• 云服務

  SOLUTION CENTER
• IDC方案設(shè)計
• 云服務
• 智能化弱電系統(tǒng)集成
• IT外包服務

SD-WAN組網(wǎng)服務

什么是SD-WAN

SD-WAN是Software-Defined Wide Area Network的簡稱。這是最近3-4年才提出的名詞。從名字上可以看出，它與SDN有著相同的理念。兩者都是將轉(zhuǎn)發(fā)與控制分離，以簡化網(wǎng)絡(luò)的管理和操作。區(qū)別是，SDN是針對數(shù)據(jù)中心的網(wǎng)絡(luò)，SD-WAN是針對WAN。SD-WAN，就是SDN的一個重要分支，是SDN技術(shù)在WAN領(lǐng)域的應用落地。再簡單一點說，SD-WAN，就是SDN+WAN。

什么是WAN（廣域網(wǎng)）

WAN是廣域網(wǎng)，和WAN相對的，就是大家耳熟能詳?shù)?b>LAN（Local Area Network，局域網(wǎng)）。

我們家里的Wi-Fi網(wǎng)絡(luò)，網(wǎng)吧的網(wǎng)絡(luò)，還有公司辦公室里的小規(guī)模網(wǎng)絡(luò)，就是LAN局域網(wǎng)。

LAN局域網(wǎng)

而WAN是一種更大地理范圍的計算機網(wǎng)絡(luò)，它跨越省、市甚至國家、洲際。

舉個例子，某集團公司的總部設(shè)在北京，分公司在上海、廣州、成都。那么，分公司本地的網(wǎng)絡(luò)，可以看作是一個局域網(wǎng)。而整個集團公司的網(wǎng)絡(luò)，就是一個廣域網(wǎng)。

WAN廣域網(wǎng)

注：其實，除了局域網(wǎng)和廣域網(wǎng)之外，還有一個城域網(wǎng)(Metropolitan Area Network)，就是一個城市規(guī)模的網(wǎng)絡(luò)，在運營商那邊經(jīng)常被提及。

之所以要有廣域網(wǎng)的原因，我想大家應該都明白——數(shù)字化、網(wǎng)絡(luò)化的時代，公司運作已經(jīng)離不開電腦和各種各樣的信息化系統(tǒng)、平臺。

從基本的電子郵件，到辦公自動化（考勤系統(tǒng)、財務系統(tǒng)等），再到和主營業(yè)務強相關(guān)的PLM（產(chǎn)品生命周期管理）、ERP（企業(yè)資源計劃）等系統(tǒng)，都迫切需要一張強有力的支撐網(wǎng)絡(luò)。

各種各樣的信息化系統(tǒng)，是現(xiàn)代企業(yè)發(fā)展的基石

對絕大多數(shù)公司來說，自己花錢拉一根專有的網(wǎng)線或光纖，把總公司和分公司的網(wǎng)絡(luò)連接起來，是一件不可能的事情。工程量和成本造價是個天文數(shù)字。

所以，只剩下兩種選擇。

第一種，就是讓所有的員工通過互聯(lián)網(wǎng)進行連接。

現(xiàn)在非常流行的釘釘和企業(yè)微信，其實就是這樣的方式。

全部上公網(wǎng)（互聯(lián)網(wǎng)）

在移動互聯(lián)網(wǎng)和光纖寬帶非常發(fā)達的今天，這種方式似乎是個不錯的選擇。但是，采用這種方式，需要面對兩個致命問題：服務質(zhì)量和數(shù)據(jù)安全。

我們使用的4G數(shù)據(jù)業(yè)務，還有大部分的光纖寬帶接入，基本上都是民用級通信服務。這種服務的穩(wěn)定性和可靠性很差，經(jīng)?？D甚至掉線。

這種服務質(zhì)量，對于小微企業(yè)來說，勉強可以接受。但是對于大中型企業(yè)甚至集團來說，就不行了。舉個例子，工商銀行北京總行的系統(tǒng)，和江蘇省分行的系統(tǒng)，怎么可能說慢就慢，說斷就斷？

此外，將公司所有業(yè)務系統(tǒng)暴露在互聯(lián)網(wǎng)上，也會帶來極大的安全隱患和風險。也舉個例子，如果鐵路總公司將自己所有的車輛運行管理系統(tǒng)放在公網(wǎng)上，你覺得放心嗎？

釘釘和企業(yè)微信，背后也是大型互聯(lián)網(wǎng)公司非常強悍的安全保護能力和系統(tǒng)容量在做支撐。

所以說，用互聯(lián)網(wǎng)作為自己公司的廣域網(wǎng)，只適合小微企業(yè)用戶。（話說回來，小微企業(yè)也用不著廣域網(wǎng)。）

第二種方式，也是目前用戶的主流選擇，就是借助運營商提供的專線進行連接。

這種專線，最具代表性的，就是MPLS。

什么是MPLS？

MPLS，Multi-Protocol Label Switching，多協(xié)議標簽交換。這是一種高效且可靠的網(wǎng)絡(luò)傳輸技術(shù)。簡單來說，它就是在數(shù)據(jù)流上打標簽，有點像雞毛信，告訴沿路的所有設(shè)備：“我是誰，我要去哪里”。

MPLS專線，就是一種基于MPLS技術(shù)的廣域網(wǎng)服務專用線路。

MPLS專線

MPLS專線是一種租用服務，它的所有權(quán)是屬于電信運營商的。運營商把專線租給你，然后承諾這條線路的SLA（Service Level Agreement，服務等級協(xié)議，包括帶寬、時延、抖動、丟包率等）能達到什么樣的要求。至于你的軟件用起來快不快、穩(wěn)不穩(wěn)，它是完全不管的。

SD-WAN即軟件定義的廣域網(wǎng)。SDN-WAN是SDN的特定應用，應用于WAN，用于連接企業(yè)網(wǎng)絡(luò)，包括分支機構(gòu)、數(shù)據(jù)中心和云，實現(xiàn)廣域網(wǎng)的最大范圍覆蓋。

SD-WAN支持多種傳輸技術(shù)，可以取代傳統(tǒng)的WAN路由器。SD-WAN還允許跨多個WAN連接進行流量負載共享。過去連接廣域網(wǎng)通常需要專有的硬件和技術(shù)，而SD-WAN通過軟件即可實現(xiàn)對網(wǎng)絡(luò)的控制。

就好像你家安裝的寬帶，運營商只會測速給你看——有沒有100Mbps？有，那就行。你玩吃雞會卡？不好意思，不關(guān)我事。這就是基于SLA的服務。

不管怎么說，好歹是根專線，MPLS的網(wǎng)絡(luò)質(zhì)量還是不錯的。

問題又來了，你租我租大家租，運營商的物理網(wǎng)絡(luò)就這么一張，這么多公司的業(yè)務都在上面跑，怎么保證區(qū)分和隔離呢？

這里，就要提到大家很熟悉的一個名詞了——VPN。

VPN，Virtual Private Network，虛擬專用網(wǎng)絡(luò)。其實就是在正常的物理連接基礎(chǔ)上，虛擬出了一個專用通道，保證通信的隔離和保密。

VPN通道

根據(jù)基于的網(wǎng)絡(luò)不同，VPN通常包括Ipsec-VPN和MPLS-VPN。

Ipsec-VPN，基于Internet的VPN。這個大家平時用得比較多。大公司員工出差在外，都會撥VPN，然后就相當于變成了公司內(nèi)網(wǎng)，可以訪問內(nèi)網(wǎng)的網(wǎng)站。

MPLS-VPN，基于運營商MPLS專用網(wǎng)絡(luò)的VPN。整個分公司和總部之間，通過這個連接，邏輯上相當于大家都處于一個內(nèi)網(wǎng)里。

這個我們簡單說一下大家可能經(jīng)?？吹降?b>Overlay和Underlay這兩個概念。字面上看，Overlay是在lay（層）之上，Underlay是在lay（層）之下。Hoho，其實畫個圖大家就明白了——

封裝的位置不一樣

MPLS這個技術(shù)，從Cisco思科1996年提出Tag/Label Switching開始萌芽，至今已經(jīng)主宰企業(yè)網(wǎng)市場20多年，期間沒有任何重大改進。

相對Internet來說，MPLS專線的優(yōu)點，就是比較穩(wěn)定可靠，安全也有一定的保障。但是，隨著時代的發(fā)展，它的缺點也越來越明顯，備受用戶的吐槽：

1、使用成本高。

一直以來，不管是專線還是VPN服務，運營商開出的價格都是十分昂貴的。

舉例來說，某省電信的跨國10M的MPLS-VPN的價格為80000元/月。對于一個大型集團企業(yè)用戶來說，分公司和辦事處比較多，每年花在專線租用上的費用，就可能高達上千萬甚至上億人民幣。

這種級別的成本，是我們幾百塊錢就千兆包月的家庭用戶無法想象的。隨著競爭的加劇，這個巨大的成本壓力足以讓企業(yè)的CEO/CFO/CIO們?nèi)珲喸诤?、寢食難安。

2、部署周期長。

申請安裝專線之后，運營商內(nèi)部要走流程，還需要人工上門進行終端安裝和配置。整個的安裝時間周期就很長，一般要一周到一個月的時間。

對于現(xiàn)在節(jié)奏越來越快的企業(yè)經(jīng)營來說，這個時間周期也是無法忍受的。

3、故障排查難。

專線網(wǎng)絡(luò)屬于“黑盒網(wǎng)絡(luò)”，對于企業(yè)用戶來說，當專線出現(xiàn)問題，很難快速判斷原因。企業(yè)的IT工程師只能排查企業(yè)內(nèi)部的防火墻、交換機、路由器等設(shè)備。如果沒有找到問題原因，再求助于運營商。

對于運營商來說，排查問題也很糾結(jié)。往往排查到最后，發(fā)現(xiàn)自身沒有問題，問題還是出在用戶側(cè)。

這一來一回，就耽誤了大量的時間，影響公司業(yè)務的正常運轉(zhuǎn)。

4、維護人力緊。

對于企業(yè)總部來說，一般有專門的IT工程師進行維護。但是對于分公司或辦事處來說，出于成本的考慮，一般不會配備專門的IT工程師。這樣一來，給MPLS專線的維護帶來了困難，變向地也增加了成本。

總而言之，MPLS專線就是又貴又難用，“天下苦MPLS久矣”！

于是，SD-WAN的閃亮登場！

SD-WAN，就是為了解決上述一系列問題而出現(xiàn)的一種新興WAN廣域網(wǎng)技術(shù)。

SD-WAN源于SDN。SDN的知識要說起來那就沒完了，今天不多介紹。大家只需要知道，SDN技術(shù)的精髓，是將網(wǎng)絡(luò)的控制權(quán)集中管理起來。

轉(zhuǎn)發(fā)與控制分離

SD（軟件定義），它并不是讓軟件替換硬件，而是將硬件的更多能力抽取出來，交給統(tǒng)一的軟件控制權(quán)管理。說白了，就是讓硬件通用化、簡單化，變成“傻呆萌”。而軟件控制器（Controller），成為掌握一切的核心。

基于SDN的SD-WAN究竟是什么樣的架構(gòu)呢？字不如圖，我根據(jù)某設(shè)備商廠家的SD-WAN方案，畫了一張架構(gòu)圖。大家請看：

SD-WAN網(wǎng)絡(luò)架構(gòu)

大家可以看到，整個網(wǎng)絡(luò)架構(gòu)的軀干，其實還是Internet和MPLS專線。但是，在架構(gòu)之上，多了一個SD-WAN控制器。這個控制器，就是SD-WAN的管理控制核心。

在分公司節(jié)點，還有總部節(jié)點，多了一些uCPE和vCPE這樣的東西。

CPE之前介紹5G的時候說過，Customer Premise Equipment，業(yè)內(nèi)稱之為“客戶終端設(shè)備”。這里的CPE和5G CPE不一樣，5G CPE是把5G信號轉(zhuǎn)成Wi-Fi信號的。這里的CPE是連入網(wǎng)絡(luò)的一個接口盒子（可以理解為一個小路由器）。

uCPE是Universal CPE，通用客戶端設(shè)備。vCPE是Virtual CPE，虛擬客戶端設(shè)備。

管理員可以通過應用層接口對SD-WAN控制器進行配置，也可以下發(fā)vFW（虛擬防火墻，Firewall）、vWOC（虛擬廣域網(wǎng)優(yōu)化控制器，WAN Optimization Controller）功能到CPE，實現(xiàn)相應的功能，無需專門購買硬件。

我們結(jié)合網(wǎng)絡(luò)架構(gòu)、節(jié)點設(shè)備來具體分析一下，采用SD-WAN究竟會帶來什么改變：

1、接口通吃，負載均衡

站在分公司的角度來看，SD-WAN不再強制只允許使用MPLS，而是允許MPLS、xSDL、PON光纖寬帶、4G LTE，甚至5G等多種連接類型。CPE可以支持多種接口的Bonding（綁定），從而變成了一個接口資源池。

借助軟件能力、某些設(shè)備商的CPE可以識別上千種不同應用的等級，并安排不同的服務質(zhì)量。

舉例來說，視頻會議，對網(wǎng)絡(luò)質(zhì)量要求更高，就把優(yōu)先級和QoS設(shè)得高一點。文字聊天啥的，就設(shè)得級別第一點，讓它用LTE之類的網(wǎng)絡(luò)。

這樣一來，企業(yè)用戶對MPLS專線的依賴大大降低，普通光纖寬帶和4G也能派上用場。用戶的帶寬利用率提升了，流量成本也下降了。

2、自主選擇最佳路徑

WAN廣域網(wǎng)技術(shù)的關(guān)鍵，其實在于路徑選擇。對于不同的分公司，SD-WAN可以根據(jù)現(xiàn)網(wǎng)情況和配置策略，自主選擇最佳路徑。

SD-WAN還具備負載均衡的能力，以此來增強網(wǎng)絡(luò)的可靠性。

其實在運營商網(wǎng)絡(luò)里，還有很多POP（point-of-presence，入網(wǎng)點），幫助解決跨運營商之間的鏈路擁塞和負荷問題。

3、部署簡單，秒速完成

在評價SD-WAN的部署速度時，人們會反復提到一個詞，叫做ZTP，也就是Zero Touch Provisioning，零接觸部署。簡單來說，差不多就是即插即用。

除了CPE上電后自動獲取配置之外，還可以用掃碼配置或郵件配置的方式。

以郵件部署方式為例。在部署SD-WAN時，總部的IT工程師只需要提前做好配置數(shù)據(jù)，然后將配置通過郵件的方式，發(fā)給分公司的任何員工，該員工即可通過鏈接，完成設(shè)備的配置部署。

就是這么方便和快捷，不再需要專業(yè)IT人士到場進行配置安裝。

4、自管自控，智能運維

SD-WAN具有SDN的基因，所以在網(wǎng)絡(luò)的管理上擁有先天的優(yōu)勢。但凡是SD-WAN的管理平臺，都是圖形可視化的。管理員可以清楚地通過網(wǎng)管界面看到SD-WAN的運行情況，并及時對出現(xiàn)的問題進行處置。這就大大降低了維護的難度，也減少了故障的處理時間。

總而言之，SD-WAN的好處就是省錢又好用。根據(jù)測算，同比例帶寬情況下，SD-WAN相較MPLS，每年至少可節(jié)省30%的成本投資。因此也有人戲稱SD-WAN是“Save Dollars（省錢）-WAN”。

SD-WAN的優(yōu)勢

靈活性：SD-WAN技術(shù)通過消除物理設(shè)備的流量管理負擔并將其轉(zhuǎn)移到軟件，從而獲得部署和管理的靈活性，企業(yè)用戶最大限度地減少管理基礎(chǔ)架構(gòu)和連接的麻煩。

降低成本：SD-WAN允許MPLS、寬帶、無線LTE等多種連接類型，企業(yè)用戶可降低對專用MPLS的依賴，根據(jù)流量大小合理配置連接方式和運營商。SD-WAN在軟件端部署連接，可以省掉昂貴的路由硬件。SD-WAN通過自動化提高了分支機構(gòu)的IT效率，進一步降低整體網(wǎng)絡(luò)開銷。

SD-WAN

SD-WAN應該具有以下4個功能：

·     支持多種連接方式，MPLS，frame relay，LTE，Public Internet等等。

o            SD-WAN將Virtual WAN與傳統(tǒng)WAN結(jié)合，在這之上做overlay。對于應用程序來說，不需要清楚底層的WAN連接究竟是什么。在不需要傳統(tǒng)WAN的場景下，SD-WAN就是Virtual WAN。

·     能夠在多種連接之間動態(tài)選擇鏈路，以達到負載均衡或者資源彈性。

o            與Virtual WAN類似，動態(tài)選擇多條路徑。SD-WAN如果同時連接了MPLS和Internet，那么可以將一些重要的應用流量，例如VoIP，分流到MPLS，以保證應用的可用性。對于一些對帶寬或者穩(wěn)定性不太敏感的應用流量，例如文件傳輸，可以分流到Internet上。這樣減輕了企業(yè)對MPLS的依賴?；蛘撸?span>Internet可以作為MPLS的備份連接，當MPLS出故障了，至少企業(yè)的WAN網(wǎng)絡(luò)不至于也斷連。

·     簡單的WAN管理接口。

o            凡是涉及網(wǎng)絡(luò)的事物，似乎都存在管理和故障排查較為復雜的問題，WAN也不例外。SD-WAN通常也會提供一個集中的控制器，來管理WAN連接，設(shè)置應用流量policy和優(yōu)先級，監(jiān)測WAN連接可用性等等?；诩锌刂破?，可以再提供CLI或者GUI。以達到簡化WAN管理和故障排查的目的。

·     支持VPN，防火墻，網(wǎng)關(guān)，WAN優(yōu)化器等服務。

o            SD-WAN在WAN連接的基礎(chǔ)上，將提供盡可能多的，開放的和基于軟件的技術(shù)。

基本的SD-WAN的操作就是多條WAN路徑的選擇規(guī)劃，如下圖所示。

SD-WAN產(chǎn)品

當我們說SDN時，更多是一種針對DC的網(wǎng)絡(luò)架構(gòu)。而SD-WAN卻是一種可以購買技術(shù)產(chǎn)品。與Virtual WAN類似，SD-WAN產(chǎn)品可以是物理的，也可以是虛擬的。在WAN架構(gòu)中，SD-WAN與WAN edge router放置在一起，用來增強WAN edge router甚至替代WAN edge router。從其放置的位置可以看出，客戶所有的WAN流量都會流經(jīng)SD-WAN。對于純Virtual WAN而言，其產(chǎn)品越來越多的部署在云上。SD-WAN產(chǎn)品的位置如下圖所示：

現(xiàn)實中，各個宣稱提供SD-WAN的公司，其產(chǎn)品也不盡相同。主要可以分為兩大類，一類是提供SD-WAN設(shè)備，可以是專用設(shè)備，也可以是現(xiàn)有設(shè)備集成了SD-WAN功能，另一類是提供WAN as a Service，自己提供WAN網(wǎng)絡(luò)的同時，搭配售賣SD-WAN設(shè)備。

第一類就是前面介紹的SD-WAN。這里再說一說第二類，以三昶為例，三昶通過與各個SP合作，自己構(gòu)建了一個全球范圍的WAN。三昶的WAN在全球有400個接入點。據(jù)稱，對于世界上95%的企業(yè)來說，都可以找到小于30毫秒的延時的接入點。企業(yè)用戶需要通過Internet接入到三昶的接入點，之后數(shù)據(jù)就跑在三昶的骨干網(wǎng)上。三昶相當于對WAN做了虛擬化，在這之上虛擬出了多個私有WAN，供用戶使用。三昶的SD-WAN設(shè)備用來連接用戶網(wǎng)絡(luò)和其接入點。這種方式，部署簡單，傳統(tǒng)的MPLS部署可能需要幾個月，而現(xiàn)在幾個小時就可以了。成本上也能大大降低，三昶的產(chǎn)品比較同等的MPLS，節(jié)約了超過50%的成本。下圖是三昶的組網(wǎng)示意圖。