對於 2015 年才出現的 SD-WAN ，一直處在 “ 一個名詞，各自表述 ” 的尷尬中。但由於其在當前的網路圈太火爆的緣故，已經到了 “ 腳踢 VPN ，拳打路由器 ” 的地步，各路廠商紛紛易幟，不管有的沒的，都言必稱自己的家當就是 SD-WAN ，以至於各位看官也不清楚誰是誰非，只能袖手旁觀，看個熱鬧。

趁著 Abloomy 在市場上釋出自研的 SD-WAN 產品之際，我對 SD-WAN 見諸於媒體文章的概念討論進行了整理，試圖給出有價值的總結。

縱觀各廠商對於 SD-WAN 的介紹，不管是有意還是無意，都傾向於透過描述使用 SD-WAN 所帶來的好處說明 SD-WAN 是什麼，這就好像在暗示， “ 不管黑貓白貓，抓住老鼠就是好貓 ” 。

Wiki 上面的定義是這樣的： SD-WAN is an acronym for software-defined networking in a wide area network (WAN). SD-WAN simplifies the management and operation of a WAN by decoupling (separating) the networking hardware from its control mechanism. This concept is similar to how software-defined networking implements virtualization technology to improve data center management and operation 。

國內行業協會的定義也類似：軟體定義廣域網路，是將 SDN 技術應用到廣域網場景中所形成的一種服務。

對於大多數非業內人士，透過這個定義仍然不能弄明白 SD-WAN 是什麼？具備 SD-WAN 功能的產品該是什麼樣？但最起碼知道了， SD-WAN 應該源自於 SDN ，也就是它應該具有 SDN 的一些實現思路和技術特點。

SDN 追求的是什麼？

傳統意義上的 SDN 是一個區域網範圍內技術，其出現來自於校園網，最早被應用到資料中心領域，主要為資料中心部署雲業務服務。而隨著 SDN 在 IDC 、在雲中心的普及， SDN 的這一關鍵思路被進一步與雲端計算的概念相契合：

-- 硬體簡單化、通用化： SDN 提倡用功能簡單和標準化的網路硬體構建 IDC 的網路基礎設施，實際上這是降低方案成本的關鍵，這也與雲端計算基礎設施的構建思路相吻合。

-- 網路虛擬化：可以說 SDN 促進了網路虛擬化在自動化業務部署方面的普及。原始的網路虛擬化技術更像是一種網路隔離技術，可以認為是一種進化版的 VLAN 技術。在與 SDN 的集中控制體系、基於主機的服務虛擬化相結合後，它迅速成為了 SDN 連線控制層面虛擬化、網路資源虛擬化、虛擬化平面與物理網路銜接的關鍵手段。同時，網路虛擬化的概念藉此進一步的進化成為一種網路功能虛擬化方法（ NFV ）。

-- 控制中心化： SDN 嚴格區分控制層面的行為和轉發層面的行為，這與 SDN 的物理網路相對單一不無關係。 SDN 的中心化控制受限於單一控制器的控制能力和控制區域整體網路效能。 SDN 透過集中控制保證了在區域內的管理效率和手段簡化，同時也實現了控制器的虛擬化部署。

-- 資料透明化：與控制中心化相對應， SDN 實現了轉發資料相對控制器和控制層的透明，畢竟， SDN 控制器需要透過下發的策略和規則對流經交換機的資料進行轉發控制， SDN 控制器所能看到的資料深度和種類決定了整個 SDN 網路對客戶業務的 SLA 的承載能力。

SD-WAN 從 SDN 繼承了什麼？

首先， SD-WAN 是 SDN 思想在廣域網領域的延伸。除了研究的網路物件不同（ SDN 面向本地的區域網， SD-WAN 面向廣域網），其 “ 轉控分離 ” 的基本思想被完全繼承。並且，在硬體通用化、網路虛擬化、控制中心化和資料透明化方面兩者都有相似的說法。

但由於 SD-WAN 與 SDN 的應用環境和商業環境都不同，兩者在實現形態和實現途徑上的考慮有很大不同：

-- 在轉發層面的控制要求不同： SDN 強調轉發完全由三層硬體實現，即在埠轉發線速的前提下，能夠對應用轉發控制深度儘量細化。 SD-WAN 則是要求轉發層面對於傳輸層（ Underlay ）的抽象封裝提出了要求，也就是說，透過 SD-WAN 建立的端到端的邏輯鏈路（物理或虛擬）和網路（ overlay ）應該能夠以抽象的傳輸資源的方式被呼叫， overlay 的傳輸工作不應該涉及 underlay 中複雜的傳輸協議處理。這樣就可以簡化對通訊的管理和配置。

-- 在控制層面轉發控制目標不同： SDN 的控制目標是保證全域（ LAN 範圍內）內業務流量的轉發效能（頻寬）達標。 SD-WAN 的控制目標則是保證全域（廣域網 WAN 範圍內）內業務流量的可靠性（ QoS ）和效能（頻寬）達標，為此 SD-WAN 需要能夠駕馭多種傳輸網路（ MPLS/SDH 、乙太網、無線、 4G/LTE 、衛星通訊等），並在全域範圍內排程這些網路為業務流量轉發服務。

SD-WAN 真正要實現什麼？

按照我自己的歸納和理解， SD-WAN 真正想要實現的就是： 充分利用企業所能夠使用的通訊手段 （ MPLS/SDH 、乙太網、無線、 4G/LTE 、衛星通訊等，還有專網和網際網路）， 以“轉控分離”的方式，實現以全業務流量 QoS 為目標的，全域選路控制和業務策略編排 。

因此，相對於傳統的路由器組網所實現的廣域網傳輸方案， SD-WAN 在以下幾點上提出了全新的實現思路：

-- 轉控分離：這個在前面 SDN 介紹中已經提及， SD-WAN 只是在分離的程度上有所不同，由於 SD-WAN 更多的是關注面向 overlay 層的轉發控制，因此 underlay 層的控制更多的會放在轉發層面來實現。

-- 全域選路控制： SD-WAN 很大程度上以此替代了傳統路由器的動態路由協議。我們知道傳統的動態路由協議一般都是透過蒐集本地鏈路 QoS 和可達資訊，在域內的路由器間進行路由資訊交換和表決，來維護本地動態路由轉發表進行實際的轉發控制。即使是 BGP 協議也不過透過 Route Reflector 將這些路由資訊集中起來進行分發，具體的路由判斷，也就是轉發控制仍然在本地完成。而 SD-WAN 可以簡單的認為是直接在其 SDN Controller 上統一維護 “ 一張 ” 全域的路由表， CPE/Edge 裝置只需要將本地鏈路資訊上傳，並接收 SDN Controller 針對其釋出的路由表就可以了，路由處理和轉發控制被極大的簡化了。

-- 統一的 QoS 控制：相比於傳統閘道器和路由器裝置各行其是的本地 QoS 策略控制， SD-WAN 強調實現集中化的 QoS 分析和統一的 QoS 策略分發。 CPE/Edge 裝置實時上報本地鏈路資訊資料（其中包含了鏈路當前的網路特性，包括延遲、 jitter 、丟包和可用頻寬）， SDN Controller 統一進行分析，網路管理員將 SLA 目標輸入轉化為各種特定業務應用的 QoS 定義 -- 頻寬、延遲、 jitter 、資料包丟失等，控制器將這些要求轉換為對應邊緣裝置“即時”的路由策略，以選擇傳送該流量的最佳路徑。從另一個角度來說，統一的 QoS 控制也就是全域性選路的判權策略。

-- 業務策略編排： SD-WAN 的 “ 軟體定義 ” 特徵主要依靠 “ 策略編排 ” 來體現。策略，說明了 SD-WAN 對於業務、應用、 CPE/Edge 裝置、鏈路、網路特性、 SLA/QoS 保證、路由等的控制方式。編排，是策略與 SD-WAN 下轄資源（如，可用 Overlay 鏈路池、 overlay 網路特性、可用 underlay 鏈路池、 underlay 鏈路特性）的對映和關聯方式，簡單的說，就是業務需要怎樣使用 SD-WAN 達到相應 SLA 目標的自動化方式。既然是自動化方式，就意味著 SD-WAN 的 SDN Controller 可以自發的調整那些策略，使用下轄的資源，自動化的程度高低和策略控制粒度的精細程度，決定了 SD-WAN 的業務編排能力，也就是 SD-WAN 實際的實現水平。

如何識別真假 SD-WAN 產品？

-- 在基本瞭解了 SD-WAN 的真正含義和來龍去脈後，我們回到本文的初衷：如何辨別真假 SD-WAN 產品。

-- 就像文章開始所講， SD-WAN 至今沒有統一的定義，這造成眾多廠家的 SD-WAN 解決方案並不存在統一的評價標準，一些廠家也藉此 “ 趕時髦、蹭熱度 ” ，刻意混淆 SD-WAN 真正的技術概念和方案意圖，客觀上阻礙了 SD-WAN 市場的健康發展。近來在行業內就曾出現過有廠商採用傳統的 VPN 配合內部的 MPLS 骨幹簡單實現偽 SD-WAN 方案的案例，更有甚者，竟然使用 L2TP+MPLS+SNMP 方案，對客戶宣稱是 SD-WAN 的笑話。

-- 由於 SD-WAN 的產品和方案並不排斥與舊有技術和產品進行整合，這為辨別真假帶來了不少困擾。因此我認為，可以使用兩種方法來對這個問題進行判斷：

-- 從 SD-WAN 的根本特徵出發進行辨別

-- 從 SD-WAN 產品的外在功能點進行歸納判斷

從 SD-WAN 的根本特徵出發進行辨別

這種方法實際上是一個測試方法，需要讀者自身具備分析 SD-WAN 系統的基本能力，也就是能夠自主的對 SD-WAN 系統的各部分進行考察，從而判斷某個 SD-WAN 系統是否存在疑點。

根據前面的介紹，我認為 SD-WAN 必需具備的四個根本特徵是：轉控分離、全域選路、統一 QoS 控制和業務策略編排能力。為此，讀者可以在某個 SD-WAN 系統中尋找其是否具備以下特點：

-- 透過考察 Controller 判斷其是否具備 “ 轉控分離 ”

** 在這個 SD-WAN 系統宣稱的 Controller 上，考察其是否與本地的流量轉發功能完全分開。因為 SD-WAN 系統的 Controller 作為系統中的中心化的控制設施，可以是一臺專用裝置，也可以是部署於 IDC 中的虛擬化伺服器，或者企業網路中心位置的某個虛擬化應用。因此，我們需要確信，這個 Controller 與其他所有具有本地的流量轉發功能的 SD-WAN 裝置（ CPE/Edge 裝置）都具有通訊連線。

** 考察這個 Controller 具備轉發策略的釋出能力。因為 SD-WAN 系統的轉發策略基本都依賴三層及三層以上的路由規則進行，因此我們需要確信這個 Controller 能夠生成這樣的路由規則，並涵蓋下轄所有的 SD-WAN 裝置（ CPE/Edge 裝置）。

** 至此，我們可以基本確認這個 Controller 基本具有 “ 轉控分離 ” 能力，但這不包括與 BGP 系統區別開來，為此需要下面的步驟。

-- 透過考察 CPE/Edge 裝置進一步確認 “ 轉控分離 ”

** 考察 SD-WAN 系統中的 CPE/Edge 裝置的路由轉發表。由於 SD-WAN 系統中的 Controller 負責更新域內所有轉發裝置的轉發表，因此，判斷線上的 CPE/Edge 裝置是否完全依賴 Controller 進行路由轉發表進行更新就可以了。

-- 透過考察 Controller 和 CPE/Edge 裝置判斷其是否具備 “ 全域選路 “ 能力

** 透過選擇某個 CPE/Edge 裝置的本地鏈路進行通斷，判斷其是否會上報鏈路資訊給 Controller 。

** 考察這個 Controller 是否更新自己的全域性策略表，並更新相關多個 CPE/Edge 裝置的轉發表。

** 在這個過程中端到端的的兩個 CPE/Edge 裝置上的業務連線（如，影片播放）不應該中斷。

-- 透過考察 Controller 和 CPE/Edge 裝置判斷其是否具備 ” 統一 QoS 控制 “

** 需要在這個 SD-WAN 系統中引入至少兩個業務持續流量（比如，兩個影片播放），以此來表示不同級別的 QoS 策略所帶來的效果。

** 對這個 SD-WAN 系統引入新的傳輸鏈路（最好是新的鏈路型別），設定新的 QoS 策略，並與前面其中一個業務流量的 QoS 策略進行關聯。

** 斷掉原有的傳輸鏈路，應該能夠看到 QoS 策略對於不同業務流量的傳輸效果變化。（具體策略依賴於具體的實驗方法）。

-- 透過考察 Controller 判斷其是否具備業務策略編排能力

** 考察這個 Controller 的資源列表所涵蓋的範圍。

** 考察這個 Controller 的策略型別所涵蓋的種類。

** 考察這個 Controller 的資源編排器（不同的廠家有不同的名字）是否涵蓋上述兩方面的內容。

** 據此我們就基本確定這個 Controller 是否有業務策略編排功能，具體能力大小則需要另外判斷。

當這個系統透過了以上的考察和測試後，我們就能夠比較有把握的認為這個系統是一個 SD-WAN 系統了。

從 SD-WAN 產品的外在功能點進行歸納判斷

由於人們並不會都有機會接觸到某個 SD-WAN 系統，通常只能接觸到該 SD-WAN 系統的宣傳資料和部分功能列表，是否可以透過對這些文字資訊進行判斷得到結論呢？這裡我嘗試給出一份基本 SD-WAN 系統功能列表（ Abloomy ），輔助讀者進行判斷：

1. 遠端站點 / 分支機構可以透過公有或私有 WAN 主動接入業務應用。

2. 支援分支站點裝置 WAN 鏈路的多種備份和聚合方式

3. SD-WAN 的控制器支援單 / 雙叢集、虛擬化部署方式。

4. 支援根據統一的應用策略對跨專用和公共 WAN 路徑的流量進行動態調整，並在傳輸和應用層上控制（提高或降低） WAN 服務的效能。

5. 支援以集中的視覺化方式管理關鍵性業務和實時應用程式的流量執行狀態，並能對其進行控制優先順序的排序。

6. 支援分支站點裝置的零接觸部署（ ZTP ），在直連的基礎裝置上幾乎不做任何配置更改，確保配置和部署的敏捷性。

7. 支援集中策略配置，保證頻寬分配、優先順序自動排序和鏈路選擇的實時性。

8. 支援基於業務應用程式的效能要求（頻寬、延遲、 jitter 、資料包丟失）預定義模板。

9. 支援廣域網最佳化。

10. 支援 AAA （認證，授權和計費），支援 RADIUS 、 LDAP 或 AD 等。

11. 支援具有 IPsec 和 SSL VPN 同樣等級的鏈路安全屬性。

12. 分支站點裝置支援本地或雲端基於 NFV 的服務編排，支援報文捕獲與解碼能力（ DPI ）和防火牆功能。

13. 支援基於角色 / 多租戶（同層 / 分層）的訪問控制功能

如何才能鑑別SD-WAN

相關文章