什麼是軟件定義廣域網SDWAN？

伴著雲計算的興起，軟件定義網絡（SDN）技術帶來了新一輪的網絡技術變革。SDN技術在數據中心和雲網絡中的應用已非常成熟，近幾年業界逐漸把焦點轉向數據中心之外的廣域網，希望用SDN的技術來解決傳統廣域網中的問題遇到的挑戰。
隨著企業新興業務的爆發、迅速增長。傳統以昂貴MPLS專線為主的傳統廣域網互聯難以支撐企業WAN的流量激增，SDWAN逐漸成為企業總部分支互聯在雲時代的首選。
SDWAN（Software-Defined WAN）軟件定義廣域網技術，是以廣域網設備支持虛擬化功能為基礎，構建多租戶的虛擬化軟件網絡，以及軟硬一體化的網絡配置、監控、調度、可視化等功能，實現按需自助、敏捷彈性、低價高效地獲得廣域網服務的目的。
相較於傳統網絡設備廠商提供SDWAN產品硬件的方案不同，阿里雲則依託於其全球高質量傳輸網的優勢，利用互聯網、4G/5G，與本地專線、長途專線組合，解決“最後一公里”就近接入阿里雲全球SDWAN網絡，用戶只需通過在線購買阿里雲SDWAN網絡服務，就可迅速獲得專有虛擬的全球廣域網絡。利用SDWAN的技術優勢，進一步平衡並優化企業應用，從而提高企業WAN網絡的可靠性、靈活性和運維效率。最終讓客戶逐步淘汰自建的老舊廣域網系統，減少IT在長途專線上昂貴的支出。
本文重點介紹的，就是阿里雲CCN、CEN、SAG等雲產品組成的阿里雲SDWAN解決方案。

1.1 什麼是CEN
雲企業網CEN（Cloud Enterprise Network），是構建在阿里雲全球物理傳輸網絡上、OVERLAY層面的多租戶的SDWAN網絡，用於創建各個租戶專有的企業虛擬核心傳輸網絡（CEN實例）。每個租戶都可以創建一個或多個專有CEN實例，將其國內外各個VPC網絡、雲連接網CCN、邊界路由器VBR等，都加載到這個CEN實例後，就能實現本企業雲上VPC、雲下IDC機房、各地分支機構相互之間的互通互聯和防火牆安全控制。簡單地說，客戶只需要創建併購買CEN實例、SAG CCN連接等服務，就立刻擁有了一張企業級、高可用、高性能、大容量、安全隔離、全球連接的虛擬廣域網絡，再也不用像以前那般投資建設跨省/跨國的物理骨幹網絡。同時，在跨境雲專線部分，阿里雲也是和中國聯通合作，由聯通運營、通過阿里雲銷售渠道向客戶提供專線服務，確保了線路的合規性。

1.2 什麼是CCN
雲連接網CCN（Cloud Connect Network），是在阿里雲全球物理傳輸網絡的基礎上，構建的一張OVERLAY的SDWAN互聯網VPN雲接入網絡。CCN網絡主要是由Region裡的CCN控制器（獨立於CEN控制器），分佈全國和海外主要城市POP點，以及部署在客戶端的SAG組成。主要功能是通過互聯網，就近建立各POP點與用戶各線下分支機構和數據中心的IPSEC VPN連接。再通過阿里雲高速傳輸網絡，實現與阿里雲CEN雲企業網的虛擬實例連接。幫助客戶快速搭建一張客戶專有云的虛擬SDWAN網絡。
CCN連接的最大價值，一是將客戶原來時延和質量不穩定的端到端互聯網VPN連接，變成一段本省內/城市內的互聯網連接，加一段阿里雲物理傳輸網絡的穩定時延和質量連接。二是客戶不需要投資客戶端網絡設備和中心側匯接網絡設備（阿里雲統一提供），就可以建立起一套分佈全國和海外的虛擬廣域網，按需自助敏捷地開通任意接入點之間的網絡連接，彈性擴縮任意2點間網絡帶寬，靈活敏捷地在各條互備網絡連接上調度網絡流量。目前CCN的已基本覆蓋全國一線城市及二線發達城市，海外當前主要圍繞阿里雲region城市部署。

1.3 什麼是SAG
SAG（Smart Access Gateway）智能接入網關，有硬件、APP（SDK）、鏡像等3種部署形態。其中SAG 100wm/1000智能接入設備，支持由阿里雲CCN和CEN統一遠程管理、支持零配置自動安裝上線，可以部署在客戶各地分支機構和數據中心側，將客戶各級分支機構接入阿里雲CCN、CEN的主打產品。SAG-APP則可以在手機、電腦等個人移動終端一鍵部署，即可遠程SSL VPN接入用戶在阿里雲上虛擬SDWAN網絡，從而遠程訪問企業雲上、雲下IT業務應用系統；SAG 鏡像，則可在直接部署在客戶IDC虛擬機，即可就近接入到CCN各地POP點，實現POP點到客戶雲上雲下數據中心之間的阿里雲的高速、優質地網絡轉發。

本文我們主要介紹面向金融分支機構客戶SDWAN方案，那麼首先我們來了解一下，當前金融分支機構的廣域網現狀是怎樣的呢？

上圖為典型的全國性中大型分支機構客戶扁平化廣域網網絡設計架構，具體架構如下：
1) 數據中心之間通過多家運營商MPLS VPN網絡實現高速互聯；
2) 省級機構保持2條MPLS VPN線路，連接各個數據中心和總部機構，地市級機構只保留一條專線，另一條採用互聯網寬帶；
3) 各個營業網點通過 1條MPLS VPN專線或互聯網線路，連接交易所、總部機構、數據中心；
以上扁平化廣域網設計，可實現各級業務人員通過移動互聯網就能在線辦理客戶業務，各級辦公人員也可以實現通過ssl-vpn遠程安全訪問企業數據中心的各類業務系統。
但同樣，也存在如下的挑戰：
1、建設成本高：
總部機房和數據中心之間互連專線、省級/地市2條上行專線建設成本高，往往網絡佔到了IT總支出相對一部分的成本。
2、分支互聯網線路質量無保證：
分支機構跨省、跨運營商的互聯線路存在較大的時延、抖動、丟包等威脅，網絡質量可靠性不足。
3、分支網絡和設備運維量大：
三級骨幹網高SLA運維依賴內部3級機構協同配合，難以統一集中管理。各級分支機構接入網絡設備缺少自動化配置和一體化監管控能力。
4、未統籌考慮混合雲組網要求：
同時，隨著保險、證券業務應用逐步上雲，客戶的網絡架構也需要解決各級分支機構需要同時高速連接雲下和雲上部署的應用系統，如何低成本、平滑構建混合雲組網是面臨的一大挑戰。

解讀：金融機構廣域網發展趨勢

隨著我國金融機構的數字化轉型不斷深入，金融業務應用更加場景化、生態化、智能化。這些業務應用的發展趨勢，促使金融機構WAN廣域網向扁平化、在線化、服務化的發展。
而云計算服務，不僅是一種軟件定義IT基礎設施的技術架構，更是一種規模經濟、服務經濟、平臺經濟的商業模式。按需自助服務、敏捷彈性擴展、低成本高效、隨時隨地接入等雲計算的的特性價值將得到最大限度發揮。
隨著監管部門不斷開明開放、鼓勵支持、規範管理公共雲/金融行業雲的背景下，以互金、保險、基金為先鋒的金融機構，將會優先擁抱連接公共雲、行業雲。金融機構建設發展融合專有云、公共雲/金融行業雲的一體化混合雲架構，成為必然趨勢。這將促使金融機構廣域網，與公共雲/行業雲的廣域網，進行廣泛地連接和融合。

為了更好地服務好金融客戶，阿里雲網絡面向金融機構廣域網分支互聯場景，推出了阿里云云原生的SDWAN解決方案。

面向金融機構的阿里雲SDWAN解決方案

場景1-分支機構全面在線

目標場景：
• 全國多分支機構的保險、證劵、基金等金融類客戶。客戶原廣域網絡每個分支機構有2條專線與總部互聯。
• 全國性保險類分支機構，通過此方案與總部數據中心構造扁平化網絡改造。
方案介紹：
• 客戶國內分支機構，通過1條專線+1條互聯網寬帶或者1條互聯網寬帶+1條4G/5G，連接到阿里雲CEN雲企業網。
• 客戶本地數據中心，通過2條專線，就近連接到阿里雲接入點機房
• 客戶將基於阿里雲CCN、CEN網絡，建立自己專有的、覆蓋國內、海外扁平化、虛擬化SDWAN網絡，實現客戶雲下各數據中心、各級分支， 以及雲上各VPC網絡和互聯網出口等靈活互連的混合雲網絡。

場景2-分支機構混合在線

目標場景
• 已經在雲上/雲下分級部署了應用系統的大中型保險類客戶
方案介紹：
• 本地數據中心，通過2條專線，就近連接到阿里雲核心傳輸節點中某個城市的2個接入點機房，再接入阿里雲CEN。
• 客戶省分公司，保留1條原運營商專線連接本地數據中心，再通過一條專線就近連接到阿里核心傳輸節點中某個城市的接入點機房。雲下雲上WAN設備、連接，統一納入阿里雲SDWAN控制器集中管理。雲上雲下2條網絡連接，根據調度負責不同業務流量的路由，並相互備份。
• 客戶地縣區網點，通過1條專線（運營商MPLS VPN），1條互聯網寬帶或1條互聯網4G/5G，連接到阿里雲CCN雲連接網再到阿里雲CEN雲企業網。
• 客戶在香港或其他的海外數據中心，只需要租用戶1條海外專線連接阿里雲海外機房接入點，再租用一條海外互聯網線路，就可以與國內建立高速網絡連接。
• 客戶將基於阿里雲CCN、CEN網絡，建立自己專有的、覆蓋國內、海外扁平化、虛擬化SDWAN網絡，實現客戶雲下各數據中心、各級分支， 以及雲上各VPC網絡和互聯網出口等靈活互連的混合雲網絡。

針對以上兩種場景的方案，我們總結了以下幾點阿里雲SDWAN方案價值：

• 成本節約：客戶可節省原大量骨幹網構建的設備採購，線下分支通過SAG或物理專線即可就近接入阿里雲全球傳輸網絡。通過阿里雲SDWAN線路替換其中一條省會、地市2條長途專線，大幅降低網絡成本。日常維護運營成本也將大幅下降，無需5年一次WAN全面升級換代，總體成本節約35%-45%。
• 安全可靠：各級分支機構互聯網就近連接阿里雲全國的POP點，POP點通過多條運營商專線連接阿里雲CEN。配合阿里雲內部SDWAN的秒級鏈路質量檢測能力和智能調度，為用戶提供質量高於傳統互聯網VPN的接入服務。
• 混合組網：客戶可分鐘級在線自助開通任意2機構之間的網絡互連接，打造線上/線下一體化混合雲容災架構。也可以與雲上其他企業之間對等自助開通任何兩點間的網絡連接，迅速構建對接的網絡互聯。
• 敏捷彈性：在線分鐘級帶寬自助擴縮，大量擴展分支機構，無需新增本地DC設備。同時也利用阿里雲全球傳輸網的優勢快速擴展出海機構業務，完成全球一張網的互聯。
• 簡單運維：SAG零配置自動上線、鏈路端到端健康檢查快速故障監控和切換、集中自動配置QOS和安全策略。雲上雲下網絡設備、鏈路、流量狀態集中可視化管理，大幅降低企業IT運維壓力。

通過對阿里雲面向金融分支機構的SDWAN兩個場景化的解決方案介紹，我相信大家對阿里雲SDWAN的能力及價值有了初步的瞭解。下面我們也來分享一個阿里雲在某金融機構的最佳實踐。

某金融客戶WAN網絡現狀：

• 雲下兩地災備IDC，雲上兩地2個容災中心架構。雲下2個數據中心之間租用2條MSTP物理線路。同時，兩地數據中心各租用2條MSTP線路連接本地阿里雲。
• 全國30+家省級分支機構各租用2條MPLS VPN線路，接入北京、上海2個雲下數據中心。
• 全國300+個地市級分支機構各租用1條MPLS VPN線路、1條互聯網VPN線路，分別接入北京、上海 2個雲下數據中心。

結合當前客戶的廣域網現狀，我們提出了以下的優化改造方案：

• 雲下2地數據中心，各通過2條1G MSTP線路連接本地阿里雲
• 省級分支機構原有2條MV專線，利用SDWAN線路替換1條MV線路。
• 地市分支機構原有1條MV專線、1條互聯網寬帶專線，改為1條阿里雲寬帶互聯網CCN連接、1條阿里雲4G互聯網CCN連接。

改造成本對比

除了在建設成本的優化，利用阿里雲SDWAN的敏捷彈性，客戶可以根據業務的需求靈活的調配SDWAN帶寬，做到針對的網絡為業務服務，進一步地提升了運營效能。利用阿里雲SDWAN的簡單運維的特點，客戶可以實現雲上雲下統一的可視化監控管理，讓網絡做到真正的可管可用。同時，基於阿里雲SDWAN全球一張傳輸網絡的優勢，地級分支機構只需就近加密加入阿里雲pop即可完成分支總部的核心傳輸網互聯，避免了原有跨省、跨運營商的公網時延、抖動、丟包對業務帶來的可靠性影響，進一步地提升了總部分支機構廣域網的網絡質量，確保業務的穩定性。

寫在最後

與其他廠商的SDWAN方案相比，阿里雲提供的是一站式雲網端“雲原生”的SDWAN解決方案。從18年推出智能接入網關作為阿里雲SDWAN的CPE角色，也是阿里云云網一體化的一次新嘗試及突破。
經過兩年多市場的歷練和考驗，阿里雲SDWAN已經在金融、傳統政企、跨國集團、零售門店等多個領域落地了最佳實踐。我們希望通過阿里雲計算網絡的技術和產品，能夠服務更多的客戶，在為用戶提供更加方便快捷的上雲服務同時進一步放大雲計算的優勢和效能，為企業客戶提供一張自服務、便捷、高質量的廣域網服務。