sdwan 分应用支持线路

2020-12-14 15:10:48 云杰通信 102

sdwan 分应用支持线路

  SD-WAN最原始的出发点之一就是应用路由,其前提是要能够对应用进行准确的识别。识别的手段有很多,最常用到的是DPI,CPE收到数据包后,先进行预分类获取流的信息,并亲和均衡到不同的核上进行深度检测。逐包模式下,所有的数据包都要经过检测引擎处理,性能较差。

  逐流模式下,流的前几个数据包走普通的路由转发,同时被镜像给检测引擎,当完成识别后,引擎会将流与应用间的映射关系缓存在转发面,该流后续的数据包将直接匹配缓存来识别应用,避免再次绕行检测引擎,提高处理的效率。DPI的特征库需要支持在线升级,同时也应该允许用户自己对应用的特征进行定义。

  DPI难以处理加密的流量,而当前的Internet上HTTPS流量的占比很大,有相当一部分的SaaS流量都是承载在HTTPS上。对于这些HTTPS流量,一种思路是实现SSL卸载,帮助DPI完成加解密,不过这种方式的实现目前还比较少。

  另一种思路是绕过DPI通过其他的方式来识别应用,比如可以通过对于流的行为模式进行观察与分析来判别应用,比如可以通过监听DNS来记录目的IP和URL的关系,这样看到目的IP就可以大概知道这个流所属的应用,或者直接内置一个周知的IP列表,虽然简单但是也不失为一种有效的手段。

  匹配出应用后,流量可能会被进行标记,后续包括路由、QoS、安全、广域网加速、监控与分析等等,都应该支持围绕着应用的标记来进行差异化的处理,实现完整的面向应用的处理,而并非单纯的应用路由。