作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。

在NSX SD-WAN的架構內,無論是在分點到資料中心,或是在Edge到雲端Gateway之間的SaaS / Public Cloud的連線,都會透過Velocloud專屬的機制來優化Application的傳輸表現。這個機制叫做DMPO (Dynamic Multi-Path Optimization, 動態多路徑最佳化)。接下來的文章內我們要和大家介紹DMPO的內部機制,解釋為何企業採用NSX SD-WAN的方案時,核心的業務系統即使透過價錢相對低廉的Internet / 廣域網路方案傳輸,仍然可以保持良好的應用傳輸品質。

DMPO是一個Tunnel機制,使用UDP 2426 Port在端點間進行傳輸。所有在DMPO Tunnel運作的traffic都會自動進行加密。在下列的情形內,Velocloud方案會建立兩個端點間的DMPO Tunnel機制:

1. 企業內部的應用傳輸,由外點與資料中心之間,或是在外點與外點之間。此時,在外點安裝的Edge以及在資料中心或另一個外點間的Edge間,會建立DMPO通道

2.企業用戶往於Public Cloud上租用環境內的應用進行連線。企業可以在比如說AWS EC2等公有雲廠商的環境內,以虛擬化的方式建立Edge。此時各外點的Edge設備也可以和這個在公有雲的Edge設備間建立DMPO通道。

3. 往SaaS雲服務的應用傳輸。此時在本地端的Edge設備會與Velocloud在SaaS服務地點所建立的Gateway間,建立DMPO通道

4. 某些企業自己的資料中心並未安裝Edge,但可以用IPSEC機制與較近的Velocloud Gateway建立連線。此時當用戶要使用這些資料中心內的服務時,本地端的Edge設備可以與這個Gateway間建立DMPO通道,再透過IPSEC加密連往資料中心

5. 其他還有包括像連往第三方雲端安全服務提供商(如zscaler)作防火牆、網站過濾等功能時,Edge與建立在這些雲端安全服務提供商的Gateway間也會建立DMPO通道

有沒有哪些Traffic在Edge傳輸時會不受DMPO機制保護的呢?當然有,比如說分點的用戶要連去Netflix看影片,去Instagram看好友照片,這類的Traffic會被選定為直接送往Internet連線,就不會以DMPO通道來傳輸了。

在本篇或後續我們談到的DMPO通道,其實Velocloud有取一個正式名稱,叫做VCMP (Velocloud Management Protocol),實務上會在封包前加上一個59-byte的表頭。在後面談到的包含品質檢測、QoS控制、錯誤修正等資訊都會包含在這個Velocloud的專屬協定表頭內。在本系列網誌內,無論我們講的是VMPO通道或是VCMP,指的是同一個東西。

在Velocloud Edge或是Gateway間所建立的DMPO通道內,設備會進行下列的測試與持續性的監控,以確認連線以及應用傳輸的品質。我們簡述如下:

線路頻寬檢測:

當外點的Edge設備連接到一條Internet線路時,會自動地去找在Internet上最近的Controller。此時,Edge與Controller所在的Gateway間會透過此線路發送一個短暫的雙向頻寬測試,來確認這個Internet線路的可用頻寬。而當Edge與Edge之間透過私有線路(如MPLS)要建立連線時,在外點的Edge設備也同樣會與在資料中心端,被設定為Hub-Edge的設備間進行頻寬檢測。

當一個外點端的Edge設備透過頻寬測試知道了各線路的實際可乘載頻寬,這邊的數據就會被用在後續的應用選徑上,並確保傳輸的總頻寬不會大於線路乘載能力,而造成像是封包被丟棄或延遲時間上升的狀況。

應用傳輸路徑品質檢測:

在每個通道內,DMPO機制會於原始封包表頭內再加上額外的效能檢測欄位,包含像是傳輸封包的順序號碼 (Sequence Number) 以及時間標籤 (Timestamp) 等。而在通道兩端的設備就能夠利用這些資訊來確認路徑品質,像是連線中斷、封包被丟棄 (Packet Loss)、或是會影響Voice / Video品質的延遲時間 (Latency) 以及傳輸時間變異量 (Jitter) 等等。而利用這些項目,Velocloud能夠訂出每條線路此時的傳輸品質是否優良,並據以進行不同關鍵應用在傳蔬食的選徑依據。

兩台Edge或是Gateway之間會被動(目前有業務應用正在傳輸)或是在線路空置時,主動進行傳輸品質檢測。兩邊端點設備會在每100 ms(對你沒看錯,100 ms)互相交換品質資訊。這表示,當通道的傳輸品質出現問題時,兩邊Velocloud設備可以幾乎即時知道發生狀況,並且啟動應用傳輸優化的處理。因為這邊的處理是sub-second等級的,除非是非常糟糕的狀況(比如說同時好幾條線同時斷掉或出大問題),一般來說用戶幾乎不會感受到應用傳輸品質受到影響

所以,NSX SD-WAN有非常棒的機制幾乎即時地知道線路品質如何,無論企業購買的是高貴的私有線路或便宜卻隨處可得的Internet連線。所以再往下走,我們要討論幾個問題:Velocloud有哪些機制可以優化應用傳輸品質?Velocloud怎麼知道哪些是核心業務哪些不是呢?不同等級的業務傳輸可以如何進行處理?下篇文章我們由應用傳輸品質的優化開始。