軟件定義廣域網絡（SD-WAN） 2.0測試方法

黨小東/DANG Xiaodong，柴瑤琳/CHAI Yaolin，穆琙博/MU Yubo

（中國信息通信研究院，中國 北京 100191）

伴隨著中國各垂直行業(yè)數字化轉型的工作推進，信息通信網絡的數字化、算力化、智能化將成為產業(yè)高質量發(fā)展的必然選擇。近年來，軟件定義廣域網絡（SD-WAN）已經成為云網融合實踐應用的新熱點。IDC最新產業(yè)調研數據顯示[1]，2021年中國SD-WAN市場規(guī)模達1.9億美元，增速近90%；預計未來5年以每年55.3%的年復合增長率增長，到2026年市場規(guī)模將達到17.2億美元。SD-WAN應用已經覆蓋電信、金融、能源、零售、醫(yī)療、教育、工業(yè)、政務、移動互聯(lián)網、交通等10多個垂直方向，已經形成廣泛而深刻的行業(yè)影響。

隨著5G、人工智能、物聯(lián)網等新業(yè)務的加速部署[2-4]，廣域網應用又迎來諸多新型挑戰(zhàn)：基礎網絡架構封閉、無邊界安全隱患、多終端移動性管理復雜、算力靈活調度困難等。局限于Overlay網絡互聯(lián)的SD-WAN基本功能特性已經無法適配企業(yè)新業(yè)務需求，SD-WAN逐漸向融合內生安全、IPv6+Underlay確定性體驗保證、多云訪問的2.0階段發(fā)展演進。

系統(tǒng)規(guī)范的測試方法是技術發(fā)展的必要因素。當前全球對SD-WAN 2.0的測試方法還沒有形成規(guī)范化體系。本文將從設備、方案、服務3個維度對SD-WAN 2.0測試方法進行研究，為SD-WAN 2.0技術發(fā)展提供可靠、可用的測試依據。

1 測試方法體系的總體設計

1.1 三大測試維度

隨著軟件定義技術的不斷成熟，SD-WAN 2.0逐漸發(fā)展為融合多種信息技術（主要包括軟件定義網絡、網絡功能虛擬化、網絡編排與探測等）的新型廣域網架構（如圖1所示），能夠以平臺或托管方式提供基礎網絡連接、廣域網加速、安全防御、智能運維等多種網絡服務。面對以業(yè)務與應用為導向的SD-WAN 2.0新型架構，傳統(tǒng)單一的網絡能力測試方法已經難以滿足系統(tǒng)評估和分析的需要。開展SDWAN 2.0的測試工作急需建立新的系統(tǒng)級測試方法。

圖1 SD-WAN 2.0整體架構圖

當前SD-WAN市場交付形態(tài)分為3種：設備交付方式、方案交付方式、服務交付方式。針對這3種交付方式，本文研究設備、方案以及服務3個維度的測試方法。設備維度的研究對象主要是基于設備（包含SD-WAN終端設備、SDWAN控制器和SD-WAN編排器）層面的功能、安全、可靠以及性能方面的測試；方案維度的研究對象主要基于SDWAN編排器、SD-WAN控制器、SD-WAN終端設備一套可整體部署的網絡解決方案，但不包括網絡資源；服務維度的研究對象主要基于在傳統(tǒng)網絡運營商提供的Underlay連接服務（包括以太網服務、IP服務、L1連接服務、互聯(lián)網接入服務等）基礎上集成SD-WAN能力，為用戶提供可直接使用的基礎通信服務和增值服務。

1.2 測試視角與測試思路

目前，已有多個標準化組織和開源社區(qū)陸續(xù)開展了SDWAN 2.0的測試方法探究。開放網絡用戶組織 （ONUG）定義了面向企業(yè)多云集成應用場景SD-WAN 2.0架構，并總結了4個典型用例：PCI Comliance、Guest Access、Direct Cloud Access、Direct Internet Access。互聯(lián)網工程任務組（IETF）定義了SD-WAN服務數據模型以及開放式軟件定義廣域網交換（OSE）數據模型草案。城域以太網論壇（MEF）定義了兩個典型用例Hybrid WAN（SD-WAN Service over Internet and MPLS WANs）和Dual Internet WAN（SD-WAN Service over Multiple ISPs），并開展了SD-WAN服務質量評測工作。針對SDWAN相關的測試方法主要集中在服務質量方面，缺乏對網元層面和組網層面的考慮，存在測試片面的問題。

從測試視角出發(fā)[5]，本測試方法體系由設備、方案、服務三級構成，設備和方案測試秉承SDN的“轉控分離”原則，可分為控制面測試和轉發(fā)面測試兩部分。其中，控制面測試致力于策略管理和網絡控制，向下通過南向接口協(xié)議對接SD-WAN終端設備，以實現協(xié)議/功能的集中控制和定制，向上則通過北向接口為上層業(yè)務應用以及資源管理系統(tǒng)提供靈活的網絡資源抽象，并開放多個層次的可編程能力。轉發(fā)面測試專注于系統(tǒng)接口能力和整體功能/性能指標，靈活定義網絡策略和行為，便捷地實現任何新業(yè)務和新功能。

按照從局部到全局的測試思路[6]，應當建立設備級別、方案級別和服務級別的三級評測方法體系。設備維度首先應當從轉發(fā)網元入手，這是因為轉發(fā)網元的功能/性能參數是評測網絡能力最基本的技術指標；然后在此基礎上擴展測試范圍，此時應當圍繞與轉發(fā)網元連接的控制網元和編排網元實體展開測試。這些網元實體是完整實現具體網絡能力的最小單元。考慮到不同應用場景下SD-WAN技術體系存在的差異化特點，我們需要深入研究結合場景部署的技術要求，形成方案級別的評測方法；針對上層服務，結合應用場景部署的技術要求，形成服務級別的測評方法。有針對性地開展測試評估工作。設備、方案以及服務測試的結合，更容易形成系統(tǒng)的測試方法體系。這對指導產業(yè)發(fā)展、推動SDWAN創(chuàng)新技術商業(yè)化進程具有重大意義。

2 設備維度的測試方法分析

中國傳統(tǒng)測試方法基于網元本身的功能和性能，主要針對2-3層的普通流量進行測試，系統(tǒng)模塊化、標準化基礎較差，較少考慮開放性、通用性、綜合能力，在可測試性方面缺乏系統(tǒng)考慮和規(guī)范化要求。與傳統(tǒng)測試方法不同，SDWAN 2.0測試方法注重自上而下成體系的測試，依托標準具備完善的頂層設計規(guī)范采用全球專業(yè)儀表做流量仿真，真實模擬視頻、語音、OA等4-7層的應用流量，具有一致性和可重復性，且能夠控制網元，更適合做兼容性測試。

當前SD-WAN設備維度技術架構大體上可以抽象為3個功能層級：基礎設施層、業(yè)務控制層和管理編排層。基礎設施層要求轉發(fā)面網元具備網絡可編程能力，通過業(yè)務控制層的南向接口開放網絡設備的控制功能；業(yè)務控制層要求能夠管控基礎設施，形成全局視角，借助業(yè)務控制層的北向接口向管理編配層提供網絡服務能力；編排管理層是對SDWAN業(yè)務的抽象和管理，對業(yè)務中各個網元和網元行為特征的抽象在技術后臺的管理功能層中實現。

2.1 基礎設施層能力測試

基礎設施層是SD-WAN技術架構的最底層。作為重要的轉發(fā)單元，基礎設施層測試主要圍繞功能測試、安全測試、可靠測試三大類，從協(xié)議、功能、策略各個方面展開系統(tǒng)的評測。

1）功能測試

· 自動化部署：邊緣設備通過動態(tài)主機配置協(xié)議（DHCP）、U盤、郵件、短信等方式，進行自動化部署、遠程部署、虛擬化部署、版本檢測與升級。

· 動態(tài)選路：根據鏈路服務等級協(xié)議（SLA）、應用帶寬、優(yōu)先級、權重動態(tài)選擇鏈路，根據動態(tài)路由協(xié)議支撐Overlay組網策略和規(guī)則。

· 應用識別[7]：基于端口協(xié)議（POP3-110、SMTP-25、NetBIOS-138、HTTP-443）、負載協(xié)議（ECMP協(xié)議）、特征庫識別、首包識別、深度包檢測（DPI協(xié)議）等識別機制。

· WAN優(yōu)化：自適應前向糾錯（FEC）以及包令校正（POC）等技術，應用壓縮和重復數據消除。

· 網絡地址轉換（NAT）穿越：測試設備支持NAT-D負載、NAT會話穿越應用程序（STUN）技術，邊緣設備支持與控制面、管理面進行NAT穿越互通。

2）安全測試

· URL過濾：自定義設置統(tǒng)一資源定位符（URL）黑名單和白名單，進行網頁過濾，提供超文本傳輸協(xié)議（HTTP）和超文本傳輸安全協(xié)議（HTTPS）URL過濾，進行惡意URL防護。

· 防火墻策略：包括基于IPv4源/目的地址、IPv6源/目的地址、目的端口、源端口、媒體訪問控制（MAC）地址訪問控制策略以及靜態(tài)NAT策略。

· 隧道加密：使用IP網絡安全協(xié)議（IPSec）/傳輸層安全協(xié)議（TLS）/數據包傳輸層安全協(xié)議（DTLS）等加密技術來保護傳輸中的數據，借助相關國密算法SM2/SM3/SM4/SM9或業(yè)界公認算法AES256等構建數據傳輸隧道。

3）可靠測試

· 主備切換：邊緣設備主備切換，切換期間業(yè)務流量轉發(fā)無中斷。

2.2 業(yè)務控制層能力測試

控制器層測試向上承接編排器層傳遞的業(yè)務邏輯測試（主要為南向接口和北向接口測試），向下對轉發(fā)網元實現管理測試，包含設備管理（SD-WAN終端設備、SD-WAN安全設備）、網絡管理（Underlay網絡、Overlay網絡）、日志管理。

· 設備管理：部署設備接收控制器策略的下發(fā)，并和控制器進行實時信息共享。

· 網絡管理：Overlay網絡拓撲管理和網絡路由的集中控制。

· 日志管理：控制器管理設備的信息采集和流量信息的采集與分析。

· 北向接口：控制器提供給上層應用的調用接口以及協(xié)議一致性測試。

· 南向接口：功能一致性和互操作性。

2.3 編排管理層能力測試

編排器層上接應用層接收用戶的操作命令，并對網絡業(yè)務進行抽象和建模，下接控制器層在實際的網絡中實現業(yè)務的需求。編排管理層測試主要圍繞網絡服務生命周期管理、資源調度、跨域編排展開。

· 網絡服務生命周期管理：對部署過程、網絡服務的執(zhí)行和終止全部生命周期的管理。

· 資源調度：網絡資源模型映射、虛擬化網元管理等。

· 跨域編排：跨域統(tǒng)一策略下發(fā)和執(zhí)行、跨域資源共享等。

3 方案維度的測試方法分析

方案維度的測試是SD-WAN獨特的測試方法。該方法將SD-WAN的眾多組件進行連接組網，集編排、控制、轉發(fā)于一體，不對單一網元展開測試，而是從網元的功能、鏈路的負載、SD-WAN控制器的聯(lián)動多個方面展開整體組網方案的系統(tǒng)評測。這種測試主要從基本方案功能、管理運維功能、安全防護功能3個方面展開測試方法的研究。

1）基本方案功能測試

· 負載均衡：根據目標地址、源地址、服務、時間等要素的鏈路負載均衡，基于自動探測鏈路質量的主動鏈路均衡算法，基于應用的負載均衡等。

· 按需組網：支持full-mesh拓撲、hub-spoke拓撲等，支持full-mesh拓撲變更為hub-spoke拓撲，支持hub-spoke拓撲變更為full-mesh拓撲。

· 流量調度：將不同類型（地址、端口、協(xié)議）的應用在不同的WAN口隧道上進行調度，根據時延、抖動、丟包率設置相應的切換閥值進行流量調度。

· 路由交換[6]：測試通過靜態(tài)路由協(xié)議和動態(tài)路由協(xié)議，例如開放最短路徑優(yōu)先（OSPF）、外部邊界網關協(xié)議（EBGP）、內部邊界網關協(xié)議（IBGP）等，在網絡拓撲中進行數據包的交換轉發(fā)。

· 服務質量功能：根據優(yōu)先級隊列、低時延隊列等隊列調度，流量整形等流量優(yōu)先級進行網絡流量調度，以確保業(yè)務轉發(fā)可以高效運行。

2）管理運維功能測試

· 管理運維：通過可視化界面來集中管理實時網絡資源監(jiān)控、日志搜集和告警上送、版本升級等，保障網絡業(yè)務基本運維。通過圖形界面來實現下發(fā)設備跨大版本的平滑升級，提供日志文件一鍵收集功能、控制器管理整個設備組網情況和日志。

3）安全防護功能測試

· 安全防護[6]：通過設置安全策略、訪問安全策略等，來保障數據穩(wěn)定轉發(fā)。

4 服務維度的測試方法分析

服務維度的測試同樣也是SD-WAN獨特的測試方法。與方案維度和設備維度不同，服務維度將底層資源抽象為上層服務，主要作用于用戶層和應用層，需要從用戶條款、約束條款、服務商免責條款以及服務賠償條款方面，對SDWAN服務進行服務管理規(guī)定測評和技術服務能力測評。

1）服務管理規(guī)定

· 用戶條款：用戶需要提供的相關用戶信息應真實、準確、完整，變更服務時需要及時提供、更新相應的身份資料及信息等。

· 約束條款：針對服務資質審查、服務類型、服務范圍、服務產品管理等。

· 服務商免責條款：SD-WAN服務提供商應告知用戶自身免責的條款，并將其以網站等方式對外正式公布，做到充分透明。SD-WAN服務提供商免責條款應包括免責的范圍和解釋、免責的情景等信息。

· 服務賠償條款：SD-WAN服務提供商應承諾，在某項服務指標沒有達到服務協(xié)議中的要求時，提供相應的賠償，同時明確可獲得賠償的指標項、賠償的具體方式、賠償額度的計算方式、最低賠償、最高賠償等。SD-WAN服務提供商應明確服務方不承擔責任的賠償，例如由于用戶自身操作不當導致的可用性不達標，可不承擔賠償責任。

2）技術服務能力

· 服務業(yè)務彈性：用戶可按需選擇基礎網絡連接拓撲、增值服務訂購等業(yè)務能力。

· 服務可管理性：全生命周期的服務管理，包括服務的創(chuàng)建、刪除、暫停、恢復、停止等操作。

· 服務安全性：通信安全、數據安全、用戶安全。

· 服務質量保障：網關節(jié)點骨干網絡的端到端可用率、不同客戶場景的標準化服務、完整成熟的服務流程，保障用戶業(yè)務數據正常傳輸的質量指標。

· 故障快速響應：對于系統(tǒng)故障，服務提供商應在一定時間內對故障進行處理，并將故障處理結果反饋給客戶。

· 服務計量準確性：根據選擇的服務類型，按照所列明的要求保證所出具的計量校準結果的準確性和溯源性。

5 測試實踐與問題分析

5.1 相關SD-WAN 2.0測試實踐

當前，基于SD-WAN 2.0測試方法體系，中國SD-WAN廠商做了相關的測試實踐。在一些功能上，各廠商實現方式不同，且測試重點不同，例如：服務提供商更側重于服務質量及服務時效性，整體解決方案提供商更側重于整體組網的健壯性和靈活性，設備提供商更側重于設備的轉發(fā)能力和與控制器的兼容性。本文中我們選取國際組織MEF和IETF開展的一些測試工作進行對比，如表1所示。從對比結果來看，相較于SD-WAN 2.0測試方法，這些測試工作都或多或少地存在測試維度片面問題，導致測試不完整性，不能完全反映SD-WAN的技術完備性。

▼表1 全球研究機構的SD-WAN 2.0測試對比

5.2 測試工作中的問題探討

1）測試思路局限性

目前已經開展的測試工作仍然聚焦于，以SD-WAN設備為代表的轉發(fā)單元能力和以SD-WAN控制器為代表的控制單元能力。SD-WAN 2.0融合多種技術的方案級測試工作，目前尚處于初級階段。

2）測試標準滯后性

針對系統(tǒng)性和規(guī)范性的測試方法標準體系的缺失，已成為制約測試工作進一步發(fā)展的重要瓶頸。標準化組織相對滯后，與技術要求配套的測試方法體系標準成為當前亟須完善的重點。

3）測試工具制約性

當前傳統(tǒng)的商業(yè)儀表及開源項目難以滿足系統(tǒng)級的方案測試。開源項目自身在可靠性和穩(wěn)定性方面存在缺陷。開源社區(qū)在技術支持等服務質量方面存在重大短板。整體上看，缺少可靠的測試工具已成為制約測試工作進一步開展的另一個重要因素。

6 結束語

當前，SD-WAN 2.0相關的測試工作已處于相對成熟的發(fā)展階段。未來，伴隨著商業(yè)化進程的不斷深入，SDWAN 2.0相關的測試工作也將逐步得到業(yè)界的重視，吸引越來越多的技術專家參與其中，以完善測試方法，研發(fā)系統(tǒng)級評測工具，全面提升SD-WAN 2.0技術評測水平。

致謝

感謝中國信息通信研究院技術與標準研究所畢立波、韓淑君工程師對本論文做出的貢獻！