SD-WAN關鍵技術

柴瑤琳　穆博　馬軍鋒

摘要：軟件定義廣域網（SD-WAN）是將軟件定義網絡（SDN）技術應用于廣域網（WAN）連接的服務。重點闡述了SD-WAN應用的關鍵技術，包括SD-WAN服務中4種典型技術架構、SD-WAN的整體功能模塊以及邊緣設備中所采用的關鍵技術。與傳統的WAN架構相比，SD-WAN技術以一種多接入、安全、策略驅動業務、彈性路由、多虛擬隧道、敏捷上云的方法重新定義了開放式的WAN架構。

關鍵詞：SD-WAN安全;策略驅動業務;彈性路由;多隧道;敏捷上云

Abstract： The software-defined wide-area network （SD-WAN） is a specific service that applies the software-defined network （SDN） technology to WAN connections. The key technologies of SD-WAN are discussed in this paper， including the technologies used in the following items： four typical technology architectures， the overall functional modules， and the edge devices. Compared with traditional WAN architecture， the SD-WAN technology redefines the open WAN architecture with a multi-access， security， policy-driven service， flexible routing， multiple virtual tunnels， and agile touching cloud approach.

Key words： SD-WAN security; policy-driven services; flexible routing; multi-tunnel; agile touching cloud

軟件定義廣域網（SD-WAN）是將軟件定義網絡（SDN）技術應用到廣域網（WAN）場景中的一種服務。這種服務用于連接廣闊地理范圍的企業網絡，包括企業的分支機構及數據中心[1]。SD-WAN架構不依賴于專有的物理設備，與必須做預配置的多協議標簽交換（MPLS）鏈路相比，彈性地解決了多分支結構企業網絡在支持差異化服務等級應用能力、網絡靈活度、線路成本、安全傳輸等方面正面臨持續增長的壓力。

根據互聯網數據中心（IDC）的數據，SD-WAN市場將從2017—2022年以40.4%的復合年增長率增長，銷售額達到45億美元[2]。

現有市場的SD-WAN技術實現方案有多種：如VMware的SD-WAN架構包含邊緣應用程序、編排和云網關，提供企業和云應用程序以及數據的直接最佳訪問點，同時支持在云端和內部部署虛擬服務，顯著增強自動化運維能力;思科和華為為提供WAN連接制作了不同功能和性能需求的廣域網邊緣設備，更加關注廣域網優化功能。通信服務提供商也正在提供SD-WAN即服務產品。SD-WAN即服務通過常規寬帶連接補充或替換通常為MPLS的專用WAN網絡，最大限度地提高了企業管理基礎架構和連接的靈活性。中國電信隨選網絡系統由業務門戶、SDN編排器、SDN控制器、SDN設備4大組件構成，該系統基于WAN和骨干網設備的集中控制和全局網絡資源的管理，根據不同服務和應用來實時動態建立端到端的WAN邏輯路徑，優先滿足一些高帶寬、低時延、低抖動的敏感應用，包括語音、數據、視頻、自動駕駛、虛擬現實（VR）等應用，實現了SD-WAN即服務技術[3]。

隨著企業上云需求的不斷提高，現有企業在云場景中跨境數據傳輸和運用客戶關系管理系統（CRM）、企業資源計劃（EPR）等高端應用時經常面臨丟包、延遲、卡頓等無法正常使用的情況。SD-WAN技術通過集成在多云邊緣的網絡功能和策略，提供了面向多云場景中簡易運維、即需即用、可靠、易擴展的云化企業專線來保障多云環境下的企業業務運轉，重塑了企業上云的生態過程。但要真正成為企業級SD-WAN服務標準，SD-WAN技術方案還須提供一些關鍵功能，如多個傳輸路徑、集中控制和自動化，以及端到端安全性[4]。

1 SD-WAN架構

SD-WAN架構將部署在各個地理位置的企業網絡（包括分支機構或數據中心）通過WAN接入技術相互連接。如圖1所示，不同的SD-WAN架構以SD-WAN控制器對網絡域的控制邊界為準，劃分為4種典型的SD-WAN架構方式。

（1）疊加架構。該架構改變了傳統的WAN業務模型，由單一的WAN接入方式變為多接入方式。同時，SD-WAN控制器控制了邊緣設備到網關的上行流量，簡化了WAN的操作和管理，使業務模型更彈性、更靈活，例如分支到分支的業務流量由分支到數據中心再到各個業務分流變為直接跟隨業務分流。這種架構適合中小規模企業組網。

（2）云端架構。該架構集成SD-WAN服務提供商所部署的多個入網點節點，是SD-WAN服務提供商向大規模多分支公司推薦的一個經典架構。SD-WAN服務提供商在接入點（PoP）節點部署虛擬邊緣路由器（vPE）或網關（GW），一側與各個分支的邊緣設備建立虛擬專用網絡（VPN）隧道，另一側與通信服務提供商的MPLS網絡中的PE設備直連。這種SD-WAN架構支持將匯聚上來的流量通過多個隧道轉發到運營商的MPLS骨干網中，進而保障了端到端不同業務的服務質量。

（3）整合架構。網絡管理域由可納管多個邊緣設備擴大到可納管1個或多個通信服務提供商的MPLS VPN的運營商邊緣路由器（PE）設備（如圖1中混合WAN中的網關），集成多種overlay技術，打破了多個通信服務提供商的統一和自動化管理的通信壁壘，有效提高了網絡性能和混合組網能力。

（4）原生架構。該架構主要面向運營商。SD-WAN控制器統一管理邊緣設備、網關設備、骨干核心網PE、運營商骨干路由器設備，實現了業務流量從“最后一公里”接入到骨干網統一管理和編排的完整架構，從全網意識上實時監測控制和調度網絡流量以及各種業務狀態，以保障端到端的服務質量。

2 SD-WAN功能模塊與關鍵

技術

本文中，我們將SD-WAN功能切分為4層：運營支撐系統（OSS）/業務支撐系統（BSS）層、服務編排器層、SD-WAN控制器層，以及SD-WAN邊緣設備層，各層具體情況如圖2中所示。

（1）OSS/BSS層。在SD-WAN技術架構中，OSS/BSS層主要支持將業務配置、業務變更、監測控制、可視化、計費管理、運維功能于一體的面向自動化信息管理和智能化運營的支撐系統。

（2）服務編排器層。在SD-WAN技術架構中，服務編排器負責編排整套服務生命周期的服務。服務編排器提供多種管理模板，支持配置端到端管理業務的多種策略定義和資源統一編排功能，提供開放的RESTful接口，敏捷部署新業務。

（3）控制器層。SD-WAN控制器支持軟件化、集中化、自動化管理邊緣設備。SD-WAN控制器與邊緣設備建立安全連接，通過執行服務編排器下發的各種策略，向各個邊緣設備分發路由協議并支持實時感知邊緣設備狀態。同時SD-WAN控制器支持實時采集流量信息，并可快速應對網絡異常情況進行彈性路徑調整。

（4）邊緣設備層。邊緣設備是創建和終止SD-WAN隧道連接的終端設備。邊緣設備支持常見的SDN南向接口協議，支持零接觸配置（ZTP）部署能力，支持安全隧道綁定功能，支持識別多種應用程序功能，支持面向應用的訪問控制策略，并還可以支持路由協議。

邊緣設備層對應的邊緣設備在市場上主要由客戶終端設備（CPE）、通用客戶終端設備（uCPE）、虛擬客戶終端設備（vCPE）3種設備形態組成，3種設備的功能對比如表1所示。CPE是SD-WAN服務提供商提供的專用硬件設備。uCPE是一個支持運行虛擬網絡功能（VNF）的可遠程管理的基于物理硬件的通用平臺。通過uCPE，SD-WAN服務提供商可以實現WAN的輕松部署、修改，以及客戶端VNF的刪除。vCPE是一種通過使用軟件而不是專用硬件設備向企業提供網絡服務的方法。通過vCPE，供應商可以大大簡化并加速服務交付，遠程配置和管理設備，并允許客戶訂購新服務或根據需求調整現有服務。vCPE是網絡功能虛擬化（NFV）部署的主要推動力之一。

邊緣設備的關鍵功能包括ZTP、動態隧道建立、WAN優化、自動化檢測與服務質量（QoS）、動態功能服務鏈、應用程序識別、動態路徑調整、安全。

（1）ZTP。ZTP是一種允許自動配置物理節點的機制，該機制將解放邊緣設備的北向接口，使邊緣設備與SD-WAN控制器形成一個從設備加電到設備與控制器互信互通的完整自動化部署的業務態。

（2）動態隧道建立。在SD-WAN場景中，動態隧道VPN技術支持使用動態的IP地址來建立企業自己的VPN網絡，并由SD-WAN控制器來集中完成隧道的建立和路由的分發。動態隧道VPN技術主要有可擴展虛擬局域網（VXLAN）、通用路由封裝（GRE）、無狀態傳輸隧道（STT）等。

（3）WAN優化。在SD-WAN方案中CPE會支持WAN優化功能。WAN優化功能主要有以下技術實現：數據壓縮，利用算法壓縮/解壓縮數據包頭;數據消重，對高頻次的數據進行編碼并利用指針替換;內容緩存，統計熱點內容，進行邊緣存儲和本地訪問直接分發;傳輸控制協議（TCP）優化，利用優化TCP協議過程來改善標準TCP的擁塞控制和重傳機制等[5]。

（4）自動化檢測與QoS。SD-WAN技術方案根據實時網絡路徑傳輸性能（主要包括丟包率、時延、時延抖動、帶寬利用率）來動態選擇路徑轉發，彈性保障上層應用的服務質量。SD-WAN技術架構中將網絡鏈路的性能檢測分為被動方式和主動方式：主動測量方式主要利用探針技術主動探測業務流，以Internet控制報文協議（ICMP）、雙向轉發檢測機制協議（BFD）、連接故障管理（CFM）、單向主動測量協議（OWAMP）技術實現為主;被動測量方式主要是通過在邊緣設備上定制可自動統計和過濾網絡相關性能指標的算法或協議棧功能。

（5）動態功能服務鏈。動態功能服務鏈與底層的物理拓撲相隔離，可通過SD-WAN技術架構中的服務編排器和控制器來自動創建、增加、刪除、移動網絡服務功能，提升了網絡架構的可擴展性。動態功能服務鏈技術主要是通過將SDN技術與NFV技術相結合，即在業務編排器層通過策略驅動資源（包含網絡資源、計算資源、存儲資源等）的統一編排來組合不同服務功能，同時下發流量分類策略到控制器層來動態控制數據轉發路徑，實現面向用戶業務的不同需求。

（6）應用程序識別。邊緣設備的應用程序識別技術主要是采用深度包檢測（DPI）技術，主要包含協議解析器、檢測算法引擎、檢測結果處理功能模塊等。在SD-WAN技術架構中，DPI通過將業務流量的前幾個數據包給協議解析器對應用層協議進行解析，同時并行鏡像給檢測引擎，檢測引擎將業務流量與應用間的映射關系寫入邊緣設備的緩存數據庫中，后續的同一業務流數據包將直接匹配映射關系，因此緩存數據庫不再鏡像給檢測引擎而直接進行后續的檢測結果處理。另一方面，后續檢測結果處理功能模塊會根據不同的應用ID與特征進行差異化的數據路徑轉發，進而實現完整的應用程序識別過程。

（7）動態路徑調整。在SD-WAN技術架構中，動態路徑調整的實現方式是將多個WAN線路綁定到一起，共同提供業務傳輸服務，尤其在檢測到某個WAN線路的傳輸質量較差時，可以將業務直接切換到其他WAN線路或者均衡一部分業務流量到其他WAN線路。隧道綁定技術可以實現不同流不同線路、不同應用不同線路、不同數據包不同線路3種顆粒度的WAN傳輸。

（8）安全。安全的實現貫穿整個SD-WAN技術架構。SD-WAN技術架構一般通過集成認證服務器/公鑰生成（PKI）服務器，或對接第三方的提供輕量目錄訪問協議（LDAP）/遠程身份驗證撥入用戶服務的服務器（RADIUS）來實現身份認證服務功能，包括對邊緣設備的ID注冊認證、SD-WAN控制器的IP登記認證、VNF序列號注冊認證等。在WAN傳輸的安全技術主要是通過2種密鑰加解密的IPSec技術來保障。第1種是因特網密鑰交換協議（IKE）身份認證的密鑰，第2套是數據流加密的密鑰。第2套密鑰在傳統方案中是通過去中心化加密通信框架（DH）來分布式計算;但在一些SD-WAN方案里則會直接由SD-WAN控制器來進行同步，并周期性地進行更新這個密鑰，以實現關鍵幀加密保護。SD-WAN技術架構中的控制信道主要是將一般使用的路由協議嵌套在安全套接層協議（SSL）/傳輸層安全協議（TLS）/數據包傳輸層安全協議（DTLS）協議來實現加密。由于MD5的破解難度低，針對邊界網關協議（BGP）安全，在SD-WAN技術方案種一般會選擇嵌套在IPSec協議中。針對SD-WAN業務層的安全，一般使用緩存、訪問控制列表（ACL）、防火墻（FW）、深度數據包檢測（DPI）技術手段或者通過集成第三方的VNF如入侵檢測系統（IDS）、入侵防御系統（IPS）、下一代防護墻（NGFW）功能來保障。

3 應用場景

根據邊緣設備的部署位置，我們將SD-WAN應用場景劃分為3大類：分支到分支、分支到數據中心、分支到云。

（1）場景1：企業分支+企業分支場景。

企業在各個分支機構部署邊緣設備，然后通過安全可靠的WAN專線來實現分支結構之間的互聯互通。圖3經常使用的解決方案中的WAN專線底層技術包括GRE、IPSec、VXLAN等等。這種應用場景將可支撐企業進行數字化信息化轉型。

（2）場景2：企業總部（數據中心）+企業分支場景。

在圖4的應用場景中，企業會在MPLS專線的基礎上增加通過不同的ISP提供的Internet連接企業總部。在分支和數據中心所部署的邊緣設備，支持基于網絡的實時狀態，將業務動態分發到總部和分支機構之間的多條路徑上（WAN專線底層技術有GRE、IPSEC、VXLAN等等）。這種應用場景可以支撐企業面向各種彈性業務的需求，例如產品發布、電話會議、視頻會議鏈路災備等。

（3）場景3：云中心（公有云/混合云/私有云）+企業分支場景。

SD-WAN服務提供商通過建立一張多云專網，支持接入各種公有云服務（Office 365、阿里云、騰訊云、亞馬遜云服務、中國電信云等）、私有云、混合云等，支持對各種云服務進行優化。企業分支（或總部）部署的邊緣設備，如圖5所示，可以識別出云數據，并通過SD-WAN服務提供商建立的云專網進行承載，將業務流傳輸到云最近的接入節點和數據中心，以提供更好的云服務。這種應用場景可支撐企業業務容災、集中備份、快速安全上云等。

4 結束語

當前的SD-WAN技術方案主要是針對混合城域網方案的技術優化。在面向云網協同的場景中，在企業網絡中所部署的SD-WAN架構與云架構缺乏互聯互通，各自部署獨立的編排與運營系統，難以實現面向應用驅動的網云一體化、集成化、智能化、安全化的完整功能鏈的統一編排和資源動態調度，真正保障端到端業務的自動化、彈性化。另一方面，SD-WAN各個技術模塊的標準化仍存在很多問題，如SD-WAN技術架構的規范定義，對應服務編排器、控制器、邊緣設備的各自基本功能模塊定義和南北向接口一致性規范等。在面向企業的SD-WAN商用方案中，SD-WAN技術架構應在安全、高可用等方面提供可信WAN技術，支撐未來網絡的各種應用，如無人駕駛、視頻會議、網絡直播、AR/VR、工業互聯網等。

參考文獻

[1] 中國互聯網協會.軟件定義廣域網（SD-WAN）研究報告[R]. 2018

[2] IDC. IDC報告[EB/OL].[2019-01-22].http：//news.idcquan.com/gjzx/150052.shtml

[3] 孫穎， 林睿， 聶世忠. 隨選網絡系統架構及關鍵技術實踐[J]. 電信科學， 2018， 33（12）： 142-147

[4] GORDEYCHIK S， KOLEGOV D. SD-WAN Threat Landscape [EB/OL].[2019-01-22]. https：//arxiv.org/abs/1811.04583

[5] 張晨.SD-WAN進階教程[EB/OL].[2019-01-22].https：//www.sdnlab.com/20683.html#001