孚塔云网 SD-WAN 云网集成 产品白皮书v-2.0
孚塔云网SD-WAN云网集成产品白皮书 V2.1 2020-03
目录
1. 产品概述 3
1.1 项目背景 3
1.2 目前现状 3
1.3 SD-WAN系统架构 4
1.4 SD-WAN产品定义 5
1.5 产品价值 6
2. 产品特性 7
2.1 全局骨干网 7
2.2 智能选路 7
2.3 安全加密 7
2.4 多路聚合 7
2.5 广域网优化 8
2.6 零配置开局 8
2.7 高可靠 8
2.8 云端集中管控 9
2.9 运营商网络集成 9
3. 应用场景 9
3.1 轻专线(vLINK) 9
3.2 云专线(UNI-LINK) 10
3.3 云专线 11
4. 用户案例 12
4.1 海河基金(vLINK) 12
4.2 天津港口岸办 (VLink 轻专线 + 合作专线混合组网) 12
4.3 广发证券(vLink 公有云本地多点互通) 13
4.4 H3C-UIS超融合云灾备 13
4.5 轻专线vLink 二层组网 14
5. CE设备参数 15
5.1 终端形态 15
5.2 配置参数 15
5.3 性能指标 16
1. 产品概述
1.1 项目背景
随着云计算的技术与商业环境日益成熟,企业选择云架构部署业务已是大势所趋,对于有多分支机构及多云环境部署的企业,建立总部、分支机构、数据中心与云端之间高速稳定安全的网络连接将变得非常重要。传统广域网存在建设成本高、建设周期长、部署复杂、管理成本高、运维困难等问题,其网络架构难以满足现代企业快速灵活的业务发展需求。企业迫切需要一种新的网络技术,以低成本支撑业务的快速发展,提升客户体验,简化网络管理。
孚塔云网拟利用跨大区DCI专线,结合SDN(软件定义网络)的技术,构建全国SD-WAN网络,并命名为:SD-WAN平台,通过将网络硬件与其控制平面解耦,简化WAN的部署与管理,同时结合算法进行广域网传输优化、基于应用的智能选路、私有的安全加密隧道、 端到端的QoS和全国骨干网等技术,为孚塔云网用户构建基于业务视角高的高速安全、稳定可靠的广域网,在降低用户部署和运维成本的同时,拟定义“云专线”、“轻专线”实现企业上云、混合云、混合多云应用部署。
1.2 目前现状
孚塔云网目前混合上云需求往往针对有需求的特定用户,均采用传统运营商专线和IPsecVPN方式实现。用户配置开通复杂;监控管理方式有限;运维工作繁重;无法自动优化链路,可视化能力弱;不能实现云内租户在统一管控。
n 专线方案
专线接入延迟抖动低、可靠性高,但是建设成本昂贵;施工开通周期较长;监控和维护管理投入较高。
n IPSecVPN方案
IPSecVPN利用公网线路组网,建立点对点加密隧道实现广域网端到端安全链路。优势:对运营商网络完全透明,只需IP可达即可;可穿越NAT网络。劣势:IPSecVPN的部署实施、日常维护需要专业网络人员管理;IPSecVPN数据包封装占带宽开销过大,且不同厂商产品兼容性场景实现逻辑复杂;原生路由能力差;服务质量监控和维护管理手段有限,运维压力较大。
传统运营商专线、IPsecVPN方式方案在灵活性、功能性均需要提高。因此孚塔云网规划建设全国SD-WAN网络平台,满足孚塔云网全国节点(骨干节点+种子云节点)混合云、混合多云的场景需求。
1.3 SD-WAN系统架构
孚塔云网SD-WAN组网分为四个部分,分别为SD-WAN Controller、PE(Provider Edge)、CE(Customer Edge)、SD-WAN骨干网。
SD-WAN Controller:作为网络控制中枢,完成SD-WAN全网设备的集中管理、自动化配置等业务编排工作,包括各种Internet接入及专线接入的配置管理等。实现网络及应用的可视化,提供智能路由功能,网络传输质量感知、智能调度、保障时延抖动敏感应用(语音等)的服务质量。SD-WAN Controller部署在孚塔云网,并与孚塔云网UCO集成对接,以租户维度为企业上云和总部/分支等场景提供线上状态、故障、事件等交付工作。
PE(Provider Edge):孚塔云网POP节点边缘设备,NFV方式部署,SD-WAN骨干网络的边缘设备,与CE互联。在全国SD-WAN骨干网络POP节点间优化调度,实现内网加速。可部署在全国大区POP节点和线路合作方POP节点。
CE(Customer Edge):用户接入边缘设备。针对总部/分支、云上/下等场景,分别以硬件、软件镜像、NFV方式进行交付。可分别与PE/CE实现互联,是overlay网络的封装点。分别部署在用户侧(云下/分支)、AZ专线接入区(云上)、用户总部。因方案场景而异。
SD-WAN骨干网:全国大区Region节点间underlay互联专线链路,SD-WAN用户业务重要载体,利用SD-WAN Controller实现跨Region业务承载。如下图:
1.4 SD-WAN产品定义
n 轻专线(internet接入场景)
1) 轻专线vLink:用户利用internet点对点互联,从而实现与孚塔云网VPC互通。
n 云专线(专线&Internet接入场景)
1) 云专线:用户利用运营商专线(MPLS/MSTP)、合作方线路接入孚塔云网POP点,从而实现与孚塔云网VPC互通。并利用SD-WAN骨干实现全国内网加速。
2) 云专线Uni-Link:用户利用internet接入孚塔云网POP点,从而实现与孚塔云网VPC互通。并利用SD-WAN骨干实现全国内网加速。
n 产品分析
|
特性比较 |
轻专线 vLink |
云专线 uni-Link |
云专线 |
|
用户本地接入链路 |
Internet (可加密) |
Internet (可加密) |
运营商/合作商专线 (可加密) |
|
广域传输链路 |
Internet |
SD-WAN骨干网 |
SD-WAN骨干网 |
|
部署周期 |
依赖用户公网地址,及时开通 |
“即插即用”零配置开局,邮寄设备2-3天; |
依赖本地运营商专线实施时间(2-3周); |
|
部署需求 |
孚塔云网专有终端接入 |
孚塔云网专有终端接入 |
客户专线与孚塔云网POP点互联,接入孚塔云网; |
1.5 产品价值
u 根据业务需求任意编排网络架构,满足灵活多样的的业务需求;
u 比传统MPLS广域网专线降低70%以上成本;
u 提供高速、稳定、安全、可靠的WAN服务;
u WAN的部署和维护成本降低90%;
u ZTP部署,无需IT人员,分支机构10分钟内上线;
u 大幅简化WAN的管理和维护,提升管理效率;
u NaaS,网络即服务,按需使用,按量付费;
u 比传统WAN提升50%以上的应用性能;
2. 产品特性
2.1 全局骨干网
公共互联网是一种共享的通信网络,不可避免存在拥塞、延迟及数据包丢失等问题,尤其在国内还存在运营商之间的互联互通问题。孚塔云网SD-WAN全球骨干网采用专线和互联网混合组网的架构,绕过不可靠的公共互联网,能够消除拥塞、延迟及数据包丢失等问题,并能有效解决运营商南北互通难题,为客户的业务提供稳 定可靠的通信网络。
2.2 智能选路
孚塔云网SD-WAN的智能选路在三个层次上保障客户应用端对端的体验,为CPE同时选择多个合适的POP点,不仅考虑了就近接入,同时也考虑接入POP点的负载、网络质量等,CPE同时可在多个POP点之间根据监测结果做实时切换;动态优化孚塔云网骨干网的路由控制,绕开网络中可能存在的网络拥塞点,保障用户应用通讯品质的稳定可靠。
2.3 安全加密
孚塔云网SD-WAN采用加密隧道技术,具有比IPSec VPN更高的安全性;隧道通讯密钥的产生,同IPSec机制,通讯过程采用AES256加密;孚塔云网骨干网的POP点只负责数据转发,不会对隧道数据进行二次的拆包和封装;提供完善的ACL设置,进一步加强系统访问安全性;提供无公网地址组网方案,总部和分支都无需暴露任何公网地址,以防止恶意的DDOS攻击。
2.4 多路聚合
孚塔云网SD-WAN智能网关支持MPLS、互联网、4G等多种类型线路同时连接,自研隧道技术可将4G作为备份线路,其他线路聚合成一个线路资源池。应用流量可以充分利用各线路的带宽资源,并能根据应用要求 自动选择合适的线路,当某条线路发生故障或质量劣化时,可进行应用无感知的毫秒级切换。作为备份的4G 线路,正常情况下不消耗流量,仅当其他主线路发生故障,才会将关键应用自动切换到4G线路,保障关键业务的同时避免无谓的流量成本。
2.5 广域网优化
孚塔云网的专TCP协议优化技术,可大幅改善网络的拥塞控制,实现网络带宽的最优化使用;
对海量数据同步,可开启实时数据压缩,提高单位带宽传输效率。
2.6 零配置开局
分支机构无需专业IT人员,普通行政人员仅需将CPE或AP设备通电并联网,就会自动与SD-WAN控制器建立连接并完成设备认证,且自动将云端配置下发到本机。基于孚塔云网SD-WAN的企业分支网络环境,在10分钟内即可部署完毕。
2.7 高可靠
总部集群:总部用多台CPE(vCPE)做集群,将业务流量均衡分布在各CPE设备上,任何一台CPE出 故障都不会影响业务正常运行;
分支多活:分支用两台CPE,当主CPE出现故障时自动切换到备CPE;
骨干网多路径:CPE在选路时有主备POP点路径,当主POP点路径出现故障,可在应用无感知状态下自动快速切换到备用POP点路径;
多线路接入:CPE可连接多条运营商线路(包括4G),多线路聚合技术自动将多条线路捆绑为一个线路资源池供CPE使用,单条线路中断不会影响业务正常运行。
2.8 云端集中管控
基于云端的客户Portal可以对客户的接入设备进行统一配置管理、运行状态监控、自助网络设计、端到端的隧 道质量监控、流量分析、QoS配置、安全访问配置等。通过客户Portal,可对其名下海量的设备及链路完整详尽的运行状态一览无余。
2.9 运营商网络集成
孚塔云网SD-WAN可作为方案输出,与运营商的MPLS网络做紧密集成,支持二、三层组网对接。 SD-WAN作为最后一公里的解决方案,在运营商线路未覆盖区域,帮助用户接入MPLS骨干网;或者采用 MPLS + 互联网混合组网方式提供端对端的SD-WAN解决方案。
3. 应用场景
3.1 轻专线(vLINK)
场景1:混合云
实现方式:分支端使用硬件盒子,通过公网IP与云端vCPE(绑定公网EIP)虚机实现隧道建立。全程公网通信。用户在所属VPC中线上部署云端vCPE,并指定路由方向。 所有网段申请时需明确
传输方式:公网
场景2:分支/总部
实现方式:分支端使用硬件盒子,通过公网IP与总部硬件盒子/vCPE(配置公网EIP)实现隧道建立。全程公网通信。总部部署硬件盒子/vCPE,并指定路由方向。所有网段申请时需明确
传输方式:公网
注:端到端公网传输,优化选路;无内网加速;
3.2 云专线(UNI-LINK)
场景1:混合云
实现方式:分支端使用硬件盒子(ZTP),驻地网不限接入类型(PPPoE/DHCP+),通过UNI-SEC拨号至PE(多点冗余/优化接入),由PE实现隧道封装(PE公网可达,可生态合作),硬件盒子与云端vCPE虚机实现隧道建立。经内网加速后,与用户在所属VPC中线上部署云端vCPE建立连接,并指定路由方向。所有网段申请时需明确
传输方式:用户侧公网可达;云端为专线
场景2:分支/总部
实现方式:分支端使用硬件盒子(ZTP),驻地网不限接入类型(PPPoE/DHCP+),通过UNI-SEC拨号至PE(多点冗余/优化接入),由PE实现隧道封装(PE公网可达,可生态合作),硬件盒子与云端vCPE虚机实现隧道建立。经内网加速后,与总部用户配置硬件盒子/vCPE(网络可达即可),并指定路由方向。所有网段申请时需明确
传输方式:用户侧公网可达;云端为专线
3.3 云专线
实现方式:分支端通过中继/合作专线方式连接至PE,由PE实现隧道封装,经内网加速(SD-WAN骨干&合作方链路),与云端vCPE(绑定公网EIP)虚机实现隧道建立。用户在所属VPC中线上部署云端vCPE(绑定公网EIP的),并指定路由方向。所有网段申请时需明确
传输方式:用户侧无终端;云端为专线
注:可利用合作专线丰富线路资源解决上云最后一公里接入问题,合作专线云SD-WAN互联,实现内网加速及入云;
4. 用户案例
4.1 海河基金(vLINK)
l 场景&需求:
办公网通过安全加密隧道同公有云内网打通,实现云端办公数据同步。
l 实现方式:
办公大楼公网出口部署CPE设备,通过公网连接天津云端vCPE,打通用户本地网络和云上VPC网络。
l 效果:
一键部署,白屏操作,流量实时监控,快速上云。
4.2 天津港口岸办 (VLink 轻专线 + 合作专线混合组网)
l 场景&需求:
用户天津2数据中心同重庆专有云实现远程数据同步备份。
l 实现方式:
用户机房通过合作专线本地接入孚塔云网天津机房,通过vlink加密隧道打通天津孚塔云网vCPE和重庆孚塔云网vCPE VLink线路,接入用户重庆数据中心。
l 效果:
快速部署,弹性带宽,安全加密,实时流量监控,保障链路质量,节约部署时间和跨省专线预算。
l 场景&需求:广发证券广州总部数据中心,同孚塔云网(天津/北京/重庆/广州)通过internet全网加密互通。
l 实现方式:广州总部数据中心部署UNI-CPE-C设备,4个云端部署vCPE,通过internet建立全联通vlink加密隧道。打通云上4个VPC和广州数据中心网络。
l 效果: 一键部署,白屏操作,流量实时监控,快速上云,云端VPC全互通。
4.4 H3C-UIS超融合云灾备
场景&需求:
H3C成都办公网UIS通过安全加密隧道同孚塔云网天津公有云内网打通,实现存储数据异地灾备。
l 实现方式:
UIS部署虚拟化vCPE(UNI-CPE-C-R)设备,通过公网连接天津云端vCPE,打通用户UIS本地网络和云上VPC网络,实现数据灾备。
l 效果:
NFV交付,白屏操作,流量实时监控,快速部署,节约成本。
4.5 轻专线vLink 二层组网
l 场景&需求:
基于internet实现3地数据中心二层组网,VLAN透传,保障网络质量和数据安全,替代专线无缝切换。
l 实现方式:
三地部署UNI-CPE-C-B(UNI-CPE-H-B)型号设备,网桥模式接入网络出口,基于internet实现跨地域2层虚拟加密隧道组网。
l 效果:
基于internet实现2层加密组网,无缝替代专线,流量实时查看,节约专线成本。
5. CE设备参数
5.1 终端形态
5.2 配置参数
5.3 性能指标
