高世煒

（思科系統(tǒng)（中國）研發(fā)有限公司，上海 200000）

0 引 言

隨著互聯(lián)網(wǎng)發(fā)展，各種業(yè)務(wù)規(guī)模不斷增大，網(wǎng)絡(luò)數(shù)據(jù)傳輸量呈幾何倍數(shù)增加，對廣域網(wǎng)（Wide Area Network，WAN）的帶寬和速率都有了更高的需求。由于部門架構(gòu)及工作人員經(jīng)常要透過 WAN與企業(yè)的資料中心進行資料交換，各類企業(yè)的網(wǎng)絡(luò)使用效能受到很大的考驗，廣域網(wǎng)運行效率導(dǎo)致的商業(yè)問題也時常出現(xiàn)。構(gòu)建安全可靠、高效實用、性價比高的企業(yè)廣域網(wǎng)體系，事實上單純依靠擴大廣域網(wǎng)帶寬來減輕網(wǎng)絡(luò)中的數(shù)據(jù)負擔(dān)是不現(xiàn)實的，帶寬增長跟不上數(shù)據(jù)高速增長的速率，而且提升帶寬的費用十分高昂[1]。

1 傳統(tǒng)網(wǎng)絡(luò)流量優(yōu)化架構(gòu)

傳統(tǒng)網(wǎng)絡(luò)流量優(yōu)化架構(gòu)包括獨立訪客、交換機、控制器，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)信息傳遞。

聚合中心一般來說都是企業(yè)的數(shù)據(jù)中心，企業(yè)數(shù)據(jù)中心提供流量優(yōu)化和安全檢測等網(wǎng)絡(luò)服務(wù)。

對于軟件即服務(wù)（Software-as-a-Service，SaaS）應(yīng)用和互聯(lián)網(wǎng)流量，如果流量都要被先轉(zhuǎn)發(fā)到企業(yè)數(shù)據(jù)中心的話，時延會增加，用戶體驗不好。

1.1 SD-WAN

網(wǎng)絡(luò)架構(gòu)演變成分布式接入點，用戶和分支機構(gòu)可以直接去SaaS和互聯(lián)網(wǎng)，但是給企業(yè)的流量優(yōu)化和安全策略帶來了挑戰(zhàn)。

1.2 SD-WAN+托管數(shù)據(jù)中心區(qū)域模式

軟件定義廣域網(wǎng)（Softuare Defined Wide Arrea Network，SD-WAN）通過網(wǎng)絡(luò)策略可以在路由器處理流量時插入網(wǎng)絡(luò)服務(wù)，結(jié)合SD-WAN的智能路由能力可以幫助企業(yè)進行強大的流量調(diào)度，這樣就使得區(qū)域托管數(shù)據(jù)中心模式有了可行性[2]。

SD-WAN+托管數(shù)據(jù)中心區(qū)域模式能夠擴展企業(yè)數(shù)據(jù)中心容量，如中小型企業(yè)可以選擇該模式降低成本。通過SD-WAN+托管將服務(wù)器放置在托管提供商數(shù)據(jù)中心，實現(xiàn)網(wǎng)絡(luò)連接，確保數(shù)據(jù)中心托管設(shè)施的安全性。

SD-WAN+托管數(shù)據(jù)中心區(qū)域模式的優(yōu)勢在于能夠幫助網(wǎng)絡(luò)運營，成本、應(yīng)用體驗以及網(wǎng)絡(luò)安全可達到平衡和優(yōu)化。

2 托管數(shù)據(jù)中心的優(yōu)點

托管數(shù)據(jù)中心是提供設(shè)備、帶寬和機架空間租用的公共數(shù)據(jù)中心，其具有優(yōu)點如下。

（1）網(wǎng)絡(luò)連接方式的靈活性?？梢蕴峁┒喾N通信網(wǎng)絡(luò)方式和上云的直接高速連接。

（2）成本低。通過企業(yè)私有數(shù)據(jù)中心用同樣的通信網(wǎng)絡(luò)方式和到云的直接連接價格成本要高很多。

（3）區(qū)域覆蓋廣。托管數(shù)據(jù)中心提供商在全球都有入網(wǎng)點（Point-of-Presence，POP），企業(yè)用戶可以根據(jù)自己的具體情況來選擇那些最優(yōu)點來部署SDWAN[3]。企業(yè)能夠保證自己用戶的流量只需要經(jīng)過短距離就能到達最近托管中心的SD-WAN網(wǎng)關(guān)， 并進行流量優(yōu)化和安全檢查等，然后通過托管中心的高速骨干網(wǎng)去到目的地。

3 利用托管數(shù)據(jù)中心優(yōu)化企業(yè)的廣域網(wǎng)技術(shù)有效策略

3.1 優(yōu)化企業(yè)廣域網(wǎng)技術(shù)結(jié)構(gòu)

利用托管數(shù)據(jù)中心能夠使各中心部門接入點實現(xiàn)網(wǎng)絡(luò)帶寬的性能優(yōu)化，企業(yè)數(shù)據(jù)中心內(nèi)部實現(xiàn)千兆互聯(lián)，進一步理清企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)與業(yè)務(wù)層次，便于網(wǎng)絡(luò)維護管理。提供網(wǎng)絡(luò)功能的服務(wù)（如負載均衡、防火墻、代理服務(wù)、入侵檢查預(yù)防等）可以以虛擬機的方式運行在1臺服務(wù)器上，也可以是1個軟硬件一體化的系統(tǒng)。 首先，這些網(wǎng)絡(luò)服務(wù)需要被安裝在托管數(shù)據(jù)中心內(nèi)，同時SD-WAN路由設(shè)備也要安裝在同一個托管數(shù)據(jù)中心內(nèi)，通過交換機連接到路由器上。 這臺路由器通過邊界網(wǎng)關(guān)協(xié)議（Border Gateway Protocol，BGP）或其他路由協(xié)議把網(wǎng)絡(luò)服務(wù)通告給同一個SD-WAN fabric上的其他的路由器。

IT管理人員通過SD-WAN管理控制平臺把網(wǎng)絡(luò)策略下發(fā)到整個fabric上的路由器來進行網(wǎng)絡(luò)策略執(zhí)行，這個策略可以是針對某些應(yīng)用的流量，也可以是針對整個分支機構(gòu)的所有流量，按實際需求來定。分支機構(gòu)的SD-WAN路由器可以通過智能路由、深度包檢查和服務(wù)插入策略來分析流量的目的地址或流量的應(yīng)用類別，結(jié)合收到的路由策略和網(wǎng)絡(luò)服務(wù)通告來把流量轉(zhuǎn)發(fā)到托管數(shù)據(jù)中心內(nèi)的SDWAN路由器上，托管數(shù)據(jù)中心的路由器再會把流量分發(fā)給不同的網(wǎng)絡(luò)服務(wù)來進行處理。公司可以在多個托管數(shù)據(jù)中心都安裝網(wǎng)絡(luò)服務(wù)，分支機構(gòu)的路由器會選擇最近的托管中心轉(zhuǎn)發(fā)流量來保證用戶的質(zhì)量體驗。特別要提出的是，這個流量的控制不只是針對公有云、SaaS和互聯(lián)網(wǎng)的流量，公司內(nèi)部的網(wǎng)絡(luò)流量也可以通過利用托管中心內(nèi)的網(wǎng)絡(luò)服務(wù)來進行管理[4]。

通過在離用戶近的托管數(shù)據(jù)中心內(nèi)來安裝提供網(wǎng)絡(luò)服務(wù)SD和SD-WAN路由器，并結(jié)合SD-WAN在網(wǎng)絡(luò)策略控制方面的優(yōu)勢，從而給企業(yè)用戶帶來良好的網(wǎng)絡(luò)體驗，并實施網(wǎng)絡(luò)的管理。

3.2 完善企業(yè)廣域網(wǎng)絡(luò)服務(wù)鏈

當(dāng)流量被分支機構(gòu)的路由器轉(zhuǎn)發(fā)到托管數(shù)據(jù)中心的路由器上時，托管中心的路由器可能連接著一個或多個網(wǎng)絡(luò)服務(wù)。 在多個服務(wù)的情況下，路由器先把流量根據(jù)策略轉(zhuǎn)發(fā)給服務(wù)鏈上的第1個服務(wù)，當(dāng)?shù)?個服務(wù)處理完之后，會根據(jù)自己的路由表把流量轉(zhuǎn)發(fā)到第2個服務(wù)，依次類推。 當(dāng)鏈上的最后1個服務(wù)處理完后，會依據(jù)路由表把流量或者轉(zhuǎn)發(fā)去公有云/互聯(lián)網(wǎng)，或者把流量轉(zhuǎn)發(fā)回托管數(shù)據(jù)中心的路由器，然后路由器再把流量轉(zhuǎn)發(fā)給目的地址。

3.3 加強公有云網(wǎng)絡(luò)技術(shù)管理

選擇在哪些托管數(shù)據(jù)中心來部署路由設(shè)備以及網(wǎng)絡(luò)服務(wù)的時候，其中1個重要的考慮因素是和公有云的連接效率。理想的部署點是流量在去公有云的transit路徑上。從托管數(shù)據(jù)中心到公有云有2種連接方式，第1種方式是和公有云中的業(yè)務(wù)通過專線連接，另1種方式是通過虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）連接公有云里的業(yè)務(wù)。公有云廠商同時提供這2種方式，第1種方式在亞馬遜云計算服務(wù)（Amazon Web Service，AWS） 里 稱 為 DirectConnet，Azure里稱為ExpressRoute。無論這2種的哪一種方式，公有云都是通過BGP來和托管數(shù)據(jù)中心里的網(wǎng)絡(luò)服務(wù)節(jié)點通告公有云里的業(yè)務(wù)。

雖然大部分SD-WAN方案都能夠使流量從分支機構(gòu)直接轉(zhuǎn)發(fā)去公有云，但是那樣做的話在流量時延和優(yōu)化上并沒有經(jīng)過托管數(shù)據(jù)中心的方式好。從分支機構(gòu)直接去公有云，流量需要經(jīng)過Internet，在時延上沒有保證，而且在安全管理上也很難控制[5]。因為在部署托管數(shù)據(jù)中心時是先考慮用戶分支機構(gòu)所在地，所以能保證流量通過托管數(shù)據(jù)中心會經(jīng)過最優(yōu)路徑，而托管中心去公有云又是通過高速的骨干網(wǎng)，這樣就能保證流量的低延遲，提升用戶的體驗，同時也能讓流量在去公有云之前按策略經(jīng)過網(wǎng)絡(luò)服務(wù)。

3.4 提升冗余和高可用性

網(wǎng)絡(luò)服務(wù)的高可用性和備份需要做到2點。第一點，在同一個托管數(shù)據(jù)中心內(nèi)，同樣的網(wǎng)絡(luò)服務(wù)鏈和網(wǎng)關(guān)要有備份部署。第二點，在多個不同的托管數(shù)據(jù)中心，要部署相同的網(wǎng)絡(luò)服務(wù)鏈和網(wǎng)關(guān)。這樣，如果單個服務(wù)集群中出現(xiàn)服務(wù)時，備份可以繼續(xù)提供服務(wù)，而當(dāng)某個托管數(shù)據(jù)中心的點出現(xiàn)問題時，流量可以被轉(zhuǎn)發(fā)到其他點來保證服務(wù)。

4 結(jié) 論

近年來，我國許多行業(yè)都是在“數(shù)據(jù)大集中”的基礎(chǔ)上進行IT資源的集成，達到信息和數(shù)據(jù)的共享，從而推動企業(yè)的業(yè)務(wù)應(yīng)用集成。以往盡管人們都認為“數(shù)據(jù)大集中”可以為企業(yè)提供很多便利，但在現(xiàn)有的條件下，因線路租賃費用高昂，致使企業(yè)難以實施，導(dǎo)致企業(yè)的網(wǎng)絡(luò)建設(shè)跟不上企業(yè)的發(fā)展。通過托管數(shù)據(jù)中心對企業(yè)的廣域網(wǎng)技術(shù)進行優(yōu)化，推動了企業(yè)的商業(yè)應(yīng)用，實現(xiàn)組織結(jié)構(gòu)、管理模式、經(jīng)營過程的改進，從而提高了公司的應(yīng)變和反應(yīng)能力。