SD-WAN在集團型企業中的應用

鄭力

摘要：通信網絡是當前企業數字化轉型的基石之一，但對于擁有多級組織架構（總公司與省級機構、分公司、子公司、遍布全國的分支機構）的集團型企業來說，如何實現網絡安全可靠的互聯互通，并能夠在企業數字化轉型過程中發揮積極的作用，并非易事。隨著國內廣域網質量的不斷提升，利用新型技術對原有專用網絡的變革成為企業重點關注的演進趨勢，就利用SD-WAN實現廣域網組網的技術優勢，實現特定場景下與專有網絡類比的網絡質量，以及如何在集團型企業中應用進行重點闡述，給各行業同仁提供參考。

關鍵詞：SD-WAN；廣域網組網；云端網；降本增效

一、前言

新的市場需求對存量組網業務帶來新的挑戰，傳統組網面臨成本高、靈活度低、安裝周期長、應用區隔難、上云接入難、缺乏可視化運維等問題，逐漸無法滿足用戶的新需求。為此，新型網絡連接的需求正面臨更大的變化。

（一）集團型企業在網絡升級優化中的挑戰

隨著集團型企業不斷發展壯大，逐步形成了多級管理的組織結構。當前，企業面臨數字化轉型，如何高效經濟地實現企業網絡的互聯互通是企業IT管理者首先需要解決的問題。在具體網絡升級優化過程中，集團型企業IT管理者需要面對以下幾個挑戰：

1.由于歷史原因，不同時期構建的網絡，其制式不統一，各部門分而建之、分而治之，久而久之造成企業網絡集約管理的難度非常大。

2.網絡能力缺乏彈性。數字化轉型帶來企業信息數據量激增，局部一些數據熱點區域出現擁塞，尤其是幾個核心樞紐節點的數據承載量遠超過現有網絡承載能力。另一方面，由于業務調整、原來的核心系統下線，網絡拆舊成了另一難題。

3.分支眾多，網絡運維成本居高不下，企業有降本增效訴求。

（二）企業組網模式的演進趨勢

在傳統組網模式（如MPLS VPN）中，大型企業的內部網絡基于運營商專用網絡構建，其特點是與公眾互聯網物理區隔，互不影響，其質量更穩定，安全私密。不過，傳統組網模式也有明顯的弊端，成本高昂，管理復雜，開通能力受限于運營商的專用網絡布局，且對IT人員能力要求非常高。

近些年來，隨著運營商對公眾互聯網大規模的投資改造，公眾互聯網的運行質量已得到大幅提高。與此同時，業界SD-WAN技術蓬勃發展。SD-WAN強調轉發面與控制面分離，簡化廣域網的運行和管理。由于其可基于廣域網組網的特點，可大幅降低企業在邊緣分支的組網成本，管理便捷且組網靈活，讓SD-WAN逐步成為企業傳統專網的補充，取得質量與成本之間的平衡。

二、SD-WAN的概念與功能特點

（一）SD-WAN簡介

SD-WAN全稱軟件定義廣域網絡，它是一個連接服務的管理平臺，提供跨域組網和增值服務的功能。相比傳統組網方案，具備配置靈活、組網靈活、管理靈活等特性，2015年該技術正式商用，至2020年，SD-WAN已在全球政企用戶中廣泛應用[1]。該技術本質采用了疊加網絡技術屏蔽物理網絡的復雜性，并綜合了終端、管道、云端的多種技術，形成了技術集成創新。其主要特征包括：用戶隨選、零接觸配置、感知云與應用、廣域加速、靈活計費等。目前業內較為領先的SD-WAN廠商來自于傳統企業網廠商、安全設備廠商、初創企業三大陣營，在技術上多采用overlay方式進行組網。

（二）SD-WAN技術架構

SD-WAN技術架構，包含了集中管控平臺，接入網元、云端網元三個部分，支持多種復雜組網需求，具備整合overlay專線與underlay專線的能力[2]。如圖1所示。

（三） SD-WAN功能特點

1.安全私密的通道，靈活的組網

SD-WAN通常支持IPsec隧道，支持不同組網拓撲，包括： hub-spoken組網、full mesh組網、partial mesh組網。轉發設備與控制單元可支持分離部署。支持靜態路由配置和動態路由協議。

2.零配置功能，易部署

零配置是當前業界SD-WAN的主要特性之一， 可采用郵件開局方式，支持在總部端提前配置好分支基礎網絡、總部接入等信息，將配置加密存儲在URL鏈接中發送給分支管理員。通過分支管理員手動點擊該鏈接，配置自動完成。

3.應用選路

SD-WAN應用選路和流控是核心功能之一，能實現帶寬的最大化利用，以及在不增加帶寬成本的同時提升應用傳輸質量。具體實現上，智能選路可體現為：

（1）指定線路。最核心的應用在質量最好的線路上進行傳輸，而非核心應用在在成本較低的線路上進行傳輸。

（2）高質量選路。在多線路負載場景，還可以選擇“優先使用質量最好線路”的負載模式，此時進行數據包轉發時，會根據各個線路的實時質量狀況，選擇最優的可轉發線路進行數據轉發。

比如，設定權值算法為：權值 = 抖動（ms） * x + 丟包率 * y + 延時（ms）[3]。

權值越小，質量越優，從而將線路對當前服務優先級的剩余帶寬作為選路依據，當線路無法承載當前優先級的應用時，該線路不會被選中。

（3）按剩余帶寬負載。按剩余帶寬負載可以更公平的使用所有外網線路。當連接建立時，獲取所有選定線路對于當前應用的可用帶寬大小，再生成一個小于總可用帶寬大小的隨機數，判斷該隨機數落在哪條線路區間，確定從哪條線路進行發包。

（4）帶寬疊加。當客戶期望最大化利用現有所有線路帶寬時，可以選擇帶寬疊加負載模式，將一條連接的流量負載到多條線路中，達到單連接的最大帶寬利用率。

4.應用流控

在應用選路的基礎上加上流控功能，則可以進一步確保核心業務穩定傳輸，動態保障應用的傳輸質量。SD-WAN支持用戶自定義應用（例如五元組模式），并提供多種應用優先級選擇。

在帶寬足夠的情況下，所有應用都能得到最大的傳輸速度。當帶寬不足時，根據應用優先順序，高優先級應用會得到優先傳輸的機會。

三、SD-WAN在集團型企業中的應用

由于分支眾多，現網調度復雜，因此集團型企業在數字化轉型過程中，反而比中小型企業更有動力推動網絡改造升級。

（一）集團型企業網絡現狀

經典集團型企業網絡拓撲如圖2所示，核心數據中心、總部、省級機構通過專網接入企業核心網絡，通常為雙運營商線路（如電信與聯通）冗余備份。

省級機構或分、子公司往往有自己的建設權，而各省級單位/分、子公司從自身業務特征、業務體量出發，建設及升級省級網絡，選用不同的運營商和終端設備，隨著時間的拉長，各省網絡技術制式并不一致，承載能力也不一致。

省級以下的各級分支機構，由于數量眾多，在數字化轉型之前其數據傳輸量并不均衡飽和，出于成本的考量，僅選擇部分業務量繁忙的分支機構接入省級網絡。

除專網網絡外，互聯網管理就更加割裂分散，多數企業并未對互聯網進行統籌管理，導致其信息安全管理難度大，未建立全集團的信息安全管理體系。

網絡管理方面，核心網絡由總公司網管負責，各省級機構/分、子公司負責本轄區內的網絡，分而治之。

（二）網絡升級演進思路

根據數字化轉型需求，預測新增數據流量對網絡的升級需求：

1.既有投資的資產保護，保持現網穩定運行，不大幅改變現有網絡拓撲格局，尤其是核心網絡的結構；2.提升分支接入的比例，同時降低整體網絡成本，提高廣域網傳輸帶寬比例；3.提高業務訪問體驗，保障關鍵業務傳輸；同時對于關鍵業務的定義集中表現為對關鍵數據的定義和分級分類，通過分級分類為保障數據級的安全可控也是訪問體驗中的核心；4.提升業務連續性，提高網絡冗余度；網絡冗余度表現為帶寬的關鍵性指標，包括帶寬的容量、復用比、帶寬保證、延時、抖動等；5.網絡敏捷運維，集中化管理，主要組網的運營體系相關，包含提供組網能力的運營商的管理和企業自身管理的便捷性；6.安全管理，實現網絡側的安全防護、應用測的可信認證以及數據側的監控運營，當然，這不僅在組網上具有安全能力，也需要企業自行在安全管理上具備相應的能力[4]。

具體實施上，集團型企業通常會在以下幾個方面展開：

企業側首先應測算新的數據流量模型，對應用重要度進行分級，統一制定專網+廣域網協同發展的演進規劃。統一專網+互聯網出口管理，核心是區隔企業信息化部署的點位（包括核心節點、重要分支節點、非重要分支節點、流動性節點等），隨著5G移動網絡能力的提升，應充分考慮移動側的需求。

其次，應充分利用SD-WAN的低成本優勢，完成對各級分支機構的覆蓋；在部分省級網絡展開試點，使用SD-WAN來部分替代傳統專網備份線路，同時通過試點，進行數據分級分類，并定義不同級別數據的網絡傳輸級別；統一管理平臺，納管所有總部和分支的CPE設備，做到自動告警、配置統一下發和報表統計，在一定程度上降低終端物理管理不妥當的風險。

最后，應設立多級管理員賬號，方便二級單位和三級單位自行維護各自管轄范圍的設備和網絡，分權分域管理；安全管理的舉措，有條件的重構信息安全防護體系和安全策略；集團型技術體系和技術組織體系的重構，技術組織高效運作，關注技術演進路線。

供應商側首要應構建SD-WAN網絡的組網實現方式，建立相應的技術規范性標準，分地域實現POP的部署和配置分發機制，同步考慮總體的網絡帶寬部署和路由策略部署機制；對接企業側的數據流量需求，選擇適配的終端和線路保障質量，特別是移動側的實現路徑選擇。加強整體網絡的調度能力，避免流量對沖對SD-WAN網絡帶來的問題；加強網絡側安全管理機制，提升安全防護能力，降低對于網絡攻擊引起的客戶應用宕機。對于企業側跨網的接入需求，為如何實現數據流的調用提供更為敏捷的方便，特別是對于多云接入的需求；建立應急服務響應機制實現與企業側的業務能夠有效聯動，提升服務效率。通過企業自身和網絡運營商的相互協同，實現整體網絡的健壯性。當然也是由雙方的協同，才能實現總體成本的可控。

（三）SD-WAN的價值展現

1.引入互聯網替換部分專線或者全部專線，基于廣域網加速技術，降低專網帶寬/成本比；2.應用自動識別，通過智能選路、應用流控來提升業務的訪問體驗；3.通過選路策略，實現快速故障切換，保障業務連續性；4.與傳統網絡（如MSTP、MPLS VPN）相融合，兼顧網絡質量和網絡使用成本，同時保護既有投資；5.易部署、易運維、可視化管理，網絡敏捷運維，實現一圖覽全網的目標；6.企業安全性提升，企業自身管理能力得以提升；7.提升企業信息化人才的集中專業程度，崗位集中，降低運營成本。

四、結語

應用SD-WAN部署集中管控平臺、接入網元、云端網元三個部分，可有效處理多種復雜組網需求，安全私密、隨選部署、應用選路靈活、兼顧質量與成本最優。

隨著5G的發展，5G+LAN SD-WAN方案可以給企業一個更好的選擇。此外，隨著應用云化的滲透率逐步提高，通過SD-WAN技術與云的深入融合，SD-WAN在入云方面將成為集團型企業的另一個主要使用場景，未來一定會向縱深繼續擴展，SD-WAN也會向LAN、IBN領域延伸，具有非常廣闊的應用空間。H

參考文獻

[1]吳翠敏.新基建下云網融合需求及關鍵技術架構分析[J].無線互聯科技，2020，17（22）：33-34+39.

[2]董炳泉.DWAN提供云網融合產品能力的的研究及應用[J].信息通信，2019（12）：245-246.

[3] Stanislav V. Korsakov，Valery A. Sokolov. On the Way to SDWAN Solution[J]. Modelirovanie i Analiz Informacionnyh Sistem，2019，26（2）.

[4] NetLinkz Ltd.; Netlinkz Ltd announces Lab Testing of Cyber Security SDWAN VIN Software with US Federal Government IT Solutions Provider Blue Tech[J]. Information Technology Newsweekly，2019.