鄭力

摘要：通信網(wǎng)絡(luò)是當(dāng)前企業(yè)數(shù)字化轉(zhuǎn)型的基石之一，但對于擁有多級組織架構(gòu)（總公司與省級機構(gòu)、分公司、子公司、遍布全國的分支機構(gòu)）的集團(tuán)型企業(yè)來說，如何實現(xiàn)網(wǎng)絡(luò)安全可靠的互聯(lián)互通，并能夠在企業(yè)數(shù)字化轉(zhuǎn)型過程中發(fā)揮積極的作用，并非易事。隨著國內(nèi)廣域網(wǎng)質(zhì)量的不斷提升，利用新型技術(shù)對原有專用網(wǎng)絡(luò)的變革成為企業(yè)重點關(guān)注的演進(jìn)趨勢，就利用SD-WAN實現(xiàn)廣域網(wǎng)組網(wǎng)的技術(shù)優(yōu)勢，實現(xiàn)特定場景下與專有網(wǎng)絡(luò)類比的網(wǎng)絡(luò)質(zhì)量，以及如何在集團(tuán)型企業(yè)中應(yīng)用進(jìn)行重點闡述，給各行業(yè)同仁提供參考。

關(guān)鍵詞：SD-WAN；廣域網(wǎng)組網(wǎng)；云端網(wǎng)；降本增效

一、前言

新的市場需求對存量組網(wǎng)業(yè)務(wù)帶來新的挑戰(zhàn)，傳統(tǒng)組網(wǎng)面臨成本高、靈活度低、安裝周期長、應(yīng)用區(qū)隔難、上云接入難、缺乏可視化運維等問題，逐漸無法滿足用戶的新需求。為此，新型網(wǎng)絡(luò)連接的需求正面臨更大的變化。

（一）集團(tuán)型企業(yè)在網(wǎng)絡(luò)升級優(yōu)化中的挑戰(zhàn)

隨著集團(tuán)型企業(yè)不斷發(fā)展壯大，逐步形成了多級管理的組織結(jié)構(gòu)。當(dāng)前，企業(yè)面臨數(shù)字化轉(zhuǎn)型，如何高效經(jīng)濟(jì)地實現(xiàn)企業(yè)網(wǎng)絡(luò)的互聯(lián)互通是企業(yè)IT管理者首先需要解決的問題。在具體網(wǎng)絡(luò)升級優(yōu)化過程中，集團(tuán)型企業(yè)IT管理者需要面對以下幾個挑戰(zhàn)：

1.由于歷史原因，不同時期構(gòu)建的網(wǎng)絡(luò)，其制式不統(tǒng)一，各部門分而建之、分而治之，久而久之造成企業(yè)網(wǎng)絡(luò)集約管理的難度非常大。

2.網(wǎng)絡(luò)能力缺乏彈性。數(shù)字化轉(zhuǎn)型帶來企業(yè)信息數(shù)據(jù)量激增，局部一些數(shù)據(jù)熱點區(qū)域出現(xiàn)擁塞，尤其是幾個核心樞紐節(jié)點的數(shù)據(jù)承載量遠(yuǎn)超過現(xiàn)有網(wǎng)絡(luò)承載能力。另一方面，由于業(yè)務(wù)調(diào)整、原來的核心系統(tǒng)下線，網(wǎng)絡(luò)拆舊成了另一難題。

3.分支眾多，網(wǎng)絡(luò)運維成本居高不下，企業(yè)有降本增效訴求。

（二）企業(yè)組網(wǎng)模式的演進(jìn)趨勢

在傳統(tǒng)組網(wǎng)模式（如MPLS VPN）中，大型企業(yè)的內(nèi)部網(wǎng)絡(luò)基于運營商專用網(wǎng)絡(luò)構(gòu)建，其特點是與公眾互聯(lián)網(wǎng)物理區(qū)隔，互不影響，其質(zhì)量更穩(wěn)定，安全私密。不過，傳統(tǒng)組網(wǎng)模式也有明顯的弊端，成本高昂，管理復(fù)雜，開通能力受限于運營商的專用網(wǎng)絡(luò)布局，且對IT人員能力要求非常高。

近些年來，隨著運營商對公眾互聯(lián)網(wǎng)大規(guī)模的投資改造，公眾互聯(lián)網(wǎng)的運行質(zhì)量已得到大幅提高。與此同時，業(yè)界SD-WAN技術(shù)蓬勃發(fā)展。SD-WAN強調(diào)轉(zhuǎn)發(fā)面與控制面分離，簡化廣域網(wǎng)的運行和管理。由于其可基于廣域網(wǎng)組網(wǎng)的特點，可大幅降低企業(yè)在邊緣分支的組網(wǎng)成本，管理便捷且組網(wǎng)靈活，讓SD-WAN逐步成為企業(yè)傳統(tǒng)專網(wǎng)的補充，取得質(zhì)量與成本之間的平衡。

二、SD-WAN的概念與功能特點

（一）SD-WAN簡介

SD-WAN全稱軟件定義廣域網(wǎng)絡(luò)，它是一個連接服務(wù)的管理平臺，提供跨域組網(wǎng)和增值服務(wù)的功能。相比傳統(tǒng)組網(wǎng)方案，具備配置靈活、組網(wǎng)靈活、管理靈活等特性，2015年該技術(shù)正式商用，至2020年，SD-WAN已在全球政企用戶中廣泛應(yīng)用[1]。該技術(shù)本質(zhì)采用了疊加網(wǎng)絡(luò)技術(shù)屏蔽物理網(wǎng)絡(luò)的復(fù)雜性，并綜合了終端、管道、云端的多種技術(shù)，形成了技術(shù)集成創(chuàng)新。其主要特征包括：用戶隨選、零接觸配置、感知云與應(yīng)用、廣域加速、靈活計費等。目前業(yè)內(nèi)較為領(lǐng)先的SD-WAN廠商來自于傳統(tǒng)企業(yè)網(wǎng)廠商、安全設(shè)備廠商、初創(chuàng)企業(yè)三大陣營，在技術(shù)上多采用overlay方式進(jìn)行組網(wǎng)。

（二）SD-WAN技術(shù)架構(gòu)

SD-WAN技術(shù)架構(gòu)，包含了集中管控平臺，接入網(wǎng)元、云端網(wǎng)元三個部分，支持多種復(fù)雜組網(wǎng)需求，具備整合overlay專線與underlay專線的能力[2]。如圖1所示。

（三） SD-WAN功能特點

1.安全私密的通道，靈活的組網(wǎng)

SD-WAN通常支持IPsec隧道，支持不同組網(wǎng)拓?fù)?，包括?hub-spoken組網(wǎng)、full mesh組網(wǎng)、partial mesh組網(wǎng)。轉(zhuǎn)發(fā)設(shè)備與控制單元可支持分離部署。支持靜態(tài)路由配置和動態(tài)路由協(xié)議。

2.零配置功能，易部署

零配置是當(dāng)前業(yè)界SD-WAN的主要特性之一， 可采用郵件開局方式，支持在總部端提前配置好分支基礎(chǔ)網(wǎng)絡(luò)、總部接入等信息，將配置加密存儲在URL鏈接中發(fā)送給分支管理員。通過分支管理員手動點擊該鏈接，配置自動完成。

3.應(yīng)用選路

SD-WAN應(yīng)用選路和流控是核心功能之一，能實現(xiàn)帶寬的最大化利用，以及在不增加帶寬成本的同時提升應(yīng)用傳輸質(zhì)量。具體實現(xiàn)上，智能選路可體現(xiàn)為：

（1）指定線路。最核心的應(yīng)用在質(zhì)量最好的線路上進(jìn)行傳輸，而非核心應(yīng)用在在成本較低的線路上進(jìn)行傳輸。

（2）高質(zhì)量選路。在多線路負(fù)載場景，還可以選擇“優(yōu)先使用質(zhì)量最好線路”的負(fù)載模式，此時進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)時，會根據(jù)各個線路的實時質(zhì)量狀況，選擇最優(yōu)的可轉(zhuǎn)發(fā)線路進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。

比如，設(shè)定權(quán)值算法為：權(quán)值 = 抖動（ms） * x + 丟包率 * y + 延時（ms）[3]。

權(quán)值越小，質(zhì)量越優(yōu)，從而將線路對當(dāng)前服務(wù)優(yōu)先級的剩余帶寬作為選路依據(jù)，當(dāng)線路無法承載當(dāng)前優(yōu)先級的應(yīng)用時，該線路不會被選中。

（3）按剩余帶寬負(fù)載。按剩余帶寬負(fù)載可以更公平的使用所有外網(wǎng)線路。當(dāng)連接建立時，獲取所有選定線路對于當(dāng)前應(yīng)用的可用帶寬大小，再生成一個小于總可用帶寬大小的隨機數(shù)，判斷該隨機數(shù)落在哪條線路區(qū)間，確定從哪條線路進(jìn)行發(fā)包。

（4）帶寬疊加。當(dāng)客戶期望最大化利用現(xiàn)有所有線路帶寬時，可以選擇帶寬疊加負(fù)載模式，將一條連接的流量負(fù)載到多條線路中，達(dá)到單連接的最大帶寬利用率。

4.應(yīng)用流控

在應(yīng)用選路的基礎(chǔ)上加上流控功能，則可以進(jìn)一步確保核心業(yè)務(wù)穩(wěn)定傳輸，動態(tài)保障應(yīng)用的傳輸質(zhì)量。SD-WAN支持用戶自定義應(yīng)用（例如五元組模式），并提供多種應(yīng)用優(yōu)先級選擇。

在帶寬足夠的情況下，所有應(yīng)用都能得到最大的傳輸速度。當(dāng)帶寬不足時，根據(jù)應(yīng)用優(yōu)先順序，高優(yōu)先級應(yīng)用會得到優(yōu)先傳輸?shù)臋C會。

三、SD-WAN在集團(tuán)型企業(yè)中的應(yīng)用

由于分支眾多，現(xiàn)網(wǎng)調(diào)度復(fù)雜，因此集團(tuán)型企業(yè)在數(shù)字化轉(zhuǎn)型過程中，反而比中小型企業(yè)更有動力推動網(wǎng)絡(luò)改造升級。

（一）集團(tuán)型企業(yè)網(wǎng)絡(luò)現(xiàn)狀

經(jīng)典集團(tuán)型企業(yè)網(wǎng)絡(luò)拓?fù)淙鐖D2所示，核心數(shù)據(jù)中心、總部、省級機構(gòu)通過專網(wǎng)接入企業(yè)核心網(wǎng)絡(luò)，通常為雙運營商線路（如電信與聯(lián)通）冗余備份。

省級機構(gòu)或分、子公司往往有自己的建設(shè)權(quán)，而各省級單位/分、子公司從自身業(yè)務(wù)特征、業(yè)務(wù)體量出發(fā)，建設(shè)及升級省級網(wǎng)絡(luò)，選用不同的運營商和終端設(shè)備，隨著時間的拉長，各省網(wǎng)絡(luò)技術(shù)制式并不一致，承載能力也不一致。

省級以下的各級分支機構(gòu)，由于數(shù)量眾多，在數(shù)字化轉(zhuǎn)型之前其數(shù)據(jù)傳輸量并不均衡飽和，出于成本的考量，僅選擇部分業(yè)務(wù)量繁忙的分支機構(gòu)接入省級網(wǎng)絡(luò)。

除專網(wǎng)網(wǎng)絡(luò)外，互聯(lián)網(wǎng)管理就更加割裂分散，多數(shù)企業(yè)并未對互聯(lián)網(wǎng)進(jìn)行統(tǒng)籌管理，導(dǎo)致其信息安全管理難度大，未建立全集團(tuán)的信息安全管理體系。

網(wǎng)絡(luò)管理方面，核心網(wǎng)絡(luò)由總公司網(wǎng)管負(fù)責(zé)，各省級機構(gòu)/分、子公司負(fù)責(zé)本轄區(qū)內(nèi)的網(wǎng)絡(luò)，分而治之。

（二）網(wǎng)絡(luò)升級演進(jìn)思路

根據(jù)數(shù)字化轉(zhuǎn)型需求，預(yù)測新增數(shù)據(jù)流量對網(wǎng)絡(luò)的升級需求：

1.既有投資的資產(chǎn)保護(hù)，保持現(xiàn)網(wǎng)穩(wěn)定運行，不大幅改變現(xiàn)有網(wǎng)絡(luò)拓?fù)涓窬?，尤其是核心網(wǎng)絡(luò)的結(jié)構(gòu)；2.提升分支接入的比例，同時降低整體網(wǎng)絡(luò)成本，提高廣域網(wǎng)傳輸帶寬比例；3.提高業(yè)務(wù)訪問體驗，保障關(guān)鍵業(yè)務(wù)傳輸；同時對于關(guān)鍵業(yè)務(wù)的定義集中表現(xiàn)為對關(guān)鍵數(shù)據(jù)的定義和分級分類，通過分級分類為保障數(shù)據(jù)級的安全可控也是訪問體驗中的核心；4.提升業(yè)務(wù)連續(xù)性，提高網(wǎng)絡(luò)冗余度；網(wǎng)絡(luò)冗余度表現(xiàn)為帶寬的關(guān)鍵性指標(biāo)，包括帶寬的容量、復(fù)用比、帶寬保證、延時、抖動等；5.網(wǎng)絡(luò)敏捷運維，集中化管理，主要組網(wǎng)的運營體系相關(guān)，包含提供組網(wǎng)能力的運營商的管理和企業(yè)自身管理的便捷性；6.安全管理，實現(xiàn)網(wǎng)絡(luò)側(cè)的安全防護(hù)、應(yīng)用測的可信認(rèn)證以及數(shù)據(jù)側(cè)的監(jiān)控運營，當(dāng)然，這不僅在組網(wǎng)上具有安全能力，也需要企業(yè)自行在安全管理上具備相應(yīng)的能力[4]。

具體實施上，集團(tuán)型企業(yè)通常會在以下幾個方面展開：

企業(yè)側(cè)首先應(yīng)測算新的數(shù)據(jù)流量模型，對應(yīng)用重要度進(jìn)行分級，統(tǒng)一制定專網(wǎng)+廣域網(wǎng)協(xié)同發(fā)展的演進(jìn)規(guī)劃。統(tǒng)一專網(wǎng)+互聯(lián)網(wǎng)出口管理，核心是區(qū)隔企業(yè)信息化部署的點位（包括核心節(jié)點、重要分支節(jié)點、非重要分支節(jié)點、流動性節(jié)點等），隨著5G移動網(wǎng)絡(luò)能力的提升，應(yīng)充分考慮移動側(cè)的需求。

其次，應(yīng)充分利用SD-WAN的低成本優(yōu)勢，完成對各級分支機構(gòu)的覆蓋；在部分省級網(wǎng)絡(luò)展開試點，使用SD-WAN來部分替代傳統(tǒng)專網(wǎng)備份線路，同時通過試點，進(jìn)行數(shù)據(jù)分級分類，并定義不同級別數(shù)據(jù)的網(wǎng)絡(luò)傳輸級別；統(tǒng)一管理平臺，納管所有總部和分支的CPE設(shè)備，做到自動告警、配置統(tǒng)一下發(fā)和報表統(tǒng)計，在一定程度上降低終端物理管理不妥當(dāng)?shù)娘L(fēng)險。

最后，應(yīng)設(shè)立多級管理員賬號，方便二級單位和三級單位自行維護(hù)各自管轄范圍的設(shè)備和網(wǎng)絡(luò)，分權(quán)分域管理；安全管理的舉措，有條件的重構(gòu)信息安全防護(hù)體系和安全策略；集團(tuán)型技術(shù)體系和技術(shù)組織體系的重構(gòu)，技術(shù)組織高效運作，關(guān)注技術(shù)演進(jìn)路線。

供應(yīng)商側(cè)首要應(yīng)構(gòu)建SD-WAN網(wǎng)絡(luò)的組網(wǎng)實現(xiàn)方式，建立相應(yīng)的技術(shù)規(guī)范性標(biāo)準(zhǔn)，分地域?qū)崿F(xiàn)POP的部署和配置分發(fā)機制，同步考慮總體的網(wǎng)絡(luò)帶寬部署和路由策略部署機制；對接企業(yè)側(cè)的數(shù)據(jù)流量需求，選擇適配的終端和線路保障質(zhì)量，特別是移動側(cè)的實現(xiàn)路徑選擇。加強整體網(wǎng)絡(luò)的調(diào)度能力，避免流量對沖對SD-WAN網(wǎng)絡(luò)帶來的問題；加強網(wǎng)絡(luò)側(cè)安全管理機制，提升安全防護(hù)能力，降低對于網(wǎng)絡(luò)攻擊引起的客戶應(yīng)用宕機。對于企業(yè)側(cè)跨網(wǎng)的接入需求，為如何實現(xiàn)數(shù)據(jù)流的調(diào)用提供更為敏捷的方便，特別是對于多云接入的需求；建立應(yīng)急服務(wù)響應(yīng)機制實現(xiàn)與企業(yè)側(cè)的業(yè)務(wù)能夠有效聯(lián)動，提升服務(wù)效率。通過企業(yè)自身和網(wǎng)絡(luò)運營商的相互協(xié)同，實現(xiàn)整體網(wǎng)絡(luò)的健壯性。當(dāng)然也是由雙方的協(xié)同，才能實現(xiàn)總體成本的可控。

（三）SD-WAN的價值展現(xiàn)

1.引入互聯(lián)網(wǎng)替換部分專線或者全部專線，基于廣域網(wǎng)加速技術(shù)，降低專網(wǎng)帶寬/成本比；2.應(yīng)用自動識別，通過智能選路、應(yīng)用流控來提升業(yè)務(wù)的訪問體驗；3.通過選路策略，實現(xiàn)快速故障切換，保障業(yè)務(wù)連續(xù)性；4.與傳統(tǒng)網(wǎng)絡(luò)（如MSTP、MPLS VPN）相融合，兼顧網(wǎng)絡(luò)質(zhì)量和網(wǎng)絡(luò)使用成本，同時保護(hù)既有投資；5.易部署、易運維、可視化管理，網(wǎng)絡(luò)敏捷運維，實現(xiàn)一圖覽全網(wǎng)的目標(biāo)；6.企業(yè)安全性提升，企業(yè)自身管理能力得以提升；7.提升企業(yè)信息化人才的集中專業(yè)程度，崗位集中，降低運營成本。

四、結(jié)語

應(yīng)用SD-WAN部署集中管控平臺、接入網(wǎng)元、云端網(wǎng)元三個部分，可有效處理多種復(fù)雜組網(wǎng)需求，安全私密、隨選部署、應(yīng)用選路靈活、兼顧質(zhì)量與成本最優(yōu)。

隨著5G的發(fā)展，5G+LAN SD-WAN方案可以給企業(yè)一個更好的選擇。此外，隨著應(yīng)用云化的滲透率逐步提高，通過SD-WAN技術(shù)與云的深入融合，SD-WAN在入云方面將成為集團(tuán)型企業(yè)的另一個主要使用場景，未來一定會向縱深繼續(xù)擴展，SD-WAN也會向LAN、IBN領(lǐng)域延伸，具有非常廣闊的應(yīng)用空間。H

參考文獻(xiàn)

[1]吳翠敏.新基建下云網(wǎng)融合需求及關(guān)鍵技術(shù)架構(gòu)分析[J].無線互聯(lián)科技，2020，17（22）：33-34+39.

[2]董炳泉.DWAN提供云網(wǎng)融合產(chǎn)品能力的的研究及應(yīng)用[J].信息通信，2019（12）：245-246.

[3] Stanislav V. Korsakov，Valery A. Sokolov. On the Way to SDWAN Solution[J]. Modelirovanie i Analiz Informacionnyh Sistem，2019，26（2）.

[4] NetLinkz Ltd.; Netlinkz Ltd announces Lab Testing of Cyber Security SDWAN VIN Software with US Federal Government IT Solutions Provider Blue Tech[J]. Information Technology Newsweekly，2019.