【IT168 技术】广域网从早期以互联互通窄带链路为主逐步演进到开始有MPLS、QoS等业务的部署，之后又随着云、虚拟化、数据中心、SDN等新技术新概念的出现，使得广域网这一稳坐网络重要位置的网元也在发生着翻天覆地的变化(如图1所示)。

▲图1. 广域网的发展和变迁

　　一、 广域网面临的问题

　　部署运维带来成本压力

　　随着企业规模的不断扩张，广域网设备数量、网络复杂度以及承载业务急剧增多，给企业IT带来新的难题和困扰，其中较高的费用支出比较突出。

　　开局成本：网络新建、扩容以及机房搬迁等网络变化，网络设备增加和迁移无不带来新的开局成本，加上当地IT人员技术力量薄弱，需要雇用或外包工程师来完成新设备上线，这是一块不小的成本开支。如某连锁企业，一共三千多个点的网络设备，雇用了200名工程师为其完成设备上线。

　　运维成本：目前用户IT人员部署策略一般是采用强中心、弱边缘模式，技术实力强的IT人员一般在企业总部，分支边缘位置IT技术实力相对薄弱，甚至有挂职的可能。所以在边缘区域网络设备出现故障时，需要总部派遣专业技术人员到边缘地区，差旅费在这里就是一块不小的运维成本，加上反复出差或周期长等因素，给企业运营成本和运营效率都带来了很大压力。

　　静态的选路策略

　　传统网络设备对于到达目的地址选路都是静态的，虽能用一些简单的策略进行流量匹配，但匹配精度和效果都不是很理想。有多条路可选时，也是靠固定的选路策略，比如等价还是主备方式，这些在网络设备上都是预先配置好的。即便能配置一些当出现阀值时，启用备份链路，但那也是相对简陋而不够精准的选路策略。没有真正满足用户需求，更没有给用户带来很好的应用体验。并且给网络规划和运营带来很多不便。

　　虚拟机迁移带来的不便

　　跨广域数据中心之间的虚机迁移，迁移后的寻址方式目前多为DNS方式。迁移后重新发起申请到DNS服务器去注册，IP地址和位置都发生了改变。带来的隐患是数据中心内虚机的主机路由要发布到公网上去，对网络安全带来了很大风险，数据有可能被截取和篡改。

　　分散的广域部署

　　目前广域网部署都是一台一台单独部署，每台设备即使功能相同也需要逐个配置。大量的人力、物力浪费在重复劳动上。而且缺乏统一的管理和控制，各自为政的模式，使得广域部署松散而杂乱。图2总结了以上面临的四大问题。

▲图2. 广域网面临的挑战

　　二、 新广域网架构，定义融合控制层

　　当前业界对新的广域网架构思路主要有两类，一种是将控制层做集中管理，统一下发，比如一些ACL规则，通过SDN或网管方式下发。另外一种就是做资源的统一编排，不只下发ACL规则，还可根据需求，对网络设备进行资源编排，各种服务统一下发，业务需求统一下发，提升用户体验。后者的代表厂商是H3C和Cisco.以H3C的实现方式为例，它定义了融合控制层，分别实现对网络、终端、云计算的软件定义。针对广域网，通过自动化、一体化，智能流量调度，业务迁移以及安全统一控制来与控制层真正融合并相互依托，使得新的广域网架构更加灵活、统一、安全(如图3所示)。

▲图3. H3C新架构下的融合控制层

　　1. 新架构下的广域自动化

　　当前自动化部署方式以U盘部署和短信部署为主，需要U盘或SIM卡做支撑硬件，给部署和维护带来一定的不便。新的变化是在向集中管理平台处迁移。如图4所示，在基础架构层，网络是计算资源池、存储资源池、用户连接在一起的纽带和通道，广域自动化需要将各资源和用户连接到统一控制点同时，保障业务隔离、独立并连通。

▲图4. 自动化开局和运维

　　面对数量庞大的分支设备，新的IT架构实现基础架构中大量的网络设备的自动化开局、上线。通过融合控制层来统一、自动发现边缘设备，建立隧道模式通信渠道，并为其下发配置和升级版本，来实现设备开局自动化以及边缘设备即插即用。这样，就不需要偏远地区有专业技术人员出差去开局部署，只需能连接物理链路的非专业人员即可，这样用户就可以节约不少开局成本。

　　除开局成本之外，在边缘设备出现故障时(如人为将配置修改等导致不能正常通信)，专业技术人员出差定位也是不小的费用开支。若在物理链路正常的情况下，可以远程先连接到设备上，进行初步定位故障，若可以远程修复，就不需要出差等费用的支出。新架构下可以通过融合控制层实现对边缘设备的强管理，在边缘设备故障时，通过融合控制层与边缘设备之间的特殊通道可以管理到边缘设备，进行故障定位和故障恢复。

　　在新架构下通过融合控制层统一为设备开局上线，并在设备运行过程中出现故障时，能主动连接设备进行故障诊断，为企业节约成本支出，实现对设备的自动化管理。

　　2. 新架构的广域智能化管理和流量调度

　　如前文所述，广域网流量管理和调度一般都是采用静态策略，不能动态调整选路，这样带来的问题就是链路质量不能随时检测，路径转发不能随时调整。新的方式将颠覆传统的业务流按照最短路径转发的静态原则，通过融合控制层对广域网中心和边缘设备实现统一管理、策略下发，灵活控制，实现更加智能化的感知网络拓扑变化，以及链路质量感知，并能达到即时响应，智能流量调度之目标(如图5所示)。

▲图5. 智能管理和流量调度

　　如图6所示，广域网中心和边缘设备的配置和策略在很多情况下是完全统一的，为了使这种统一的配置不在多台设备上重复下发，提升效率，新架构下的SDN Controller将重复的配置和策略统一上收，通过Controller来统一下发。及时调整转发路径和带宽等，实现智能化选路以及智能化流量调度。

▲图6. 路由控制与流量优化

　　图6左图是基于策略和业务因素，进行动态调整路由。基于带宽利用率等因素，进行动态流量优化。

　　右图是SDN Controller会定时对网络质量进行探测和监控，包括带宽利用率、抖动、丢包率、时延等。当链路拥塞或者链路质量不佳时，SDN Controller能够综合考虑网络拓扑变化和链路质量，以及出口带宽情况，根据用户配置策略，对于不同级别的接入用户(金牌、银牌和铜牌)实施不同的流量智能调度，将不同优先级的业务流分担在不同的链路上，这样在保证客户服务质量的同时，也提升了广域网的链路利用率。

　　3. 跨广域的虚拟机迁移

　　如前文所述，业界当前普遍采用的DNS方式存在运维不便和安全风险等局限。通过Controller可以很好实现虚机迁移，解决用户的担忧。如图7所示，当虚拟机需从DC1迁移到DC2,通过Controller维护VM对应DC表项，由 Controller来控制和感知虚机迁移，并通知数据中心出口网管设备VSR(Virtual Services Router)，利用改变位置，不改变IP地址的思想，实现虚机在数据中心之间随意迁移，保证其安全性和可靠性(如图7所示)

▲图7. 跨广域的虚拟机迁移

　　4. 新架构下的广域安全一体化

　　广域安全一体化控制和管理是近几年讨论频度比较高的一个话题，新架构下，统一上收控制平面到应用融合控制层，实现由控制器统一控制和调配公共资源。做到资源的统一部署，策略的统一管理。提升基础网络运行效率(如图8所示)。

▲　图8. 广域安全一体化

　　例如，广域部署VPN技术ADVPN,包括VAM Server、Hub和Spoke三部分，VAM Server专注负责控制和管理Client(Hub和Spoke)初始连接和注册，是ADVPN的控制平面，注册完成后，Spoke访问总部资源是通过Hub进行转发，这个通道是ADVPN的转发平面。H3C新架构下的ADVPN,将控制平面VAM Server统一到Controller来进行控制，Client设备到Controller上面进行初始连接和注册，与Controller之间建立Server-Client隧道。

　　除ADVPN之外，其他安全协议如GDVPN,密钥由KS统一下发，同样可以将KS这一角色统一由Controller负责，后续的密钥维护也通过Controller发送，这样可以实现控制平面统一由Controller来掌管。

　　此外，数据中心之间跨广域互连的EVI over IPsec,IPsec证书和密钥下发是通过CA Server统一下发，新架构下将通过Controller统一下发证书和密钥，无需单独部署CA Server.

　　通过 Controller部署单独的安全模块，可实现安全策略、安全控制、安全证书密钥的统一下发，使得基础架构层更加专注、高效并赋予弹性，实现真正的广域安全一体化。

　　三、 结束语

　　新的网络架构，对于广域网来说是一次很大的变革。路由器在网络中更像是一个接入网关，使得设备形态更加简单、专注。同时设备控制平面简化，转发行为变得标准化，降低了南向接口复杂度。将复杂、重复的业务上收，业务类型更加简便，预计这些新的架构和新的技术将在未来2-3年逐步得到部署和应用。