华智达：极简化SD-WAN系统

第二届中国SD-WAN峰会于11月16日在北京盛大开幕，南京华智达网络技术有限公司副总经理汪军为大家分享了主题为《极简化SD-WAN系统》的演讲。

汪军先生说华智达的业务范围主要包括量子保密通信、SD-WAN以及开放网络产品。

SD-WAN应该是什么？

对于大部分企业而言，应该聚焦于自己核心业务，所有非核心业务都应该简化、外包。

网络作为一种基础设施，应该像水/电一样随时可用，网络设备应该像家电一样简单，一页纸说明书，免维护。

随着经济的发展，人均成本上升，而有形产品本身成本占比必然下降；降低人工成本是所有企业运作中重要的一个环节，降低人工成本不是要压缩人员薪酬，而是要用自动化手段代替人工，所有需要复杂人工维护的产品和解决方案必将被淘汰 。

SD-WAN到底应该是什么？也就是SD-WAN前面的SD，有专家给它做了不同的定义，有人叫它Software Driven或者Scene Defined。软件是运行在硬件上的数据指令，而网络本身就是软件化的,我们今天所说的软件定义不仅是指设备层面的软件定义，更注重系统级的软件化。从规划、设施、部署到运行全流程的自动化，这才是所需要的SD-WAN。

光自动化还不够的，非核心的业务要外包化，简化到极致，就是说资产也应该重置，让重资产的服务商提供这样的服务。拿计算类比，早期的物理计算是资源独占，人肉运维，到互联网时代应该是软件运维。

很多SD-WAN企业和专家都想用开源网络构建系统，这种系统号称能够支持几乎所有场景，但是针对每个特定场景都需要大量的订制开发才能够使用。此外开源社区运作目标、社区参与人的目标和高质量产品的目标交集很小。

现有网络厂商一般有一个典型做法，把现有的一堆设备加上网管，打包成个SD-WAN解决方案。这样做的好处继承了原有网络成熟的功能组件，基本网络功能齐全、稳定；沿用原有的标准化接口，可以快速推出解决方案；部分沿用原有的网管操作模式，对于老客户来说容易上手。缺点是原有的设备、网管都是大而全的系统，整体系统较为臃肿，资源消耗较大；NetConf等标准接口面向人-机交互配置，并不适合高并发、自动化的场景；传统的OSPF/BGP网络协议并不适合单一拓扑域内数千、上万设备的场景。

华智达ANP方案

汪军先生在分享华智达的解决方案之前，介绍电信的移动网。他说移动网可以认为是构建在Internet上面的一张Overlay叠加网。MME来进行认证，加上SIM机制，构建一个全球的Overlay的网络，支撑了全球70多亿移动用户的接入，华智达的ANP SD-WAN系统借鉴并采用了类似的设计理念。

如果拿SD-WAN和3GPP移动网络对比，可以理解为将IMEI对应CPE硬件SN号，IMSI号对应的是设备公钥的Hash值(DeviceId)，从设计上把安全和认证都内置到系统基础体系中。整个体系从底层来讲就是安全的，不存在仿冒节点认证的问题。可以将移动网的eNodeB、xGW对应SD-WAN的Service Node上，MME/AMF对应控制器，也可以把节点认证从控制器中独立出来，比如采用类似于移动HLR/HSS这样的独立数据库，甚至可以做企业的二次认证。GTP-U隧道，对应到VXLAN/GNENVN VER IPSec，通过标识和设备的分离,类似于MME动态指派xGW的POP点选择能力，才能支撑全球百万级设备的接入。

基于上面的设计，华智达愿景是构建一个全球云化网。无论何时何地，只要有网络接入，无论是有线、无线都能接入到华智达Overlay的网络中。

华智达ANP平台的名字原意是“自治网络系统”，专门为自动化网络控制而设计。

• 统一平台，自治网络平台
  • 从控制平台到协议为自动化专门优化设计
  • 统一控制/管理平台
  • 统一转发面平台，ANP-OS
• 敏捷业务控制协议，ASCP，Agile Service Control Protocol
  • 基于gRPC， Protobuf+HTTP 2.0
  • 内置配置对账支持
  • 内置分布式一致性支持
• 安全
  • Zero-Trust模型支持
  • 端到端安全传输，VXLAN Over IPSec
• 小而美
  • 极少的资源占用，极致客户体，功能按场景设计、极度简化；控制器最小配置2vCPU、2GB内存
  • 即插即用、无感知自动升级

华智达ANP SD-WAN解决方案分三大部分：

• SD-WAN控制器：ANPM管理平台与ANPC控制平台
• 汇接点：ASG2000v /ASG2000，企业总部、园区核心、云端POP节点
• 分支接入点CPE：ASG1000/ASG1200，零接触安装，内置防火墙，支持网络微分段与边缘计算

华智达SD-WAN企业方案特点如下

• 企业分支通过Internet与总部建立IPSec VPN专网
• 支持业务自动开通、安全策略、应用识别统一定义与管理
• 基于证书的CPE身份认证，VXLAN+IPSec保证网络通信的安全
• 多出口管理，基于应用的QoS和出口选择，保证生产型应用带宽

上图是华智达SD-WAN运营系统，除了本身多用户的支持之外，在设计上华智达还做了一些其他特殊的处理，具体如下：

• 层次化设计，多租户架构，海量租户支持
• 用户自服务，企业VPN业务开通即插即用，多WAN出口智能优化选择
• 运营商负责业务的自动编排,企业通过internet自动与POP点建立基于IPSec VPN的企业虚拟网
• POP点支持公有云虚拟机、裸机实现，也支持自建物理POP点与vPOP点
• NFV的按需订购，在云端统一实现安全与增值业务的统一编排与调度

量子保密听起来很时尚，其实是基于BB84协议加上一些偏振特性进行密钥分发。并没有改变华智达底层的加密方法。为什么要研究量子计算？从量子计算的进展可以看出量子计算是矛，加密是盾，量子密钥交换是一种无条件的安全。量子加密有如下特点：

• 有直连光纤条件的站点之间采用QKD进行密钥协商
  • 采用BB84协议，利用光量子的偏振特性来进行密钥分发(QKD）
• 无直连光纤的站点采用量子冲注密钥TF卡，设备插入TF密钥卡，由QSS系统控制进行密钥交换
• 量子密钥分发和基于国密的IPSec VPN或VXLAN over IPSec VPN结合实现端到端加密

上图展示的是华智达ANP业务控制协议架构，可以认为是私有协议，除了正常的配置之外，实际上内置的是面向可运营的节点和整个生命周期的管理，类似于密钥分发的机制，还有一个对账机制。其协议特色如下：

• 基于gRPC的高性能接口，配置、操作维护和性能监控通道分开
• 内置面向可运营的节点认证流程和节点生命周期管理
• 内置密钥分发流程，生成VPN隧道认证的一次性密码
• 内置对账机制的支持
  基于Merkle树的对账设计
• 每一条记录采用UUID、Timestamp在时空两个维度标识唯一性
• 计算Merle树Hash值只用uuid+ts值，不用整个记录参与计算，简化实现
• 表项用Timestamp过滤本身可以实现“动态快照”功能

上图是ZTP的解决方案，部署认证的过程如下：

• CPE出厂时预装数字证书，设备通过官网获得控制器的IP地址，通过认证连接相应的控制器。
• CPE用自身证书私钥加密设备ID等信息后，向控制器发起请求，控制器通过CPE的公钥解密相关信息，如果CPE是合法且有相关授权，控制器会告知CPE应该接入的POP节点。
• 控制器产生一次性密钥并告诉CPE与POP点网关，一次性密码用于CPE与汇接点网关建立VPN连接。
• CPE与汇接点采用一次性密钥匙建立VPN连接。

安全方面，除了内生的数字证书，还有微分段。采用微分段支持不同的分支或业务处于同一个安全域，或者同一个分支的不同业务处于不同的安全域，通过微分段、安全组提供更细颗粒度的安全保障。

还有面向将来运营Overlay的应用层智路选路优化，由于运营商互联互通策略、链路带宽以及链路的动态质量问题导致两点之间未必直线最短。华智达ANP方案支持Overlay层面基于路径质量的路由计算，从而实现网络质量的优化。

华智达运营级规模组网，采用分层架构设计，根据业务发展平滑扩容，支持百万级别的节点接入SD-WAN控制器ANPC/ANPM负责POP节点（ASG2000v/ASG2000）的管理，同时负责CPE开通与服务计费；每套SD-WAN控制器可控制2000个POP节点 ；POP节点受ANPC控制，在充当虚拟化汇聚安全网关，处理路由、VPN、策略的同时，还支持ANPC控制器代理能力，负责汇聚连接的CPE的控制和监控通道，从而实现支持百万数量的CPE。

华智达SD-WAN解决方案还支持缘计算的场景。在控制器统一做镜像运营周期管理，轻量级的，只要部署一个简单的OS系统，目前ARM的CPE支持进程和容器的方式，X86 CPE还支持虚机的模式。该系统无需额外部署诸如OpenStack、K8S这样的虚拟化或容器编排系统，极度简单，轻巧。

上图是华智达的产品介绍，包括最小系统的CPE、控制器和虚拟网关。但是华智达目前的主营产品是ANP软件解决方案，对于CPE硬件设备，正在和多个ODM厂商展开合作，未来将推出更多的面向不同规模分支的CPE设备。
汪军先生最后总结了此次演讲的主要内容：

• 华智达ANP以提供极简化系统、持续降低客户成本作为设计目标
  • Plug & Play，免维护
  • 低成本的CPE设备
  • 极小资源占用(2vCPU、2GB RAM)的控制器软件系统，降低云端部署成本
  • 集成网络和计算组件的调度，支持边缘计算场景
• 向移动网看齐，支持可运营的大规模系统
  • 集成多租户、节点认证和POP点动态指派能力
  • 支持层次组网以实现超大规模可运营网络