浅谈SD-WAN技术在总台广域网的使用.pdf

《浅谈SD-WAN技术在总台广域网的使用.pdf》由会员分享，可在线阅读，更多相关《浅谈SD-WAN技术在总台广域网的使用.pdf（6页珍藏版）》请在咨信网上搜索。

1、浅谈 SD-WAN 技术在总台广域网的使用随着中央广播电视总台超清化、移动化、智能化技术体系的确定，总台在广域网范围的视频制作、视频分发、文件传输等需求日益增多。与此同时，现有的广域网传输手段仍然主要依托于物理专线、VPN、4G/5G 和互联网线路等传输方式。但物理专线存在费用高、开通慢等问题，而 VPN、4G/5G 和互联网传输又不稳定。SD-WAN 作为广域网传输技术，稳定性可以媲美专线，且具有使用灵活、成本适中、业务安全、智能分流等优点。一 SD-WAN 的概念和架构 1.SD-WAN 的概念SD-WAN 是软件定义广域网（Software Defined WAN）的缩写，是软件定义网络

2、（Software Defined Networking，SDN）的重要分支，指利用成熟的软件技术（智能动态路由控制、数据优化、TCP 优化、QoS 等）与传统网络资源(如互联网)巧妙融合，最关键词SD-WAN 广域网 百城千屏 远程制作 作者 中央广播电视总台刘建国大限度发挥传统资源的性能，其核心是让用户可以自行对广域网路径和带宽进行智能管理。实现网络设备的控制与数据转发分离，用户可自主控制广域网流量的流向，整合光纤、MPLS专线、互联网、LTE 等多种网络线路资源进行广域网流量调度，实现普通互联链路达到专线的网络质量，降低线路成本，提高带宽利用率。同时，对于多个站点，根据网络情况及配置策略

3、，自动选择最佳路径，实现负载均衡，保证全网质量。2.SD-WAN 架构（1）SD-WAN 的物理架构如图 1 所示，总部与分支机构 CPE 设备通过Internet 和专线互联，SD-WAN 控制器和网关对CPE 设备进行集中管理及自动化配置。SD-WAN 技术将 Internet 和专线作为 Underlay 层网络连接，在此基础上需利用 IPsec 技术，虚拟出 Overlay 层总部和分支机构间互联网络。SD-WAN 技术可以提供企业广域网及应用的可视化，提供智能路由功能，能够基于网络环境的实时状态，将各种应用的数据智能调度到指定链路上，保障数据分发的高效性和通信的稳定性。根据功能，SD

4、-WAN 可以分为控制平面和数据转发平面。控制平面主要包括图 1 中控制器和网关所在的部分，负责控制信号的交换和数据包路由的选择，对网络设备、功能进行管理，并对网络状态进行实时监控和分析。数据平面主要负责网络承载应用和用户数据交换。在传统的网络中，控制平面与数据平面相同，无法对网络进行编程。在 SD-WAN 中，一个控制实例可以为多个数据平面服务，一个数据平面也可以通过虚拟化技术独立地被多个逻辑控制平面管理，这样使得网络管理灵活性大大提高。（2）SD-WAN 的逻辑架构SD-WAN 的逻辑架构由三部分组成：摘要本文对 SD-WAN 的技术架构、技术特点及典型使用场景进行了分析。对中央广播电视总

5、台在百城千屏视频分发和 JPEG-XS 远程制作方面使用 SD-WAN 技术的应用经验进行了介绍。网络与传输NETWORK&TRANSMIT112二是网络服务提供层。SD-WAN 技术将各种网络功能软件化，如智能动态路由、VPN、智能 QoS、TCP/UDP 优化、FEC 纠错、状态防火墙等，通过控制器集中管理 CPE 设备。三是服务控制层。SD-WAN 可以对企业应用进行深度识别。在众多的企业应用中，SD-WAN 可以识别出指定应用，呈现指定应用的流量曲线，对该应用进行实时监控和传输优化工作。二 SD-WAN 的技术特点及常见广域网 连接方案对比 1.快速灵活性SD-WAN 技术的灵活性体现

6、在快速部署和灵活运维两个方面，大大提升了企业的业务敏捷性。SD-WAN 技术可以实现远程站点零接触开局（ZTP），无需 IT 人员到达远程站点。用户可以按需添加或删减 SD-WAN 广域网线路，SD-WAN 可以将这些广域网链路动态聚合成一条链路传输，扩充网络传输带宽。一是云网络层。SD-WAN 技术具备虚拟化网络功能，可捆绑多种链路（如光纤、MPLS、Internet、4G/5G 等）成为一个大的链路资源池，用户网络（Overlay 层）与 WAN 链路（Underlay 层）接入无关，可以灵活增减 WAN 链路接入，调整 SD-WAN 通道带宽，增加链路稳定性，使用户无感知。SD-WAN

7、架构示意图1SD-WAN 逻辑示意图2动态多路径智能优选集成所有接入，通过预设策略，转换成宽带资源池适应绝大多数网络传输协议，部署简便、运维管理简便Advanced Television Engineering1132.成本低SD-WAN 技术可以有效减少企业专线的部署及运营成本。互联网链路比 MPLS 线路成本低，开通速度快；SD-WAN 技术可让企业有效利用所有网络连接来满足其全部需求，而不用维护空闲的备份链路，企业因此可以简化分支机构的管理和配置；SD-WAN 提升了网络可重构能力,使得网络升级和优化所需的硬件资源和人力成本降低；SD-WAN 解决方案包含多重安全功能，可进一步降低 WA

8、N 链路的总体成本。3.安全可靠SD-WAN 采用多项技术确保数据安全。SD-WAN 的控制平面和数据层面均可采用加密技术，定期更新密钥，保证控制与数据安全。SD-WAN技术支持 AES128/256、SHA1/SHA2、IKEv2 等加密算法，确保传输数据的安全。在数据传输层，SD-WAN 技术可以支持各业务间 VPN 隔离，支持TLS1.2、SCEP 等安全传输。SD-WAN 通常内置基于区域的有状态防火墙功能，而且支持第三方虚拟NGFW、AV、IPS/IDS 及威胁检测等服务集成，扩展防护层级。4.智能对用户来说，网络的可用性至关重要。SD-WAN 的重要特征是智能路径控制，该技术可以实

9、现基于应用的流量导向，选用任一种传输选项来传输流量，并通过监测 WAN 服务及其特性的类型，相应地调整流量转发。它能够将高优先级的流量路由到高质量的链路，将其余流量通过互联网等低质量的链路转发。可以针对不同应用进行差别化的 QOS质量保障。5.常见广域网连接方案核心指标对比相比于 MSTP 专线、MPLS VPN 等单一广域网连接方案，SD-WAN 在配置便捷性、扩展灵活性、智能化程度等多方面带来了综合性能的提升。同时由于 SD-WAN 技术可以集成专线、MPLS VPN 和互联网等多种线路，因此可以在更优的带宽成本下达到较高的安全性和稳定性。（1）MSTP 专线由电信运营商为用户单独提供，仅

10、供用户独立使用，安全性和稳定性最高，但成本昂贵，前期部署周期长、后期运维难度高，配置便捷性和扩展灵活性较差。（2）MPLS VPN相比于 MSTP 专线，MPLS VPN 牺牲了部分安全性和稳定性，成本相对较低，扩展灵活性也有所提升，但高带宽的 MPLS VPN 成本仍然昂贵，部署周期较长。（3）SD-WAN在配置便捷性和扩展灵活性上得到大幅提升，同时以较低的成本，实现了可媲美 MPLS VPN 的安全性和稳定性。不仅如此，SD-WAN 可以通过智能选路功能，根据当前的网络情况及配置策略，自动选择更优路径，实现负载均衡或者动态链路聚合，实现基于应用需求而非基于线路质量的路径选择，让高价常见广域

11、网连接方案核心指标对比3网络与传输NETWORK&TRANSMIT114值应用或高带宽需求应用优先通过高质量的 WAN 链路传输，有些 SD-WAN 厂家还支持组播传输功能，从而有效地提升使用者的应用体验。三 SD-WAN 技术的典型使用场景以及在总台的使用情况 1.SD-WAN 技术典型使用场景SD-WAN 支 持 在 光 纤、MPLS、frame relay、LTE、Internet 等多种连接间动态选择链路，以达到负载均衡或资源弹性。大部分 SD-WAN 厂家为多条WAN 路径间的选择优化,典型的 SD-WAN 应用场景可以分为以下几类。（1）实时数据传输拥有多个分支机构的企业，受制于传

12、统广域网的局限，经常出现网络延迟严重且跨境访问不稳定造成丢包、移动端及网页端显示缓慢的现象，无法满足即时性的需求，降低项目进展效率。SD-WAN 能够帮助企业实现自建数据中心与托管数据中心之间的同步，提供接近物理光缆的品质保证，有效提升传输性能，并大幅降低租用成本。（2）综合办公SD-WAN 可以有效保障企业远程办公的质量，可以为企业客户快速部署不受远程通信影响的加速网络，提升远程网络传输的质量，满足视频会议、远程桌面应用等跨地域、跨境办公的品质要求，提升业务敏捷力，节省多条专线的成本，降低企业内部 IT 运维压力。（3）在线视频SD-WAN 可以为视频直播、在线教育提供有力保障，解决传统网络

13、环境下容易发生的网络延迟、视频卡顿、抖动、丢包等问题，为在线教育、视频直播实现实时互动提供流畅的网络环境。SD-WAN 组网架构是面向品质控制设计，可提供动态网络加速服务，弥补了 CDN 的不足。（4）数据灾备SD-WAN 目前在灾备建设领域有积极的作用，其智选路由、数据压缩、重复数据删除、TCP 优化、动态数据优化等“云资源池技术”和网络分段技术，既支持数据快速传输、迅速找出事故点，也同时具备“多管齐下”、更为安全的业务连续性灾备功能。依托 SD-WAN 建设的“数据灾备”+“线路灾备”的双活热备份模式，可有效确保出现问题时，网络和应用的正常使用。数据同传和切换能力实现从小时级到分钟级的提升

14、，切实保障了实时业务数据的及时备份，在发生流量过大、光纤断裂、被攻击、误操作等故障时，可让系统短时间内实现平稳切换。2.SD-WAN 技术在总台广域网的使用情况上述 SD-WAN 技术的典型应用场景已经得到了广泛使用。那么这个技术是否能够在总台视频制作方面发挥作用呢？目前 SD-WAN 技术主要解决的是总部与分支机构间，广域网络传输的多条 WAN 链路间的选择优化问题，满足各站点间的办公、视频会议等业务。大部分传输以文件为主，对时延抖动不是很敏感。对于一些视频传输，如视频会议等，大部分应用码流低于 4M，对广域网络的要求较低。大部分 SD-WAN厂家只支持单播传输，很少有 SD-WAN 企业支

15、持UDP/RTP 组播传输。总台在广域网络应用方面，除了需要解决跨区域间的办公及低带宽的视频会议等访问外，还需要解决在有限的广域网资源下，最大限度地传输文件视频素材、高码流组播视频传输以及 JPEG-XS 远程制作等高难度的广域网络需求。由于以上应用场景只有电视台等视频制作单位才会出现，大部分 SD-WAN 厂家无法满足总台的特殊要求。为此，我们对多个厂家的 SD-WAN 技术进行了充分调研，进行了多次的测试验证工作。根据不同使用场景，使用不同 SD-WAN 技术取得了初步进展，在此和大家分享一些使用场景。（1）传统办公应用场景中央广播电视总台在 23 个省、5 个自治区、4个直辖市均设有总站

16、。为了顺利开展总台业务，需要将总台专业视频会议系统延伸至各个总站。以往是通过 4M MSTP 专线将各总站与总台互联互通。目前已经逐渐将各总站至总台间 MSTP 专线改为电信 SD-WAN 线路，大大降低了线路租赁费用。改成电信SD-WAN 链路后，各总站视频会议及办公系统运行正常，链路传输质量与 MSTP 专线相似。Advanced Television Engineering115（2）百城千屏视频分发业务自 2021 年 10 月起，总台开展了主题为“点亮百城千屏，炫彩超清视界”，以试点示范工程为引领，按照政府引导、市场运作、多方联动、提速发展原则，发挥超高清视频龙头企业和行业组织主体作

17、用，通过新建或引导改造国内大屏为 4K/8K 超高清大屏，丰富超高清视音频服务场景，深入推动信息消费全面升级，培育发展新动能，完善产业链，营造良好产业生态环境，加速推动超高清视音频在多方面的融合创新发展，催生新技术、新业态、新模式。总台至大屏 120Mbps 的UDP 组播信号，通过 150M MSTP专线至省汇聚点，后通过本省 150M MSTP 专线方式分发到省内各地大屏。整个视频分发项目存在耗费高、开通慢、无法对视频链路进行实时监控等缺点。2022 年 10 月，总台在湖南、湖北两省采用 SD-WAN 技术进行了 8K 视频的分发测试工作。如图4所示，湖北完全使用“SD-WAN+互联网”

18、方式，湖南采用“SD-WAN+互联网”和“SD-WAN+专线”传输。湖南、湖北均部署码流分析仪和测试机顶盒进行监看。8K 视频质量正常，效果与专线传输没有差别，经过多日监看，查看码流分析仪的丢包统计情况，多为凌晨运营商骨干割接时候，发生偶尔丢包情况。如图 5 所示。以上截图为运行一周后码流分析仪的错误统计情况，2 级错误不影响视频播放。1 级错误发生主要出现在凌晨至第二天凌晨 6:00 间，推测原因为运营商骨干调整所致。通过此次测试证明，通过“SD-WAN+互联网”方式，完全可以实现接近 MSTP 专线的传输效果，满足 8K 视频传输要求。“SD-WAN+互联网”技术可以大大降低 8K 视频分

19、发成本。可以快速定位故障原因，查看视频传输状态。可以实现链百城千屏视频分发测试图4码流分析仪的错误记录58K超高清电视 IP集成发布平台DMZ信息转发服务器万兆防火墙主SD-WAN核心主万兆防火墙备SD-WAN核心备本地互联网电信MPLS/VPN网400M150MMPLS/VPN网本地接入电信CN2网湖南MPLS/VPN网北京电信本地互联网电信互联网骨干网湖北电信本地互联网湖南电信本地互联网SD-WAN接入跨省专线资源接入交换机码流分析仪测试机顶盒SD-WAN接入接入交换机码流分析仪测试机顶盒机顶盒机顶盒湖北湖南省内专线/广电网省内专线/广电网至省内大屏点位北京电信本地互联网湖南电信本地互联网

20、网络与传输NETWORK&TRANSMIT116路快速冗余切换，提供更高安全级别的保障。（3）JPEG-XS 远程制作业务2022 年 9 月至 2023 年 3 月，总台就长安大戏院的空中剧场栏目基于“SD-WAN+互联网”和JPEG-XS 编码的远程制作进行多次测试工作，均取得了圆满成功。如图 6 所示，长安大戏院部署 IP 摄像机，音频接口箱及通话设备，后场演播室系统部署在光华路办公区。前后场独立授时。前后场音视频组播流通过“SD-WAN+1G 互联网”和裸光纤链路互联互通。SD-WAN 链路和裸光纤链路互为备份，采用 2022-7 技术保证视频完整性。视频信号格式采用1080i 50H

21、z、压缩比为 10:1 的 JPEG-XS 编码（码率109Mbps）传输至核心制作系统，经数据流缓冲并转码为 2110-20，音频和通话信号采用 2110-30 传输，控制信号、Tally 信号原码传输；经过十几次的测试工作，远程制作效果良好，“SD-WAN+1G 互联网”链路未出现视频卡顿现象，与现场制作高度相似，整场节目录制顺畅，为进一步探索基于公网的远程制作提供了宝贵的经验。四 总结 以往使用专线传输，存在开通慢、费用高、不容易监控等问题。自从使用 SD-WAN 技术后，广域网传输部署灵活、链路成本大幅降低、传输业务可以实时监控。在提高网络传输效率的同时，大幅降低了广域网传输费用。然而

22、相对于 MSTP 专线而言，互联网存在链路抖动大、运营商很难保障等问题。目前 SD-WAN 技术还处在一个初级阶段，各个厂家技术方向各不相同，还没有一个统一的技术标准。总台广域网传输中对组播、数据传输稳定性有极高的要求，大部分厂家还无法满足总台的技术要求。相信随着技术的不断发展，会有越来越多的 SD-WAN 产品可以满足总台的要求，SD-WAN 技术将有一个广阔的市场。远程制作拓扑图6对资产脆弱性进行评估，完成补丁更新和基线配置。对网络边界进行确认，控制网络访问权限最小化。梳理以往在攻防演练和渗透测试中发现的应用漏洞，结合系统供应链，举一反三发现系统现存漏洞并加以修复。清理系统内的默认账号、离

23、职调岗人员账号、僵尸账号。4.人员培训宣贯人往往是网络安全防护中最薄弱的环节，因为人员网络安全意识不足产生的风险是最常见也最容易被利用的，如弱口令、错误系统配置、被钓鱼攻击等。防守方应对参与演练的人员进行安全意识、安全规范、攻防技术等方面的培训，也可通过模拟钓鱼等方式，提升防守方人员网络安全意识。五 结语 攻防技术繁多，本文概述必有所遗漏，而且在不断对抗下攻防技术相互促进，处于动态发展之中，未来一定会有更多新技术涌现。网络安全建设绝非一朝一夕之事，没有一劳永逸的绝对安全，希望通过网络安全攻防演练以攻促防，使技术系统增强网络安全意识，锻炼网络安全队伍，强化各项网络安全措施落地实施，全面提升网络安全防护保障能力。（上接第158页）Advanced Television Engineering117117