高世煒

（思科系統(tǒng)（中國(guó)）研發(fā)有限公司，上海 200000）

0 引 言

隨著互聯(lián)網(wǎng)發(fā)展，各種業(yè)務(wù)規(guī)模不斷增大，網(wǎng)絡(luò)數(shù)據(jù)傳輸量呈幾何倍數(shù)增加，對(duì)廣域網(wǎng)（Wide Area Network，WAN）的帶寬和速率都有了更高的需求。由于部門架構(gòu)及工作人員經(jīng)常要透過 WAN與企業(yè)的資料中心進(jìn)行資料交換，各類企業(yè)的網(wǎng)絡(luò)使用效能受到很大的考驗(yàn)，廣域網(wǎng)運(yùn)行效率導(dǎo)致的商業(yè)問題也時(shí)常出現(xiàn)。構(gòu)建安全可靠、高效實(shí)用、性價(jià)比高的企業(yè)廣域網(wǎng)體系，事實(shí)上單純依靠擴(kuò)大廣域網(wǎng)帶寬來(lái)減輕網(wǎng)絡(luò)中的數(shù)據(jù)負(fù)擔(dān)是不現(xiàn)實(shí)的，帶寬增長(zhǎng)跟不上數(shù)據(jù)高速增長(zhǎng)的速率，而且提升帶寬的費(fèi)用十分高昂[1]。

1 傳統(tǒng)網(wǎng)絡(luò)流量?jī)?yōu)化架構(gòu)

傳統(tǒng)網(wǎng)絡(luò)流量?jī)?yōu)化架構(gòu)包括獨(dú)立訪客、交換機(jī)、控制器，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)信息傳遞。

聚合中心一般來(lái)說都是企業(yè)的數(shù)據(jù)中心，企業(yè)數(shù)據(jù)中心提供流量?jī)?yōu)化和安全檢測(cè)等網(wǎng)絡(luò)服務(wù)。

對(duì)于軟件即服務(wù)（Software-as-a-Service，SaaS）應(yīng)用和互聯(lián)網(wǎng)流量，如果流量都要被先轉(zhuǎn)發(fā)到企業(yè)數(shù)據(jù)中心的話，時(shí)延會(huì)增加，用戶體驗(yàn)不好。

1.1 SD-WAN

網(wǎng)絡(luò)架構(gòu)演變成分布式接入點(diǎn)，用戶和分支機(jī)構(gòu)可以直接去SaaS和互聯(lián)網(wǎng)，但是給企業(yè)的流量?jī)?yōu)化和安全策略帶來(lái)了挑戰(zhàn)。

1.2 SD-WAN+托管數(shù)據(jù)中心區(qū)域模式

軟件定義廣域網(wǎng)（Softuare Defined Wide Arrea Network，SD-WAN）通過網(wǎng)絡(luò)策略可以在路由器處理流量時(shí)插入網(wǎng)絡(luò)服務(wù)，結(jié)合SD-WAN的智能路由能力可以幫助企業(yè)進(jìn)行強(qiáng)大的流量調(diào)度，這樣就使得區(qū)域托管數(shù)據(jù)中心模式有了可行性[2]。

SD-WAN+托管數(shù)據(jù)中心區(qū)域模式能夠擴(kuò)展企業(yè)數(shù)據(jù)中心容量，如中小型企業(yè)可以選擇該模式降低成本。通過SD-WAN+托管將服務(wù)器放置在托管提供商數(shù)據(jù)中心，實(shí)現(xiàn)網(wǎng)絡(luò)連接，確保數(shù)據(jù)中心托管設(shè)施的安全性。

SD-WAN+托管數(shù)據(jù)中心區(qū)域模式的優(yōu)勢(shì)在于能夠幫助網(wǎng)絡(luò)運(yùn)營(yíng)，成本、應(yīng)用體驗(yàn)以及網(wǎng)絡(luò)安全可達(dá)到平衡和優(yōu)化。

2 托管數(shù)據(jù)中心的優(yōu)點(diǎn)

托管數(shù)據(jù)中心是提供設(shè)備、帶寬和機(jī)架空間租用的公共數(shù)據(jù)中心，其具有優(yōu)點(diǎn)如下。

（1）網(wǎng)絡(luò)連接方式的靈活性。可以提供多種通信網(wǎng)絡(luò)方式和上云的直接高速連接。

（2）成本低。通過企業(yè)私有數(shù)據(jù)中心用同樣的通信網(wǎng)絡(luò)方式和到云的直接連接價(jià)格成本要高很多。

（3）區(qū)域覆蓋廣。托管數(shù)據(jù)中心提供商在全球都有入網(wǎng)點(diǎn)（Point-of-Presence，POP），企業(yè)用戶可以根據(jù)自己的具體情況來(lái)選擇那些最優(yōu)點(diǎn)來(lái)部署SDWAN[3]。企業(yè)能夠保證自己用戶的流量只需要經(jīng)過短距離就能到達(dá)最近托管中心的SD-WAN網(wǎng)關(guān)， 并進(jìn)行流量?jī)?yōu)化和安全檢查等，然后通過托管中心的高速骨干網(wǎng)去到目的地。

3 利用托管數(shù)據(jù)中心優(yōu)化企業(yè)的廣域網(wǎng)技術(shù)有效策略

3.1 優(yōu)化企業(yè)廣域網(wǎng)技術(shù)結(jié)構(gòu)

利用托管數(shù)據(jù)中心能夠使各中心部門接入點(diǎn)實(shí)現(xiàn)網(wǎng)絡(luò)帶寬的性能優(yōu)化，企業(yè)數(shù)據(jù)中心內(nèi)部實(shí)現(xiàn)千兆互聯(lián)，進(jìn)一步理清企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)與業(yè)務(wù)層次，便于網(wǎng)絡(luò)維護(hù)管理。提供網(wǎng)絡(luò)功能的服務(wù)（如負(fù)載均衡、防火墻、代理服務(wù)、入侵檢查預(yù)防等）可以以虛擬機(jī)的方式運(yùn)行在1臺(tái)服務(wù)器上，也可以是1個(gè)軟硬件一體化的系統(tǒng)。 首先，這些網(wǎng)絡(luò)服務(wù)需要被安裝在托管數(shù)據(jù)中心內(nèi)，同時(shí)SD-WAN路由設(shè)備也要安裝在同一個(gè)托管數(shù)據(jù)中心內(nèi)，通過交換機(jī)連接到路由器上。 這臺(tái)路由器通過邊界網(wǎng)關(guān)協(xié)議（Border Gateway Protocol，BGP）或其他路由協(xié)議把網(wǎng)絡(luò)服務(wù)通告給同一個(gè)SD-WAN fabric上的其他的路由器。

IT管理人員通過SD-WAN管理控制平臺(tái)把網(wǎng)絡(luò)策略下發(fā)到整個(gè)fabric上的路由器來(lái)進(jìn)行網(wǎng)絡(luò)策略執(zhí)行，這個(gè)策略可以是針對(duì)某些應(yīng)用的流量，也可以是針對(duì)整個(gè)分支機(jī)構(gòu)的所有流量，按實(shí)際需求來(lái)定。分支機(jī)構(gòu)的SD-WAN路由器可以通過智能路由、深度包檢查和服務(wù)插入策略來(lái)分析流量的目的地址或流量的應(yīng)用類別，結(jié)合收到的路由策略和網(wǎng)絡(luò)服務(wù)通告來(lái)把流量轉(zhuǎn)發(fā)到托管數(shù)據(jù)中心內(nèi)的SDWAN路由器上，托管數(shù)據(jù)中心的路由器再會(huì)把流量分發(fā)給不同的網(wǎng)絡(luò)服務(wù)來(lái)進(jìn)行處理。公司可以在多個(gè)托管數(shù)據(jù)中心都安裝網(wǎng)絡(luò)服務(wù)，分支機(jī)構(gòu)的路由器會(huì)選擇最近的托管中心轉(zhuǎn)發(fā)流量來(lái)保證用戶的質(zhì)量體驗(yàn)。特別要提出的是，這個(gè)流量的控制不只是針對(duì)公有云、SaaS和互聯(lián)網(wǎng)的流量，公司內(nèi)部的網(wǎng)絡(luò)流量也可以通過利用托管中心內(nèi)的網(wǎng)絡(luò)服務(wù)來(lái)進(jìn)行管理[4]。

通過在離用戶近的托管數(shù)據(jù)中心內(nèi)來(lái)安裝提供網(wǎng)絡(luò)服務(wù)SD和SD-WAN路由器，并結(jié)合SD-WAN在網(wǎng)絡(luò)策略控制方面的優(yōu)勢(shì)，從而給企業(yè)用戶帶來(lái)良好的網(wǎng)絡(luò)體驗(yàn)，并實(shí)施網(wǎng)絡(luò)的管理。

3.2 完善企業(yè)廣域網(wǎng)絡(luò)服務(wù)鏈

當(dāng)流量被分支機(jī)構(gòu)的路由器轉(zhuǎn)發(fā)到托管數(shù)據(jù)中心的路由器上時(shí)，托管中心的路由器可能連接著一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)。 在多個(gè)服務(wù)的情況下，路由器先把流量根據(jù)策略轉(zhuǎn)發(fā)給服務(wù)鏈上的第1個(gè)服務(wù)，當(dāng)?shù)?個(gè)服務(wù)處理完之后，會(huì)根據(jù)自己的路由表把流量轉(zhuǎn)發(fā)到第2個(gè)服務(wù)，依次類推。 當(dāng)鏈上的最后1個(gè)服務(wù)處理完后，會(huì)依據(jù)路由表把流量或者轉(zhuǎn)發(fā)去公有云/互聯(lián)網(wǎng)，或者把流量轉(zhuǎn)發(fā)回托管數(shù)據(jù)中心的路由器，然后路由器再把流量轉(zhuǎn)發(fā)給目的地址。

3.3 加強(qiáng)公有云網(wǎng)絡(luò)技術(shù)管理

選擇在哪些托管數(shù)據(jù)中心來(lái)部署路由設(shè)備以及網(wǎng)絡(luò)服務(wù)的時(shí)候，其中1個(gè)重要的考慮因素是和公有云的連接效率。理想的部署點(diǎn)是流量在去公有云的transit路徑上。從托管數(shù)據(jù)中心到公有云有2種連接方式，第1種方式是和公有云中的業(yè)務(wù)通過專線連接，另1種方式是通過虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）連接公有云里的業(yè)務(wù)。公有云廠商同時(shí)提供這2種方式，第1種方式在亞馬遜云計(jì)算服務(wù)（Amazon Web Service，AWS） 里 稱 為 DirectConnet，Azure里稱為ExpressRoute。無(wú)論這2種的哪一種方式，公有云都是通過BGP來(lái)和托管數(shù)據(jù)中心里的網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)通告公有云里的業(yè)務(wù)。

雖然大部分SD-WAN方案都能夠使流量從分支機(jī)構(gòu)直接轉(zhuǎn)發(fā)去公有云，但是那樣做的話在流量時(shí)延和優(yōu)化上并沒有經(jīng)過托管數(shù)據(jù)中心的方式好。從分支機(jī)構(gòu)直接去公有云，流量需要經(jīng)過Internet，在時(shí)延上沒有保證，而且在安全管理上也很難控制[5]。因?yàn)樵诓渴鹜泄軘?shù)據(jù)中心時(shí)是先考慮用戶分支機(jī)構(gòu)所在地，所以能保證流量通過托管數(shù)據(jù)中心會(huì)經(jīng)過最優(yōu)路徑，而托管中心去公有云又是通過高速的骨干網(wǎng)，這樣就能保證流量的低延遲，提升用戶的體驗(yàn)，同時(shí)也能讓流量在去公有云之前按策略經(jīng)過網(wǎng)絡(luò)服務(wù)。

3.4 提升冗余和高可用性

網(wǎng)絡(luò)服務(wù)的高可用性和備份需要做到2點(diǎn)。第一點(diǎn)，在同一個(gè)托管數(shù)據(jù)中心內(nèi)，同樣的網(wǎng)絡(luò)服務(wù)鏈和網(wǎng)關(guān)要有備份部署。第二點(diǎn)，在多個(gè)不同的托管數(shù)據(jù)中心，要部署相同的網(wǎng)絡(luò)服務(wù)鏈和網(wǎng)關(guān)。這樣，如果單個(gè)服務(wù)集群中出現(xiàn)服務(wù)時(shí)，備份可以繼續(xù)提供服務(wù)，而當(dāng)某個(gè)托管數(shù)據(jù)中心的點(diǎn)出現(xiàn)問題時(shí)，流量可以被轉(zhuǎn)發(fā)到其他點(diǎn)來(lái)保證服務(wù)。

4 結(jié) 論

近年來(lái)，我國(guó)許多行業(yè)都是在“數(shù)據(jù)大集中”的基礎(chǔ)上進(jìn)行IT資源的集成，達(dá)到信息和數(shù)據(jù)的共享，從而推動(dòng)企業(yè)的業(yè)務(wù)應(yīng)用集成。以往盡管人們都認(rèn)為“數(shù)據(jù)大集中”可以為企業(yè)提供很多便利，但在現(xiàn)有的條件下，因線路租賃費(fèi)用高昂，致使企業(yè)難以實(shí)施，導(dǎo)致企業(yè)的網(wǎng)絡(luò)建設(shè)跟不上企業(yè)的發(fā)展。通過托管數(shù)據(jù)中心對(duì)企業(yè)的廣域網(wǎng)技術(shù)進(jìn)行優(yōu)化，推動(dòng)了企業(yè)的商業(yè)應(yīng)用，實(shí)現(xiàn)組織結(jié)構(gòu)、管理模式、經(jīng)營(yíng)過程的改進(jìn)，從而提高了公司的應(yīng)變和反應(yīng)能力。