如何识别真假SD-WAN产品?

2019-08-28 21:22:48 云杰-sdwan 105

  SD-WAN至今没有统一的定义,这造成众多厂家的SD-WAN解决方案并不存在统一的评价标准,一些厂家也借此“赶时髦、蹭热度”,刻意混淆SD-WAN真正的技术概念和方案意图,客观上阻碍了SD-WAN市场的健康发展。近来在行业内就曾出现过有厂商采用传统的VPN配合内部的MPLS骨干简单实现伪SD-WAN方案的案例,更有甚者,竟然使用L2TP+MPLS+SNMP方案,对客户宣称是SD-WAN的笑话。

如何识别真假SD-WAN产品

  由于SD-WAN的产品和方案并不排斥与旧有技术和产品进行整合,这为辨别真假带来了不少困扰。因此我认为,可以使用两种方法来对这个问题进行判断:

  ❶从SD-WAN的根本特征出发进行辨别

  这种方法实际上是一个测试方法,需要读者自身具备分析SD-WAN系统的基本能力,也就是能够自主的对SD-WAN系统的各部分进行考察,从而判断某个SD-WAN系统是否存在疑点。

  根据前面的介绍,我认为SD-WAN必需具备的四个根本特征是:转控分离、全域选路、统一QoS控制和业务策略编排能力。为此,读者可以在某个SD-WAN系统中寻找其是否具备以下特点:

  ❆ 通过考察Controller判断其是否具备“转控分离”

  ❅在这个SD-WAN系统宣称的Controller上,考察其是否与本地的流量转发功能完全分开。因为SD-WAN系统的Controller作为系统中的中心化的控制设施,可以是一台独立的专用设备,也可以是部署于IDC中的虚拟化服务器,或者企业网络中心位置的某个虚拟化应用。因此,我们需要确信,这个Controller与其他所有具有本地的流量转发功能的SD-WAN设备(CPE/Edge设备)都具有通信连接。

  ❅考察这个Controller具备转发策略的发布能力。因为SD-WAN系统的转发策略基本都依赖三层及三层以上的路由规则进行,因此我们需要确信这个Controller能够生成这样的路由规则,并涵盖下辖所有的SD-WAN设备(CPE/Edge设备)。

  ❅至此,我们可以基本确认这个Controller基本具有“转控分离”能力,但这不包括与BGP系统区别开来,为此需要下面的步骤。

  ❆ 通过考察CPE/Edge设备进一步确认“转控分离”

  ❅考察SD-WAN系统中的CPE/Edge设备的路由转发表。由于SD-WAN系统中的Controller负责更新域内所有转发设备的转发表,因此,判断在线的CPE/Edge设备是否完全依赖Controller进行路由转发表进行更新就可以了。

  ❆ 通过考察Controller和CPE/Edge设备判断其是否具备“全域选路”能力

  ❅通过选择某个CPE/Edge设备的本地链路进行通断,判断其是否会上报链路信息给Controller。

  ❅ 考察这个Controller是否更新自己的全局策略表,并更新相关多个CPE/Edge设备的转发表。

  ❅在这个过程中端到端的的两个CPE/Edge设备上的业务连接(如,视频播放)不应该中断。

  ❆ 通过考察Controller和CPE/Edge设备判断其是否具备“统一QoS控制”

  ❅需要在这个SD-WAN系统中引入至少两个业务持续流量(比如,两个视频播放),以此来表示不同级别的QoS策略所带来的效果。

  ❅对这个SD-WAN系统引入新的传输链路(最好是新的链路类型),设置新的QoS策略,并与前面其中一个业务流量的QoS策略进行关联。

  ❅断掉原有的传输链路,应该能够看到QoS策略对于不同业务流量的传输效果变化。(具体策略依赖于具体的实验方法)。

  ❆ 通过考察Controller判断其是否具备业务策略编排能力

  ❅考察这个Controller的资源列表所涵盖的范围。

  ❅考察这个Controller的策略类型所涵盖的种类。

  ❅考察这个Controller的资源编排器(不同的厂家有不同的名字)是否涵盖上述两方面的内容。

  ❅据此我们就基本确定这个Controller是否有业务策略编排功能,具体能力大小则需要另外判断。

  当这个系统通过了以上的考察和测试后,我们就能够比较有把握的认为这个系统是一个SD-WAN系统了。

  ❷ 从SD-WAN产品的外在功能点进行归纳判断由于人们并不会都有机会接触到某个SD-WAN系统,通常只能接触到该SD-WAN系统的宣传资料和部分功能列表,是否可以通过对这些文字信息进行判断得到结论呢?这里我尝试给出一份基本SD-WAN系统功能列表,辅助读者进行判断:

  ❅远程站点/分支机构可以通过公有或私有WAN主动接入业务应用。

  ❅支持分支站点设备WAN链路的多种备份和聚合方式。

  ❅SD-WAN的控制器支持单/双集群、虚拟化部署方式。

  ❅支持根据统一的应用策略对跨专用和公共WAN路径的流量进行动态调整,并在传输和应 用层上控制(提高或降低)WAN服务的性能。

  ❅支持以集中的可视化方式管理关键性业务和实时应用程序的流量运行状态,并能对其进行控制优先级的排序。

  ❅支持分支站点设备的零接触部署(ZTP),在直连的基础设备上几乎不做任何配置更改,确保配置和部署的敏捷性。

  ❅支持集中策略配置,保证带宽分配、优先级自动排序和链路选择的实时性。

  ❅支持基于业务应用程序的性能要求(带宽、延迟、jitter、数据包丢失)预定义模板。

  ❅支持广域网优化。

  ❅ 支持AAA(认证,授权和计费),支持RADIUS、LDAP或AD等。

  ❅ 支持具有IPsec和SSL VPN同样等级的链路安全属性。

  ❅ 分支站点设备支持本地或云端基于NFV的服务编排,支持报文捕获与解码能力(DPI)和防火墙功能。

  ❅ 支持基于角色 / 多租户(同层 / 分层)的访问控制功能。