一、傳統設備廠(chǎng)商

傳統網(wǎng)絡(luò )設備加入SD-WAN功能，對于CPE或總部出口網(wǎng)關(guān)，按照預先配置的策略，通過(guò)到目的端的鏈路檢測協(xié)議，檢測鏈路負載、時(shí)延、抖動(dòng)、丟包率，選取滿(mǎn)足業(yè)務(wù)SLA需求的鏈路進(jìn)行路由。例如向控制器下發(fā)如下幾條策略：

• 視頻業(yè)務(wù)A需要選時(shí)延小于20ms的鏈路
• 數據業(yè)務(wù)B需要選取剩余帶寬大于10M的鏈路

設備依據控制器的策略，識別出應用A和B，選取滿(mǎn)足條件的鏈路進(jìn)行轉發(fā)，并且根據鏈路質(zhì)量動(dòng)態(tài)調整。另一種常見(jiàn)的策略是負荷分擔，能夠動(dòng)態(tài)依據鏈路負載進(jìn)行選路修正，使鏈路資源使用最大化。

圖一 面向應用的多出口選擇

對于這種場(chǎng)景，沒(méi)有保密需求的業(yè)務(wù)直接進(jìn)入SP網(wǎng)絡(luò )，需要加密傳輸的業(yè)務(wù)通過(guò)隧道進(jìn)入SP網(wǎng)絡(luò )，這種隧道可以認為是P2P的Overlay，但無(wú)論哪種方式流量進(jìn)入SP后便失去了控制，由Underlay網(wǎng)絡(luò )進(jìn)行傳統路由。SD-WAN服務(wù)由企業(yè)自行部署，可控性更強，但由于Internet流量的突發(fā)和不確定性，有時(shí)可能無(wú)法選出滿(mǎn)足SLA需求的鏈路，需要企業(yè)提供多條鏈路。

二、SD-WAN服務(wù)商

以Viptela、 Velocloud為代表的SD-WAN服務(wù)商，提供軟件(NFV)或設備的接入方式，通過(guò)租用SP線(xiàn)路和數據中心，在Underlay網(wǎng)絡(luò )上建立一個(gè)由多個(gè)POP點(diǎn)組成的Overlay邏輯拓撲。如圖二所示，用戶(hù)邊緣的SD-WAN設備就近接入POP，采取與上面類(lèi)似的策略，通過(guò)應用識別和鏈路檢測，從Overlay的邏輯網(wǎng)絡(luò )選取一條滿(mǎn)足業(yè)務(wù)需求的路徑進(jìn)行路由，或者綜合Overlay和Underlay進(jìn)行選擇。由于POP網(wǎng)元比較多，使得對網(wǎng)絡(luò )的可控性和可視性增強，往往很容易選出滿(mǎn)足條件的鏈路。服務(wù)商使企業(yè)不必自行部署控制器等服務(wù)，用戶(hù)只需要定義策略模板即可實(shí)現，降低了企業(yè)使用SD-WAN的技術(shù)要求。

圖二 面向應用的Overlay路由

三、運營(yíng)商

運營(yíng)商具備直接在Underlay網(wǎng)絡(luò )上提供SD-WAN服務(wù)的條件，基于傳統路由實(shí)現面向策略和業(yè)務(wù)的路由，但出于意愿和部署難度的原因，這個(gè)想法有可能僅僅是個(gè)想法。SD-WAN功能特性較多，針對混合WAN場(chǎng)景，提供軟件定義功能的分支CPE需要滿(mǎn)足如下業(yè)務(wù)需求:

1. 主動(dòng)回連控制器獲取配置和策略

傳統組網(wǎng)的CPE設備高度自治，無(wú)論是命令行、網(wǎng)管界面還是廠(chǎng)商實(shí)現的所謂零部署等功能，從思維上依然面向孤立網(wǎng)元，依然是配置驅動(dòng)，業(yè)務(wù)模型發(fā)生變化意味著(zhù)分支站點(diǎn)需要修改配置。SD-WAN約定了轉控分離，業(yè)務(wù)配置和策略均由控制器下發(fā)，通過(guò)功能分層使用戶(hù)界面從面向配置轉為面向應用，并且做到了真正的即插即用。

Netconf是SD-WAN中很典型的南向協(xié)議，這是一個(gè)C/S模型的協(xié)議,采用SSH或TLS作為安全通道，YANG作為元數據完成命令描述的定義，控制器作為Client將上層的REST調用依據YANG定義轉化為承載在NetConf中的XML-RPC，被配置設備作為Server根據YIN校驗RPC合法后轉成最終設備配置。

2. 應用的深度識別

面向應用的前提是能夠識別應用。傳統基于5元組的流分類(lèi)和路由策略過(guò)于剛性，且需要大量配置逐一匹配應用，界面不友好。SD-WAN場(chǎng)景下需要設備能夠進(jìn)行深度檢測，通過(guò)本地識別或是云端識別歸類(lèi)應用，依據控制器策略進(jìn)行流量的動(dòng)態(tài)調度和關(guān)鍵業(yè)務(wù)保障。

3. 鏈路的質(zhì)量檢測

傳統基于路由的流量調度是靜態(tài)的，網(wǎng)絡(luò )環(huán)境卻是實(shí)時(shí)變化的，無(wú)法依據鏈路質(zhì)量的變化動(dòng)態(tài)調整，SD-WAN場(chǎng)景下要求設備能夠針對多條專(zhuān)線(xiàn)或互聯(lián)網(wǎng)鏈路進(jìn)行質(zhì)量檢測，按照業(yè)務(wù)分類(lèi)和控制器下發(fā)策略對流量進(jìn)行動(dòng)態(tài)選路。

4. 防火墻功能

分支接入互聯(lián)網(wǎng)，分流了專(zhuān)線(xiàn)流量，就近接入公有云獲得了更好的使用體驗，但同時(shí)安全問(wèn)題也被引入進(jìn)來(lái)。分支CPE需要提供安全網(wǎng)關(guān)功能，劃分安全邊界，清洗非法流量，防范黑客入侵。防火墻功能可在本地完成，也可在云端通過(guò)虛擬化實(shí)現。

5. 加密VPN連接

企業(yè)數據在Internet上傳輸時(shí)為了防止泄密需要采用安全通道傳輸，CPE需要能夠與公有云、總部或其它分支VPN網(wǎng)關(guān)建立端到端IPSEC隧道，流量通過(guò)IPSEC隧道加密傳輸。

6. NAT功能

對于無(wú)需加密的Internet流量，進(jìn)入互聯(lián)網(wǎng)時(shí)需要做NAT轉換，解決了公網(wǎng)地址資源有限，同時(shí)也實(shí)現了內部地址的隱藏。

7. 鑒權和審計

傳統組網(wǎng)出口全部在總部，鑒權和審計功能可以在總部單點(diǎn)部署，SD-WAN場(chǎng)景下的鑒權審計也變成了分布式，要求每臺分支的CPE設備具有相應的功能，且能將數據日志定期回傳同步。

SD-WAN可以采用專(zhuān)用硬件或VNF編排實(shí)現，只要符合集中控制、彈性伸縮、動(dòng)態(tài)可編程的思想都可以劃歸到軟件定義范疇。SD-WAN不是概念，是使用軟件思想重新思考網(wǎng)絡(luò )的必然結果，是能夠完成網(wǎng)絡(luò )重構切實(shí)解決用戶(hù)高頻痛點(diǎn)的有效技術(shù)。