如何才能鑒別SD-WAN

對(duì)于 2015 年才出現(xiàn)的 SD-WAN ，一直處在 “ 一個(gè)名詞，各自表述 ” 的尷尬中。但由于其在當(dāng)前的網(wǎng)絡(luò)圈太火爆的緣故，已經(jīng)到了 “ 腳踢 VPN ，拳打路由器 ” 的地步，各路廠商紛紛易幟，不管有的沒(méi)的，都言必稱自己的家當(dāng)就是 SD-WAN ，以至于各位看官也不清楚誰(shuí)是誰(shuí)非，只能袖手旁觀，看個(gè)熱鬧。

趁著 Abloomy 在市場(chǎng)上發(fā)布自研的 SD-WAN 產(chǎn)品之際，我對(duì) SD-WAN 見(jiàn)諸于媒體文章的概念討論進(jìn)行了整理，試圖給出有價(jià)值的總結(jié)。

縱觀各廠商對(duì)于 SD-WAN 的介紹，不管是有意還是無(wú)意，都傾向于通過(guò)描述使用 SD-WAN 所帶來(lái)的好處說(shuō)明 SD-WAN 是什么，這就好像在暗示， “ 不管黑貓白貓，抓住老鼠就是好貓 ” 。

Wiki 上面的定義是這樣的： SD-WAN is an acronym for software-defined networking in a wide area network (WAN). SD-WAN simplifies the management and operation of a WAN by decoupling (separating) the networking hardware from its control mechanism. This concept is similar to how software-defined networking implements virtualization technology to improve data center management and operation 。

國(guó)內(nèi)行業(yè)協(xié)會(huì)的定義也類似：軟件定義廣域網(wǎng)絡(luò)，是將 SDN 技術(shù)應(yīng)用到廣域網(wǎng)場(chǎng)景中所形成的一種服務(wù)。

對(duì)于大多數(shù)非業(yè)內(nèi)人士，通過(guò)這個(gè)定義仍然不能弄明白 SD-WAN 是什么？具備 SD-WAN 功能的產(chǎn)品該是什么樣？但最起碼知道了， SD-WAN 應(yīng)該源自于 SDN ，也就是它應(yīng)該具有 SDN 的一些實(shí)現(xiàn)思路和技術(shù)特點(diǎn)。

SDN 追求的是什么？

傳統(tǒng)意義上的 SDN 是一個(gè)局域網(wǎng)范圍內(nèi)技術(shù)，其出現(xiàn)來(lái)自于校園網(wǎng)，最早被應(yīng)用到數(shù)據(jù)中心領(lǐng)域，主要為數(shù)據(jù)中心部署云業(yè)務(wù)服務(wù)。而隨著 SDN 在 IDC 、在云中心的普及， SDN 的這一關(guān)鍵思路被進(jìn)一步與云計(jì)算的概念相契合：

-- 硬件簡(jiǎn)單化、通用化： SDN 提倡用功能簡(jiǎn)單和標(biāo)準(zhǔn)化的網(wǎng)絡(luò)硬件構(gòu)建 IDC 的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，實(shí)際上這是降低方案成本的關(guān)鍵，這也與云計(jì)算基礎(chǔ)設(shè)施的構(gòu)建思路相吻合。

-- 網(wǎng)絡(luò)虛擬化：可以說(shuō) SDN 促進(jìn)了網(wǎng)絡(luò)虛擬化在自動(dòng)化業(yè)務(wù)部署方面的普及。原始的網(wǎng)絡(luò)虛擬化技術(shù)更像是一種網(wǎng)絡(luò)隔離技術(shù)，可以認(rèn)為是一種進(jìn)化版的 VLAN 技術(shù)。在與 SDN 的集中控制體系、基于主機(jī)的服務(wù)虛擬化相結(jié)合后，它迅速成為了 SDN 連接控制層面虛擬化、網(wǎng)絡(luò)資源虛擬化、虛擬化平面與物理網(wǎng)絡(luò)銜接的關(guān)鍵手段。同時(shí)，網(wǎng)絡(luò)虛擬化的概念借此進(jìn)一步的進(jìn)化成為一種網(wǎng)絡(luò)功能虛擬化方法（ NFV ）。

-- 控制中心化： SDN 嚴(yán)格區(qū)分控制層面的行為和轉(zhuǎn)發(fā)層面的行為，這與 SDN 的物理網(wǎng)絡(luò)相對(duì)單一不無(wú)關(guān)系。 SDN 的中心化控制受限于單一控制器的控制能力和控制區(qū)域整體網(wǎng)絡(luò)性能。 SDN 通過(guò)集中控制保證了在區(qū)域內(nèi)的管理效率和手段簡(jiǎn)化，同時(shí)也實(shí)現(xiàn)了控制器的虛擬化部署。

-- 數(shù)據(jù)透明化：與控制中心化相對(duì)應(yīng)， SDN 實(shí)現(xiàn)了轉(zhuǎn)發(fā)數(shù)據(jù)相對(duì)控制器和控制層的透明，畢竟， SDN 控制器需要通過(guò)下發(fā)的策略和規(guī)則對(duì)流經(jīng)交換機(jī)的數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)控制， SDN 控制器所能看到的數(shù)據(jù)深度和種類決定了整個(gè) SDN 網(wǎng)絡(luò)對(duì)客戶業(yè)務(wù)的 SLA 的承載能力。

SD-WAN 從 SDN 繼承了什么？

首先， SD-WAN 是 SDN 思想在廣域網(wǎng)領(lǐng)域的延伸。除了研究的網(wǎng)絡(luò)對(duì)象不同（ SDN 面向本地的局域網(wǎng)， SD-WAN 面向廣域網(wǎng)），其 “ 轉(zhuǎn)控分離 ” 的基本思想被完全繼承。并且，在硬件通用化、網(wǎng)絡(luò)虛擬化、控制中心化和數(shù)據(jù)透明化方面兩者都有相似的說(shuō)法。

但由于 SD-WAN 與 SDN 的應(yīng)用環(huán)境和商業(yè)環(huán)境都不同，兩者在實(shí)現(xiàn)形態(tài)和實(shí)現(xiàn)途徑上的考慮有很大不同：

-- 在轉(zhuǎn)發(fā)層面的控制要求不同： SDN 強(qiáng)調(diào)轉(zhuǎn)發(fā)完全由三層硬件實(shí)現(xiàn)，即在端口轉(zhuǎn)發(fā)線速的前提下，能夠?qū)?yīng)用轉(zhuǎn)發(fā)控制深度盡量細(xì)化。 SD-WAN 則是要求轉(zhuǎn)發(fā)層面對(duì)于傳輸層（ Underlay ）的抽象封裝提出了要求，也就是說(shuō)，通過(guò) SD-WAN 建立的端到端的邏輯鏈路（物理或虛擬）和網(wǎng)絡(luò)（ overlay ）應(yīng)該能夠以抽象的傳輸資源的方式被調(diào)用， overlay 的傳輸工作不應(yīng)該涉及 underlay 中復(fù)雜的傳輸協(xié)議處理。這樣就可以簡(jiǎn)化對(duì)通信的管理和配置。

-- 在控制層面轉(zhuǎn)發(fā)控制目標(biāo)不同： SDN 的控制目標(biāo)是保證全域（ LAN 范圍內(nèi)）內(nèi)業(yè)務(wù)流量的轉(zhuǎn)發(fā)性能（帶寬）達(dá)標(biāo)。 SD-WAN 的控制目標(biāo)則是保證全域（廣域網(wǎng) WAN 范圍內(nèi)）內(nèi)業(yè)務(wù)流量的可靠性（ QoS ）和性能（帶寬）達(dá)標(biāo)，為此 SD-WAN 需要能夠駕馭多種傳輸網(wǎng)絡(luò)（ MPLS/SDH 、以太網(wǎng)、無(wú)線、 4G/LTE 、衛(wèi)星通訊等），并在全域范圍內(nèi)調(diào)度這些網(wǎng)絡(luò)為業(yè)務(wù)流量轉(zhuǎn)發(fā)服務(wù)。

SD-WAN 真正要實(shí)現(xiàn)什么？

按照我自己的歸納和理解， SD-WAN 真正想要實(shí)現(xiàn)的就是： 充分利用企業(yè)所能夠使用的通信手段 （ MPLS/SDH 、以太網(wǎng)、無(wú)線、 4G/LTE 、衛(wèi)星通訊等，還有專網(wǎng)和互聯(lián)網(wǎng)）， 以“轉(zhuǎn)控分離”的方式，實(shí)現(xiàn)以全業(yè)務(wù)流量 QoS 為目標(biāo)的，全域選路控制和業(yè)務(wù)策略編排 。

因此，相對(duì)于傳統(tǒng)的路由器組網(wǎng)所實(shí)現(xiàn)的廣域網(wǎng)傳輸方案， SD-WAN 在以下幾點(diǎn)上提出了全新的實(shí)現(xiàn)思路：

-- 轉(zhuǎn)控分離：這個(gè)在前面 SDN 介紹中已經(jīng)提及， SD-WAN 只是在分離的程度上有所不同，由于 SD-WAN 更多的是關(guān)注面向 overlay 層的轉(zhuǎn)發(fā)控制，因此 underlay 層的控制更多的會(huì)放在轉(zhuǎn)發(fā)層面來(lái)實(shí)現(xiàn)。

-- 全域選路控制： SD-WAN 很大程度上以此替代了傳統(tǒng)路由器的動(dòng)態(tài)路由協(xié)議。我們知道傳統(tǒng)的動(dòng)態(tài)路由協(xié)議一般都是通過(guò)搜集本地鏈路 QoS 和可達(dá)信息，在域內(nèi)的路由器間進(jìn)行路由信息交換和表決，來(lái)維護(hù)本地動(dòng)態(tài)路由轉(zhuǎn)發(fā)表進(jìn)行實(shí)際的轉(zhuǎn)發(fā)控制。即使是 BGP 協(xié)議也不過(guò)通過(guò) Route Reflector 將這些路由信息集中起來(lái)進(jìn)行分發(fā)，具體的路由判斷，也就是轉(zhuǎn)發(fā)控制仍然在本地完成。而 SD-WAN 可以簡(jiǎn)單的認(rèn)為是直接在其 SDN Controller 上統(tǒng)一維護(hù) “ 一張 ” 全域的路由表， CPE/Edge 設(shè)備只需要將本地鏈路信息上傳，并接收 SDN Controller 針對(duì)其發(fā)布的路由表就可以了，路由處理和轉(zhuǎn)發(fā)控制被極大的簡(jiǎn)化了。

-- 統(tǒng)一的 QoS 控制：相比于傳統(tǒng)網(wǎng)關(guān)和路由器設(shè)備各行其是的本地 QoS 策略控制， SD-WAN 強(qiáng)調(diào)實(shí)現(xiàn)集中化的 QoS 分析和統(tǒng)一的 QoS 策略分發(fā)。 CPE/Edge 設(shè)備實(shí)時(shí)上報(bào)本地鏈路信息數(shù)據(jù)（其中包含了鏈路當(dāng)前的網(wǎng)絡(luò)特性，包括延遲、 jitter 、丟包和可用帶寬）， SDN Controller 統(tǒng)一進(jìn)行分析，網(wǎng)絡(luò)管理員將 SLA 目標(biāo)輸入轉(zhuǎn)化為各種特定業(yè)務(wù)應(yīng)用的 QoS 定義 -- 帶寬、延遲、 jitter 、數(shù)據(jù)包丟失等，控制器將這些要求轉(zhuǎn)換為對(duì)應(yīng)邊緣設(shè)備“即時(shí)”的路由策略，以選擇發(fā)送該流量的最佳路徑。從另一個(gè)角度來(lái)說(shuō)，統(tǒng)一的 QoS 控制也就是全局選路的判權(quán)策略。

-- 業(yè)務(wù)策略編排： SD-WAN 的 “ 軟件定義 ” 特征主要依靠 “ 策略編排 ” 來(lái)體現(xiàn)。策略，說(shuō)明了 SD-WAN 對(duì)于業(yè)務(wù)、應(yīng)用、 CPE/Edge 設(shè)備、鏈路、網(wǎng)絡(luò)特性、 SLA/QoS 保證、路由等的控制方式。編排，是策略與 SD-WAN 下轄資源（如，可用 Overlay 鏈路池、 overlay 網(wǎng)絡(luò)特性、可用 underlay 鏈路池、 underlay 鏈路特性）的映射和關(guān)聯(lián)方式，簡(jiǎn)單的說(shuō)，就是業(yè)務(wù)需要怎樣使用 SD-WAN 達(dá)到相應(yīng) SLA 目標(biāo)的自動(dòng)化方式。既然是自動(dòng)化方式，就意味著 SD-WAN 的 SDN Controller 可以自發(fā)的調(diào)整那些策略，使用下轄的資源，自動(dòng)化的程度高低和策略控制粒度的精細(xì)程度，決定了 SD-WAN 的業(yè)務(wù)編排能力，也就是 SD-WAN 實(shí)際的實(shí)現(xiàn)水平。

如何識(shí)別真假 SD-WAN 產(chǎn)品？

-- 在基本了解了 SD-WAN 的真正含義和來(lái)龍去脈后，我們回到本文的初衷：如何辨別真假 SD-WAN 產(chǎn)品。

-- 就像文章開始所講， SD-WAN 至今沒(méi)有統(tǒng)一的定義，這造成眾多廠家的 SD-WAN 解決方案并不存在統(tǒng)一的評(píng)價(jià)標(biāo)準(zhǔn)，一些廠家也借此 “ 趕時(shí)髦、蹭熱度 ” ，刻意混淆 SD-WAN 真正的技術(shù)概念和方案意圖，客觀上阻礙了 SD-WAN 市場(chǎng)的健康發(fā)展。近來(lái)在行業(yè)內(nèi)就曾出現(xiàn)過(guò)有廠商采用傳統(tǒng)的 VPN 配合內(nèi)部的 MPLS 骨干簡(jiǎn)單實(shí)現(xiàn)偽 SD-WAN 方案的案例，更有甚者，竟然使用 L2TP+MPLS+SNMP 方案，對(duì)客戶宣稱是 SD-WAN 的笑話。

-- 由于 SD-WAN 的產(chǎn)品和方案并不排斥與舊有技術(shù)和產(chǎn)品進(jìn)行整合，這為辨別真假帶來(lái)了不少困擾。因此我認(rèn)為，可以使用兩種方法來(lái)對(duì)這個(gè)問(wèn)題進(jìn)行判斷：

-- 從 SD-WAN 的根本特征出發(fā)進(jìn)行辨別

-- 從 SD-WAN 產(chǎn)品的外在功能點(diǎn)進(jìn)行歸納判斷

從 SD-WAN 的根本特征出發(fā)進(jìn)行辨別

這種方法實(shí)際上是一個(gè)測(cè)試方法，需要讀者自身具備分析 SD-WAN 系統(tǒng)的基本能力，也就是能夠自主的對(duì) SD-WAN 系統(tǒng)的各部分進(jìn)行考察，從而判斷某個(gè) SD-WAN 系統(tǒng)是否存在疑點(diǎn)。

根據(jù)前面的介紹，我認(rèn)為 SD-WAN 必需具備的四個(gè)根本特征是：轉(zhuǎn)控分離、全域選路、統(tǒng)一 QoS 控制和業(yè)務(wù)策略編排能力。為此，讀者可以在某個(gè) SD-WAN 系統(tǒng)中尋找其是否具備以下特點(diǎn)：

-- 通過(guò)考察 Controller 判斷其是否具備 “ 轉(zhuǎn)控分離 ”

** 在這個(gè) SD-WAN 系統(tǒng)宣稱的 Controller 上，考察其是否與本地的流量轉(zhuǎn)發(fā)功能完全分開。因?yàn)? SD-WAN 系統(tǒng)的 Controller 作為系統(tǒng)中的中心化的控制設(shè)施，可以是一臺(tái)專用設(shè)備，也可以是部署于 IDC 中的虛擬化服務(wù)器，或者企業(yè)網(wǎng)絡(luò)中心位置的某個(gè)虛擬化應(yīng)用。因此，我們需要確信，這個(gè) Controller 與其他所有具有本地的流量轉(zhuǎn)發(fā)功能的 SD-WAN 設(shè)備（ CPE/Edge 設(shè)備）都具有通信連接。

** 考察這個(gè) Controller 具備轉(zhuǎn)發(fā)策略的發(fā)布能力。因?yàn)? SD-WAN 系統(tǒng)的轉(zhuǎn)發(fā)策略基本都依賴三層及三層以上的路由規(guī)則進(jìn)行，因此我們需要確信這個(gè) Controller 能夠生成這樣的路由規(guī)則，并涵蓋下轄所有的 SD-WAN 設(shè)備（ CPE/Edge 設(shè)備）。

** 至此，我們可以基本確認(rèn)這個(gè) Controller 基本具有 “ 轉(zhuǎn)控分離 ” 能力，但這不包括與 BGP 系統(tǒng)區(qū)別開來(lái)，為此需要下面的步驟。

-- 通過(guò)考察 CPE/Edge 設(shè)備進(jìn)一步確認(rèn) “ 轉(zhuǎn)控分離 ”

** 考察 SD-WAN 系統(tǒng)中的 CPE/Edge 設(shè)備的路由轉(zhuǎn)發(fā)表。由于 SD-WAN 系統(tǒng)中的 Controller 負(fù)責(zé)更新域內(nèi)所有轉(zhuǎn)發(fā)設(shè)備的轉(zhuǎn)發(fā)表，因此，判斷在線的 CPE/Edge 設(shè)備是否完全依賴 Controller 進(jìn)行路由轉(zhuǎn)發(fā)表進(jìn)行更新就可以了。

-- 通過(guò)考察 Controller 和 CPE/Edge 設(shè)備判斷其是否具備 “ 全域選路 “ 能力

** 通過(guò)選擇某個(gè) CPE/Edge 設(shè)備的本地鏈路進(jìn)行通斷，判斷其是否會(huì)上報(bào)鏈路信息給 Controller 。

** 考察這個(gè) Controller 是否更新自己的全局策略表，并更新相關(guān)多個(gè) CPE/Edge 設(shè)備的轉(zhuǎn)發(fā)表。

** 在這個(gè)過(guò)程中端到端的的兩個(gè) CPE/Edge 設(shè)備上的業(yè)務(wù)連接（如，視頻播放）不應(yīng)該中斷。

-- 通過(guò)考察 Controller 和 CPE/Edge 設(shè)備判斷其是否具備 ” 統(tǒng)一 QoS 控制 “

** 需要在這個(gè) SD-WAN 系統(tǒng)中引入至少兩個(gè)業(yè)務(wù)持續(xù)流量（比如，兩個(gè)視頻播放），以此來(lái)表示不同級(jí)別的 QoS 策略所帶來(lái)的效果。

** 對(duì)這個(gè) SD-WAN 系統(tǒng)引入新的傳輸鏈路（最好是新的鏈路類型），設(shè)置新的 QoS 策略，并與前面其中一個(gè)業(yè)務(wù)流量的 QoS 策略進(jìn)行關(guān)聯(lián)。

** 斷掉原有的傳輸鏈路，應(yīng)該能夠看到 QoS 策略對(duì)于不同業(yè)務(wù)流量的傳輸效果變化。（具體策略依賴于具體的實(shí)驗(yàn)方法）。

-- 通過(guò)考察 Controller 判斷其是否具備業(yè)務(wù)策略編排能力

** 考察這個(gè) Controller 的資源列表所涵蓋的范圍。

** 考察這個(gè) Controller 的策略類型所涵蓋的種類。

** 考察這個(gè) Controller 的資源編排器（不同的廠家有不同的名字）是否涵蓋上述兩方面的內(nèi)容。

** 據(jù)此我們就基本確定這個(gè) Controller 是否有業(yè)務(wù)策略編排功能，具體能力大小則需要另外判斷。

當(dāng)這個(gè)系統(tǒng)通過(guò)了以上的考察和測(cè)試后，我們就能夠比較有把握的認(rèn)為這個(gè)系統(tǒng)是一個(gè) SD-WAN 系統(tǒng)了。

從 SD-WAN 產(chǎn)品的外在功能點(diǎn)進(jìn)行歸納判斷

由于人們并不會(huì)都有機(jī)會(huì)接觸到某個(gè) SD-WAN 系統(tǒng)，通常只能接觸到該 SD-WAN 系統(tǒng)的宣傳資料和部分功能列表，是否可以通過(guò)對(duì)這些文字信息進(jìn)行判斷得到結(jié)論呢？這里我嘗試給出一份基本 SD-WAN 系統(tǒng)功能列表（ Abloomy ），輔助讀者進(jìn)行判斷：

1.          遠(yuǎn)程站點(diǎn) / 分支機(jī)構(gòu)可以通過(guò)公有或私有 WAN 主動(dòng)接入業(yè)務(wù)應(yīng)用。

2.          支持分支站點(diǎn)設(shè)備 WAN 鏈路的多種備份和聚合方式

3.          SD-WAN 的控制器支持單 / 雙集群、虛擬化部署方式。

4.          支持根據(jù)統(tǒng)一的應(yīng)用策略對(duì)跨專用和公共 WAN 路徑的流量進(jìn)行動(dòng)態(tài)調(diào)整，并在傳輸和應(yīng)用層上控制（提高或降低） WAN 服務(wù)的性能。

5.          支持以集中的可視化方式管理關(guān)鍵性業(yè)務(wù)和實(shí)時(shí)應(yīng)用程序的流量運(yùn)行狀態(tài)，并能對(duì)其進(jìn)行控制優(yōu)先級(jí)的排序。

6.          支持分支站點(diǎn)設(shè)備的零接觸部署（ ZTP ），在直連的基礎(chǔ)設(shè)備上幾乎不做任何配置更改，確保配置和部署的敏捷性。

7.          支持集中策略配置，保證帶寬分配、優(yōu)先級(jí)自動(dòng)排序和鏈路選擇的實(shí)時(shí)性。

8.          支持基于業(yè)務(wù)應(yīng)用程序的性能要求（帶寬、延遲、 jitter 、數(shù)據(jù)包丟失）預(yù)定義模板。

9.          支持廣域網(wǎng)優(yōu)化。

10.      支持 AAA （認(rèn)證，授權(quán)和計(jì)費(fèi)），支持 RADIUS 、 LDAP 或 AD 等。

11.      支持具有 IPsec 和 SSL VPN 同樣等級(jí)的鏈路安全屬性。

12.      分支站點(diǎn)設(shè)備支持本地或云端基于 NFV 的服務(wù)編排，支持報(bào)文捕獲與解碼能力（ DPI ）和防火墻功能。

13.      支持基于角色 / 多租戶（同層 / 分層）的訪問(wèn)控制功能