-
教程简介
-
SD-WAN 和专线混合组网
-
教程简介
-
利用 SD-WAN 和专线混合组网,加速境内外企业 IDC 和多云数据中心
国内目前有很多企业涉及境外业务,比如跨境电商、游戏、社交、区块链等,会用到 AWS 的海外区域,同时这些企业在国内有自己的机房、 IDC 或者使用了国内的其他云厂家的机房,如果希望彼此进行互联互通或者数据传输。除了使用专线的方式之外,还能选择 SD-WAN 方案,或者专线加 SD-WAN 的混合组网方法。
图例 1. SD-WAN 方案打通不同云厂商和机房,办公室的示例SD-WAN 组网的几个常见例子:
- 如果公司在国内,但是用到了 AWS 海外区域的资源,开发人员需要进行日常代码上传,云端资源的管理(使用 AWS 控制台),并且希望网络稳定。
- 国内有自建机房,分支机构,海外有分支机构和 AWS 区域,希望所有地方都建立互联互通
- AWS 国内和 AWS 海外区域有数据传输的需要,或者国内海外有不同云厂家的资源,希望互联互通
另外一般来说 SD-WAN 合作伙伴在全球不同的 IDC,主流云厂商所在的 POP 点都有自己的设备和资源,因此也可以通过专线方式接入到你的 AWS 区域,IDC 机房,各大云厂商的 VPC 内。
SD-WAN 是什么?
在文章正式开始之前,先花一点点时间介绍一下什么是 SD-WAN 吧。SD-WAN 的全称是 Software Defined Wide Area Network,指用软件来控制、管理本地网络和远程分支机构或云之间的连接,通常由控制平面和数据平面组成,有专门的控制器作为控制层面,物理的路由器/交换机作为数据转发平面。一般来说,SD-WAN 可以充分利用企业内不同的线路类型(MPLS,普通 Internet,专线,4G/5G),根据线路状态(丢包,负载等)动态选择路径,进行线路的负载均衡,智能路由,从而可以在使用低廉线路的情况下,得到有 SLA 保障的线路质量。
为什么使用 SD-WAN
- 统一的管理平台,通过 Controller 可以对所有 SD-WAN 设备进行管理和配置,而不需要像传统的方式每一台单独进行管理
- 提高用户体验,如果线路出现故障,控制器能基于应用层的感知切换线路,用户无感知
- 全网 CPE 设备支持零配置(ZTP)自动上线
- 既能得到近似于 MPLS 线路的稳定性,又能享受普通 Internet 线路的廉价带宽
- 节省大量运维成本
- 交付时间快(设备到货 1-2 天就能交付)
我们当然也可以直接通过 Internet 搭建 Site-to-Site VPN 来打通不同的机房和办公室,但是在网络高峰期,或者重大节日的时候会出现不稳定和丢包极其严重的现象。
以下的模拟场景都是基于云网通的设备和 SD-WAN 网络进行测试的,该合作伙伴有丰富的多云互联和专线上云,以及 SD-WAN 的经验。
收费标准
大致上 SD-WAN 混合组网的收费会有 2 部分,一部分是本地网络接入 SD-WAN 的 POP 点的费用,另一部分是 AWS 端口月租费用,两部分的费用具体都取决于带宽的大小。
每一个合作伙伴的收费标准不一样,具体还需要咨询相应的合作伙伴才行,具体可以到官网查看合作伙伴信息(https://aws.amazon.com/cn/directconnect/partners/)。
双线路冗余和高可用
考虑到单线路/设备可能出现的硬件故障,电力问题,Direct Connect 线路故障,我们还需要对这个架构进行高可用的优化。本地端可以利用双设备,双线路(一般为提供 DIA 的不同 ISP,比如一条是电信线路,一条是联通线路),通过 Internet 直接连接到 SD-WAN 的 POP 点。AWS 端可以用 Direct Connect 线路作为主线路,SD-WAN 作为备用线路,或者用两台 SD-WAN 的 vCPE 作为冗余。
图例 5. SD-WAN 和专线的高可用设计总结
通过 SD-WAN 网络设计,或者专线加 SD-WAN 混合组网设计,给我们在组网的选择上带来了很多灵活性,我们可以根据不同的成本、性能上的考量来作出不同的选择。一般来说,如果我们需要大带宽,稳定的网络,可以选择专线;如果我们需要快速部署,测试,灵活性需求比较高的话,可以选择 SD-WAN。而且,在很多地区(比如本次试验中从海外到北京和到深圳),走 SD-WAN 的延迟比走专线的延迟还要更低一些(平均低 40ms 左右),并且丢包率也是很专线差不多,价格反而更加优惠。
另外,目前 SD-WAN 的最后一公里(SD-WAN POP 点到客户端 CPE 设备)还是走的普通 Internet,因此如果本地出口的带宽利用率较高,线路质量不好的情况下,SD-WAN 的效果会受到影响。
另外,SD-WAN 的 POP 点数量和内部网络的优化对整个 SD-WAN 的方案效果有很大的影响,因为这个决定了我们的 CPE 能否以最短的路径,最低的延迟到达 SD-WAN 网络。
-
SD-WAN 和专线混合组网
-
SD-WAN 和专线混合组网
这里模拟另一个场景,即将连接 AWS 区域的 SD-WAN 线路都替换成 Direct Connect 线路。如图所示,AWS 北京将会通过 Direct Connect 专线接入,AWS 新加坡和加利福尼亚将会通过 Direct Connect Gateway 接入。Direct Connect Gateway 可以将一个 Private VIF 连接到多个不同的 AWS 区域内的 VPC。另外需要注意的是,因为目前 Direct Connect Gateway 不支持 Transit Routing,所以新加坡区域和加利福尼亚区域之间的流量是不能经过 Direct Connect Gateway 进行流量转发的。Transit Gateway 能解决这个问题,但是目前 Transit Gateway 还不能跨越 Region。因此在这里只能做 VPC Peering 来解决。
图例 4. SD-WAN 和专线混合组网部署方法
首先需要在每一个区域创建一个 Virtual Private Gateway,并且将这个 VGW 附在相应的 VPC 中,然后操作以下步骤:
1. 提供 AWS 账号给合作伙伴,合作伙伴会发送一个 Direct Connect 连接到你的账号,需要到自己的账号上接受这个连接的请求。进入 Direct Connect – 连接,可以看到一个新的连接。
2. 选择此连接,点击接受按钮,勾选条款并点击确认。
3. Direct Connect 状态会在几分钟后从 Pending 状态变为 Available 状态
4. 创建私有 VIF,这个地方需要选择之前接受的连接,相应的 VPC 所对应的 VGW。需要特别注意的是,VLAN ID 可以在之前接受的连接上看到(这里是 Vlan 1099),BGP ASN 需要和合作伙伴确定(这里是58991)。最底下其他设置里面的 Peer IP 地址,本地 IP 地址,BGP 身份验证密钥等信息也需要和合作伙伴确定。也可以留默认,让合作伙伴对应地配置他那一端的设备。
5. 配置完成后,如果合作伙伴那端的 BGP 也配置正确,就可以看到 BGP 状态是 up 了。也说明这个 Direct Connect 线路可以正式使用。
6. 重复步骤 1-5,在海外区也建立相应的配置。但需要注意的是,海外区用的是 Direct Connect Gateway 而不是 Direct Connect。
7. 将 Direct Connect Gateway 关联到新加坡区域的 VGW 和加利福尼亚区域的 VGW,并且正确填写允许的前缀。
8. 同时,这个 Direct Connect Gateway 还需要关联一个 Private VIF,具体操作和第一个场景一样,需要特别注意 BGP ASN,VLAN ID 和其他配置信息。
9. 如果两端配置无误,过几分钟就可以看到 BGP 状态也是 Up 了
10 .CPE的配置
合作伙伴会发送一个 1U 的物理设备来作为办公室/数据中心的 CPE 设备,这个 CPE 设备类似于云上的 vCPE,是接入 SD-WAN 的一个终端节点。CPE 设备只要能连到 Internet,就能自动被 SD-WAN 控制器发现,SD-WAN 控制器就可以对这个 CPE 进行远程的配置,加入到 SD-WAN 网络中。
11. VPC Peering 配置
因为 Direct Connect Gateway 不支持路由透传,所以需要对新加坡和加利福尼亚区域做 VPC 对等连接。
在 VPC 界面,点击对等连接,创建对等连接,选择本地的 VPC,以及输入需要连接的对端的另一个区域的 VPC ID。
12. 登陆到另一个区域,到 VPC 界面接受这个 VPC 对等连接。
13. 和模拟场景1类似,配置线下的 CPE 设备。
14. 以新加坡区域为例,进入子网路由表,更改到其他目的地的路由表,添加到对端的路由。其中到加利福尼亚区域是通过 VPC Peering,到其他区域是通过 VGW。
15. 到其他区域配置类似的路由表设置。配置完成后,所有点就互联互通了
性能比较
以 3 小时为测试范围(粒度为5分钟的平均值),测试了从加利福尼亚分别到北京区域,新加坡区域和深圳办公室的延迟和丢包率,并且分别以内网和公网的传输做对比。
延迟
可以从以下两图看出,如果是走专线加 SD-WAN 混合组网的话,延迟效果很稳定;走公网的话,延迟波动性较大。但是从绝对数值来看,其实走公网的平均延迟其实还更小一些。
丢包率
从下面两图可以看出,在丢包率方面如果是走 SD-WAN 加专线的情况是零丢包(时间戳即使延长到一周的长度也没有看到任何的丢包)。而纯公网的环境下,跨境的部分丢包率特别高,甚至在 5 分钟的期间会有 100% 的丢包率,这个观测时间如果拉长到 24 小时,可以看到在夜间(凌晨 3 点到 7 点)会略有好转。