如何才能鑒別SD-WAN

對于 2015 年才出現的 SD-WAN ，一直處在 “ 一個名詞，各自表述 ” 的尷尬中。但由于其在當前的網絡圈太火爆的緣故，已經到了 “ 腳踢 VPN ，拳打路由器 ” 的地步，各路廠商紛紛易幟，不管有的沒的，都言必稱自己的家當就是 SD-WAN ，以至于各位看官也不清楚誰是誰非，只能袖手旁觀，看個熱鬧。

趁著 Abloomy 在市場上發布自研的 SD-WAN 產品之際，我對 SD-WAN 見諸于媒體文章的概念討論進行了整理，試圖給出有價值的總結。

縱觀各廠商對于 SD-WAN 的介紹，不管是有意還是無意，都傾向于通過描述使用 SD-WAN 所帶來的好處說明 SD-WAN 是什么，這就好像在暗示， “ 不管黑貓白貓，抓住老鼠就是好貓 ” 。

Wiki 上面的定義是這樣的： SD-WAN is an acronym for software-defined networking in a wide area network (WAN). SD-WAN simplifies the management and operation of a WAN by decoupling (separating) the networking hardware from its control mechanism. This concept is similar to how software-defined networking implements virtualization technology to improve data center management and operation 。

國內行業協會的定義也類似：軟件定義廣域網絡，是將 SDN 技術應用到廣域網場景中所形成的一種服務。

對于大多數非業內人士，通過這個定義仍然不能弄明白 SD-WAN 是什么？具備 SD-WAN 功能的產品該是什么樣？但最起碼知道了， SD-WAN 應該源自于 SDN ，也就是它應該具有 SDN 的一些實現思路和技術特點。

SDN 追求的是什么？

傳統意義上的 SDN 是一個局域網范圍內技術，其出現來自于校園網，最早被應用到數據中心領域，主要為數據中心部署云業務服務。而隨著 SDN 在 IDC 、在云中心的普及， SDN 的這一關鍵思路被進一步與云計算的概念相契合：

-- 硬件簡單化、通用化： SDN 提倡用功能簡單和標準化的網絡硬件構建 IDC 的網絡基礎設施，實際上這是降低方案成本的關鍵，這也與云計算基礎設施的構建思路相吻合。

-- 網絡虛擬化：可以說 SDN 促進了網絡虛擬化在自動化業務部署方面的普及。原始的網絡虛擬化技術更像是一種網絡隔離技術，可以認為是一種進化版的 VLAN 技術。在與 SDN 的集中控制體系、基于主機的服務虛擬化相結合后，它迅速成為了 SDN 連接控制層面虛擬化、網絡資源虛擬化、虛擬化平面與物理網絡銜接的關鍵手段。同時，網絡虛擬化的概念借此進一步的進化成為一種網絡功能虛擬化方法（ NFV ）。

-- 控制中心化： SDN 嚴格區分控制層面的行為和轉發層面的行為，這與 SDN 的物理網絡相對單一不無關系。 SDN 的中心化控制受限于單一控制器的控制能力和控制區域整體網絡性能。 SDN 通過集中控制保證了在區域內的管理效率和手段簡化，同時也實現了控制器的虛擬化部署。

-- 數據透明化：與控制中心化相對應， SDN 實現了轉發數據相對控制器和控制層的透明，畢竟， SDN 控制器需要通過下發的策略和規則對流經交換機的數據進行轉發控制， SDN 控制器所能看到的數據深度和種類決定了整個 SDN 網絡對客戶業務的 SLA 的承載能力。

SD-WAN 從 SDN 繼承了什么？

首先， SD-WAN 是 SDN 思想在廣域網領域的延伸。除了研究的網絡對象不同（ SDN 面向本地的局域網， SD-WAN 面向廣域網），其 “ 轉控分離 ” 的基本思想被完全繼承。并且，在硬件通用化、網絡虛擬化、控制中心化和數據透明化方面兩者都有相似的說法。

但由于 SD-WAN 與 SDN 的應用環境和商業環境都不同，兩者在實現形態和實現途徑上的考慮有很大不同：

-- 在轉發層面的控制要求不同： SDN 強調轉發完全由三層硬件實現，即在端口轉發線速的前提下，能夠對應用轉發控制深度盡量細化。 SD-WAN 則是要求轉發層面對于傳輸層（ Underlay ）的抽象封裝提出了要求，也就是說，通過 SD-WAN 建立的端到端的邏輯鏈路（物理或虛擬）和網絡（ overlay ）應該能夠以抽象的傳輸資源的方式被調用， overlay 的傳輸工作不應該涉及 underlay 中復雜的傳輸協議處理。這樣就可以簡化對通信的管理和配置。

-- 在控制層面轉發控制目標不同： SDN 的控制目標是保證全域（ LAN 范圍內）內業務流量的轉發性能（帶寬）達標。 SD-WAN 的控制目標則是保證全域（廣域網 WAN 范圍內）內業務流量的可靠性（ QoS ）和性能（帶寬）達標，為此 SD-WAN 需要能夠駕馭多種傳輸網絡（ MPLS/SDH 、以太網、無線、 4G/LTE 、衛星通訊等），并在全域范圍內調度這些網絡為業務流量轉發服務。

SD-WAN 真正要實現什么？

按照我自己的歸納和理解， SD-WAN 真正想要實現的就是： 充分利用企業所能夠使用的通信手段 （ MPLS/SDH 、以太網、無線、 4G/LTE 、衛星通訊等，還有專網和互聯網）， 以“轉控分離”的方式，實現以全業務流量 QoS 為目標的，全域選路控制和業務策略編排 。

因此，相對于傳統的路由器組網所實現的廣域網傳輸方案， SD-WAN 在以下幾點上提出了全新的實現思路：

-- 轉控分離：這個在前面 SDN 介紹中已經提及， SD-WAN 只是在分離的程度上有所不同，由于 SD-WAN 更多的是關注面向 overlay 層的轉發控制，因此 underlay 層的控制更多的會放在轉發層面來實現。

-- 全域選路控制： SD-WAN 很大程度上以此替代了傳統路由器的動態路由協議。我們知道傳統的動態路由協議一般都是通過搜集本地鏈路 QoS 和可達信息，在域內的路由器間進行路由信息交換和表決，來維護本地動態路由轉發表進行實際的轉發控制。即使是 BGP 協議也不過通過 Route Reflector 將這些路由信息集中起來進行分發，具體的路由判斷，也就是轉發控制仍然在本地完成。而 SD-WAN 可以簡單的認為是直接在其 SDN Controller 上統一維護 “ 一張 ” 全域的路由表， CPE/Edge 設備只需要將本地鏈路信息上傳，并接收 SDN Controller 針對其發布的路由表就可以了，路由處理和轉發控制被極大的簡化了。

-- 統一的 QoS 控制：相比于傳統網關和路由器設備各行其是的本地 QoS 策略控制， SD-WAN 強調實現集中化的 QoS 分析和統一的 QoS 策略分發。 CPE/Edge 設備實時上報本地鏈路信息數據（其中包含了鏈路當前的網絡特性，包括延遲、 jitter 、丟包和可用帶寬）， SDN Controller 統一進行分析，網絡管理員將 SLA 目標輸入轉化為各種特定業務應用的 QoS 定義 -- 帶寬、延遲、 jitter 、數據包丟失等，控制器將這些要求轉換為對應邊緣設備“即時”的路由策略，以選擇發送該流量的最佳路徑。從另一個角度來說，統一的 QoS 控制也就是全局選路的判權策略。

-- 業務策略編排： SD-WAN 的 “ 軟件定義 ” 特征主要依靠 “ 策略編排 ” 來體現。策略，說明了 SD-WAN 對于業務、應用、 CPE/Edge 設備、鏈路、網絡特性、 SLA/QoS 保證、路由等的控制方式。編排，是策略與 SD-WAN 下轄資源（如，可用 Overlay 鏈路池、 overlay 網絡特性、可用 underlay 鏈路池、 underlay 鏈路特性）的映射和關聯方式，簡單的說，就是業務需要怎樣使用 SD-WAN 達到相應 SLA 目標的自動化方式。既然是自動化方式，就意味著 SD-WAN 的 SDN Controller 可以自發的調整那些策略，使用下轄的資源，自動化的程度高低和策略控制粒度的精細程度，決定了 SD-WAN 的業務編排能力，也就是 SD-WAN 實際的實現水平。

如何識別真假 SD-WAN 產品？

-- 在基本了解了 SD-WAN 的真正含義和來龍去脈后，我們回到本文的初衷：如何辨別真假 SD-WAN 產品。

-- 就像文章開始所講， SD-WAN 至今沒有統一的定義，這造成眾多廠家的 SD-WAN 解決方案并不存在統一的評價標準，一些廠家也借此 “ 趕時髦、蹭熱度 ” ，刻意混淆 SD-WAN 真正的技術概念和方案意圖，客觀上阻礙了 SD-WAN 市場的健康發展。近來在行業內就曾出現過有廠商采用傳統的 VPN 配合內部的 MPLS 骨干簡單實現偽 SD-WAN 方案的案例，更有甚者，竟然使用 L2TP+MPLS+SNMP 方案，對客戶宣稱是 SD-WAN 的笑話。

-- 由于 SD-WAN 的產品和方案并不排斥與舊有技術和產品進行整合，這為辨別真假帶來了不少困擾。因此我認為，可以使用兩種方法來對這個問題進行判斷：

-- 從 SD-WAN 的根本特征出發進行辨別

-- 從 SD-WAN 產品的外在功能點進行歸納判斷

從 SD-WAN 的根本特征出發進行辨別

這種方法實際上是一個測試方法，需要讀者自身具備分析 SD-WAN 系統的基本能力，也就是能夠自主的對 SD-WAN 系統的各部分進行考察，從而判斷某個 SD-WAN 系統是否存在疑點。

根據前面的介紹，我認為 SD-WAN 必需具備的四個根本特征是：轉控分離、全域選路、統一 QoS 控制和業務策略編排能力。為此，讀者可以在某個 SD-WAN 系統中尋找其是否具備以下特點：

-- 通過考察 Controller 判斷其是否具備 “ 轉控分離 ”

** 在這個 SD-WAN 系統宣稱的 Controller 上，考察其是否與本地的流量轉發功能完全分開。因為 SD-WAN 系統的 Controller 作為系統中的中心化的控制設施，可以是一臺專用設備，也可以是部署于 IDC 中的虛擬化服務器，或者企業網絡中心位置的某個虛擬化應用。因此，我們需要確信，這個 Controller 與其他所有具有本地的流量轉發功能的 SD-WAN 設備（ CPE/Edge 設備）都具有通信連接。

** 考察這個 Controller 具備轉發策略的發布能力。因為 SD-WAN 系統的轉發策略基本都依賴三層及三層以上的路由規則進行，因此我們需要確信這個 Controller 能夠生成這樣的路由規則，并涵蓋下轄所有的 SD-WAN 設備（ CPE/Edge 設備）。

** 至此，我們可以基本確認這個 Controller 基本具有 “ 轉控分離 ” 能力，但這不包括與 BGP 系統區別開來，為此需要下面的步驟。

-- 通過考察 CPE/Edge 設備進一步確認 “ 轉控分離 ”

** 考察 SD-WAN 系統中的 CPE/Edge 設備的路由轉發表。由于 SD-WAN 系統中的 Controller 負責更新域內所有轉發設備的轉發表，因此，判斷在線的 CPE/Edge 設備是否完全依賴 Controller 進行路由轉發表進行更新就可以了。

-- 通過考察 Controller 和 CPE/Edge 設備判斷其是否具備 “ 全域選路 “ 能力

** 通過選擇某個 CPE/Edge 設備的本地鏈路進行通斷，判斷其是否會上報鏈路信息給 Controller 。

** 考察這個 Controller 是否更新自己的全局策略表，并更新相關多個 CPE/Edge 設備的轉發表。

** 在這個過程中端到端的的兩個 CPE/Edge 設備上的業務連接（如，視頻播放）不應該中斷。

-- 通過考察 Controller 和 CPE/Edge 設備判斷其是否具備 ” 統一 QoS 控制 “

** 需要在這個 SD-WAN 系統中引入至少兩個業務持續流量（比如，兩個視頻播放），以此來表示不同級別的 QoS 策略所帶來的效果。

** 對這個 SD-WAN 系統引入新的傳輸鏈路（最好是新的鏈路類型），設置新的 QoS 策略，并與前面其中一個業務流量的 QoS 策略進行關聯。

** 斷掉原有的傳輸鏈路，應該能夠看到 QoS 策略對于不同業務流量的傳輸效果變化。（具體策略依賴于具體的實驗方法）。

-- 通過考察 Controller 判斷其是否具備業務策略編排能力

** 考察這個 Controller 的資源列表所涵蓋的范圍。

** 考察這個 Controller 的策略類型所涵蓋的種類。

** 考察這個 Controller 的資源編排器（不同的廠家有不同的名字）是否涵蓋上述兩方面的內容。

** 據此我們就基本確定這個 Controller 是否有業務策略編排功能，具體能力大小則需要另外判斷。

當這個系統通過了以上的考察和測試后，我們就能夠比較有把握的認為這個系統是一個 SD-WAN 系統了。

從 SD-WAN 產品的外在功能點進行歸納判斷

由于人們并不會都有機會接觸到某個 SD-WAN 系統，通常只能接觸到該 SD-WAN 系統的宣傳資料和部分功能列表，是否可以通過對這些文字信息進行判斷得到結論呢？這里我嘗試給出一份基本 SD-WAN 系統功能列表（ Abloomy ），輔助讀者進行判斷：

1.          遠程站點 / 分支機構可以通過公有或私有 WAN 主動接入業務應用。

2.          支持分支站點設備 WAN 鏈路的多種備份和聚合方式

3.          SD-WAN 的控制器支持單 / 雙集群、虛擬化部署方式。

4.          支持根據統一的應用策略對跨專用和公共 WAN 路徑的流量進行動態調整，并在傳輸和應用層上控制（提高或降低） WAN 服務的性能。

5.          支持以集中的可視化方式管理關鍵性業務和實時應用程序的流量運行狀態，并能對其進行控制優先級的排序。

6.          支持分支站點設備的零接觸部署（ ZTP ），在直連的基礎設備上幾乎不做任何配置更改，確保配置和部署的敏捷性。

7.          支持集中策略配置，保證帶寬分配、優先級自動排序和鏈路選擇的實時性。

8.          支持基于業務應用程序的性能要求（帶寬、延遲、 jitter 、數據包丟失）預定義模板。

9.          支持廣域網優化。

10.      支持 AAA （認證，授權和計費），支持 RADIUS 、 LDAP 或 AD 等。

11.      支持具有 IPsec 和 SSL VPN 同樣等級的鏈路安全屬性。

12.      分支站點設備支持本地或云端基于 NFV 的服務編排，支持報文捕獲與解碼能力（ DPI ）和防火墻功能。

13.      支持基于角色 / 多租戶（同層 / 分層）的訪問控制功能