上一篇《SD-WAN那些事(一)》推演了廣域網架構的變化，從WAN加速到Hybrid-WAN，再到增強型的混合WAN—SD-WAN。采用SD-WAN技術使企業(yè)可以通過廉價的Internet獲得近似專線的特性，更適應業(yè)務上云的需求，增強了網絡的敏捷性和魯棒性。本文繼續(xù)圍繞混合WAN場景簡述SD-WAN特性和技術實現(xiàn)。

[[221473]]

計算資源的池化構成了云計算，SDN的目標可以看作是網絡的云化，因為網絡服務和云計算一樣有著彈性伸縮、按需服務、快速部署的功能訴求。SD-WAN將廣域網鏈路抽象成資源即虛擬的Overlay向業(yè)務服務，屏蔽底層鏈路的具體形態(tài)，幫助業(yè)務快速獲得匹配需求的資源。從SD-WAN的實現(xiàn)上可以大致分為三類。

一、傳統(tǒng)設備廠商

傳統(tǒng)網絡設備加入SD-WAN功能，對于CPE或總部出口網關，按照預先配置的策略，通過到目的端的鏈路檢測協(xié)議，檢測鏈路負載、時延、抖動、丟包率，選取滿足業(yè)務SLA需求的鏈路進行路由。例如向控制器下發(fā)如下幾條策略：

• 視頻業(yè)務A需要選時延小于20ms的鏈路
• 數(shù)據(jù)業(yè)務B需要選取剩余帶寬大于10M的鏈路

設備依據(jù)控制器的策略，識別出應用A和B，選取滿足條件的鏈路進行轉發(fā)，并且根據(jù)鏈路質量動態(tài)調整。另一種常見的策略是負荷分擔，能夠動態(tài)依據(jù)鏈路負載進行選路修正，使鏈路資源使用最大化。

圖一 面向應用的多出口選擇

對于這種場景，沒有保密需求的業(yè)務直接進入SP網絡，需要加密傳輸?shù)臉I(yè)務通過隧道進入SP網絡，這種隧道可以認為是P2P的Overlay，但無論哪種方式流量進入SP后便失去了控制，由Underlay網絡進行傳統(tǒng)路由。SD-WAN服務由企業(yè)自行部署，可控性更強，但由于Internet流量的突發(fā)和不確定性，有時可能無法選出滿足SLA需求的鏈路，需要企業(yè)提供多條鏈路。

二、SD-WAN服務商

以Viptela、 Velocloud為代表的SD-WAN服務商，提供軟件(NFV)或設備的接入方式，通過租用SP線路和數(shù)據(jù)中心，在Underlay網絡上建立一個由多個POP點組成的Overlay邏輯拓撲。如圖二所示，用戶邊緣的SD-WAN設備就近接入POP，采取與上面類似的策略，通過應用識別和鏈路檢測，從Overlay的邏輯網絡選取一條滿足業(yè)務需求的路徑進行路由，或者綜合Overlay和Underlay進行選擇。由于POP網元比較多，使得對網絡的可控性和可視性增強，往往很容易選出滿足條件的鏈路。服務商使企業(yè)不必自行部署控制器等服務，用戶只需要定義策略模板即可實現(xiàn)，降低了企業(yè)使用SD-WAN的技術要求。

圖二 面向應用的Overlay路由

三、運營商

運營商具備直接在Underlay網絡上提供SD-WAN服務的條件，基于傳統(tǒng)路由實現(xiàn)面向策略和業(yè)務的路由，但出于意愿和部署難度的原因，這個想法有可能僅僅是個想法。SD-WAN功能特性較多，針對混合WAN場景，提供軟件定義功能的分支CPE需要滿足如下業(yè)務需求:

1. 主動回連控制器獲取配置和策略

傳統(tǒng)組網的CPE設備高度自治，無論是命令行、網管界面還是廠商實現(xiàn)的所謂零部署等功能，從思維上依然面向孤立網元，依然是配置驅動，業(yè)務模型發(fā)生變化意味著分支站點需要修改配置。SD-WAN約定了轉控分離，業(yè)務配置和策略均由控制器下發(fā)，通過功能分層使用戶界面從面向配置轉為面向應用，并且做到了真正的即插即用。

Netconf是SD-WAN中很典型的南向協(xié)議，這是一個C/S模型的協(xié)議,采用SSH或TLS作為安全通道，YANG作為元數(shù)據(jù)完成命令描述的定義，控制器作為Client將上層的REST調用依據(jù)YANG定義轉化為承載在NetConf中的XML-RPC，被配置設備作為Server根據(jù)YIN校驗RPC合法后轉成最終設備配置。

2. 應用的深度識別

面向應用的前提是能夠識別應用。傳統(tǒng)基于5元組的流分類和路由策略過于剛性，且需要大量配置逐一匹配應用，界面不友好。SD-WAN場景下需要設備能夠進行深度檢測，通過本地識別或是云端識別歸類應用，依據(jù)控制器策略進行流量的動態(tài)調度和關鍵業(yè)務保障。

3. 鏈路的質量檢測

傳統(tǒng)基于路由的流量調度是靜態(tài)的，網絡環(huán)境卻是實時變化的，無法依據(jù)鏈路質量的變化動態(tài)調整，SD-WAN場景下要求設備能夠針對多條專線或互聯(lián)網鏈路進行質量檢測，按照業(yè)務分類和控制器下發(fā)策略對流量進行動態(tài)選路。

4. 防火墻功能

分支接入互聯(lián)網，分流了專線流量，就近接入公有云獲得了更好的使用體驗，但同時安全問題也被引入進來。分支CPE需要提供安全網關功能，劃分安全邊界，清洗非法流量，防范黑客入侵。防火墻功能可在本地完成，也可在云端通過虛擬化實現(xiàn)。

5. 加密VPN連接

企業(yè)數(shù)據(jù)在Internet上傳輸時為了防止泄密需要采用安全通道傳輸，CPE需要能夠與公有云、總部或其它分支VPN網關建立端到端IPSEC隧道，流量通過IPSEC隧道加密傳輸。

6. NAT功能

對于無需加密的Internet流量，進入互聯(lián)網時需要做NAT轉換，解決了公網地址資源有限，同時也實現(xiàn)了內部地址的隱藏。

7. 鑒權和審計

傳統(tǒng)組網出口全部在總部，鑒權和審計功能可以在總部單點部署，SD-WAN場景下的鑒權審計也變成了分布式，要求每臺分支的CPE設備具有相應的功能，且能將數(shù)據(jù)日志定期回傳同步。

SD-WAN可以采用專用硬件或VNF編排實現(xiàn)，只要符合集中控制、彈性伸縮、動態(tài)可編程的思想都可以劃歸到軟件定義范疇。SD-WAN不是概念，是使用軟件思想重新思考網絡的必然結果，是能夠完成網絡重構切實解決用戶高頻痛點的有效技術。