刷快手点赞网站免费 - 快手秒刷播放全网最快_快手粉丝超低价网站卡盟

自助下单地址（拼多多砍价，ks/qq/dy赞等业务）：点我进入

作者简介：山东未来网络研究院（紫金山实验室工业互联网创新应用基地）专家杨文斌； 北京大地云网络技术有限公司技术总监，在SDNLAB发表多篇“网络老工”文章。

编者按

SD-WAN已经过了炒作，进入了应用。 根据IDC报告，2022年上半年中国SD-WAN市场规模为1.2亿美元，同比增长45.8%。 随着SD-WAN组网方案的不断发展和成熟，预计其后续部署仍有很大潜力。 目前大部分关于SD-WAN的文章都是从市场分析和技术方案的角度展开的。 这篇文章的作者有一个独特的方法。 结合自身数十年的网络经验和数年的SD-WAN经验，介绍SD-WAN运维的相关经验。 . SD-WAN实际运维会面临哪些棘手问题？ SD-WAN产品设计对运维有何影响？ SD-WAN 有哪些开源工具？ SD-WAN 从业者需要哪些技能？ 一起来看看吧。

虽然SD-WAN从部署和用户的角度来看非常简单，但是SD-WAN的运维并不容易：SD-WAN运维的过程涉及产品能力理解（产品能力或设计架构）、客户环境issues故障处理、互联网底层问题、组网设计、软件迭代开发与发布、业务流程管理、与其他系统对接等，涵盖面广。

作为SD-WAN创业团队，我们需要支撑数十家大型基础运营商、服务商和企业复杂的SD-WAN二线运维。 虽然是二线支持，但有时客户的基础环境会出现问题（比如互联网和防火墙配置导致SD-WAN业务出现问题，通常80%以上都与基础环境有关），我们也需要参与分析和故障排除。

SD-WAN作为网络领域一项既浪漫又实用的技术，具有极简部署、一键组网入云、统一配置策略管理和运维管理等特点，本人非常看好。 本文将重点介绍笔者在SD-WAN运维过程中常用的网络技术、开源工具和解决问题的经验。 同时感谢多年来在一二线并肩作战的SD-WAN运维网络。 工人和研发网络工人。

SD-WAN产品能力

产品本身的设计和自愈能力，尤其是控制器的架构设计，在SD-WAN运维和支撑中非常重要：事实上，在光鲜亮丽的SD- WAN光环，SD-WAN多为大型服务商在多租户场景下使用，SD-WAN运维保障和后台支撑压力大。

在市场推广SD-WAN时，部署和运维的简化是一大亮点。 但是，真正的运维接手后，客户环境就大不一样了。 会经常出错，还要考虑基于互联网的SD-WAN会不会不稳定，客户的SD-WAN系统会不会宕机，技术人员有限如何支撑上千台多租户CPE ...

下面说说几款SD-WAN产品能力对运维的影响：

由于SD-WAN基于互联网组网技术，CPE连接控制器和POP系统基本都是基于互联网实现的，而互联网的可靠性和尽力而为机制存在一定的局限性或薄弱环节，这就需要SD -WAN控制器对系统，尤其是CPE（承载租户服务）具有很强的容忍度和自愈能力。 可以说，系统设计架构是决定SD-WAN可靠性能力的重要因素。 前几年讲过SD-WAN的四种业务场景架构（），今天讲一下当前SD-WAN行业中几种典型的转控分离设计架构。 ).

# 强控制模式

数据流的数据包或第一个数据包的处理是基于控制器的参与，这通常基于基于OpenFlow的SDN/SD-WAN技术架构。 本设计属于强控模式，控制器出问题会直接影响流表的转发。 它极大地影响了系统的稳定性和性能，已经基本被淘汰。

#中控模式

该网络基于SD-WAN路由反射器设计。 RR是控制层的核心组件，主要负责网络控制。 RR参与或负责租户VPN路由的分发和过滤，VPN站点间Overlay隧道的创建和维护。 在中控模式下，RR的稳定性和性能也会对整个网络产生很大的影响（虽然RR有后备，比如MPLS RR也很稳定，但是在互联网环境下一​​切都有可能），SD - 面向大型服务提供商的 WAN 建议对多租户网络进行仔细评估。

# 弱控制模式——或真正的分裂控制模式

在规划和设计SD-WAN架构时win7 udp通讯不通，控制器只负责配置策略、系统管理和监控。 在转发层面，CPE根据控制配置策略在本地实现租户VPN路由学习，类似于数据中心SDN+VXLAN/EVPN的思路。 以TerraEdge为例，可靠性设计有以下三个坚定的原则和设计理念：

1）SD-WAN控制器不参与转发面

2）即使在正常运行过程中控制器通信丢失，也不会影响业务

3）即使控制器掉线或掉线，转发面（CPE和POP）设备自愈能力强，客户CPE业务不受影响，可自动修复自愈和路由选择现有策略

我经常和朋友讨论SD-WAN和传统路由器网络最大的区别。 我会毫不犹豫地说，它是基于 POP 站点的智能检测和路由算法。 IP网络已经发展了几十年，但服务保障SLA/QOS却是千年难题。 传统网络基于IP QoS技术中的两种服务体系：IntServ和DiffServ。 DiffServ是一种基于类的QoS技术，没有端到端的QoS能力； IntServ是一种端到端的基于流的QoS技术，但是节点/网络的管理和配置是一项复杂而艰巨的任务，难以大规模部署。

SD-WAN系统POP点的检测和切换策略是SD-WAN系统成功与否的关键。 客户设备CPE智能检测互联网网络服务质量，选择最佳POP站点（POP站点通常推荐多运营商出口），并实时监控和自动切换，该机制可以解决互联网SLA质量问题和交叉-目前运营商瓶颈问题得到很好解决，保证核心业务接入有更好的体验。 我们研究了一种基于POP点服务质量检测和切换策略的TerraFlow网络机器算法模型，包括延迟、抖动、丢包、带宽、路由切换、路由防泄漏、稳定性等约束条件进行自动检测和隧道管理。 同时，POP算法还引入了多隧道机制和Active/Active机制，既解决了互联网SLA质量问题，又保证了可靠性。

CPE加密端口动态调整：由于各种情况，互联网经常出现加密端口阻塞、SD-WAN加密端口号协商、VPN加密端口自动调整等情况。 例如，支持动态调整IPSEC SSLVPN端口，实现复杂环境下的业务在线。

CPE MTU动态检测和调整：通常VPN技术中的MTU问题是个让人头疼的问题。 我们在 SD-WAN 中增加了 MTU 检测和调整以及 DF-BIT 清除，以使网络更加健壮和易于使用。

基于多租户的分层分权分域管理是SD-WAN系统运维管理和安全的关键。 以TerraEdge账号管理为例，角色支持三个级别：系统管理员、合作伙伴管理员、租户管理员。 不同的账号可以拥有不同的可视化界面管理权限和资源管理能力。 该功能对于大型服务商或基础运营商非常有用，既有利于业务扩展，也有利于系统的安全运维管理。

SD-WAN常用的开源工具

俗话说，工欲善其事，必先利其器。 SD-WAN开发设计通常会用到很多开源技术，例如：ODL、ONOS、RYU、SpringCloud、kafka、mysql/mongodb、Grafana、K8S/Docker、Linux/Openwrt、Nginx、FRR、VPP/DPDK、NetConf/杨模型等开源技术； CPE硬件开发还会涉及Arm、x86、Wi-Fi、4G/5G及相关Linux Kernel/Driver等适配工作。 SD-WAN 是 NetDevops 的成功模型之一。 对于SD-WAN运维和技术网络工作者，不仅需要了解产品设计的相关开源技术，还需要熟悉相关的开源工具，包括Linux相关的网络工具。 下面介绍一些常用的开源运维支撑工具：

简要说明：Jumpserver是一个开源的堡垒主机系统，由Django使用python开发。 与普通跳板主机相比，堡垒主机可以看作是跳板主机的升级版。 为互联网企业提供认证、授权、审计、自动化运维等服务。 功能。 在SD-WAN体系中，Jumpserver是一个非常好的运维工具。 使用Jumpserver堡垒机登录控制台和POP节点作为运维平台，有利于安全管理和溯源记录。

此外，SD-WAN系统是多租户设计。 由于租户的CPE系统没有带外管理和公网地址，管理CPE成为一个挑战。 为此，SD-WAN厂商通常会提供一些手段来防止CPE出现异常。 登录CPE进行排错（CPE专用跳板系统就是工具之一）。 考虑到安全性，通常只有管理员账号才有权限在租户的许可下登录CPE。

Jenkins：4星推荐指数

简要描述：Jenkins是业界完成CI/CD持续集成和持续部署的最佳工具。 它用于自动化各种任务，包括自动编译、分发、部署和测试。 在SD-WAN体系中，除了软件的迭代开发和持续测试外，还可以基于Jenkins做系统运维数据备份，以防灾备。 不要小看这个备份。 SD-WAN控制系统管理全网的资源、POP和CPE配置，SD-WAN控制平台运行在互联网接入环境中，自然风险会相对增加。 因此，SD-WAN系统运维数据备份与生产运营直接相关，至关重要。 此外，SD-WAN软件版本的灰度发布也可以由Jenkins管理。

ZenMap：5星推荐指数

简要说明：ZenMap是安全扫描工具NMap的官方图形用户界面，是一款开源的网络检测和安全审计工具。 使用 Zenmap 工具快速扫描大型网络或单个主机以获取信息。 比如扫描主机提供什么服务，使用的操作系统等等，是SD-WAN网络管理员必用的软件之一，强烈推荐SD-WAN运维人员使用。

在SD-WAN环境下，CPE通过Internet连接控制器和POP节点，建立到POP节点的IPSEC/SSL/国密安全隧道。 我们遇到的最常见的问题是 VPN 隧道的建立。 CPE在客户端，有时客户端环境“非常复杂”或者有很多复杂的安全限制，或者客户端的ISP服务商也会有一些限制。 如何判断controller和POP节点的Internet协议和端口是否正常，ZenMap会是一个很好的手段或工具。 如图所示：

邮递员：推荐指数3星

简介：Postman是与研发人员很好的“沟通桥梁”。 Postman是一个接口测试工具。 在做接口测试的时候，Postman相当于一个客户端。 它可以模拟用户发起的各种HTTP请求，将请求数据发送到服务器，并获取相应的响应结果来验证响应。 结果数据是否符合预期值； 并确保开发者能够及时处理接口中的问题，从而保证产品上线后的稳定性和安全性。

在SD-WAN系统中，功能不断迭代开发。 客户通常有自己的业务入口和编排系统，通过RestAPI调用SD-WAN控制器，实现统一的业务管理和运维。 Postman是一个偏向于开发的接口。 作为测试工具，如果SD-WAN网络工作者掌握了这项技能，就可以与客户的业务系统开发人员有更多的共同语言，展现SD-WAN网络工作者的能力和强大魅力。

Ansible 和 Python：推荐 4 星

简要说明：在SD-WAN运维中，实际上是将DevOps的概念引入到网络领域的典型场景（NetDevOps）中，利用技术和工具来提升自动化运维水平，目标是实现自动管理网络。 这就需要SD-WAN网络工作者在传统复杂网络协议的基础上增加可编程性和自动化脚本编写技能。 其中Ansible和Python已经成为SD-WAN运维网络工作者的必备技能和技能之一，也是提升日常管理的必备技能。 、系统备份、故障处理效率、运维效率是重要的手段和工具。

TCPDump：推荐指数5星

简要说明：TCPDump是一款数据包分析工具，可以根据用户的定义截取网络上的数据包。 它可以完全拦截网络中传输的数据包并提供分析。 它支持对网络层、协议、主机、网络或端口进行过滤。

在SD-WAN系统中，controller/POP节点和CPE在防火墙测试中基本都是做NAT。 我们遇到过很多客户抱怨隧道没有正常建立，或者很奇怪的现象。 经过排查，终于发现是防火墙NAT不正确或者生成了异步路径。 这个时候强烈建议通过TCPDump抓包检查源IP地址和NAT是否正确。

iperf3：推荐指数4星

简要说明：iperf3是一种广泛使用的网络性能测量和调优工具，用于主动测试IP网络上的最大可用带宽。 它支持与时间、缓冲区、协议（TCP、UDP、SCTP 和 IPv4 和 IPv6）相关的参数。 可以创建数据流来测量两端之间单向或双向的网络吞吐量。 典型的 iperf 输出包括带时间戳的数据传输和吞吐量测量报告。

在SD-WAN中，有时由于各种原因，CPE的带宽很难达到客户的预期。 iperf3 streaming已经成为网络工作者的必备技能，有时需要调整TCP Window Size设置窗口大小。 iperf3中有很多参数，比如：其中一个-R以反向模式运行（server端发送，client端接收），挺有意思的。

iptables：推荐指数4星

简要说明：iptables命令是Linux上常用的防火墙软件，是netfilter项目的一部分。 iptables是利用包过滤机制来工作的，所以它会对请求的包的包头进行分析，并根据我们预设的规则进行匹配，从而判断一个主机是否可以访问。

SD-WAN场景：SD-WAN基本上都是基于Linux开发或部署的。 SD-WAN的系统安全极其重要，经常会遇到各种补丁风险和漏斗。 没有软件是完美的。 通常软件补丁更新都有滞后期，但有时也不需要经常修改。 熟练使用iptables对系统进行加固，并在出现风险或漏洞告警时调整访问策略，也是SD-WAN网络工作者的基本技能。

nc命令端口检测：推荐指数3星

简要说明：在Linux中，可以使用命令行工具nc来判断指定端口的TCP和UDP连接是否畅通。 通常SD-WAN系统都是基于Linux开发的，nc命令使用起来比较简单。 我用的是Mac电脑，Mac也可以使用nc命令作为端口检测的客户端工具，但感觉MACBOOK NC端口检测有时不准确，我更喜欢用Zenmap。

网络能力和肖像能力

基础网络技术：5星推荐指数

简要说明：SD-WAN是基于网络技术发展而来的。 基础网络技术，尤其是WAN路由器和VPN技术，是SD-WAN运维人员的基本功。

SD-WAN技术的自动ZTP、自动检测、自动组网，从用户的角度来看只是简单的配置，但由于SD-WAN的内部设计依赖于复杂而健壮的BGP或IGP协议以及众多的网络和VPN技术，SD-WAN运维排查人员还需要具备扎实的WAN路由技术和VPN安全技术背景，包括各种路由技术、GRE/VXLAN、DNS、MPLS\SR（集成MPLS网络）、IP QOS、负载共享加速、FEC/BBR、VPN加密技术、DPI、SASE、security/NAT、SDN等网络协议或技术有全面的了解。 同时，在大规模的多域云网络环境中，也需要对云网融合有一定的了解。 平时懂网络技术，尤其是有动手经验的人，比如CCIE/CCNP技术人员，支持SD-WAN会比较舒服。 这个相信搞互联网的都懂，我就不赘述了。

逻辑思维和想象能力：推荐指数5星

确定问题的关键：善于运用以上技术经验和开源工具。 在深入了解产品的基础上，还需要具备排查问题的逻辑思维能力。 几个可能和最有可能的幻觉线索。 如果客户投诉CPE隧道问题，是CPE和controller之间的通信问题，还是CPE和POP之间的问题，还是CPE本身的Internet问题； 是加密隧道口的问题，还是NAT防火墙的问题，还是MTU的问题？ 这就考验工程师的经验和逻辑思维能力了，能根据问题快速画出逻辑图，同时根据初步判断和Log进一步分析。 除了逻辑思维能力，还可以建立研发、售前、售后的共享知识库。 运维同事可以从研发中获得第一手的产品设计原理和知识经验，快速解决客户问题。

结论

作为一名资深网络工程师，经历了30年网络发展的风风雨雨，从X.25、IPX、SNA、ATM/MPoA、GE/IP、MPLS、VXLAN/EVPN、SRv6、SDN到如今的互联网时代在多云时代SD-WAN。 SD-WAN是云网融合时代的后起之秀。 虽然没有带来划时代的新标准和新协议，但SD-WAN融合了各种网络技术，打磨成组网极简的新服务模式。 用户只需轻点鼠标win7 udp通讯不通，即可实现自动上线、云接入、企业组网等一站式云联网服务。 他们不再为复杂的路由协议配置、网络和路由环路、VPN加密策略、备份切换等烦恼，可以轻松实现全球分支机构的联网上线（有时我喜欢把SD-WAN比作“微信” ”在网络领域）。

但这背后需要SD-WAN后台网络工具具备更扎实的网络基础知识、多样化的开源技能和逻辑分析经验，以及一定的编程和脚本编写能力。 本文提到的开源技术或网络工具只是我们日常运维中使用的冰山一角，篇幅有限，很多细节无法展开。 最后，谈谈我对SD-WAN技术未来发展的个人看法：

1）SD-WAN通用协议或标准规范：实现多厂商控制器与POP/CPE分层解耦和多厂商互通（目前是每个厂商管理每个设备，短期内估计难以实现）；

2）E2E端到端智能检测与算法，如机器学习与E2E检测与算法的深度结合，SD-WAN服务质量检测与确定性网络技术的结合，E2E隧道向云端的延伸， SRv6流量工程，实现端到端的多域云网协同编排和服务能力；

3）基于机器学习的网络算法、模型和分析工具，简化后台运维故障排查、风险监控和预警分析，解放SD-WAN运维网络工作者，让支持更简单。

IT 在不断发展，我们一直在努力。