SD-WAN 架构详细解读

Posted 2023-03-31 王重阳-道长

SD-WAN首次出现于2015年，随着技术、架构以及商业模式的快速发展和完善，已成为众多企业解决传统WAN架构封闭、业务体验难保障、业务部署慢和运维困难等问题的首要选择。SD-WAN搭乘云计算和SDN技术的快车，能够将企业的分支、总部以及多云/数据中心互联起来，应用在不同链路之间选择最优路径进行传输，组建安全、可靠、稳定的企业WAN网络，部署简单，运维方便，为企业提供优质的组网上云体验。

1. SD-WAN技术介绍

企业WAN（广域网，Wide Area Network）历经TDM（时分复用电路）到Packet-over-SONET（同步光纤网上分组数据），再到MPLS（多标签协议交互）以及以太网接入的过程，虽然所用技术发生了翻天覆地的变化，但是仍然存在WAN架构封闭、带宽昂贵、服务配置周期长、业务体验差等问题。
在此背景下，SD-WAN应运而生。SD-WAN（Software Defined Wide Area Network，软件定义广域网），是SDN（软件定义网络）技术在WAN（广域网）中的一种特定应用场景，多用于企业分支、总部和数据中心/多云之间的互联互通，其典型特征是将网络控制能力通过软件方式“虚拟化”，支持可感知的网络能力开放，提供一种快速、低成本的部署方式，极大程度的降低企业WAN成本，显著提高网络连接灵活性，能够有效解决上述问题，受到企业、运营商以及通讯设备商的热烈追捧。
 

2. SD-WAN技术术语

在SD-WAN应用场景中，一般涉及以下术语和缩略语。

3.SD-WAN技术架构

近年来，SD-WAN虽然发展迅速，但是没有一个事实的衡量标准，各家技术差别较大。目前，主流市场上，按照SD-WAN控制器对网络域的控制边界，SD-WAN技术架构大致分为四类：

3.1 无PoP网络架构也称叠加网络结构(On-Prem-Overlay）

3.2 云端PoP架构也称(On-POP-Overlay架构）

3.3 混合架构也称(Integrated SD-WAN架构)

4.无PoP网络架构，适用于中小规模的企业

在原先单一的WAN接入方式基础上，提供多种接入方式。在企业分支、数据中心、公有云上等站点分别部署CPE/vCPE，与SD-WAN控制器互联，CPE/vCPE之间利用互联网和VPN技术实现加密安全连接，网络架构如下图所示：

图1 无PoP网络架构
在无PoP网络架构中，分支机构通过隧道连接，由SD-WAN控制器统一管理控制，简化了传统WAN的操作和管理，组网更灵活。但是如果企业用户有Full-mesh的网络需求，隧道管理就会比较复杂，因此适用于中小规模的企业。

 5.云端PoP架构，适用于分支众多、有跨省业务的中大型企业

云端PoP架构中，SD-WAN服务商提供多个接入点（PoP），PoP点的一侧与企业分支机构的CPE互联，另一侧与运营商的MPLS网PE直连，在PoP之间建立专线骨干网以保障SLA，解决跨运营商的网络质量问题。企业分支与总部可就近接入PoP点，通过PoP点进行互联互通。

 

图2 云端PoP架构图
云端PoP架构采用PoP接入，大大简化隧道数量和配置，是SD-WAN服务商向中大型企业推荐的经典架构，尤其适用于分支众多、有跨省业务的中大型企业。

 6.云端PoP架构，适合有大量云联网业务的企业

在混合架构中，SD-WAN控制器可纳管1个或多个运营商的MPLS网PE、租户VPN等，支持与客户原有VPN网络进行混合组网，可方便对接各运营商骨干网，实现全国范围内集成VXLAN、IPSEC VPN、MPLS VPN、SD-WAN等多种应用技术的WAN解决方案。

图3 混合架构图
混合架构集成多种Overlay技术，解决了运营商“最后一公里”问题，打通了MPLS租户VPN与SD-WAN租户VPN，适合有大量云联网业务的企业

7.应用场景

SD-WAN面向大、中、小、微型企业，提供互联网访问、分支互联和入云管理等多种应用场景，满足用户不同网络连接需求。

7.1 互联网访问

在SD-WAN场景中，用户可通过CPE直接访问互联网，满足企业用户本地上网需求。CPE作为企业出口网关，可直接与Internet互通，并提供应用策略、网络QoS、ACL等精细化流量管理服务。

7.2 分支互联

SD-WAN根据企业实际需求，可在各个站点的CPE设备之间基于Internet、MPLS、专线、4G、5G等多种WAN链路建立隧道，支持隧道两端的分支机构通过隧道互联互通。SD-WAN将每个企业作为一个租户，基于租户进行网络资源的规划建设，支持对不同租户构建相互隔离的VxLAN封装的2层或3层叠加VPN网络，同时可根据企业的业务发展灵活调整，弹性伸缩网络分支站点，组网安全、便捷，运维自主可控。

7.3 入云管理

在云计算发展的如火如荼的今天，多数企业选择租用运营商或第三方厂商的公有云服务，替代传统的数据中心，在云端部署企业业务，降低企业成本。SD-WAN提供Internet、MPLS、专线、4G、5G等多种接入方式，通过在云端以虚拟机或裸金属形式部署vCPE服务，与部署在企业分支的CPE之间建立隧道，打通从企业用户本地到云内的网络通道，实现一跳入云，并提供安全组管理、访问控制管理、应用策略管理等功能，为企业用户提供安全、可靠的上云服务。
 

最强解读SD-WAN基础内容与场景分析

传统广域网面临诸多挑战：

• MPLS专线价格贵
• 业务开通时间长
• 组网不够灵活
• 配置管理复杂

SD-WAN的特点与优势：

(1)降本增效

SD-WAN可以集成专线，Internet，MPLS，4G/5G等多种连接方式，有效提升广域网的带宽，同时降低总体连接成本，实现降本和增效双丰收。具体降多少本增多少效呢？按照某头部SD-WAN玩家的白皮书上的数据：5年期运营成本下降38%，WAN口效率提升33%。

(2)简化部署

SD-WAN的硬件CPE设备大多支持Zero Touch Provision，零接触部署，支持快速部署，比如可以通过邮件方式来配置CPE设备，或者通过预配置方式来实现。当企业的分支机构较多，这些快速部署的功能大大减轻了运维开通的压力，为快速开展业务提供了基础。

(3)简化运维

• 支持实时监控链路质量，有一些SD-WAN厂家的产品可以对链路进行检测，可以给链路打分。当链路出现故障时，可以做相应的告警，切换等,减少人工监控和排除故障时间。
• 有些SD-WAN的厂家还支持深度应用识别功能，这个功能比较有意思，可以看到经过CPE设备传输的流量。比如可以看到微信访问量多少，淘宝访问量多少等，这个流量的可视化对运维也有很大的帮助，可以知道哪些应用在什么时候用了多少带宽等信息。同时，因为应用可以被识别后，也可以基于应用来做调度，比如核心应用调度到MPLS线路，低优先级应用走Internet线路。
• 配置方便，图形化的界面，一键式的VPN配置，方便运维。
• 提供一站式运维报告，站在运维的角度，报告太重要了，能自动导出每个分支站点的使用情况包含带宽，时延，对运维是非常必要的。有时候客户的选择SD-WAN的厂家，可以就是报告这一项。

(4)智能选路与链路聚合

SD-WAN可以支持多种连接方式，Internet，MPLS，4G线路等，并且可以根据网络的质量进行选路，比如可以有2条Internet，其中一条Internet质量不好的时候，路由选择走质量好的Internet。

也可以根据应用该的优先级来安排路由，比如核心应用（CRM，SAP等）安排走MPLS线路，低优先级应用走普通的Internet。有些SD-WAN玩家还可以做到Per packet的数据调度，数据包级别的调度。

SD-WAN也可以支持链路聚合，将底层的2根或者多跟Internet捆绑在一起使用，大幅提升网络效率。

(5)网络质量优化

在SD-WAN网络架构里面，有underlay网络和overlay网络之说，underlay网路是底层的物理网络，overlay网络是在underlay网络之上，构建tunnel，实现更加灵活的组网。

当底层的网路出现不稳定，或者丢包的时候，一会SD-WAN的玩家会在overlay网络里面做一些优化，启动修复机制，比如：

对于实时的流量（比如视频，语音等），通过前向纠错机制（Forward Error Correction FEC）和包复制技术来实现纠错与修复；对于TCP流量，可以采用最大化TCP滑窗，自动重传等技术来实现。这种修复方式可以提升用户体验，比如提高视频会议的质量，保障传输的质量等。

(6)入云加速

随着云计算技术的普及，已经有越来越多的企业选择上云，对于公有云的访问越来越频繁。
SD-WAN最近这1年很大的发展是在入云加速这块，大多SD-WAN的玩家可以提供入云加速。
很大的原因是除了企业总部的需要上云，众多的分支机构也需要上云，SD-WAN技术可以解决分支机构直接入云，而不需要再从总部绕行。

同时，SD-WAN 也可以实现公有云，私有云的多云连接，上云迁移等，为企业快速上云提供快车道。

(7)与安全的融合

SD-WAN技术与安全的技术的融合是很大的一个话题，目前很多SD-WAN厂家能提供端到端安全的一体化方案，数据加密并分段隔离。

2019年Gartner提出了SASE（Service Access Service Edge）这样一个网络架构, SASE集合了WAN的能力和云安全的能力，个人觉得，SD-WAN是Network as a service，把网络作为一个能力，而SASE架构是集成了SD-WAN的能力同时加上了云安全的能力。SASE的架构得到了很多SD-WAN的支持。

SD-WAN常见组件:

(1)控制器

SD-WAN控制器或者叫编排器，它是一个软件，可以安装在独立的服务器上，也可以部署在虚拟化的云环境中，主要功能是对终端CPE的配置，管理，监控，流量的调度等，是整个SD-WAN架构的大脑。

(2)SD-WAN终端CPE

终端CPE是硬件的盒子，放在客户的分支机构出口处或者是公司总部；一般设备上分为LAN口和WAN口等.有光口有电口,1G，10G口等。

CPE也支持虚拟化方式的部署，一般叫Virtual CPE，运行在虚拟化环境里面。

(3)SD-WAN 云网关

这个组件主要用于入云的连接，或者部署在POP点，作为POP点接入网关，有些SD-WAN厂家也称之为Virtual PE等。

SD-WAN的组网架构：

（1）本地组网

本地组网方式是最基本和典型的SD-WAN组网方式，企业分支结构可以通过internet或者专线的方式连接到企业的总部。部署在分支机构和总部的终端将有SD-WAN控制器统一做配置和管理。对于重要的分支可以部署多条MPLS和Internet线路。

如果分支机构的站点数较为庞大，可以考虑分级的部署模式，比如一级机构和总部采用MPLS专线互联，二级机构通过Internet连接到一级机构等。

（2）POP点组网

POP点组网模式较为适合有骨干网络资源的运营商，在这个模式下，可以在运营商的POP节点部署云网关（软件），分支机构和总部的终端都连接到最近POP点的云网关，通过运营商提供的骨干网来做互联。这个模式比较适合中国网络的特点，对中国南北向Internet瓶颈的问题有较大的帮助。

（3）入云架构

最近这一年里SD-WAN入云加速是各大厂家提及最多的一点，随着越来越多企业将应用迁移到公有云上，快速访问公有云，是很多企业需要解决的问题，SD-WAN的技术在入云加速这个领域非常合适。

（4）与云安全的结合

SD-WAN可以与云安全服务商完美结合在一起，通过云网关建立IPSec隧道到云安全服务提供商，实现网路安全的防护。也可以通过终端CPE建立IPSec隧道到云安全服务提供商。

（5）MEF的SD-WAN标准

MEF(Metro Ethernet Forum)提出了业界第一个SD-WAN的标准，在MEF70里面定义了SD-WAN的几个组件：
• SD-WAN Virtual Connection (SWVC) -这个虚拟连接，就是对应的overlay的连接
• SD-WAN Virtual Connection End Point -终端CPE设备。
• SD-WAN UNI User Network Interface 用户网络接口

SD-WAN与5G

近日中国电信重磅宣布覆盖全国300+城市的5G SA网络正式规模商用，5G时代已经到来了! ITU定义了5G的3大应用场景：

• eMBB（Enhanced Mobile Broadband）增强移动宽带
• mMTC（massive Machine Type of Communication）大规模物联网
• uRLLC（ultra-reliable low latency communications）超高可靠超低时延通信

5G三大特点:高带宽，大连接,低时延。5G网络的出现会将SD-WAN的部署推向新的高潮。

在目前SD-WAN的应用场景中，我们也经常看到有通过4G线路来组网，有些场景是4G线路作为备份线路来使用，而另外一些场景则是有线Internet无法部署(受制于客观环境)，4G的无线Internet是更好的选择。在目前市场上，我们也已经看到很多4G组网的案例，随着5G高带宽低时延网络的出现，基于的5G的SD-WAN广域网将给客户带来更多的精彩。

个人觉得，5G与SD-WAN的完美组合将使得MPLS专线的部署显著下降。5G时代的到来，将使得SD-WAN技术在更多的领域和行业得到更广泛的应用。

SD-WAN 应用场景

SD-WAN在金融、制造、零售、跨国企业等诸多行业有这很多应用案例。

零售行业

互联网、物联网、大数据，人工智能等最新的技术的发展，使得零售行业迎来革命性的变化，阿里提出了“新零售”的概念,苏宁称之为“智慧零售”。新零售的门店产生诸多新的应用比如人脸识别，客流统计，用户画像 精准营销等。这些新的应用对零售门店的IT系统提出了新的要求。

智慧零售门店的IT系统需要包括收银、ERP、CRM、视频监控和识别、WIFI等众多系统，其中核心应用需要同总部进行数据实时同步、备份。

另外一点零售门点通常分布地域广，门店众多，IT人员有限，管理困难，门店的广域网（WAN）网络即要满足核心应用的性能、时延、安全的要求，也要满足公众WIFI上网的需求，同时也要考虑带宽成本、设备管理、部署、运维的难度，智慧零售门店的WAN网络充满严峻的挑战。

SD-WAN 正是解决这一难题的利器, SD-WAN的部署为零售行业客户带来了巨大收益,体现为：

• 降低同等广域网链路的带宽成本，最大效率利用带宽资源，带宽利用率提升。
• 提供了更好的业务体验，门店的应用与总部数据中心的链接的更流畅，视频会议清晰。
• 通过云化的集中管理和自动部署，提升了WAN的管理效率，简化了分支运维，降低了运维成本。
• 实时监控和负载均衡的功能使得停机时间大大减少。

Office365 访问优化

这里聊一下Office365 应用加速的场景，有一些SD-WAN的厂家可以支持深度应用识别的功能，在企业的分支机构出口可以将O365的流量识别出来，然后通过隧道的方式送到企业的总部，通过企业总部的精品网线路，从而实现较好的O365访问效果。

总结

（1）未来5年，SD-WAN市场规模会逐年增大，技术越来越成熟，应用场景越来越丰富。
（2）SD-WAN技术凭借其降本增效，简化部署，自动化运维，灵活组网，入云加速，集成安全性等优势和特点，大大推动了广域网的变革。
（4）SD-WAN与安全的融合是大势所趋，SD-WAN会融入到SASE的架构中。
（5）云计算的普及使得入云加速的功能成为SD-WAN的一个很大的加分项。
（6）5G技术的大规模商用，会成为SD-WAN的催化剂，5G与SD-WAN技术的完美组合将大大冲击传统的MPLS专线的市场，带来更多SD-WAN的部署。