A君是某银行海外分行的一个员工,在柜台负责新开户业务。最近不知什么原因,与总部间的通信总是时断时续,完成一个业务要花平常几倍的时间。排队等候的顾客们很不满,A君也很郁闷。在跨区域安全通信的场景中,A君的烦恼不是个例,这种情况比比皆是。烦恼背后的技术原因,是分支与总部间的VPN连接不稳定。
什么影响了企业的远程业务体验
当前,出于成本的考虑,绝大多数企业的远程业务都使用了基于广域网的VPN网络,专线仅用于少数场景。那么,是什么影响了它们的使用体验?
首先,承载VPN的物理链路通信不稳定。VPN质量依赖于其下层的物理网络。大型企业横跨不同地区,接入到不同运营商的Internet,存在各接入质量不一、链路利用效率低下、QoS无法保证等问题。
其次,VPN故障解决时间长。现有设备对VPN故障的监控和处理主要依赖于人,一个故障从发现到解决往往需要几小时。长时间的故障解决放大了VPN的不稳定对业务的影响。
第三,频繁切换或不及时切换。VPN故障时,重建的隧道可能因质量问题短时间内再次中断。此外,大多数设备仅检测连通性评估VPN质量,这种方法不够准确,将导致VPN切换不及时。
第四,VPN上无法做到细粒度的业务管理。所有业务流量共享相同VPN隧道,无法根据应用进行区分。因此,在构建VPN时,要么要按全部流量的容量,花费高昂代价租用的链路,却只为满足少量业务的苛刻要求;要么考虑成本,所有的业务都忍受恶劣的体验。大多数企业都选择了后者。
“VPN智能选路”技术提升远程业务体验
华为“智能选路”技术在企业总部和分支之间,将多条VPN加密隧道分为一组或多组,并根据应用和隧道质量调度流量,从而提升远程加密数据业务的使用体验。这些VPN隧道可能基于多种接入方式(Internet、专线、无线宽带)和不同运营商接入。采用这种技术,有几个优点:
第一,业务稳定性更高。当其中一条隧道的质量下降或中断,这条隧道承载的业务会根据负载均衡算法自动切换到其他隧道上。通常会使用不同运营商的多条接入,或采用Internet链路与无线宽带组合构建VPN隧道组,最大限度确保了可靠性。
第二,故障解决时间更短。VPN的故障检测、业务切换都是自动的,无需人工参与。故障发现和恢复时间由数十分钟缩短到“秒”级。管理员对VPN的管理从“每条隧道”简化为“一组隧道”,提高了管理效率。
第三,切换总使质量变得更好。实时检测VPN隧道质量状态时,根据丢包、抖动、时延等多项指标综合打分,评估隧道质量,切换的判断更准确。使用基于质量的选路算法,无论是初始选择还是故障切换,总会选择质量最优的VPN隧道。既避免了质量差时不切换,又避免了频繁切换。
第四,基于应用选路,平衡成本和体验。对不同应用的流量,可以采取差异化的VPN智能选路算法。基于应用选路时,仅需为少量关键业务选用高质量(高费用)链路建立VPN隧道组,其他业务选择一般 (廉价) 链路构建的VPN隧道组。在成本和业务质量诉求上取得平衡。
华为的“VPN智能选路”技术有效增强了VPN网络的稳定性。传统的VPN故障发现依赖于人,时间通常需要几小时,使用该技术可缩减到“秒”级;故障恢复时,该技术选择了质量次优的隧道作为替代,将创建新隧道和切换业务的工作由“人工”变为“自动化”进行,故障恢复时间由“分钟”级缩短到“秒”级。该技术已经包含在华为USG6000下一代防火墙中,并在海内外的大型企业分支中得到了成功应用。
“公有云”时代的关键技术
随着互联网经济的不断发展,“云”化成为一种趋势,企业需要更多的与云连接。IDC《中国公有云服务追踪研究,2014上半年度》报告表明,2014年上半年中国公有云服务市场整体规模达到3.27亿美元,全年预期将达7.17亿美金,同比增长46.7%。2015年至2018年,公有云服务市场将持续高速增长态势,年均复合增长率将达到33.2%。在可见的未来,企业用户将业务切换到共有云上已经成为不可逆转的趋势。在这种趋势下,企业会更多地依托公共Internet建立VPN网络,业务对VPN网络的可靠性要求更高。“VPN智能选路”技术通过对一组VPN隧道的实时监控和优选切换,减小了Internet不稳定性给企业带来的影响。对平衡大型企业远程安全互联的质量和成本,起着至关重要的作用。
