什么是SD-WAN？软件定义WAN是如何工作的？

01、业界标准中的SD-WAN

对于SD-WAN的定义，不同SD-WAN的厂商会给你不同的答案，我们来了解一下业界的标准定义。

1.1  Gartner的定义

Gartner明确定义了SD-WAN的基本特性：

支持混合链路接入：如MPLS、Internet、LTE等。

支持动态调整路径：允许跨WAN连接进行负载分担。

管理和业务发放简单：如支持在分支机构的零配置开局，应该与家庭Wi-Fi一样易于设置。

支持VPN以及其他增值业务服务：以及其他第三方服务，如WOC（WAN Optimization Controller，广域网优化控制器）、防火墙等。

1.2  MEF的定义

MEF（Metro Ethernet Forum）在MEF-70中给出了第一个SD-WAN的标准化定义。标准中明确定义了SD-WAN组件、能力，并为每个组件的所有接口定义了框架和API的服务规范。

1.3  华为的SD-WAN

华为SD-WAN解决方案，遵循MEF的标准，并满足Gartner对SD-WAN的定义。华为SD-WAN拥有软件、硬件和虚拟计算平台等丰富的软硬件产品组合，丰富的接口类型，基于技术创新带来的差异化优势，在WAN Edge基础设施市场始终保持着强劲的增长势头，在2018~2020年Gartner发布的WAN Edge基础设施魔力象限报告中始终跃居挑战者象限。

02、SD-WAN的好处是什么？

针对企业网络当前面临的WAN封闭架构、业务体验难保障、业务部署慢和运维困难的问题，华为SD-WAN解决方案为企业提供分支与分支、分支与数据中心之间提供全场景随需互联，并通过应用级智能选路与智能加速、智能运维，构建更好的业务体验，重塑企业WAN互联全流程的业务体验。华为SD-WAN主要好处如下：

5G超宽，随需互联：5G/有线多种上行，随时随地连接到总部和云，大规模灵活组网使能可靠、可扩展的企业分支互联。

智能选路，极智体验：通过应用智能选路和优化，保证办公、生产等任意地点分支的本地和云上关键应用的体验。

一体管控，智能运维：LAN/WAN统一云管理，简化海量分支业务部署和运维复杂度。

03、SD-WAN的架构，SD-WAN是如何工作的？

从逻辑分层及功能角度划分，SD-WAN的逻辑架构主要包括业务呈现层、管理/控制层以及网络层，每层承担的功能不同，其中又包括若干核心组件，如下图所示。

SD-WAN的架构

3.1  业务呈现层

SD-WAN的业务呈现层向下对接网络控制器，对外通过业务Portal界面实现SD-WAN的业务呈现和发放。业务呈现层当前有如下两种形式：

自研Portal界面：由SD-WAN解决方案提供商向客户提供SD-WAN端到端的业务配置和处理流程。

第三方BSS/OSS/编排器：由第三方根据业务需要，通过调用网络控制器的Restful北向开放API集成到BSS/OSS/编排器业务系统中，从而实现对于SD-WAN方案的集成和界面的灵活定制。

3.2  管理/控制层

网络控制器是管理/控制层的核心组件，是整个SD-WAN的“智慧大脑”。SD-WAN网络控制器一般有网络编排、控制和管理三大功能：

网络编排：网络控制器的编排组件负责SD-WAN面向业务的网络模型抽象、编排和配置自动化发放。SD-WAN的业务编排可以分为两大类：一类是企业WAN组网相关的业务编排，比如SD-WAN站点创建、WAN链路创建、VPN创建以及VPN拓扑定义等；另一类是各种网络策略相关的业务编排，比如应用识别、应用选路、QoS以及广域优化策略等。

网络控制：网络控制器的控制组件负责对SD-WAN网络层进行集中控制，通过根据用户意图实现企业WAN 的按需互联互通，具体功能包括但不限于：SD-WAN租户VPN路由的分发和过滤；VPN拓扑的创建和修改；站点与GW间Overlay隧道的创建和维护等。

网络管理：网络控制器的管理组件实现了企业WAN 的网络管理与运维功能，包括但不限于：SD-WAN网元的告警和日志等故障信息采集；基于链路、应用、网络的性能数据采集、统计和分析，并对最终客户进行网络拓扑、故障、性能等运维信息的多维度统计和呈现。管理组件对设备的管理接口协议一般采用NETCONF和HTTP2.0，前者负责网络设备告警、日志和事件等运维信息的采集，后者负责网络设备性能信息的采集。

3.3  网络层

从业务角度讲，企业的分支、总部和数据中心以及在云上部署的IT基础设施等都可以统称为企业的站点。不同企业站点用于WAN互联的网络设备以及中间WAN网络一起构成了SD-WAN网络层。

SD-WAN的网络设备，主要包括：Edge和GW两种类型。

Edge

Edge，即（SD-WAN Edge）的主要是指企业总部、分支、数据中心或者云站点的出口CPE设备，是SD-WAN隧道的发起和终结点，也可以看做是SD-WAN网络的边界点。Edge之间的Overlay隧道可以构建在任意的有线或者无线的Underlay WAN技术之上，并且通常与某种数据加密技术(如IPSec)结合使用，以确保企业WAN数据传输的安全性。

Edge一般可以采用如下设备，在SD-WAN中，CPE可以是硬件形态的传统CPE和uCPE，也可以是软件形态的vCPE：

CPE：传统硬件CPE。CPE作为一种网络设备，最早是以硬件盒子的形态部署于站点中。从硬件角度来看，CPE中通常会包含主控板、接口卡、多核CPU以及各种硬件组件。从软件功能角度来看，CPE会提供二层交换和三层路由的功能，可以连接站点的内部网络和外部网络。一般把这种CPE称之为传统CPE（Traditional CPE）。

uCPE：随着云计算和NFV技术的发展，云化和虚拟化成为不可阻挡的趋势，传统的专有硬件设备都已经有了软件化的形态，安全、广域加速、负载均衡等功能可以通过VNF（Virtual Network Function，虚拟网络功能）的形式提供。如果能将这些功能都放进CPE里面，既能降低设备成本和能耗，又能实现灵活快速的业务发放。

vCPE：如果把传统CPE中的网络功能从硬件盒子中抽离出来，通过纯软件的方式实现，彻底将软件与硬件解耦，这种新的CPE形态就称为vCPE（Virtual CPE）。vCPE可以代替专用的硬件设备，通过软件的方式来实现传统CPE的功能，这样的方式有利于更轻松、更快速的部署业务，同时增强了业务的可伸缩性和可扩展性，并且降低了部署和运营成本。

GW

GW（SD-WAN GW）是联接企业新的SD-WAN站点和其他传统VPN站点的中间设备。由于老的传统非SD-WAN站点的存在，借助GW实现SD-WAN网络到企业传统分支网络的互通。

GW在不同的业务场景有不同的角色名称：

IWG（Interworking Gateway）：比如上述与传统站点连接的GW可以称为IWG。

Cloud GW：与公有云网络对接的GW可以称为Cloud GW。

04、SD-WAN与MPLS VPN专线有什么关系？

在传统的WAN拓扑中，主要通过MPLS专线进行互联。可以有效保证带宽、减少数据包传输的延时。SD-WAN是从MPLS技术演变而来的。SD-WAN支持MPLS、Internet、LTE和5G链路灵活组合进行WAN分支互联。

通过如下方面，可以帮助你更好的理解MPLS与SD-WAN之间的关系：

成本：MPLS专线费用比较贵。SD-WAN支持MPLS、Internet、LTE和5G链路灵活组合，从而整体降低链路成本。

安全：MPLS可以提供安全、可靠的连接，适用于对安全性比较高的应用。在SD-WAN中，优先选用MPLS链路，可以保障连接的安全性。

性能：在同等带宽下，Internet的性能比MPLS的性能要低。SD-WAN可以通过将多条Internet链路聚合在一起，形成一条逻辑链路，从而保障性能。

稳定性：网络中会存在对时延、丢包率敏感，链路质量比较高的关键业务。MPLS没有提供一个平台来区分优先级，通过SD-WAN提供的策略的管理和智能选路能力，可以实现在发生拥塞时低优先级应用避让高优先级应用，即关键业务的流量通过MPLS进行发送，而其他所有业务的流量则通过高宽带的Internet进行发送。

部署效率：传统的MPLS部署可能需要1~6个月，SD-WAN比较短，只需要几个小时。

云计算、SaaS等移动应用：MPLS的建网及部署方式很难规模化的应用于云计算及SaaS。为了支持更快地访问在云中运行的应用程序，SD-WAN可以配置流量转向规则，以便为这些应用程序使用Internet连接。因此，云流量从分支机构直接传输到互联网，而不是回程到总部。一些SD-WAN运营商可以从其网关直接访问云数据中心（例如AWS或Microsoft Azure），从而提高托管在这些云上的应用程序的性能和可靠性。

SD-WAN使建立混合WAN更加容易，并且可以在成本，可靠性和性能之间找到适当的平衡，以实现各种应用程序流量的混合。

05、如何保障SD-WAN的安全？

SD-WAN的安全性可以从系统安全和业务安全两个方面来进行保障。系统安全是SD-WAN解决方案必备的基础安全能力，SD-WAN解决方案系统在初始化之后就应该自动具备这些能力，使其能安全可靠的运转。而业务安全是单独部署的安全功能，要根据企业用户实际的业务安全需求灵活选择合适的安全防护措施。

5.1  系统安全

系统安全涵盖的范围主要包括：SD-WAN解决方案中组件间的通信安全、多租户安全以及组件自身的安全。SD-WAN解决方案系统包含多个组件，组件本身以及组件之间的通信都会受到安全威胁。因此，必须要有安全措施来保证SD-WAN解决方案系统的构建和运转是安全可信的。

保证系统安全，即通过身份认证、数据加密、数据验证、权限控制等措施，避免非法接入、信息泄露、数据篡改等安全问题。特别是针对CPE接入的场景，SD-WAN解决方案基于零信任（Zero Trust）的安全理念，严格验证CPE的身份信息，防止身份仿冒，确保只有合法可信的CPE才能接入。

5.2  业务安全

业务安全指的是SD-WAN解决方案所承载业务的安全，部署SD-WAN解决方案的目的是要帮助企业更好地开展业务，根据企业的业务模型，业务安全包括站点间互访业务的安全、站点访问Internet业务的安全、站点入云业务的安全。

满足业务安全的需求，就是要针对不同的业务采取相应的安全防护措施。例如，对于站点间互访业务，要加密处理保证其在Internet上传输的安全性；对于站点访问Internet业务，可以使用CPE提供的安全功能，如ACL过滤、防火墙、IPS和URL过滤以及VAS高级安全功能等，防御各类攻击以及入侵行为。需要注意的是，这些安全功能可以基于VPN来配置，即针对同一个租户内的不同部门，实施差异化的业务安全防护措施。

另外，SD-WAN解决方案还支持对接第三方云安全网关，利用第三方云安全网关对访问公有云、SaaS的业务流量进行安全防护。

06、SD-WAN与云有什么关系？

随着云化时代的到来，越来越多的企业已经将自己的IT系统搬到公有云上。企业WAN也需要能灵活地连接各种云资源，这些云资源主要包括：IaaS 基础云服务以及SaaS云应用。

公有云站点的Edge可以部署vCPE软件虚拟CPE设备，并通过VNF（Virtual Network Function，虚拟网络功能）的形式提供软件化的安全、广域加速、负载均衡等功能。将这些功能都放进CPE里面，既能降低设备成本和能耗，又能实现灵活快速的业务发放。

连接公有云

为了更高效地访问SaaS 应用，SaaS路径可能存在多种路径选择，通过SD-WAN的智能选路能够实时感知每条可选路径的网络SLA（Service Level Agreements，服务等级协定）质量，并在集中的网络控制系统的帮助下，具备实时调整并选择最优SaaS 访问路径的能力。

访问SaaS 应用

以上就是什么是SD-WAN？软件定义WAN是如何工作的？的介绍，微云网络提供全球网络优化服务、MPLS专线、SD-WAN企业组网、IPLC专线等海外专线业务。