SD-WAN網絡架構及產品應用探索

王勝志，章道勇（.中國聯通徐州分公司，江蘇徐州 000；.中國聯通無錫分公司，江蘇無錫 40）

Wang Shengzhi1，Zhang Daoyong2（1.China Unicom Xuzhou Branch，Xuzhou 221000，China；2.China Unicom Wuxi Branch，Wuxi 214021，China）

1 SD-WAN基本概念

1.1 傳統WAN面臨的挑戰

依托于電信運營商完備的基礎承載網絡，在2B業務構成中，政企專線始終占據重要的位置。伴隨著通信技術的演進，WAN 經歷了從低速率到大帶寬、從多協議到IP 化、從單一網絡到云網融合的發展和演變。然而隨著業務應用的快速發展，其在給客戶帶來巨大價值增益的同時，也面臨很多問題和挑戰。

成本較高，價值密度降低：因為技術的發展和競爭格局的推動，無論采用何種方式承載，專線電路業務的成本和價格都在不斷下降。然而，接入成本的降低速度遠遠趕不上價格降低的速度，這導致專線電路價值密度不斷走低（見圖1）。

網絡結構復雜，組網靈活度差：由于過于依賴物理網絡設施，同時網絡維護工作采用多級分段的管理維護體系，MSTP、IPRAN、PTN 等基礎網絡在配置專線電路過程中往往采用與企業組織架構相匹配的分段配置、分段管理、分段維護的業務流程，這導致業務開通時間長、業務靈活性差，難以滿足快速開通、靈活部署等業務需求。

網絡狀態的呈現方式較為分散：目前運營商都嘗試建立了相應的政企業務網管系統。但系統的實現主要是通過專業網管系統告警采集和業務匹配來實現，僅能實現簡單的監控功能，無法實現統一集中的網絡管理，更無法實現業務狀態的端到端整體呈現。另外，隨著云業務的快速發展，根據應用需求的動態調整將成為常態，傳統基于MSTP、OTN 的承載方式已經無法滿足。

1.2 SDN和NFV

為了解決傳統WAN 基礎網絡所面臨的問題，網絡功能虛擬化NFV 和軟件定義網絡SDN 應運而生。NFV 是SDN 實現的基礎，它通過將網絡設備的控制功能軟件化、虛擬化，實現設備的軟硬件解耦。當然，這種虛擬化的控制功能是開放的、可編程的，因此可以實現更加靈活的網絡功能和網絡資源調度。

SDN 即軟件定義網絡，它是一種新型網絡創新架構，是網絡虛擬化的一種實現方式。它的核心是通過將網絡設備的控制與數據轉發分離開來，從而實現網絡流量的靈活控制，使網絡資源變得更加智能，從而為網絡及應用的創新提供更好的平臺。

近年來SD-WAN 作為SDN 在廣域網場景下的應用得到了產業界的廣泛認同，開始應用于企業網絡、數據中心、互聯網應用和云服務場景。同時，SD-WAN的產品和服務模式也對運營商傳統的網絡建設和維護模式提出了挑戰，為基礎通信網絡虛擬化、軟件化提供了相應動力和契機。

1.3 SD-WAN的價值

對于運營商或者企業用戶來說，SD-WAN 的價值主要體現在幾個方面：能夠快速高效地實現多網絡、云網融合的互聯，滿足復雜業務場景的應用需求；能夠通過集中管控和即插即用實現業務的快速部署，降低業務交付和運維成本；可以根據不同的應用提供路徑優選策略，以保證高質量的應用體驗。

2 SD-WAN網絡架構

2.1 SD-WAN基礎架構

SD-WAN 解決方案整體架構主要包括網絡層、控制層、業務層3個層次，如圖2所示。

圖2 SD-WAN解決方案整體架構

網絡層又可以分為物理網絡和虛擬網絡2 個層次，如圖3 所示。物理網絡被稱為Underlay 網絡，如MSTP 專線、MPLS、Internet 等。虛擬網絡被稱為邏輯網絡，它是根據業務策略構建于物理網絡上的Overlay網絡。虛擬網絡可以服務于多個租戶，也可以服務于同一個租戶的不同業務。在SD-WAN 網絡中，主要使用邊緣設備Edge和GW網關設備2種設備。其中Edge一般為即插即用的CPE 設備，它通過隧道技術實現多個設備間的WAN 鏈路連接。GW 設備用于SD-WAN和企業存量網絡之間的互通，以保證客戶網絡的延續性。

圖3 網絡層2層結構

控制層是“軟件定義”的核心，它的主要組件是網絡控制器，它一般具有業務編排、網絡控制和網絡管理功能。編排功能主要實現業務應用的抽象建模、編排和配置下發。網絡控制器通過業務編排對企業WAN進行抽象和定義，驅動網絡控制器實現網絡拓撲的配置。業務編排分為2種，一是WAN 網絡拓撲的業務編排，如站點創建、鏈路創建、拓撲定義等；二是網絡策略的編排，如應用選路、QoS、廣域網優化、應用識別、安全策略等。網絡控制器的控制功能主要實現對SD-WAN 網絡層的集中控制，以實現控制平面和轉發平面的分離，主要包括VPN 路由分發、VPN 的創建和修改、隧道的創建和維護等。網絡控制器的管理功能主要實現WAN 網絡的管理和運維功能，包括告警管理、性能管理等，同時對客戶網絡拓撲結構、故障、性能等運維信息進行多維度的呈現。管理組件一般通過NETCONF 和HTTP2.0 協議實現對設備的管理。其中NETCONF 主要實現告警、日志管理等，HTTP2.0 主要實現性能等信息的采集。

業務層南向對接網絡控制器，北向通過業務UI界面實現業務層面的管理和交互。這可以通過2種方式實現：一種為SD-WAN 解決方案提供商開發的自服務系統，它可以提供全生命周期的、端到端的業務配置和交付流程；另一種方式是依托于運營商的BSS/OSS管理系統，它們通過網絡控制器開放的北向API 開發實現全流程業務管理功能。在業務開放初期可以采用第1種方式作為過渡，然后通過開發迭代，最終打通運營商B/O域的全業務流程。

2.2 主要接口及通道

SD-WAN 網絡控制器在整個體系結構中處于核心位置，它通過不同的接口協議實現與網絡層和業務層之間的交互，如圖4所示。

圖4 主要接口協議

南向接口協議：NETCONF 和HTTP2.0 協議，用于網絡控制器對網絡層的統一管理和配置，網絡控制器通過NETCONF 協議給Edge 或GW 下發配置。Edge、GW 設備則通過HTTP2.0 向網絡控制器上報性能信息，通過NETCONF協議上報告警信息。

北向接口協議：網絡控制器通過RESTful API接口與業務層各組件交互，RESTful API 是基于REST 設計準則實現的接口方式。應用層外部程序可以通過HTTPS訪問RESTful API，其管理網絡資源對象的方法主要有GET、PUT、POST、DELETE等。運營商BSS/OSS系統或自服務系統皆通過RESTful API 的調用開發實現對網絡控制器的管理，進而實現對整個SD-WAN 網絡以及業務全生命周期的管理。

通過各種接口及協議，SD-WAN 系統將建立管理通道、控制通道、數據通道等3種邏輯通道。

管理通道是網絡控制器與網絡層設備之間的交互通道，如Edge、GW 等，用于網絡配置信息和運維信息的下發和上傳。在SD-WAN 系統中，管理通道最先建立，用于整個系統的初始化配置。管理通道建立后，系統將建立控制通道。網絡控制器利用控制通道完成網絡層組網、路由編排以及網絡拓撲的建立。另外，網絡控制器也通過控制通道轉發路徑策略信息，如VPN 拓撲、隧道信息等。管理通道和控制通道建立以后就基本完成了系統的初始化工作，此時系統需要建立數據通道，用于Edge、GW 以及其他網絡設備之間的數據傳輸，數據傳輸一般采用IPSec 進行加密，以保證其安全性。

2.3 站點及Edge

在部署SD-WAN 應用過程中，需要考慮傳統站點、SD-WAN 站點和云站點等3 種企業站點。傳統站點是企業的存量網絡設備，并不納入SD-WAN 網絡控制器管理，但是它也有與SD-WAN 互通的需求。SDWAN 站點配置于企業總部、分支機構或DC 中，由SDWAN 網絡控制器集中統一管理，進行業務的編排組網。云站點是SD-WAN 站點的一種特殊形態，應用在公有云、私有云環境下，用于企業各機構與虛擬機VM之間以及各VM、各應用之間的互通。

企業WAN 網絡連接企業各站點，不同類型的站點通過不同的邊緣設備Edge 接入網絡，即CPE 設備。CPE一般應具備即插即用、二層交換、三層路由轉發功能。在SD-WAN 網絡中，依據不同的站點應用環境還衍生出其他不同的形態，如具備廣域加速、負載均衡、安全防護功能的uCPE，應用在云網環境中通過軟件形式實現的vCPE等。

CPE連接了站點的內外側網（LAN側和WAN側）。

在SD-WAN 解決方案中CPE 需要考慮多種WAN接入方式，如Internet、MPLS VPN、LTE，并在其中配置路由選擇策略。其中LTE 鏈路適用于一些特殊場景，如工地、河堤、道路等線路接入困難或成本過高的場景，或作為其他鏈路接入形式的故障災備路由，以提升站點連接的安全性。

CPE 的LAN 側對應企業站點內網，其接入方式和內網的組網形式相關，對于規模較小、結構較為簡單的網絡，通常采用二層組網的方式，CPE直接連接內網以太網交換機，CPE 作為內網的網關配置。對于規模較大、結構較為復雜的網絡，則往往采用三層組網方式，此時，CPE需要根據站點網絡的實際情況配置相應的路由協議，一般情況下，其配置由網絡控制器根據編排策略自動下發完成。

在實際的業務流程中，CPE 即插即用過程一般分為3 個步驟。第1 步，SD-WAN 服務提供商/電信運營商在網絡控制器中完成CPE 設備的登記錄入，一般情況下，網絡管理員需要預配置CPE 的WAN 接口IP 地址，用于CPE 和網絡控制器的自動連接。第2 步，CPE被郵寄到企業站點并完成物理連接。第3 步，網絡控制器和CPE 通過IP 地址信息建立連接，同時根據業務編排向CPE下發配置，完成業務開通。

2.4 業務體驗保障

企業應用有多種多樣的類型，這些不同的應用類型有不同的體驗需求。如電話會議、視頻會議需要較低的時延。在傳統的WAN網絡中，這些不同的應用無差別地承載在同一張網絡上，被不加區別地進行轉發和處理，雖然MPLS 可以提供簡單的QoS，但無法實現更復雜的體驗保障和選路策略。SD-WAN 解決方案包含多維度的應用體驗保障方案，其作為可選功能構建于不同SD-WAN 服務商的產品架構中，下面是幾種常見的業務體驗保障方案。

應用識別：能夠對不同的應用進行有效的識別是應用體驗保障的前提，SD-WAN 解決方案可以通過協議識別、首包識別、特征識別、DNS 識別等多種技術實現對不同應用的識別和判斷。

應用選路：選路的前提是鏈路質量檢測，SD-WAN通過丟包、時延、抖動的檢測技術實現鏈路質量檢測，進而通過選路策略進行路由優化。應用識別和應用選路結合就可以實現不同的選路場景，如鏈路質量選路、負荷分擔選路，應用優先級選路等。

QoS保障：通過應用限速來保障不同的應用體驗。

廣域優化：通過各種算法技術改善WAN鏈路傳輸質量，如抗丟包優化、傳輸層優化、數據優化、應用協議優化、數據去重壓縮等。

2.5 系統安全

無論是采用MSTP、OTN、IPRAN/PTN，還是采用MPLS 承載，傳統的WAN 網絡都處于封閉或者準封閉的網絡環境中，其Underlay 基礎網絡以及網絡中的管理控制節點，如各系統的專業網管中心等都處于相對獨立的內網環境中。同時，一個WAN的不同承載段落也往往分散于不同的網絡系統，如跨境跨域組網。這樣的網絡架構和環境保證了相對健壯的網絡安全。

但是，在SD-WAN 解決方案中，由于采取了完全不同的架構模式，網絡安全面臨著巨大的挑戰，具體來說，主要有以下2 個方面，同時這2 個方面的安全挑戰也對應著SD-WAN 安全架構中的2 個層次，即系統安全和業務安全。

由于采用集中控制的模式，網絡控制器在整個架構中處于核心位置，其各個組件的部署方式、安全防護是SD-WAN系統安全首要考慮的問題。

由于Underlay 網絡的多樣性，尤其是Internet、云網環境的大量使用，SD-WAN 網絡環境走向開放，在開放的環境中，攻擊、病毒、非法侵害的風險大大增加。

因此，SD-WAN 架構是綜合性的解決方案，需要整合解決方案、設備、安全、云平臺、運營等全部生態鏈資源。在安全方面，更需要聯合安全服務提供商構建完整的安全解決方案，綜合利用分布式部署、防攻擊、防入侵、防病毒以及數據加密、認證、鑒權等多種技術實現系統安全防護和業務安全防護。另外，控制層各系統的雙活、多活等災備方案也應充分考慮。

3 業務運營模式

從上文對SD-WAN 的網絡架構分析中可以看出，SD-WAN 并不是具體的基礎網絡產品，它必須依托于原有的Underlay實體網絡環境，因此，SD-WAN是一種綜合性的解決方案，是一種更加靈活智能的服務提供模式。這種新的服務提供模式必然對應著新的商業運營模式。結合當前業界發展現狀以及未來演進趨勢，SD-WAN 商業運營可以采用運營商公共產品業務模式、運營商代建模式和企業自建模式等3種模式。

3.1 運營商公共業務模式

運營商公共業務模式是由電信運營商自建SDWAN 公共產品服務平臺及運營支撐體系。目前各家基礎電信運營商都已經嘗試建立了其SD-WAN 產品品牌。運營商SD-WAN 公共產品服務體系建設應包含以下關鍵部分。

SD-WAN 平臺建設：主要完成控制層網絡控制器等關鍵組件部署，實現業務編排、網絡控制和網絡管理功能。平臺應支持多租戶管理。

基礎網絡建設：網絡層合理規劃部署IWG 網關設備，以實現企業SD-WAN 網絡與MPLS 網絡或者分組傳送網的互通。同時運營商骨干網邊緣需要規劃部署POP GW，企業分支機構Edge 可以通過POP GW 構建Overlay隧道以實現第三方運營商的網絡穿透。

支撐系統建設：運營商需要根據自身組織架構和服務支撐體系，通過SD-WAN 控制層北向接口API 開發建設各業務支撐系統，如BSS/OSS、訂單系統、客戶自服務系統等，以此打通業務全生命周期管理流程。

Edge 設備選型：根據不同的應用場景確定多層次、多型號、標準化的設備，設備應充分解耦。同時建立設備在業務創建、維護、拆除等情況下的配送體系。

在SD-WAN 承載國際WAN 業務組網的場景下，由于網絡安全和信息安全的工作要求，目前無法實現跨境全程全網的SD-WAN 架構，出境鏈路仍然需要MPLV VPN 承載，境外網絡需要由運營商國際公司或者當地運營商負責支撐。

另外，目前通信市場已經涌現出很多SD-WAN 服務提供商，這些企業大多衍生于IT 企業、互聯網企業、通信設備制造企業等。他們通過自研產品或者通過SD-WAN 解決方案提供商搭建平臺轉售產品。這些企業往往具有鮮明的行業特質，一般深耕于一個或多個特定的行業市場，并依靠快速靈活的管理和創新機制，成為2B市場不可忽視的競爭力量。

3.2 運營商代建模式

對于部分大型企業（IT 或互聯網企業），如客戶有自建SD-WAN 規模組網需求，電信運營商可以協助企業建設SD-WAN 業務平臺。根據客戶需求和技術能力，項目建設可以采用ICT 項目運營模式或交鑰匙項目建設模式。在業務運營過程中，運營商可以與企業合作探討代管代維等延伸服務，并不斷根據5G、AI、云計算等技術的演進推動企業SD-WAN 業務的更新迭代。這種運營模式下的SD-WAN 架構僅需要支持單租戶即可。

3.3 企業自建模式

企業從解決方案提供商采購SD-WAN 解決方案，通過其自有技術能力完成業務部署和運維，用以構建企業自身的WAN基礎網絡，并不對外運營。企業自建模式對企業的技術能力要求較高，有較高的技術門檻，因此這種企業往往是大型互聯網公司、公共服務產品提供商、大型云產品服務商或相對封閉的行業系統，如交通、物流、金融等部門。

4 客戶及產品應用分析

4.1 專線客戶類型

通信產品豐富多樣，客戶需求同樣豐富多樣，不同的用戶有不同的業務需求，根據政企客戶行業性質、網絡需求、業務規模、安全需求等多種商業或技術特質，將專線類業務客戶需求類型分為以下3類。

價格傾向類：對產品價格較為敏感，主要集中于中小企業、連鎖加盟的零售或服務企業等。傳統場景一般采用MPLS VPN、自建VPN 等方式組建企業WAN網絡，相比SD-WAN部署優勢明顯。

安全傾向類：對網絡和信息安全要求高，主要集中于黨政軍機構、金融/證券企業、技術密集型的科技企業等。傾向于采用MSTP、OTN、裸光纖或IPRAN、PTN等分組傳送網方式組網。

組網傾向類（接入靈活）：對組網靈活性要求較高，主要涉及公共服務類機構，如交通、物流等部門或企業，軟件、系統集成等信息類科技企業。此類客戶更加典型的場景是云網融合類業務，如政務云、企業上云等。云網融合近年來得到了快速發展并成為MPLS、SD-WAN技術的重要應用方向。

4.2 典型應用場景

通過上文對專線客戶需求類型和選擇傾向的分析，筆者總結出以下3類SD-WAN最典型的應用場景。第1 類為分散的零售加盟企業，如社區連鎖超市等。第2類為公共服務類應用，如道路、水文、市政監控等。第3 類為云網融合類場景，如政務云、醫療云、教育云以及各種各樣的企業應用云化的組網需求，無論是公有云、私有云還是混合云，越復雜的網絡環境越能體現出SD-WAN的巨大優勢。

對于電信運營商來說，如果要充分利用SD-WAN的靈活性和超高性價比，還有一種非業務類的應用場景可以考慮，即將SD-WAN 應用于專線電路的保護路由、應急開通或故障情況下的應急代通等，將其作為傳統WAN業務的運維增強手段部署。

4.3 劣勢及不足

當然，從整體架構和業務應用2 個角度分析，SDWAN也有其特定的短板和不足。

從網絡架構上看，SD-WAN 的控制層主要為網絡控制器組件，無論是部署于云端還是自建服務，都很容易受到網絡攻擊，而其集中控制、集中管理的特點決定了其一旦因攻擊或其他原因導致服務中斷或者劣化，都將對全網造成極大影響。所以在系統部署的時候，運營商或解決方案提供商需要充分考慮系統災備、系統雙活等安全防護手段。

從業務應用的方面來說，客戶業務很容易受到Underlay 網絡環境的影響，尤其是互聯網公網環境的變化，往往是不可控、不可預料的，這些都需要應用識別、應用選路、廣域優化等方式來進行QoS 增強，這也增大了系統和業務的復雜度。

5 總結

本文從基礎架構、產品應用、運營模式等方面對SD-WAN 進行了分析探討。SD-WAN 并不是一個基礎網絡技術層面的創新，也不是一個具體的網絡產品，它不能脫離基礎網絡獨立存在。SD-WAN 是一種企業WAN 網絡軟件化的解決方案，是一種新的服務提供方式，這種提供方式能更好地適應云網融合等復雜多變的網絡場景。目前，提供SD-WAN 解決方案和產品運營的企業很多，其網絡架構和實現路徑雖然大同小異，但是側重點卻各有不同。完整的SD-WAN 體系需要整合基礎網絡、軟件開發、系統集成、安全技術等全生態資源。從網絡技術上看，SD-WAN 尚無法取代傳統的WAN 組網方式，而是作為一種服務方式的補充與它們長期并存，并將在特定場景中發揮重要作用。同時SD-WAN 的發展也將推動傳統傳送網技術向SDN方向不斷演化和迭代。