王勝志，章道勇（.中國(guó)聯(lián)通徐州分公司，江蘇徐州 000；.中國(guó)聯(lián)通無錫分公司，江蘇無錫 40）

Wang Shengzhi1，Zhang Daoyong2（1.China Unicom Xuzhou Branch，Xuzhou 221000，China；2.China Unicom Wuxi Branch，Wuxi 214021，China）

1 SD-WAN基本概念

1.1 傳統(tǒng)WAN面臨的挑戰(zhàn)

依托于電信運(yùn)營(yíng)商完備的基礎(chǔ)承載網(wǎng)絡(luò)，在2B業(yè)務(wù)構(gòu)成中，政企專線始終占據(jù)重要的位置。伴隨著通信技術(shù)的演進(jìn)，WAN 經(jīng)歷了從低速率到大帶寬、從多協(xié)議到IP 化、從單一網(wǎng)絡(luò)到云網(wǎng)融合的發(fā)展和演變。然而隨著業(yè)務(wù)應(yīng)用的快速發(fā)展，其在給客戶帶來巨大價(jià)值增益的同時(shí)，也面臨很多問題和挑戰(zhàn)。

成本較高，價(jià)值密度降低：因?yàn)榧夹g(shù)的發(fā)展和競(jìng)爭(zhēng)格局的推動(dòng)，無論采用何種方式承載，專線電路業(yè)務(wù)的成本和價(jià)格都在不斷下降。然而，接入成本的降低速度遠(yuǎn)遠(yuǎn)趕不上價(jià)格降低的速度，這導(dǎo)致專線電路價(jià)值密度不斷走低（見圖1）。

網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，組網(wǎng)靈活度差：由于過于依賴物理網(wǎng)絡(luò)設(shè)施，同時(shí)網(wǎng)絡(luò)維護(hù)工作采用多級(jí)分段的管理維護(hù)體系，MSTP、IPRAN、PTN 等基礎(chǔ)網(wǎng)絡(luò)在配置專線電路過程中往往采用與企業(yè)組織架構(gòu)相匹配的分段配置、分段管理、分段維護(hù)的業(yè)務(wù)流程，這導(dǎo)致業(yè)務(wù)開通時(shí)間長(zhǎng)、業(yè)務(wù)靈活性差，難以滿足快速開通、靈活部署等業(yè)務(wù)需求。

網(wǎng)絡(luò)狀態(tài)的呈現(xiàn)方式較為分散：目前運(yùn)營(yíng)商都嘗試建立了相應(yīng)的政企業(yè)務(wù)網(wǎng)管系統(tǒng)。但系統(tǒng)的實(shí)現(xiàn)主要是通過專業(yè)網(wǎng)管系統(tǒng)告警采集和業(yè)務(wù)匹配來實(shí)現(xiàn)，僅能實(shí)現(xiàn)簡(jiǎn)單的監(jiān)控功能，無法實(shí)現(xiàn)統(tǒng)一集中的網(wǎng)絡(luò)管理，更無法實(shí)現(xiàn)業(yè)務(wù)狀態(tài)的端到端整體呈現(xiàn)。另外，隨著云業(yè)務(wù)的快速發(fā)展，根據(jù)應(yīng)用需求的動(dòng)態(tài)調(diào)整將成為常態(tài)，傳統(tǒng)基于MSTP、OTN 的承載方式已經(jīng)無法滿足。

1.2 SDN和NFV

為了解決傳統(tǒng)WAN 基礎(chǔ)網(wǎng)絡(luò)所面臨的問題，網(wǎng)絡(luò)功能虛擬化NFV 和軟件定義網(wǎng)絡(luò)SDN 應(yīng)運(yùn)而生。NFV 是SDN 實(shí)現(xiàn)的基礎(chǔ)，它通過將網(wǎng)絡(luò)設(shè)備的控制功能軟件化、虛擬化，實(shí)現(xiàn)設(shè)備的軟硬件解耦。當(dāng)然，這種虛擬化的控制功能是開放的、可編程的，因此可以實(shí)現(xiàn)更加靈活的網(wǎng)絡(luò)功能和網(wǎng)絡(luò)資源調(diào)度。

SDN 即軟件定義網(wǎng)絡(luò)，它是一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)，是網(wǎng)絡(luò)虛擬化的一種實(shí)現(xiàn)方式。它的核心是通過將網(wǎng)絡(luò)設(shè)備的控制與數(shù)據(jù)轉(zhuǎn)發(fā)分離開來，從而實(shí)現(xiàn)網(wǎng)絡(luò)流量的靈活控制，使網(wǎng)絡(luò)資源變得更加智能，從而為網(wǎng)絡(luò)及應(yīng)用的創(chuàng)新提供更好的平臺(tái)。

近年來SD-WAN 作為SDN 在廣域網(wǎng)場(chǎng)景下的應(yīng)用得到了產(chǎn)業(yè)界的廣泛認(rèn)同，開始應(yīng)用于企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)應(yīng)用和云服務(wù)場(chǎng)景。同時(shí)，SD-WAN的產(chǎn)品和服務(wù)模式也對(duì)運(yùn)營(yíng)商傳統(tǒng)的網(wǎng)絡(luò)建設(shè)和維護(hù)模式提出了挑戰(zhàn)，為基礎(chǔ)通信網(wǎng)絡(luò)虛擬化、軟件化提供了相應(yīng)動(dòng)力和契機(jī)。

1.3 SD-WAN的價(jià)值

對(duì)于運(yùn)營(yíng)商或者企業(yè)用戶來說，SD-WAN 的價(jià)值主要體現(xiàn)在幾個(gè)方面：能夠快速高效地實(shí)現(xiàn)多網(wǎng)絡(luò)、云網(wǎng)融合的互聯(lián)，滿足復(fù)雜業(yè)務(wù)場(chǎng)景的應(yīng)用需求；能夠通過集中管控和即插即用實(shí)現(xiàn)業(yè)務(wù)的快速部署，降低業(yè)務(wù)交付和運(yùn)維成本；可以根據(jù)不同的應(yīng)用提供路徑優(yōu)選策略，以保證高質(zhì)量的應(yīng)用體驗(yàn)。

2 SD-WAN網(wǎng)絡(luò)架構(gòu)

2.1 SD-WAN基礎(chǔ)架構(gòu)

SD-WAN 解決方案整體架構(gòu)主要包括網(wǎng)絡(luò)層、控制層、業(yè)務(wù)層3個(gè)層次，如圖2所示。

圖2 SD-WAN解決方案整體架構(gòu)

網(wǎng)絡(luò)層又可以分為物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)2 個(gè)層次，如圖3 所示。物理網(wǎng)絡(luò)被稱為Underlay 網(wǎng)絡(luò)，如MSTP 專線、MPLS、Internet 等。虛擬網(wǎng)絡(luò)被稱為邏輯網(wǎng)絡(luò)，它是根據(jù)業(yè)務(wù)策略構(gòu)建于物理網(wǎng)絡(luò)上的Overlay網(wǎng)絡(luò)。虛擬網(wǎng)絡(luò)可以服務(wù)于多個(gè)租戶，也可以服務(wù)于同一個(gè)租戶的不同業(yè)務(wù)。在SD-WAN 網(wǎng)絡(luò)中，主要使用邊緣設(shè)備Edge和GW網(wǎng)關(guān)設(shè)備2種設(shè)備。其中Edge一般為即插即用的CPE 設(shè)備，它通過隧道技術(shù)實(shí)現(xiàn)多個(gè)設(shè)備間的WAN 鏈路連接。GW 設(shè)備用于SD-WAN和企業(yè)存量網(wǎng)絡(luò)之間的互通，以保證客戶網(wǎng)絡(luò)的延續(xù)性。

圖3 網(wǎng)絡(luò)層2層結(jié)構(gòu)

控制層是“軟件定義”的核心，它的主要組件是網(wǎng)絡(luò)控制器，它一般具有業(yè)務(wù)編排、網(wǎng)絡(luò)控制和網(wǎng)絡(luò)管理功能。編排功能主要實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的抽象建模、編排和配置下發(fā)。網(wǎng)絡(luò)控制器通過業(yè)務(wù)編排對(duì)企業(yè)WAN進(jìn)行抽象和定義，驅(qū)動(dòng)網(wǎng)絡(luò)控制器實(shí)現(xiàn)網(wǎng)絡(luò)拓?fù)涞呐渲?。業(yè)務(wù)編排分為2種，一是WAN 網(wǎng)絡(luò)拓?fù)涞臉I(yè)務(wù)編排，如站點(diǎn)創(chuàng)建、鏈路創(chuàng)建、拓?fù)涠x等；二是網(wǎng)絡(luò)策略的編排，如應(yīng)用選路、QoS、廣域網(wǎng)優(yōu)化、應(yīng)用識(shí)別、安全策略等。網(wǎng)絡(luò)控制器的控制功能主要實(shí)現(xiàn)對(duì)SD-WAN 網(wǎng)絡(luò)層的集中控制，以實(shí)現(xiàn)控制平面和轉(zhuǎn)發(fā)平面的分離，主要包括VPN 路由分發(fā)、VPN 的創(chuàng)建和修改、隧道的創(chuàng)建和維護(hù)等。網(wǎng)絡(luò)控制器的管理功能主要實(shí)現(xiàn)WAN 網(wǎng)絡(luò)的管理和運(yùn)維功能，包括告警管理、性能管理等，同時(shí)對(duì)客戶網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、故障、性能等運(yùn)維信息進(jìn)行多維度的呈現(xiàn)。管理組件一般通過NETCONF 和HTTP2.0 協(xié)議實(shí)現(xiàn)對(duì)設(shè)備的管理。其中NETCONF 主要實(shí)現(xiàn)告警、日志管理等，HTTP2.0 主要實(shí)現(xiàn)性能等信息的采集。

業(yè)務(wù)層南向?qū)泳W(wǎng)絡(luò)控制器，北向通過業(yè)務(wù)UI界面實(shí)現(xiàn)業(yè)務(wù)層面的管理和交互。這可以通過2種方式實(shí)現(xiàn)：一種為SD-WAN 解決方案提供商開發(fā)的自服務(wù)系統(tǒng)，它可以提供全生命周期的、端到端的業(yè)務(wù)配置和交付流程；另一種方式是依托于運(yùn)營(yíng)商的BSS/OSS管理系統(tǒng)，它們通過網(wǎng)絡(luò)控制器開放的北向API 開發(fā)實(shí)現(xiàn)全流程業(yè)務(wù)管理功能。在業(yè)務(wù)開放初期可以采用第1種方式作為過渡，然后通過開發(fā)迭代，最終打通運(yùn)營(yíng)商B/O域的全業(yè)務(wù)流程。

2.2 主要接口及通道

SD-WAN 網(wǎng)絡(luò)控制器在整個(gè)體系結(jié)構(gòu)中處于核心位置，它通過不同的接口協(xié)議實(shí)現(xiàn)與網(wǎng)絡(luò)層和業(yè)務(wù)層之間的交互，如圖4所示。

圖4 主要接口協(xié)議

南向接口協(xié)議：NETCONF 和HTTP2.0 協(xié)議，用于網(wǎng)絡(luò)控制器對(duì)網(wǎng)絡(luò)層的統(tǒng)一管理和配置，網(wǎng)絡(luò)控制器通過NETCONF 協(xié)議給Edge 或GW 下發(fā)配置。Edge、GW 設(shè)備則通過HTTP2.0 向網(wǎng)絡(luò)控制器上報(bào)性能信息，通過NETCONF協(xié)議上報(bào)告警信息。

北向接口協(xié)議：網(wǎng)絡(luò)控制器通過RESTful API接口與業(yè)務(wù)層各組件交互，RESTful API 是基于REST 設(shè)計(jì)準(zhǔn)則實(shí)現(xiàn)的接口方式。應(yīng)用層外部程序可以通過HTTPS訪問RESTful API，其管理網(wǎng)絡(luò)資源對(duì)象的方法主要有GET、PUT、POST、DELETE等。運(yùn)營(yíng)商BSS/OSS系統(tǒng)或自服務(wù)系統(tǒng)皆通過RESTful API 的調(diào)用開發(fā)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)控制器的管理，進(jìn)而實(shí)現(xiàn)對(duì)整個(gè)SD-WAN 網(wǎng)絡(luò)以及業(yè)務(wù)全生命周期的管理。

通過各種接口及協(xié)議，SD-WAN 系統(tǒng)將建立管理通道、控制通道、數(shù)據(jù)通道等3種邏輯通道。

管理通道是網(wǎng)絡(luò)控制器與網(wǎng)絡(luò)層設(shè)備之間的交互通道，如Edge、GW 等，用于網(wǎng)絡(luò)配置信息和運(yùn)維信息的下發(fā)和上傳。在SD-WAN 系統(tǒng)中，管理通道最先建立，用于整個(gè)系統(tǒng)的初始化配置。管理通道建立后，系統(tǒng)將建立控制通道。網(wǎng)絡(luò)控制器利用控制通道完成網(wǎng)絡(luò)層組網(wǎng)、路由編排以及網(wǎng)絡(luò)拓?fù)涞慕ⅰＡ硗?，網(wǎng)絡(luò)控制器也通過控制通道轉(zhuǎn)發(fā)路徑策略信息，如VPN 拓?fù)?、隧道信息等。管理通道和控制通道建立以后就基本完成了系統(tǒng)的初始化工作，此時(shí)系統(tǒng)需要建立數(shù)據(jù)通道，用于Edge、GW 以及其他網(wǎng)絡(luò)設(shè)備之間的數(shù)據(jù)傳輸，數(shù)據(jù)傳輸一般采用IPSec 進(jìn)行加密，以保證其安全性。

2.3 站點(diǎn)及Edge

在部署SD-WAN 應(yīng)用過程中，需要考慮傳統(tǒng)站點(diǎn)、SD-WAN 站點(diǎn)和云站點(diǎn)等3 種企業(yè)站點(diǎn)。傳統(tǒng)站點(diǎn)是企業(yè)的存量網(wǎng)絡(luò)設(shè)備，并不納入SD-WAN 網(wǎng)絡(luò)控制器管理，但是它也有與SD-WAN 互通的需求。SDWAN 站點(diǎn)配置于企業(yè)總部、分支機(jī)構(gòu)或DC 中，由SDWAN 網(wǎng)絡(luò)控制器集中統(tǒng)一管理，進(jìn)行業(yè)務(wù)的編排組網(wǎng)。云站點(diǎn)是SD-WAN 站點(diǎn)的一種特殊形態(tài)，應(yīng)用在公有云、私有云環(huán)境下，用于企業(yè)各機(jī)構(gòu)與虛擬機(jī)VM之間以及各VM、各應(yīng)用之間的互通。

企業(yè)WAN 網(wǎng)絡(luò)連接企業(yè)各站點(diǎn)，不同類型的站點(diǎn)通過不同的邊緣設(shè)備Edge 接入網(wǎng)絡(luò)，即CPE 設(shè)備。CPE一般應(yīng)具備即插即用、二層交換、三層路由轉(zhuǎn)發(fā)功能。在SD-WAN 網(wǎng)絡(luò)中，依據(jù)不同的站點(diǎn)應(yīng)用環(huán)境還衍生出其他不同的形態(tài)，如具備廣域加速、負(fù)載均衡、安全防護(hù)功能的uCPE，應(yīng)用在云網(wǎng)環(huán)境中通過軟件形式實(shí)現(xiàn)的vCPE等。

CPE連接了站點(diǎn)的內(nèi)外側(cè)網(wǎng)（LAN側(cè)和WAN側(cè)）。

在SD-WAN 解決方案中CPE 需要考慮多種WAN接入方式，如Internet、MPLS VPN、LTE，并在其中配置路由選擇策略。其中LTE 鏈路適用于一些特殊場(chǎng)景，如工地、河堤、道路等線路接入困難或成本過高的場(chǎng)景，或作為其他鏈路接入形式的故障災(zāi)備路由，以提升站點(diǎn)連接的安全性。

CPE 的LAN 側(cè)對(duì)應(yīng)企業(yè)站點(diǎn)內(nèi)網(wǎng)，其接入方式和內(nèi)網(wǎng)的組網(wǎng)形式相關(guān)，對(duì)于規(guī)模較小、結(jié)構(gòu)較為簡(jiǎn)單的網(wǎng)絡(luò)，通常采用二層組網(wǎng)的方式，CPE直接連接內(nèi)網(wǎng)以太網(wǎng)交換機(jī)，CPE 作為內(nèi)網(wǎng)的網(wǎng)關(guān)配置。對(duì)于規(guī)模較大、結(jié)構(gòu)較為復(fù)雜的網(wǎng)絡(luò)，則往往采用三層組網(wǎng)方式，此時(shí)，CPE需要根據(jù)站點(diǎn)網(wǎng)絡(luò)的實(shí)際情況配置相應(yīng)的路由協(xié)議，一般情況下，其配置由網(wǎng)絡(luò)控制器根據(jù)編排策略自動(dòng)下發(fā)完成。

在實(shí)際的業(yè)務(wù)流程中，CPE 即插即用過程一般分為3 個(gè)步驟。第1 步，SD-WAN 服務(wù)提供商/電信運(yùn)營(yíng)商在網(wǎng)絡(luò)控制器中完成CPE 設(shè)備的登記錄入，一般情況下，網(wǎng)絡(luò)管理員需要預(yù)配置CPE 的WAN 接口IP 地址，用于CPE 和網(wǎng)絡(luò)控制器的自動(dòng)連接。第2 步，CPE被郵寄到企業(yè)站點(diǎn)并完成物理連接。第3 步，網(wǎng)絡(luò)控制器和CPE 通過IP 地址信息建立連接，同時(shí)根據(jù)業(yè)務(wù)編排向CPE下發(fā)配置，完成業(yè)務(wù)開通。

2.4 業(yè)務(wù)體驗(yàn)保障

企業(yè)應(yīng)用有多種多樣的類型，這些不同的應(yīng)用類型有不同的體驗(yàn)需求。如電話會(huì)議、視頻會(huì)議需要較低的時(shí)延。在傳統(tǒng)的WAN網(wǎng)絡(luò)中，這些不同的應(yīng)用無差別地承載在同一張網(wǎng)絡(luò)上，被不加區(qū)別地進(jìn)行轉(zhuǎn)發(fā)和處理，雖然MPLS 可以提供簡(jiǎn)單的QoS，但無法實(shí)現(xiàn)更復(fù)雜的體驗(yàn)保障和選路策略。SD-WAN 解決方案包含多維度的應(yīng)用體驗(yàn)保障方案，其作為可選功能構(gòu)建于不同SD-WAN 服務(wù)商的產(chǎn)品架構(gòu)中，下面是幾種常見的業(yè)務(wù)體驗(yàn)保障方案。

應(yīng)用識(shí)別：能夠?qū)Σ煌膽?yīng)用進(jìn)行有效的識(shí)別是應(yīng)用體驗(yàn)保障的前提，SD-WAN 解決方案可以通過協(xié)議識(shí)別、首包識(shí)別、特征識(shí)別、DNS 識(shí)別等多種技術(shù)實(shí)現(xiàn)對(duì)不同應(yīng)用的識(shí)別和判斷。

應(yīng)用選路：選路的前提是鏈路質(zhì)量檢測(cè)，SD-WAN通過丟包、時(shí)延、抖動(dòng)的檢測(cè)技術(shù)實(shí)現(xiàn)鏈路質(zhì)量檢測(cè)，進(jìn)而通過選路策略進(jìn)行路由優(yōu)化。應(yīng)用識(shí)別和應(yīng)用選路結(jié)合就可以實(shí)現(xiàn)不同的選路場(chǎng)景，如鏈路質(zhì)量選路、負(fù)荷分擔(dān)選路，應(yīng)用優(yōu)先級(jí)選路等。

QoS保障：通過應(yīng)用限速來保障不同的應(yīng)用體驗(yàn)。

廣域優(yōu)化：通過各種算法技術(shù)改善WAN鏈路傳輸質(zhì)量，如抗丟包優(yōu)化、傳輸層優(yōu)化、數(shù)據(jù)優(yōu)化、應(yīng)用協(xié)議優(yōu)化、數(shù)據(jù)去重壓縮等。

2.5 系統(tǒng)安全

無論是采用MSTP、OTN、IPRAN/PTN，還是采用MPLS 承載，傳統(tǒng)的WAN 網(wǎng)絡(luò)都處于封閉或者準(zhǔn)封閉的網(wǎng)絡(luò)環(huán)境中，其Underlay 基礎(chǔ)網(wǎng)絡(luò)以及網(wǎng)絡(luò)中的管理控制節(jié)點(diǎn)，如各系統(tǒng)的專業(yè)網(wǎng)管中心等都處于相對(duì)獨(dú)立的內(nèi)網(wǎng)環(huán)境中。同時(shí)，一個(gè)WAN的不同承載段落也往往分散于不同的網(wǎng)絡(luò)系統(tǒng)，如跨境跨域組網(wǎng)。這樣的網(wǎng)絡(luò)架構(gòu)和環(huán)境保證了相對(duì)健壯的網(wǎng)絡(luò)安全。

但是，在SD-WAN 解決方案中，由于采取了完全不同的架構(gòu)模式，網(wǎng)絡(luò)安全面臨著巨大的挑戰(zhàn)，具體來說，主要有以下2 個(gè)方面，同時(shí)這2 個(gè)方面的安全挑戰(zhàn)也對(duì)應(yīng)著SD-WAN 安全架構(gòu)中的2 個(gè)層次，即系統(tǒng)安全和業(yè)務(wù)安全。

由于采用集中控制的模式，網(wǎng)絡(luò)控制器在整個(gè)架構(gòu)中處于核心位置，其各個(gè)組件的部署方式、安全防護(hù)是SD-WAN系統(tǒng)安全首要考慮的問題。

由于Underlay 網(wǎng)絡(luò)的多樣性，尤其是Internet、云網(wǎng)環(huán)境的大量使用，SD-WAN 網(wǎng)絡(luò)環(huán)境走向開放，在開放的環(huán)境中，攻擊、病毒、非法侵害的風(fēng)險(xiǎn)大大增加。

因此，SD-WAN 架構(gòu)是綜合性的解決方案，需要整合解決方案、設(shè)備、安全、云平臺(tái)、運(yùn)營(yíng)等全部生態(tài)鏈資源。在安全方面，更需要聯(lián)合安全服務(wù)提供商構(gòu)建完整的安全解決方案，綜合利用分布式部署、防攻擊、防入侵、防病毒以及數(shù)據(jù)加密、認(rèn)證、鑒權(quán)等多種技術(shù)實(shí)現(xiàn)系統(tǒng)安全防護(hù)和業(yè)務(wù)安全防護(hù)。另外，控制層各系統(tǒng)的雙活、多活等災(zāi)備方案也應(yīng)充分考慮。

3 業(yè)務(wù)運(yùn)營(yíng)模式

從上文對(duì)SD-WAN 的網(wǎng)絡(luò)架構(gòu)分析中可以看出，SD-WAN 并不是具體的基礎(chǔ)網(wǎng)絡(luò)產(chǎn)品，它必須依托于原有的Underlay實(shí)體網(wǎng)絡(luò)環(huán)境，因此，SD-WAN是一種綜合性的解決方案，是一種更加靈活智能的服務(wù)提供模式。這種新的服務(wù)提供模式必然對(duì)應(yīng)著新的商業(yè)運(yùn)營(yíng)模式。結(jié)合當(dāng)前業(yè)界發(fā)展現(xiàn)狀以及未來演進(jìn)趨勢(shì)，SD-WAN 商業(yè)運(yùn)營(yíng)可以采用運(yùn)營(yíng)商公共產(chǎn)品業(yè)務(wù)模式、運(yùn)營(yíng)商代建模式和企業(yè)自建模式等3種模式。

3.1 運(yùn)營(yíng)商公共業(yè)務(wù)模式

運(yùn)營(yíng)商公共業(yè)務(wù)模式是由電信運(yùn)營(yíng)商自建SDWAN 公共產(chǎn)品服務(wù)平臺(tái)及運(yùn)營(yíng)支撐體系。目前各家基礎(chǔ)電信運(yùn)營(yíng)商都已經(jīng)嘗試建立了其SD-WAN 產(chǎn)品品牌。運(yùn)營(yíng)商SD-WAN 公共產(chǎn)品服務(wù)體系建設(shè)應(yīng)包含以下關(guān)鍵部分。

SD-WAN 平臺(tái)建設(shè)：主要完成控制層網(wǎng)絡(luò)控制器等關(guān)鍵組件部署，實(shí)現(xiàn)業(yè)務(wù)編排、網(wǎng)絡(luò)控制和網(wǎng)絡(luò)管理功能。平臺(tái)應(yīng)支持多租戶管理。

基礎(chǔ)網(wǎng)絡(luò)建設(shè)：網(wǎng)絡(luò)層合理規(guī)劃部署IWG 網(wǎng)關(guān)設(shè)備，以實(shí)現(xiàn)企業(yè)SD-WAN 網(wǎng)絡(luò)與MPLS 網(wǎng)絡(luò)或者分組傳送網(wǎng)的互通。同時(shí)運(yùn)營(yíng)商骨干網(wǎng)邊緣需要規(guī)劃部署POP GW，企業(yè)分支機(jī)構(gòu)Edge 可以通過POP GW 構(gòu)建Overlay隧道以實(shí)現(xiàn)第三方運(yùn)營(yíng)商的網(wǎng)絡(luò)穿透。

支撐系統(tǒng)建設(shè)：運(yùn)營(yíng)商需要根據(jù)自身組織架構(gòu)和服務(wù)支撐體系，通過SD-WAN 控制層北向接口API 開發(fā)建設(shè)各業(yè)務(wù)支撐系統(tǒng)，如BSS/OSS、訂單系統(tǒng)、客戶自服務(wù)系統(tǒng)等，以此打通業(yè)務(wù)全生命周期管理流程。

Edge 設(shè)備選型：根據(jù)不同的應(yīng)用場(chǎng)景確定多層次、多型號(hào)、標(biāo)準(zhǔn)化的設(shè)備，設(shè)備應(yīng)充分解耦。同時(shí)建立設(shè)備在業(yè)務(wù)創(chuàng)建、維護(hù)、拆除等情況下的配送體系。

在SD-WAN 承載國(guó)際WAN 業(yè)務(wù)組網(wǎng)的場(chǎng)景下，由于網(wǎng)絡(luò)安全和信息安全的工作要求，目前無法實(shí)現(xiàn)跨境全程全網(wǎng)的SD-WAN 架構(gòu)，出境鏈路仍然需要MPLV VPN 承載，境外網(wǎng)絡(luò)需要由運(yùn)營(yíng)商國(guó)際公司或者當(dāng)?shù)剡\(yùn)營(yíng)商負(fù)責(zé)支撐。

另外，目前通信市場(chǎng)已經(jīng)涌現(xiàn)出很多SD-WAN 服務(wù)提供商，這些企業(yè)大多衍生于IT 企業(yè)、互聯(lián)網(wǎng)企業(yè)、通信設(shè)備制造企業(yè)等。他們通過自研產(chǎn)品或者通過SD-WAN 解決方案提供商搭建平臺(tái)轉(zhuǎn)售產(chǎn)品。這些企業(yè)往往具有鮮明的行業(yè)特質(zhì)，一般深耕于一個(gè)或多個(gè)特定的行業(yè)市場(chǎng)，并依靠快速靈活的管理和創(chuàng)新機(jī)制，成為2B市場(chǎng)不可忽視的競(jìng)爭(zhēng)力量。

3.2 運(yùn)營(yíng)商代建模式

對(duì)于部分大型企業(yè)（IT 或互聯(lián)網(wǎng)企業(yè)），如客戶有自建SD-WAN 規(guī)模組網(wǎng)需求，電信運(yùn)營(yíng)商可以協(xié)助企業(yè)建設(shè)SD-WAN 業(yè)務(wù)平臺(tái)。根據(jù)客戶需求和技術(shù)能力，項(xiàng)目建設(shè)可以采用ICT 項(xiàng)目運(yùn)營(yíng)模式或交鑰匙項(xiàng)目建設(shè)模式。在業(yè)務(wù)運(yùn)營(yíng)過程中，運(yùn)營(yíng)商可以與企業(yè)合作探討代管代維等延伸服務(wù)，并不斷根據(jù)5G、AI、云計(jì)算等技術(shù)的演進(jìn)推動(dòng)企業(yè)SD-WAN 業(yè)務(wù)的更新迭代。這種運(yùn)營(yíng)模式下的SD-WAN 架構(gòu)僅需要支持單租戶即可。

3.3 企業(yè)自建模式

企業(yè)從解決方案提供商采購(gòu)SD-WAN 解決方案，通過其自有技術(shù)能力完成業(yè)務(wù)部署和運(yùn)維，用以構(gòu)建企業(yè)自身的WAN基礎(chǔ)網(wǎng)絡(luò)，并不對(duì)外運(yùn)營(yíng)。企業(yè)自建模式對(duì)企業(yè)的技術(shù)能力要求較高，有較高的技術(shù)門檻，因此這種企業(yè)往往是大型互聯(lián)網(wǎng)公司、公共服務(wù)產(chǎn)品提供商、大型云產(chǎn)品服務(wù)商或相對(duì)封閉的行業(yè)系統(tǒng)，如交通、物流、金融等部門。

4 客戶及產(chǎn)品應(yīng)用分析

4.1 專線客戶類型

通信產(chǎn)品豐富多樣，客戶需求同樣豐富多樣，不同的用戶有不同的業(yè)務(wù)需求，根據(jù)政企客戶行業(yè)性質(zhì)、網(wǎng)絡(luò)需求、業(yè)務(wù)規(guī)模、安全需求等多種商業(yè)或技術(shù)特質(zhì)，將專線類業(yè)務(wù)客戶需求類型分為以下3類。

價(jià)格傾向類：對(duì)產(chǎn)品價(jià)格較為敏感，主要集中于中小企業(yè)、連鎖加盟的零售或服務(wù)企業(yè)等。傳統(tǒng)場(chǎng)景一般采用MPLS VPN、自建VPN 等方式組建企業(yè)WAN網(wǎng)絡(luò)，相比SD-WAN部署優(yōu)勢(shì)明顯。

安全傾向類：對(duì)網(wǎng)絡(luò)和信息安全要求高，主要集中于黨政軍機(jī)構(gòu)、金融/證券企業(yè)、技術(shù)密集型的科技企業(yè)等。傾向于采用MSTP、OTN、裸光纖或IPRAN、PTN等分組傳送網(wǎng)方式組網(wǎng)。

組網(wǎng)傾向類（接入靈活）：對(duì)組網(wǎng)靈活性要求較高，主要涉及公共服務(wù)類機(jī)構(gòu)，如交通、物流等部門或企業(yè)，軟件、系統(tǒng)集成等信息類科技企業(yè)。此類客戶更加典型的場(chǎng)景是云網(wǎng)融合類業(yè)務(wù)，如政務(wù)云、企業(yè)上云等。云網(wǎng)融合近年來得到了快速發(fā)展并成為MPLS、SD-WAN技術(shù)的重要應(yīng)用方向。

4.2 典型應(yīng)用場(chǎng)景

通過上文對(duì)專線客戶需求類型和選擇傾向的分析，筆者總結(jié)出以下3類SD-WAN最典型的應(yīng)用場(chǎng)景。第1 類為分散的零售加盟企業(yè)，如社區(qū)連鎖超市等。第2類為公共服務(wù)類應(yīng)用，如道路、水文、市政監(jiān)控等。第3 類為云網(wǎng)融合類場(chǎng)景，如政務(wù)云、醫(yī)療云、教育云以及各種各樣的企業(yè)應(yīng)用云化的組網(wǎng)需求，無論是公有云、私有云還是混合云，越復(fù)雜的網(wǎng)絡(luò)環(huán)境越能體現(xiàn)出SD-WAN的巨大優(yōu)勢(shì)。

對(duì)于電信運(yùn)營(yíng)商來說，如果要充分利用SD-WAN的靈活性和超高性價(jià)比，還有一種非業(yè)務(wù)類的應(yīng)用場(chǎng)景可以考慮，即將SD-WAN 應(yīng)用于專線電路的保護(hù)路由、應(yīng)急開通或故障情況下的應(yīng)急代通等，將其作為傳統(tǒng)WAN業(yè)務(wù)的運(yùn)維增強(qiáng)手段部署。

4.3 劣勢(shì)及不足

當(dāng)然，從整體架構(gòu)和業(yè)務(wù)應(yīng)用2 個(gè)角度分析，SDWAN也有其特定的短板和不足。

從網(wǎng)絡(luò)架構(gòu)上看，SD-WAN 的控制層主要為網(wǎng)絡(luò)控制器組件，無論是部署于云端還是自建服務(wù)，都很容易受到網(wǎng)絡(luò)攻擊，而其集中控制、集中管理的特點(diǎn)決定了其一旦因攻擊或其他原因?qū)е路?wù)中斷或者劣化，都將對(duì)全網(wǎng)造成極大影響。所以在系統(tǒng)部署的時(shí)候，運(yùn)營(yíng)商或解決方案提供商需要充分考慮系統(tǒng)災(zāi)備、系統(tǒng)雙活等安全防護(hù)手段。

從業(yè)務(wù)應(yīng)用的方面來說，客戶業(yè)務(wù)很容易受到Underlay 網(wǎng)絡(luò)環(huán)境的影響，尤其是互聯(lián)網(wǎng)公網(wǎng)環(huán)境的變化，往往是不可控、不可預(yù)料的，這些都需要應(yīng)用識(shí)別、應(yīng)用選路、廣域優(yōu)化等方式來進(jìn)行QoS 增強(qiáng)，這也增大了系統(tǒng)和業(yè)務(wù)的復(fù)雜度。

5 總結(jié)

本文從基礎(chǔ)架構(gòu)、產(chǎn)品應(yīng)用、運(yùn)營(yíng)模式等方面對(duì)SD-WAN 進(jìn)行了分析探討。SD-WAN 并不是一個(gè)基礎(chǔ)網(wǎng)絡(luò)技術(shù)層面的創(chuàng)新，也不是一個(gè)具體的網(wǎng)絡(luò)產(chǎn)品，它不能脫離基礎(chǔ)網(wǎng)絡(luò)獨(dú)立存在。SD-WAN 是一種企業(yè)WAN 網(wǎng)絡(luò)軟件化的解決方案，是一種新的服務(wù)提供方式，這種提供方式能更好地適應(yīng)云網(wǎng)融合等復(fù)雜多變的網(wǎng)絡(luò)場(chǎng)景。目前，提供SD-WAN 解決方案和產(chǎn)品運(yùn)營(yíng)的企業(yè)很多，其網(wǎng)絡(luò)架構(gòu)和實(shí)現(xiàn)路徑雖然大同小異，但是側(cè)重點(diǎn)卻各有不同。完整的SD-WAN 體系需要整合基礎(chǔ)網(wǎng)絡(luò)、軟件開發(fā)、系統(tǒng)集成、安全技術(shù)等全生態(tài)資源。從網(wǎng)絡(luò)技術(shù)上看，SD-WAN 尚無法取代傳統(tǒng)的WAN 組網(wǎng)方式，而是作為一種服務(wù)方式的補(bǔ)充與它們長(zhǎng)期并存，并將在特定場(chǎng)景中發(fā)揮重要作用。同時(shí)SD-WAN 的發(fā)展也將推動(dòng)傳統(tǒng)傳送網(wǎng)技術(shù)向SDN方向不斷演化和迭代。