互联的稳定性，SDWAN最重要的就是多条互联链路组成的业务骨干网，骨干网的链路质量会直接影响业务，该类骨干网可通过专线、云服务商骨干网、互联网链路实现组网，自研SDWAN更加讲求投入产出比，云服务商骨干网可有效承载自建网络的主链路，而互联网链路可作为备份链路，两者的切换由中间调度节点设置的检测算法决定。当链路质量存在异常而出现链路切换时，触发报警日志，提升人机交互。

第三，动态数据加速。针对静态资源的加速往往在于缓存，不论是浏览器缓存还是CDN技术，解决的更多是静态资源，而动态数据交互则更多还是依赖于网络传输。TCP三次握手，四次断开的可靠传输在不稳定的国际链路上会让业务体验大打折扣，而UDP虽然可以提升响应效率，但是其不检测机制则无法保证业务完整性。鱼与熊掌往往不可兼得，但是随着RUDP技术（可靠用户数据报协议）的提出，这一僵局逐步被缓解。RUDP采用请求回应机制，实现了UDP的可靠传输，其通过重传、滑动窗口与拥塞控制等来保证可靠性。实时传输根据场景一般需要在成本、质量、时延三者之间找到平衡点。TCP用较高成本和较大时延保证了质量。UDP通过牺牲质量保证了较低的时延。而在特定场景下，RUDP更容易找到一个平衡点来平衡三者的关系。

图2 RUDP加速前后响应时间对比)

第四，首尾两端互联。核心控制端实现业务动态选路，高可靠骨干网保证链路承载，动态数据加速则可进一步提升业务体验。万事俱备，只欠东风。首尾两端的互联相对要灵活很多，SDWAN需要在全球分布式部署多个POP接入点位，首尾互联其实就是与就近的POP接入点进行互联，可通过互联网、专线、IPSec、L2TP、OPenVPN等多种方式进行末端互联，多样的互联场景可解决不同的业务需求。移动用户更愿意使用公网资源来提升便捷性，因此在保证信息安全的前提下，末端应用可考虑使用公网资源进行业务发布，为了促使用户可以更加高效、快捷的接入全球加速网络内，可通过全球智能DNS来动态判断用户的就近加速节点，但该判断较为主观，可能有失偏颇，最佳的方式是结合业务精准开发加速客户端，通过延迟、丢包等参数综合判断用户全球就近接入点，进而达到最佳的加速效果及业务体验；而固定场景办公用户则会更偏向于稳定性等特性，可考虑通过专线、IPSec等多种与SDWAN末端互联的方式来完成”最后一公里”的数据连接。

第五，加速节点冗余高可用。对于用户群体规模较小的加速网络，常规云服务器理论上已可满足需求，而对于用户群体量大或并发连接数较多的场景，节点冗余及高可用性就显得尤为重要了，针对这块可考虑搭建LVS或者NGINX的方式实现业务负载均衡，进而降低单台服务器的性能承载。当然更简单的方式可考虑通过云端的SaaS服务来扩充该能力。高可用性是所有系统的重要特性，应尽早纳入。

综上所述，一套较为完整的SDWAN解决方案应当可以解决多元化的业务场景，智能化、高效性、便捷性、易扩展等能力将是其重要特性。

4 安全高效的SDWAN互联

云计算是以数据资源的形式向用户展示存储功能，其安全问题是被关注的焦点，将安全问题分为两类，分别是设备部署在云环境中需要的新防护手段和引入的新安全问题[2]。

事物往往存在两面性，SDWAN虽然提升了用户业务体验，但是高效交互也便捷了黑客的渗透。通过对ISO 27000及国家等级保护科学、系统的审查，并结合现有业务形态，制定了”跨区限制、安全防护”的安全理念。整套自研SDWAN系统均需满足基本信息安全要求。大体思路包括以下几点：

（1）网络层实现切实网段互联，业务端通过防火墙或云端安全组进行限制；

（2）不同业务区域实行不同安全域策略，避免横向渗透；

（3）末端互联需具备安全性认证，不仅限于证书、双因子认证等多种方式；

（4）业务系统上线前的安全体检、渗透测试、漏洞扫描等；

（5）全球分布式加速POP点均需通过安全评测。

安全互联的形态包括接入层控制暴露面、传输层集成流量检测、管控层重兵把守。纵深防御的安全策略可有效保证各个纬度的业务安全。

5 结语及展望

实际效果可通过数据对比和业务体验两个纬度来进行综合评判。首先在数据对比层面上，自研SDWAN加速效果：香港端到端延时相较原先降低40%，北美端到端延时相较原先降低48%，德国端到端延时相较原先降低50%；其次从实际用户体验上，各个洲区的用户反馈业务体验均有所提升，加速效果明显，达到了预期的效果。

互联SDWAN解决方案应用场景很多，结合RUDP技术，也可满足跨洲区的视频会议、邮箱、网盘等特定业务场景需求。完整的架构不仅需要庞大的SDWAN加速网络，而且在用户接入便捷度上也同样不可马虎，通过自研加速客户端，集成各项业务控件，迭代化升级操作来满足业务动态需求，同时可通过全球智能化DNS解析技术来进一步提升用户体验。网络安全问题已成为制约云计算发展的主要因素，通过划分多个按区域，制定安全策略，将外部环境中的安全问题从复杂问题中分离出来，整体提升业务安全性。

相信SDWAN未来会适用越来越多的业务场景，自研SDWAN理论上可极大程度的实现降本增效。