王勝志，章道勇（.中國聯(lián)通徐州分公司，江蘇徐州 000；.中國聯(lián)通無錫分公司，江蘇無錫 40）

Wang Shengzhi1，Zhang Daoyong2（1.China Unicom Xuzhou Branch，Xuzhou 221000，China；2.China Unicom Wuxi Branch，Wuxi 214021，China）

1 SD-WAN基本概念

1.1 傳統(tǒng)WAN面臨的挑戰(zhàn)

依托于電信運營商完備的基礎承載網(wǎng)絡，在2B業(yè)務構成中，政企專線始終占據(jù)重要的位置。伴隨著通信技術的演進，WAN 經(jīng)歷了從低速率到大帶寬、從多協(xié)議到IP 化、從單一網(wǎng)絡到云網(wǎng)融合的發(fā)展和演變。然而隨著業(yè)務應用的快速發(fā)展，其在給客戶帶來巨大價值增益的同時，也面臨很多問題和挑戰(zhàn)。

成本較高，價值密度降低：因為技術的發(fā)展和競爭格局的推動，無論采用何種方式承載，專線電路業(yè)務的成本和價格都在不斷下降。然而，接入成本的降低速度遠遠趕不上價格降低的速度，這導致專線電路價值密度不斷走低（見圖1）。

網(wǎng)絡結構復雜，組網(wǎng)靈活度差：由于過于依賴物理網(wǎng)絡設施，同時網(wǎng)絡維護工作采用多級分段的管理維護體系，MSTP、IPRAN、PTN 等基礎網(wǎng)絡在配置專線電路過程中往往采用與企業(yè)組織架構相匹配的分段配置、分段管理、分段維護的業(yè)務流程，這導致業(yè)務開通時間長、業(yè)務靈活性差，難以滿足快速開通、靈活部署等業(yè)務需求。

網(wǎng)絡狀態(tài)的呈現(xiàn)方式較為分散：目前運營商都嘗試建立了相應的政企業(yè)務網(wǎng)管系統(tǒng)。但系統(tǒng)的實現(xiàn)主要是通過專業(yè)網(wǎng)管系統(tǒng)告警采集和業(yè)務匹配來實現(xiàn)，僅能實現(xiàn)簡單的監(jiān)控功能，無法實現(xiàn)統(tǒng)一集中的網(wǎng)絡管理，更無法實現(xiàn)業(yè)務狀態(tài)的端到端整體呈現(xiàn)。另外，隨著云業(yè)務的快速發(fā)展，根據(jù)應用需求的動態(tài)調(diào)整將成為常態(tài)，傳統(tǒng)基于MSTP、OTN 的承載方式已經(jīng)無法滿足。

1.2 SDN和NFV

為了解決傳統(tǒng)WAN 基礎網(wǎng)絡所面臨的問題，網(wǎng)絡功能虛擬化NFV 和軟件定義網(wǎng)絡SDN 應運而生。NFV 是SDN 實現(xiàn)的基礎，它通過將網(wǎng)絡設備的控制功能軟件化、虛擬化，實現(xiàn)設備的軟硬件解耦。當然，這種虛擬化的控制功能是開放的、可編程的，因此可以實現(xiàn)更加靈活的網(wǎng)絡功能和網(wǎng)絡資源調(diào)度。

SDN 即軟件定義網(wǎng)絡，它是一種新型網(wǎng)絡創(chuàng)新架構，是網(wǎng)絡虛擬化的一種實現(xiàn)方式。它的核心是通過將網(wǎng)絡設備的控制與數(shù)據(jù)轉(zhuǎn)發(fā)分離開來，從而實現(xiàn)網(wǎng)絡流量的靈活控制，使網(wǎng)絡資源變得更加智能，從而為網(wǎng)絡及應用的創(chuàng)新提供更好的平臺。

近年來SD-WAN 作為SDN 在廣域網(wǎng)場景下的應用得到了產(chǎn)業(yè)界的廣泛認同，開始應用于企業(yè)網(wǎng)絡、數(shù)據(jù)中心、互聯(lián)網(wǎng)應用和云服務場景。同時，SD-WAN的產(chǎn)品和服務模式也對運營商傳統(tǒng)的網(wǎng)絡建設和維護模式提出了挑戰(zhàn)，為基礎通信網(wǎng)絡虛擬化、軟件化提供了相應動力和契機。

1.3 SD-WAN的價值

對于運營商或者企業(yè)用戶來說，SD-WAN 的價值主要體現(xiàn)在幾個方面：能夠快速高效地實現(xiàn)多網(wǎng)絡、云網(wǎng)融合的互聯(lián)，滿足復雜業(yè)務場景的應用需求；能夠通過集中管控和即插即用實現(xiàn)業(yè)務的快速部署，降低業(yè)務交付和運維成本；可以根據(jù)不同的應用提供路徑優(yōu)選策略，以保證高質(zhì)量的應用體驗。

2 SD-WAN網(wǎng)絡架構

2.1 SD-WAN基礎架構

SD-WAN 解決方案整體架構主要包括網(wǎng)絡層、控制層、業(yè)務層3個層次，如圖2所示。

圖2 SD-WAN解決方案整體架構

網(wǎng)絡層又可以分為物理網(wǎng)絡和虛擬網(wǎng)絡2 個層次，如圖3 所示。物理網(wǎng)絡被稱為Underlay 網(wǎng)絡，如MSTP 專線、MPLS、Internet 等。虛擬網(wǎng)絡被稱為邏輯網(wǎng)絡，它是根據(jù)業(yè)務策略構建于物理網(wǎng)絡上的Overlay網(wǎng)絡。虛擬網(wǎng)絡可以服務于多個租戶，也可以服務于同一個租戶的不同業(yè)務。在SD-WAN 網(wǎng)絡中，主要使用邊緣設備Edge和GW網(wǎng)關設備2種設備。其中Edge一般為即插即用的CPE 設備，它通過隧道技術實現(xiàn)多個設備間的WAN 鏈路連接。GW 設備用于SD-WAN和企業(yè)存量網(wǎng)絡之間的互通，以保證客戶網(wǎng)絡的延續(xù)性。

圖3 網(wǎng)絡層2層結構

控制層是“軟件定義”的核心，它的主要組件是網(wǎng)絡控制器，它一般具有業(yè)務編排、網(wǎng)絡控制和網(wǎng)絡管理功能。編排功能主要實現(xiàn)業(yè)務應用的抽象建模、編排和配置下發(fā)。網(wǎng)絡控制器通過業(yè)務編排對企業(yè)WAN進行抽象和定義，驅(qū)動網(wǎng)絡控制器實現(xiàn)網(wǎng)絡拓撲的配置。業(yè)務編排分為2種，一是WAN 網(wǎng)絡拓撲的業(yè)務編排，如站點創(chuàng)建、鏈路創(chuàng)建、拓撲定義等；二是網(wǎng)絡策略的編排，如應用選路、QoS、廣域網(wǎng)優(yōu)化、應用識別、安全策略等。網(wǎng)絡控制器的控制功能主要實現(xiàn)對SD-WAN 網(wǎng)絡層的集中控制，以實現(xiàn)控制平面和轉(zhuǎn)發(fā)平面的分離，主要包括VPN 路由分發(fā)、VPN 的創(chuàng)建和修改、隧道的創(chuàng)建和維護等。網(wǎng)絡控制器的管理功能主要實現(xiàn)WAN 網(wǎng)絡的管理和運維功能，包括告警管理、性能管理等，同時對客戶網(wǎng)絡拓撲結構、故障、性能等運維信息進行多維度的呈現(xiàn)。管理組件一般通過NETCONF 和HTTP2.0 協(xié)議實現(xiàn)對設備的管理。其中NETCONF 主要實現(xiàn)告警、日志管理等，HTTP2.0 主要實現(xiàn)性能等信息的采集。

業(yè)務層南向?qū)泳W(wǎng)絡控制器，北向通過業(yè)務UI界面實現(xiàn)業(yè)務層面的管理和交互。這可以通過2種方式實現(xiàn)：一種為SD-WAN 解決方案提供商開發(fā)的自服務系統(tǒng)，它可以提供全生命周期的、端到端的業(yè)務配置和交付流程；另一種方式是依托于運營商的BSS/OSS管理系統(tǒng)，它們通過網(wǎng)絡控制器開放的北向API 開發(fā)實現(xiàn)全流程業(yè)務管理功能。在業(yè)務開放初期可以采用第1種方式作為過渡，然后通過開發(fā)迭代，最終打通運營商B/O域的全業(yè)務流程。

2.2 主要接口及通道

SD-WAN 網(wǎng)絡控制器在整個體系結構中處于核心位置，它通過不同的接口協(xié)議實現(xiàn)與網(wǎng)絡層和業(yè)務層之間的交互，如圖4所示。

圖4 主要接口協(xié)議

南向接口協(xié)議：NETCONF 和HTTP2.0 協(xié)議，用于網(wǎng)絡控制器對網(wǎng)絡層的統(tǒng)一管理和配置，網(wǎng)絡控制器通過NETCONF 協(xié)議給Edge 或GW 下發(fā)配置。Edge、GW 設備則通過HTTP2.0 向網(wǎng)絡控制器上報性能信息，通過NETCONF協(xié)議上報告警信息。

北向接口協(xié)議：網(wǎng)絡控制器通過RESTful API接口與業(yè)務層各組件交互，RESTful API 是基于REST 設計準則實現(xiàn)的接口方式。應用層外部程序可以通過HTTPS訪問RESTful API，其管理網(wǎng)絡資源對象的方法主要有GET、PUT、POST、DELETE等。運營商BSS/OSS系統(tǒng)或自服務系統(tǒng)皆通過RESTful API 的調(diào)用開發(fā)實現(xiàn)對網(wǎng)絡控制器的管理，進而實現(xiàn)對整個SD-WAN 網(wǎng)絡以及業(yè)務全生命周期的管理。

通過各種接口及協(xié)議，SD-WAN 系統(tǒng)將建立管理通道、控制通道、數(shù)據(jù)通道等3種邏輯通道。

管理通道是網(wǎng)絡控制器與網(wǎng)絡層設備之間的交互通道，如Edge、GW 等，用于網(wǎng)絡配置信息和運維信息的下發(fā)和上傳。在SD-WAN 系統(tǒng)中，管理通道最先建立，用于整個系統(tǒng)的初始化配置。管理通道建立后，系統(tǒng)將建立控制通道。網(wǎng)絡控制器利用控制通道完成網(wǎng)絡層組網(wǎng)、路由編排以及網(wǎng)絡拓撲的建立。另外，網(wǎng)絡控制器也通過控制通道轉(zhuǎn)發(fā)路徑策略信息，如VPN 拓撲、隧道信息等。管理通道和控制通道建立以后就基本完成了系統(tǒng)的初始化工作，此時系統(tǒng)需要建立數(shù)據(jù)通道，用于Edge、GW 以及其他網(wǎng)絡設備之間的數(shù)據(jù)傳輸，數(shù)據(jù)傳輸一般采用IPSec 進行加密，以保證其安全性。

2.3 站點及Edge

在部署SD-WAN 應用過程中，需要考慮傳統(tǒng)站點、SD-WAN 站點和云站點等3 種企業(yè)站點。傳統(tǒng)站點是企業(yè)的存量網(wǎng)絡設備，并不納入SD-WAN 網(wǎng)絡控制器管理，但是它也有與SD-WAN 互通的需求。SDWAN 站點配置于企業(yè)總部、分支機構或DC 中，由SDWAN 網(wǎng)絡控制器集中統(tǒng)一管理，進行業(yè)務的編排組網(wǎng)。云站點是SD-WAN 站點的一種特殊形態(tài)，應用在公有云、私有云環(huán)境下，用于企業(yè)各機構與虛擬機VM之間以及各VM、各應用之間的互通。

企業(yè)WAN 網(wǎng)絡連接企業(yè)各站點，不同類型的站點通過不同的邊緣設備Edge 接入網(wǎng)絡，即CPE 設備。CPE一般應具備即插即用、二層交換、三層路由轉(zhuǎn)發(fā)功能。在SD-WAN 網(wǎng)絡中，依據(jù)不同的站點應用環(huán)境還衍生出其他不同的形態(tài)，如具備廣域加速、負載均衡、安全防護功能的uCPE，應用在云網(wǎng)環(huán)境中通過軟件形式實現(xiàn)的vCPE等。

CPE連接了站點的內(nèi)外側網(wǎng)（LAN側和WAN側）。

在SD-WAN 解決方案中CPE 需要考慮多種WAN接入方式，如Internet、MPLS VPN、LTE，并在其中配置路由選擇策略。其中LTE 鏈路適用于一些特殊場景，如工地、河堤、道路等線路接入困難或成本過高的場景，或作為其他鏈路接入形式的故障災備路由，以提升站點連接的安全性。

CPE 的LAN 側對應企業(yè)站點內(nèi)網(wǎng)，其接入方式和內(nèi)網(wǎng)的組網(wǎng)形式相關，對于規(guī)模較小、結構較為簡單的網(wǎng)絡，通常采用二層組網(wǎng)的方式，CPE直接連接內(nèi)網(wǎng)以太網(wǎng)交換機，CPE 作為內(nèi)網(wǎng)的網(wǎng)關配置。對于規(guī)模較大、結構較為復雜的網(wǎng)絡，則往往采用三層組網(wǎng)方式，此時，CPE需要根據(jù)站點網(wǎng)絡的實際情況配置相應的路由協(xié)議，一般情況下，其配置由網(wǎng)絡控制器根據(jù)編排策略自動下發(fā)完成。

在實際的業(yè)務流程中，CPE 即插即用過程一般分為3 個步驟。第1 步，SD-WAN 服務提供商/電信運營商在網(wǎng)絡控制器中完成CPE 設備的登記錄入，一般情況下，網(wǎng)絡管理員需要預配置CPE 的WAN 接口IP 地址，用于CPE 和網(wǎng)絡控制器的自動連接。第2 步，CPE被郵寄到企業(yè)站點并完成物理連接。第3 步，網(wǎng)絡控制器和CPE 通過IP 地址信息建立連接，同時根據(jù)業(yè)務編排向CPE下發(fā)配置，完成業(yè)務開通。

2.4 業(yè)務體驗保障

企業(yè)應用有多種多樣的類型，這些不同的應用類型有不同的體驗需求。如電話會議、視頻會議需要較低的時延。在傳統(tǒng)的WAN網(wǎng)絡中，這些不同的應用無差別地承載在同一張網(wǎng)絡上，被不加區(qū)別地進行轉(zhuǎn)發(fā)和處理，雖然MPLS 可以提供簡單的QoS，但無法實現(xiàn)更復雜的體驗保障和選路策略。SD-WAN 解決方案包含多維度的應用體驗保障方案，其作為可選功能構建于不同SD-WAN 服務商的產(chǎn)品架構中，下面是幾種常見的業(yè)務體驗保障方案。

應用識別：能夠?qū)Σ煌膽眠M行有效的識別是應用體驗保障的前提，SD-WAN 解決方案可以通過協(xié)議識別、首包識別、特征識別、DNS 識別等多種技術實現(xiàn)對不同應用的識別和判斷。

應用選路：選路的前提是鏈路質(zhì)量檢測，SD-WAN通過丟包、時延、抖動的檢測技術實現(xiàn)鏈路質(zhì)量檢測，進而通過選路策略進行路由優(yōu)化。應用識別和應用選路結合就可以實現(xiàn)不同的選路場景，如鏈路質(zhì)量選路、負荷分擔選路，應用優(yōu)先級選路等。

QoS保障：通過應用限速來保障不同的應用體驗。

廣域優(yōu)化：通過各種算法技術改善WAN鏈路傳輸質(zhì)量，如抗丟包優(yōu)化、傳輸層優(yōu)化、數(shù)據(jù)優(yōu)化、應用協(xié)議優(yōu)化、數(shù)據(jù)去重壓縮等。

2.5 系統(tǒng)安全

無論是采用MSTP、OTN、IPRAN/PTN，還是采用MPLS 承載，傳統(tǒng)的WAN 網(wǎng)絡都處于封閉或者準封閉的網(wǎng)絡環(huán)境中，其Underlay 基礎網(wǎng)絡以及網(wǎng)絡中的管理控制節(jié)點，如各系統(tǒng)的專業(yè)網(wǎng)管中心等都處于相對獨立的內(nèi)網(wǎng)環(huán)境中。同時，一個WAN的不同承載段落也往往分散于不同的網(wǎng)絡系統(tǒng)，如跨境跨域組網(wǎng)。這樣的網(wǎng)絡架構和環(huán)境保證了相對健壯的網(wǎng)絡安全。

但是，在SD-WAN 解決方案中，由于采取了完全不同的架構模式，網(wǎng)絡安全面臨著巨大的挑戰(zhàn)，具體來說，主要有以下2 個方面，同時這2 個方面的安全挑戰(zhàn)也對應著SD-WAN 安全架構中的2 個層次，即系統(tǒng)安全和業(yè)務安全。

由于采用集中控制的模式，網(wǎng)絡控制器在整個架構中處于核心位置，其各個組件的部署方式、安全防護是SD-WAN系統(tǒng)安全首要考慮的問題。

由于Underlay 網(wǎng)絡的多樣性，尤其是Internet、云網(wǎng)環(huán)境的大量使用，SD-WAN 網(wǎng)絡環(huán)境走向開放，在開放的環(huán)境中，攻擊、病毒、非法侵害的風險大大增加。

因此，SD-WAN 架構是綜合性的解決方案，需要整合解決方案、設備、安全、云平臺、運營等全部生態(tài)鏈資源。在安全方面，更需要聯(lián)合安全服務提供商構建完整的安全解決方案，綜合利用分布式部署、防攻擊、防入侵、防病毒以及數(shù)據(jù)加密、認證、鑒權等多種技術實現(xiàn)系統(tǒng)安全防護和業(yè)務安全防護。另外，控制層各系統(tǒng)的雙活、多活等災備方案也應充分考慮。

3 業(yè)務運營模式

從上文對SD-WAN 的網(wǎng)絡架構分析中可以看出，SD-WAN 并不是具體的基礎網(wǎng)絡產(chǎn)品，它必須依托于原有的Underlay實體網(wǎng)絡環(huán)境，因此，SD-WAN是一種綜合性的解決方案，是一種更加靈活智能的服務提供模式。這種新的服務提供模式必然對應著新的商業(yè)運營模式。結合當前業(yè)界發(fā)展現(xiàn)狀以及未來演進趨勢，SD-WAN 商業(yè)運營可以采用運營商公共產(chǎn)品業(yè)務模式、運營商代建模式和企業(yè)自建模式等3種模式。

3.1 運營商公共業(yè)務模式

運營商公共業(yè)務模式是由電信運營商自建SDWAN 公共產(chǎn)品服務平臺及運營支撐體系。目前各家基礎電信運營商都已經(jīng)嘗試建立了其SD-WAN 產(chǎn)品品牌。運營商SD-WAN 公共產(chǎn)品服務體系建設應包含以下關鍵部分。

SD-WAN 平臺建設：主要完成控制層網(wǎng)絡控制器等關鍵組件部署，實現(xiàn)業(yè)務編排、網(wǎng)絡控制和網(wǎng)絡管理功能。平臺應支持多租戶管理。

基礎網(wǎng)絡建設：網(wǎng)絡層合理規(guī)劃部署IWG 網(wǎng)關設備，以實現(xiàn)企業(yè)SD-WAN 網(wǎng)絡與MPLS 網(wǎng)絡或者分組傳送網(wǎng)的互通。同時運營商骨干網(wǎng)邊緣需要規(guī)劃部署POP GW，企業(yè)分支機構Edge 可以通過POP GW 構建Overlay隧道以實現(xiàn)第三方運營商的網(wǎng)絡穿透。

支撐系統(tǒng)建設：運營商需要根據(jù)自身組織架構和服務支撐體系，通過SD-WAN 控制層北向接口API 開發(fā)建設各業(yè)務支撐系統(tǒng)，如BSS/OSS、訂單系統(tǒng)、客戶自服務系統(tǒng)等，以此打通業(yè)務全生命周期管理流程。

Edge 設備選型：根據(jù)不同的應用場景確定多層次、多型號、標準化的設備，設備應充分解耦。同時建立設備在業(yè)務創(chuàng)建、維護、拆除等情況下的配送體系。

在SD-WAN 承載國際WAN 業(yè)務組網(wǎng)的場景下，由于網(wǎng)絡安全和信息安全的工作要求，目前無法實現(xiàn)跨境全程全網(wǎng)的SD-WAN 架構，出境鏈路仍然需要MPLV VPN 承載，境外網(wǎng)絡需要由運營商國際公司或者當?shù)剡\營商負責支撐。

另外，目前通信市場已經(jīng)涌現(xiàn)出很多SD-WAN 服務提供商，這些企業(yè)大多衍生于IT 企業(yè)、互聯(lián)網(wǎng)企業(yè)、通信設備制造企業(yè)等。他們通過自研產(chǎn)品或者通過SD-WAN 解決方案提供商搭建平臺轉(zhuǎn)售產(chǎn)品。這些企業(yè)往往具有鮮明的行業(yè)特質(zhì)，一般深耕于一個或多個特定的行業(yè)市場，并依靠快速靈活的管理和創(chuàng)新機制，成為2B市場不可忽視的競爭力量。

3.2 運營商代建模式

對于部分大型企業(yè)（IT 或互聯(lián)網(wǎng)企業(yè)），如客戶有自建SD-WAN 規(guī)模組網(wǎng)需求，電信運營商可以協(xié)助企業(yè)建設SD-WAN 業(yè)務平臺。根據(jù)客戶需求和技術能力，項目建設可以采用ICT 項目運營模式或交鑰匙項目建設模式。在業(yè)務運營過程中，運營商可以與企業(yè)合作探討代管代維等延伸服務，并不斷根據(jù)5G、AI、云計算等技術的演進推動企業(yè)SD-WAN 業(yè)務的更新迭代。這種運營模式下的SD-WAN 架構僅需要支持單租戶即可。

3.3 企業(yè)自建模式

企業(yè)從解決方案提供商采購SD-WAN 解決方案，通過其自有技術能力完成業(yè)務部署和運維，用以構建企業(yè)自身的WAN基礎網(wǎng)絡，并不對外運營。企業(yè)自建模式對企業(yè)的技術能力要求較高，有較高的技術門檻，因此這種企業(yè)往往是大型互聯(lián)網(wǎng)公司、公共服務產(chǎn)品提供商、大型云產(chǎn)品服務商或相對封閉的行業(yè)系統(tǒng)，如交通、物流、金融等部門。

4 客戶及產(chǎn)品應用分析

4.1 專線客戶類型

通信產(chǎn)品豐富多樣，客戶需求同樣豐富多樣，不同的用戶有不同的業(yè)務需求，根據(jù)政企客戶行業(yè)性質(zhì)、網(wǎng)絡需求、業(yè)務規(guī)模、安全需求等多種商業(yè)或技術特質(zhì)，將專線類業(yè)務客戶需求類型分為以下3類。

價格傾向類：對產(chǎn)品價格較為敏感，主要集中于中小企業(yè)、連鎖加盟的零售或服務企業(yè)等。傳統(tǒng)場景一般采用MPLS VPN、自建VPN 等方式組建企業(yè)WAN網(wǎng)絡，相比SD-WAN部署優(yōu)勢明顯。

安全傾向類：對網(wǎng)絡和信息安全要求高，主要集中于黨政軍機構、金融/證券企業(yè)、技術密集型的科技企業(yè)等。傾向于采用MSTP、OTN、裸光纖或IPRAN、PTN等分組傳送網(wǎng)方式組網(wǎng)。

組網(wǎng)傾向類（接入靈活）：對組網(wǎng)靈活性要求較高，主要涉及公共服務類機構，如交通、物流等部門或企業(yè)，軟件、系統(tǒng)集成等信息類科技企業(yè)。此類客戶更加典型的場景是云網(wǎng)融合類業(yè)務，如政務云、企業(yè)上云等。云網(wǎng)融合近年來得到了快速發(fā)展并成為MPLS、SD-WAN技術的重要應用方向。

4.2 典型應用場景

通過上文對專線客戶需求類型和選擇傾向的分析，筆者總結出以下3類SD-WAN最典型的應用場景。第1 類為分散的零售加盟企業(yè)，如社區(qū)連鎖超市等。第2類為公共服務類應用，如道路、水文、市政監(jiān)控等。第3 類為云網(wǎng)融合類場景，如政務云、醫(yī)療云、教育云以及各種各樣的企業(yè)應用云化的組網(wǎng)需求，無論是公有云、私有云還是混合云，越復雜的網(wǎng)絡環(huán)境越能體現(xiàn)出SD-WAN的巨大優(yōu)勢。

對于電信運營商來說，如果要充分利用SD-WAN的靈活性和超高性價比，還有一種非業(yè)務類的應用場景可以考慮，即將SD-WAN 應用于專線電路的保護路由、應急開通或故障情況下的應急代通等，將其作為傳統(tǒng)WAN業(yè)務的運維增強手段部署。

4.3 劣勢及不足

當然，從整體架構和業(yè)務應用2 個角度分析，SDWAN也有其特定的短板和不足。

從網(wǎng)絡架構上看，SD-WAN 的控制層主要為網(wǎng)絡控制器組件，無論是部署于云端還是自建服務，都很容易受到網(wǎng)絡攻擊，而其集中控制、集中管理的特點決定了其一旦因攻擊或其他原因?qū)е路罩袛嗷蛘吡踊紝θW(wǎng)造成極大影響。所以在系統(tǒng)部署的時候，運營商或解決方案提供商需要充分考慮系統(tǒng)災備、系統(tǒng)雙活等安全防護手段。

從業(yè)務應用的方面來說，客戶業(yè)務很容易受到Underlay 網(wǎng)絡環(huán)境的影響，尤其是互聯(lián)網(wǎng)公網(wǎng)環(huán)境的變化，往往是不可控、不可預料的，這些都需要應用識別、應用選路、廣域優(yōu)化等方式來進行QoS 增強，這也增大了系統(tǒng)和業(yè)務的復雜度。

5 總結

本文從基礎架構、產(chǎn)品應用、運營模式等方面對SD-WAN 進行了分析探討。SD-WAN 并不是一個基礎網(wǎng)絡技術層面的創(chuàng)新，也不是一個具體的網(wǎng)絡產(chǎn)品，它不能脫離基礎網(wǎng)絡獨立存在。SD-WAN 是一種企業(yè)WAN 網(wǎng)絡軟件化的解決方案，是一種新的服務提供方式，這種提供方式能更好地適應云網(wǎng)融合等復雜多變的網(wǎng)絡場景。目前，提供SD-WAN 解決方案和產(chǎn)品運營的企業(yè)很多，其網(wǎng)絡架構和實現(xiàn)路徑雖然大同小異，但是側重點卻各有不同。完整的SD-WAN 體系需要整合基礎網(wǎng)絡、軟件開發(fā)、系統(tǒng)集成、安全技術等全生態(tài)資源。從網(wǎng)絡技術上看，SD-WAN 尚無法取代傳統(tǒng)的WAN 組網(wǎng)方式，而是作為一種服務方式的補充與它們長期并存，并將在特定場景中發(fā)揮重要作用。同時SD-WAN 的發(fā)展也將推動傳統(tǒng)傳送網(wǎng)技術向SDN方向不斷演化和迭代。