SD-WAN技术分析

关于SD-WAN，近年以来频繁出现在我们的视野中，很多人预测，它是未来最具发展潜力的通信技术之一，具有很高的商业价值。行业内的老牌通信设备上和运营商对它一直看好，新兴创业企业也把它视为千载难逢的风口机会，对它趋之若鹜。

那么，到底什么是SD-WAN？它究竟是干什么用的？有什么特别之处？接下来给大家做一个全面解析。

SD-WAN，全名是Software-Defined WAN，软件定义广域网。WAN就是Wide Area Network 广域网。

对于经常接触IT和通信领域的人来说，对“SD（Software-Defined）”这个前缀词并不陌生。在如今这个软件为王的时代，想SDN、SDS、SDR…这样的专业名词已经充斥这个我们的工作和生活中，成为流行词汇。

SDN：Software Defined Network，软件定义网络

SDC：Software Defined Network, 软件定义存储

SDR：Software Defined Redio，软件定义无线电

SD-WAN，就是SDN的一个重要分支，是SDN技术在WAN领域的应用落地。

再简单一点说，SD-WAN就是SDN+WAN

什么是WAN（广域网）

我们还是从WAN这个最基础的概念开始说起。

很多搞网络的童鞋都应该知道，WAN是广域网，和WAN相对的，就是大家耳熟能详的LAN（Local Area Network，局域网）。

我们家里的WI-FI网络，网吧的网络，还有办公室的小规模网络，就是LAN局域网。

而WAN是一种更大地里范围内的计算机网络，它跨越省，市，甚至国家。

举个例子，某集团公司的总部设在北京，分公司设在上海，成都，广州。那么分公司网络就是一个局域网，总公司网络就是一个广域网。

之所以要有广域网的原因，我想大家应该都明白-数字化、网络化的时代，公司运作已经踢不开电脑和各种各样的信息化系统、平台。

从基本的电子邮件，到办公自动化（考勤系统，财务系统等），再到主营业务强相关的PLM（产品生命周期管理）、ERP（企业资源计划）等系统，迫切需要一张强有力的支撑网络。

对绝大多数公司来说，自己花钱拉一根专有的网线或者光纤，把总公司和分公司的网络连接起来也不是一件不可能的事情。但是耗时耗钱。

所以，只剩下两种选择。

第一种，就是让所有员工通过互联网进行连接。

现在非常流行的钉钉和企业微信，其实就是这样的方式。

在移动互联网和光纤宽带非常发达的今天，这种方式似乎是不错的选择。但是采用这种方式，需要面对两个致命问题：服务质量和数据安全。

我们使用的4G数据业务，还有大部分的光纤宽带接入，基本上都是民用级的通信服务。这种服务的稳定性和可靠性很差，经常卡顿甚至掉线。

这种服务质量，对于小微企业来说，勉强可以接受。但对于大中型企业甚至集团来说，就不行了。举个例子，工商银行北京总行的系统，和江苏省分行的系统，怎么可能说慢就慢，说断就断？

此外，将公司所有业务系统暴露在互联网上，会带来极大的安全隐患和风险。也举个例子，如果铁路总公司将自己所有的车辆运行管理系统放在公网上，你觉得放心吗？

钉钉和企业微信，背后也是大型互联网公司非常强悍的安全保护能力和系统容量在做支撑。

所以说，用互联网作为自己公司的广域网，只适合小微企业用户。（话说回来，小微企业也用不着广域网。）

第二种方式，也是目前用户的主流选择，就是借助运营商提供的专线进行连接。

这种专线，最具代表性的，就是MPLS。

什么是MPLS？

MPLS专线，就是一种基于MPLS技术广域网服务的专用线路。

MPLS专线是一种租用服务，他的所有权是属于电信运营商的，电信运营商把专线租给你，然后承诺这条线路的SLA（Service Level Agreement，服务等级协议，包括带宽、时延、抖动、丢包率等），能达到什么样的要求。至于你的软件用起来快不快、稳不稳，它是完全不管的。

就好像你家安装的宽带，运营商只会测速给你看----有没有100Mbps？有就行，至于你玩游戏卡？不好意思，这个不关我事。这就是基于SLA的服务。

不管怎么说，好歹是根专线，MPLS的网络质量还是不错的。

问题又来了，你租我租大家租，运营商的物理网络就这么一张，这么多公司业务都在上面跑，怎么保证区分和隔离呢？

这里就要提到大家很熟悉的一个名词了---VPN

VPN（Virtual Private Network 虚拟专用网络），其实就是在正常的物理连接的基础上，虚拟出了一个专用通道，保证通信的隔离和安全。

根据基于的网络不通，VPN通常包括PPTP、L2TP、IPSec和MPLS VPN。

IPsec-VPN，基于Internet的VPN。这个大家平时用的比较多。大公司员工出差在外，都会拨通VPN，然后就相当于变成了公司内网，可以访问内网的网站。

MPLS-VPN，基于运营商MPLS专用网络的VPN。整个分公司和总公司通过这个连接，逻辑上相当于大家都处于一个内网里。

这个我们简单说一下大家可能经常看到的Overlay和Underlay这两个概念。字面Overlay是在Lay（层）之上，Underlay是在Lay（层）之下，可以如下所示：

相对Internet来说，MPLS专线的有点，就是比较稳定可靠，安全也有一定的保障，但是随着时代的发展，它的缺点也越来越明显，备受用户吐槽：

1.     使用成本高

一直以来，不管是专业还是VPN服务，运营商给出的价格都是很贵的。

举个来说，某省电信的跨国10M的MPLS-VPN的价格为80000元/月。对于一个大型企业用户来说，分公司和办事处比较多，每年花在专线租用上的费用，就高达上千万甚至上亿人民币。

这种级别的成本，使我们几百块钱就千兆包月的家庭用户无法想象的，随着竞争的加剧，这么大的成本压力足以让企业喘不过气来。

2.     部署周期长

申请安装专线之后，运营商内部要走流程，一般要一周到一个月时间。

对于现在节奏越来越快的企业经营来说，这个时间周期越是无法忍受的。

3.     故障排查难

专线网络属于“黑盒子”网络，对于企业用户来说，当专线出现问题，很难判断是哪里出问题。企业只能排查企业内部的防火墙、交换机、路由器等设备。

对于运营商来说，排查问题也很纠结。往往排查到最后，发现自身没问题，问题还是出现在用户侧。这样一来一回，就耽误了大量的时间，影响公司业务的正常运转。

4.     维护人力紧

对于企业总部来说，一般有专门的IT工程师进行维护。但对于分公司和办事处来说，处于成本的考虑，一般不会配备专门的IT工程师。这样一来给MPLS专线维护带来困难，变相的增加了成本。

什么是SD-WAN？

SD（Soft Defined）软件定义，它并不是让软件替换硬件，而是将硬件的更多能力抽取出来，交给统一软件控制权管理。说白了，就是让硬件通用化、简单化。而软件控制器（Controller），成为掌握一起的核心。

基于SDN的SD-WAN究竟是什么样的架构呢？如下图所示

大家可以看到，整个网络架构的躯干，其实还是Internet和MPLS专线，但是架构之上多了一个SD-WAN控制器。这个控制器就是SD-WAN管理控制核心。

在分公司节点，还有总部节点，多了一些uCPE和vCPE这样的东西。

CPE（Customer Premise Equipment）之前介绍5G的时候说过，业内称为“客户端终端设备”。

uCPE是Universal CPE，通用客户端设备。

vCPE是Virtual CPE，虚拟客户端设备

管理员可以通过应用层接口对SD-WAN控制器进行配置，也可以下发vFW（虚拟防火墙，Firewall）、vWOC（虚拟关于网优化控制器，WAN Optimization Controller）功能到CPE，实现相应的功能，无需专门购买硬件。

我们结合网络架构、节点设备来具提分析一下采用SD-WAN究竟会带来什么改变。

1.     接口通吃，负载均衡

站在分公司的角度来看，SD-WAN不再强制只允许使用MPLS，而是允许MPLS，xSDL，PON光纤宽带、4G LTE，甚至5G等多种连接类型。CPE可以支持多种接口的Bonding（绑定），从而变成了一个接口资源池。

借助软件能力、某些设备上的CPE可以识别上千种不同应用的等级，并安排不同的质量服务。

举例来说，视频会议，对网络质量要求更高，就把优先级和Qos设置的高一点。对于文字聊天就设的级别低一点，让它用LTE之类的网络。

这样一来，企业用户对MPLS专线的依赖大大降低，普通宽G带和4G也能排上用场。用户的带宽利用率提升了，流量成本也下降了。

2.     自主选择最佳路径

WAN广域网技术的关键，其实在于路径选择。对于不同的分公司，SD-WAN可以根据现网情况和配置策略，自主选择最佳路径。

SD-WAN还具备负载均衡的能力，以此来增强网络的可靠性。

其实在运营商网络里，还有很多POP（point-of-presence，入网点），帮助解决跨运营商之间的链路拥塞和负荷问题。

3.     部署简单，秒速完成

在评价SD-WAN的部署速度是，人们会反复提到一个词，叫做ZTP，也就是Zero Touch Provisioning，零接触部署。简单来说，差不多就是即插即用。

除了CPE上电后自动获取配置外，还可以用扫码配置或邮件配置的方式。

以邮件不是方式为例。在不是SD-WAN时，总部的IT工程师主需要提前做好配置数据，把配置数据通过邮件的方式，发给分公司的任何员工，该员工即可通过连接，完成设备的配置部署。

4.     自管自控，智能运维

SD-WAN具有SDN的基因，所以在网络的管理上拥有先天的优势。但凡是SD-WAN的管理平台，都是可以图形可视化的。管理员可以清楚地通过网管页面看到SD-WAN的运行情况，并及时对出现的问题进行处置。这就大大降低了维护的难度，也减少了故障的处理时间。

总而言之，SD-WAN既好用，又省钱。