• 解決方案

  SOLUTION CENTER
• IDC方案設(shè)計(jì)
• 云服務(wù)
• 智能化弱電系統(tǒng)集成
• IT外包服務(wù)

SD-WAN組網(wǎng)服務(wù)

什么是SD-WAN

SD-WAN是Software-Defined Wide Area Network的簡(jiǎn)稱。這是最近3-4年才提出的名詞。從名字上可以看出，它與SDN有著相同的理念。兩者都是將轉(zhuǎn)發(fā)與控制分離，以簡(jiǎn)化網(wǎng)絡(luò)的管理和操作。區(qū)別是，SDN是針對(duì)數(shù)據(jù)中心的網(wǎng)絡(luò)，SD-WAN是針對(duì)WAN。SD-WAN，就是SDN的一個(gè)重要分支，是SDN技術(shù)在WAN領(lǐng)域的應(yīng)用落地。再簡(jiǎn)單一點(diǎn)說，SD-WAN，就是SDN+WAN。

什么是WAN（廣域網(wǎng)）

WAN是廣域網(wǎng)，和WAN相對(duì)的，就是大家耳熟能詳?shù)?b>LAN（Local Area Network，局域網(wǎng)）。

我們家里的Wi-Fi網(wǎng)絡(luò)，網(wǎng)吧的網(wǎng)絡(luò)，還有公司辦公室里的小規(guī)模網(wǎng)絡(luò)，就是LAN局域網(wǎng)。

LAN局域網(wǎng)

而WAN是一種更大地理范圍的計(jì)算機(jī)網(wǎng)絡(luò)，它跨越省、市甚至國家、洲際。

舉個(gè)例子，某集團(tuán)公司的總部設(shè)在北京，分公司在上海、廣州、成都。那么，分公司本地的網(wǎng)絡(luò)，可以看作是一個(gè)局域網(wǎng)。而整個(gè)集團(tuán)公司的網(wǎng)絡(luò)，就是一個(gè)廣域網(wǎng)。

WAN廣域網(wǎng)

注：其實(shí)，除了局域網(wǎng)和廣域網(wǎng)之外，還有一個(gè)城域網(wǎng)(Metropolitan Area Network)，就是一個(gè)城市規(guī)模的網(wǎng)絡(luò)，在運(yùn)營商那邊經(jīng)常被提及。

之所以要有廣域網(wǎng)的原因，我想大家應(yīng)該都明白——數(shù)字化、網(wǎng)絡(luò)化的時(shí)代，公司運(yùn)作已經(jīng)離不開電腦和各種各樣的信息化系統(tǒng)、平臺(tái)。

從基本的電子郵件，到辦公自動(dòng)化（考勤系統(tǒng)、財(cái)務(wù)系統(tǒng)等），再到和主營業(yè)務(wù)強(qiáng)相關(guān)的PLM（產(chǎn)品生命周期管理）、ERP（企業(yè)資源計(jì)劃）等系統(tǒng)，都迫切需要一張強(qiáng)有力的支撐網(wǎng)絡(luò)。

各種各樣的信息化系統(tǒng)，是現(xiàn)代企業(yè)發(fā)展的基石

對(duì)絕大多數(shù)公司來說，自己花錢拉一根專有的網(wǎng)線或光纖，把總公司和分公司的網(wǎng)絡(luò)連接起來，是一件不可能的事情。工程量和成本造價(jià)是個(gè)天文數(shù)字。

所以，只剩下兩種選擇。

第一種，就是讓所有的員工通過互聯(lián)網(wǎng)進(jìn)行連接。

現(xiàn)在非常流行的釘釘和企業(yè)微信，其實(shí)就是這樣的方式。

全部上公網(wǎng)（互聯(lián)網(wǎng)）

在移動(dòng)互聯(lián)網(wǎng)和光纖寬帶非常發(fā)達(dá)的今天，這種方式似乎是個(gè)不錯(cuò)的選擇。但是，采用這種方式，需要面對(duì)兩個(gè)致命問題：服務(wù)質(zhì)量和數(shù)據(jù)安全。

我們使用的4G數(shù)據(jù)業(yè)務(wù)，還有大部分的光纖寬帶接入，基本上都是民用級(jí)通信服務(wù)。這種服務(wù)的穩(wěn)定性和可靠性很差，經(jīng)?？D甚至掉線。

這種服務(wù)質(zhì)量，對(duì)于小微企業(yè)來說，勉強(qiáng)可以接受。但是對(duì)于大中型企業(yè)甚至集團(tuán)來說，就不行了。舉個(gè)例子，工商銀行北京總行的系統(tǒng)，和江蘇省分行的系統(tǒng)，怎么可能說慢就慢，說斷就斷？

此外，將公司所有業(yè)務(wù)系統(tǒng)暴露在互聯(lián)網(wǎng)上，也會(huì)帶來極大的安全隱患和風(fēng)險(xiǎn)。也舉個(gè)例子，如果鐵路總公司將自己所有的車輛運(yùn)行管理系統(tǒng)放在公網(wǎng)上，你覺得放心嗎？

釘釘和企業(yè)微信，背后也是大型互聯(lián)網(wǎng)公司非常強(qiáng)悍的安全保護(hù)能力和系統(tǒng)容量在做支撐。

所以說，用互聯(lián)網(wǎng)作為自己公司的廣域網(wǎng)，只適合小微企業(yè)用戶。（話說回來，小微企業(yè)也用不著廣域網(wǎng)。）

第二種方式，也是目前用戶的主流選擇，就是借助運(yùn)營商提供的專線進(jìn)行連接。

這種專線，最具代表性的，就是MPLS。

什么是MPLS？

MPLS，Multi-Protocol Label Switching，多協(xié)議標(biāo)簽交換。這是一種高效且可靠的網(wǎng)絡(luò)傳輸技術(shù)。簡(jiǎn)單來說，它就是在數(shù)據(jù)流上打標(biāo)簽，有點(diǎn)像雞毛信，告訴沿路的所有設(shè)備：“我是誰，我要去哪里”。

MPLS專線，就是一種基于MPLS技術(shù)的廣域網(wǎng)服務(wù)專用線路。

MPLS專線

MPLS專線是一種租用服務(wù)，它的所有權(quán)是屬于電信運(yùn)營商的。運(yùn)營商把專線租給你，然后承諾這條線路的SLA（Service Level Agreement，服務(wù)等級(jí)協(xié)議，包括帶寬、時(shí)延、抖動(dòng)、丟包率等）能達(dá)到什么樣的要求。至于你的軟件用起來快不快、穩(wěn)不穩(wěn)，它是完全不管的。

SD-WAN即軟件定義的廣域網(wǎng)。SDN-WAN是SDN的特定應(yīng)用，應(yīng)用于WAN，用于連接企業(yè)網(wǎng)絡(luò)，包括分支機(jī)構(gòu)、數(shù)據(jù)中心和云，實(shí)現(xiàn)廣域網(wǎng)的最大范圍覆蓋。

SD-WAN支持多種傳輸技術(shù)，可以取代傳統(tǒng)的WAN路由器。SD-WAN還允許跨多個(gè)WAN連接進(jìn)行流量負(fù)載共享。過去連接廣域網(wǎng)通常需要專有的硬件和技術(shù)，而SD-WAN通過軟件即可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的控制。

就好像你家安裝的寬帶，運(yùn)營商只會(huì)測(cè)速給你看——有沒有100Mbps？有，那就行。你玩吃雞會(huì)卡？不好意思，不關(guān)我事。這就是基于SLA的服務(wù)。

不管怎么說，好歹是根專線，MPLS的網(wǎng)絡(luò)質(zhì)量還是不錯(cuò)的。

問題又來了，你租我租大家租，運(yùn)營商的物理網(wǎng)絡(luò)就這么一張，這么多公司的業(yè)務(wù)都在上面跑，怎么保證區(qū)分和隔離呢？

這里，就要提到大家很熟悉的一個(gè)名詞了——VPN。

VPN，Virtual Private Network，虛擬專用網(wǎng)絡(luò)。其實(shí)就是在正常的物理連接基礎(chǔ)上，虛擬出了一個(gè)專用通道，保證通信的隔離和保密。

VPN通道

根據(jù)基于的網(wǎng)絡(luò)不同，VPN通常包括Ipsec-VPN和MPLS-VPN。

Ipsec-VPN，基于Internet的VPN。這個(gè)大家平時(shí)用得比較多。大公司員工出差在外，都會(huì)撥VPN，然后就相當(dāng)于變成了公司內(nèi)網(wǎng)，可以訪問內(nèi)網(wǎng)的網(wǎng)站。

MPLS-VPN，基于運(yùn)營商MPLS專用網(wǎng)絡(luò)的VPN。整個(gè)分公司和總部之間，通過這個(gè)連接，邏輯上相當(dāng)于大家都處于一個(gè)內(nèi)網(wǎng)里。

這個(gè)我們簡(jiǎn)單說一下大家可能經(jīng)?？吹降?b>Overlay和Underlay這兩個(gè)概念。字面上看，Overlay是在lay（層）之上，Underlay是在lay（層）之下。Hoho，其實(shí)畫個(gè)圖大家就明白了——

封裝的位置不一樣

MPLS這個(gè)技術(shù)，從Cisco思科1996年提出Tag/Label Switching開始萌芽，至今已經(jīng)主宰企業(yè)網(wǎng)市場(chǎng)20多年，期間沒有任何重大改進(jìn)。

相對(duì)Internet來說，MPLS專線的優(yōu)點(diǎn)，就是比較穩(wěn)定可靠，安全也有一定的保障。但是，隨著時(shí)代的發(fā)展，它的缺點(diǎn)也越來越明顯，備受用戶的吐槽：

1、使用成本高。

一直以來，不管是專線還是VPN服務(wù)，運(yùn)營商開出的價(jià)格都是十分昂貴的。

舉例來說，某省電信的跨國10M的MPLS-VPN的價(jià)格為80000元/月。對(duì)于一個(gè)大型集團(tuán)企業(yè)用戶來說，分公司和辦事處比較多，每年花在專線租用上的費(fèi)用，就可能高達(dá)上千萬甚至上億人民幣。

這種級(jí)別的成本，是我們幾百塊錢就千兆包月的家庭用戶無法想象的。隨著競(jìng)爭(zhēng)的加劇，這個(gè)巨大的成本壓力足以讓企業(yè)的CEO/CFO/CIO們?nèi)珲喸诤怼嬍畴y安。

2、部署周期長。

申請(qǐng)安裝專線之后，運(yùn)營商內(nèi)部要走流程，還需要人工上門進(jìn)行終端安裝和配置。整個(gè)的安裝時(shí)間周期就很長，一般要一周到一個(gè)月的時(shí)間。

對(duì)于現(xiàn)在節(jié)奏越來越快的企業(yè)經(jīng)營來說，這個(gè)時(shí)間周期也是無法忍受的。

3、故障排查難。

專線網(wǎng)絡(luò)屬于“黑盒網(wǎng)絡(luò)”，對(duì)于企業(yè)用戶來說，當(dāng)專線出現(xiàn)問題，很難快速判斷原因。企業(yè)的IT工程師只能排查企業(yè)內(nèi)部的防火墻、交換機(jī)、路由器等設(shè)備。如果沒有找到問題原因，再求助于運(yùn)營商。

對(duì)于運(yùn)營商來說，排查問題也很糾結(jié)。往往排查到最后，發(fā)現(xiàn)自身沒有問題，問題還是出在用戶側(cè)。

這一來一回，就耽誤了大量的時(shí)間，影響公司業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。

4、維護(hù)人力緊。

對(duì)于企業(yè)總部來說，一般有專門的IT工程師進(jìn)行維護(hù)。但是對(duì)于分公司或辦事處來說，出于成本的考慮，一般不會(huì)配備專門的IT工程師。這樣一來，給MPLS專線的維護(hù)帶來了困難，變向地也增加了成本。

總而言之，MPLS專線就是又貴又難用，“天下苦MPLS久矣”！

于是，SD-WAN的閃亮登場(chǎng)！

SD-WAN，就是為了解決上述一系列問題而出現(xiàn)的一種新興WAN廣域網(wǎng)技術(shù)。

SD-WAN源于SDN。SDN的知識(shí)要說起來那就沒完了，今天不多介紹。大家只需要知道，SDN技術(shù)的精髓，是將網(wǎng)絡(luò)的控制權(quán)集中管理起來。

轉(zhuǎn)發(fā)與控制分離

SD（軟件定義），它并不是讓軟件替換硬件，而是將硬件的更多能力抽取出來，交給統(tǒng)一的軟件控制權(quán)管理。說白了，就是讓硬件通用化、簡(jiǎn)單化，變成“傻呆萌”。而軟件控制器（Controller），成為掌握一切的核心。

基于SDN的SD-WAN究竟是什么樣的架構(gòu)呢？字不如圖，我根據(jù)某設(shè)備商廠家的SD-WAN方案，畫了一張架構(gòu)圖。大家請(qǐng)看：

SD-WAN網(wǎng)絡(luò)架構(gòu)

大家可以看到，整個(gè)網(wǎng)絡(luò)架構(gòu)的軀干，其實(shí)還是Internet和MPLS專線。但是，在架構(gòu)之上，多了一個(gè)SD-WAN控制器。這個(gè)控制器，就是SD-WAN的管理控制核心。

在分公司節(jié)點(diǎn)，還有總部節(jié)點(diǎn)，多了一些uCPE和vCPE這樣的東西。

CPE之前介紹5G的時(shí)候說過，Customer Premise Equipment，業(yè)內(nèi)稱之為“客戶終端設(shè)備”。這里的CPE和5G CPE不一樣，5G CPE是把5G信號(hào)轉(zhuǎn)成Wi-Fi信號(hào)的。這里的CPE是連入網(wǎng)絡(luò)的一個(gè)接口盒子（可以理解為一個(gè)小路由器）。

uCPE是Universal CPE，通用客戶端設(shè)備。vCPE是Virtual CPE，虛擬客戶端設(shè)備。

管理員可以通過應(yīng)用層接口對(duì)SD-WAN控制器進(jìn)行配置，也可以下發(fā)vFW（虛擬防火墻，Firewall）、vWOC（虛擬廣域網(wǎng)優(yōu)化控制器，WAN Optimization Controller）功能到CPE，實(shí)現(xiàn)相應(yīng)的功能，無需專門購買硬件。

我們結(jié)合網(wǎng)絡(luò)架構(gòu)、節(jié)點(diǎn)設(shè)備來具體分析一下，采用SD-WAN究竟會(huì)帶來什么改變：

1、接口通吃，負(fù)載均衡

站在分公司的角度來看，SD-WAN不再強(qiáng)制只允許使用MPLS，而是允許MPLS、xSDL、PON光纖寬帶、4G LTE，甚至5G等多種連接類型。CPE可以支持多種接口的Bonding（綁定），從而變成了一個(gè)接口資源池。

借助軟件能力、某些設(shè)備商的CPE可以識(shí)別上千種不同應(yīng)用的等級(jí)，并安排不同的服務(wù)質(zhì)量。

舉例來說，視頻會(huì)議，對(duì)網(wǎng)絡(luò)質(zhì)量要求更高，就把優(yōu)先級(jí)和QoS設(shè)得高一點(diǎn)。文字聊天啥的，就設(shè)得級(jí)別第一點(diǎn)，讓它用LTE之類的網(wǎng)絡(luò)。

這樣一來，企業(yè)用戶對(duì)MPLS專線的依賴大大降低，普通光纖寬帶和4G也能派上用場(chǎng)。用戶的帶寬利用率提升了，流量成本也下降了。

2、自主選擇最佳路徑

WAN廣域網(wǎng)技術(shù)的關(guān)鍵，其實(shí)在于路徑選擇。對(duì)于不同的分公司，SD-WAN可以根據(jù)現(xiàn)網(wǎng)情況和配置策略，自主選擇最佳路徑。

SD-WAN還具備負(fù)載均衡的能力，以此來增強(qiáng)網(wǎng)絡(luò)的可靠性。

其實(shí)在運(yùn)營商網(wǎng)絡(luò)里，還有很多POP（point-of-presence，入網(wǎng)點(diǎn)），幫助解決跨運(yùn)營商之間的鏈路擁塞和負(fù)荷問題。

3、部署簡(jiǎn)單，秒速完成

在評(píng)價(jià)SD-WAN的部署速度時(shí)，人們會(huì)反復(fù)提到一個(gè)詞，叫做ZTP，也就是Zero Touch Provisioning，零接觸部署。簡(jiǎn)單來說，差不多就是即插即用。

除了CPE上電后自動(dòng)獲取配置之外，還可以用掃碼配置或郵件配置的方式。

以郵件部署方式為例。在部署SD-WAN時(shí)，總部的IT工程師只需要提前做好配置數(shù)據(jù)，然后將配置通過郵件的方式，發(fā)給分公司的任何員工，該員工即可通過鏈接，完成設(shè)備的配置部署。

就是這么方便和快捷，不再需要專業(yè)IT人士到場(chǎng)進(jìn)行配置安裝。

4、自管自控，智能運(yùn)維

SD-WAN具有SDN的基因，所以在網(wǎng)絡(luò)的管理上擁有先天的優(yōu)勢(shì)。但凡是SD-WAN的管理平臺(tái)，都是圖形可視化的。管理員可以清楚地通過網(wǎng)管界面看到SD-WAN的運(yùn)行情況，并及時(shí)對(duì)出現(xiàn)的問題進(jìn)行處置。這就大大降低了維護(hù)的難度，也減少了故障的處理時(shí)間。

總而言之，SD-WAN的好處就是省錢又好用。根據(jù)測(cè)算，同比例帶寬情況下，SD-WAN相較MPLS，每年至少可節(jié)省30%的成本投資。因此也有人戲稱SD-WAN是“Save Dollars（省錢）-WAN”。

SD-WAN的優(yōu)勢(shì)

靈活性：SD-WAN技術(shù)通過消除物理設(shè)備的流量管理負(fù)擔(dān)并將其轉(zhuǎn)移到軟件，從而獲得部署和管理的靈活性，企業(yè)用戶最大限度地減少管理基礎(chǔ)架構(gòu)和連接的麻煩。

降低成本：SD-WAN允許MPLS、寬帶、無線LTE等多種連接類型，企業(yè)用戶可降低對(duì)專用MPLS的依賴，根據(jù)流量大小合理配置連接方式和運(yùn)營商。SD-WAN在軟件端部署連接，可以省掉昂貴的路由硬件。SD-WAN通過自動(dòng)化提高了分支機(jī)構(gòu)的IT效率，進(jìn)一步降低整體網(wǎng)絡(luò)開銷。

SD-WAN

SD-WAN應(yīng)該具有以下4個(gè)功能：

·     支持多種連接方式，MPLS，frame relay，LTE，Public Internet等等。

o            SD-WAN將Virtual WAN與傳統(tǒng)WAN結(jié)合，在這之上做overlay。對(duì)于應(yīng)用程序來說，不需要清楚底層的WAN連接究竟是什么。在不需要傳統(tǒng)WAN的場(chǎng)景下，SD-WAN就是Virtual WAN。

·     能夠在多種連接之間動(dòng)態(tài)選擇鏈路，以達(dá)到負(fù)載均衡或者資源彈性。

o            與Virtual WAN類似，動(dòng)態(tài)選擇多條路徑。SD-WAN如果同時(shí)連接了MPLS和Internet，那么可以將一些重要的應(yīng)用流量，例如VoIP，分流到MPLS，以保證應(yīng)用的可用性。對(duì)于一些對(duì)帶寬或者穩(wěn)定性不太敏感的應(yīng)用流量，例如文件傳輸，可以分流到Internet上。這樣減輕了企業(yè)對(duì)MPLS的依賴?；蛘?，Internet可以作為MPLS的備份連接，當(dāng)MPLS出故障了，至少企業(yè)的WAN網(wǎng)絡(luò)不至于也斷連。

·     簡(jiǎn)單的WAN管理接口。

o            凡是涉及網(wǎng)絡(luò)的事物，似乎都存在管理和故障排查較為復(fù)雜的問題，WAN也不例外。SD-WAN通常也會(huì)提供一個(gè)集中的控制器，來管理WAN連接，設(shè)置應(yīng)用流量policy和優(yōu)先級(jí)，監(jiān)測(cè)WAN連接可用性等等?；诩锌刂破?，可以再提供CLI或者GUI。以達(dá)到簡(jiǎn)化WAN管理和故障排查的目的。

·     支持VPN，防火墻，網(wǎng)關(guān)，WAN優(yōu)化器等服務(wù)。

o            SD-WAN在WAN連接的基礎(chǔ)上，將提供盡可能多的，開放的和基于軟件的技術(shù)。

基本的SD-WAN的操作就是多條WAN路徑的選擇規(guī)劃，如下圖所示。

SD-WAN產(chǎn)品

當(dāng)我們說SDN時(shí)，更多是一種針對(duì)DC的網(wǎng)絡(luò)架構(gòu)。而SD-WAN卻是一種可以購買技術(shù)產(chǎn)品。與Virtual WAN類似，SD-WAN產(chǎn)品可以是物理的，也可以是虛擬的。在WAN架構(gòu)中，SD-WAN與WAN edge router放置在一起，用來增強(qiáng)WAN edge router甚至替代WAN edge router。從其放置的位置可以看出，客戶所有的WAN流量都會(huì)流經(jīng)SD-WAN。對(duì)于純Virtual WAN而言，其產(chǎn)品越來越多的部署在云上。SD-WAN產(chǎn)品的位置如下圖所示：

現(xiàn)實(shí)中，各個(gè)宣稱提供SD-WAN的公司，其產(chǎn)品也不盡相同。主要可以分為兩大類，一類是提供SD-WAN設(shè)備，可以是專用設(shè)備，也可以是現(xiàn)有設(shè)備集成了SD-WAN功能，另一類是提供WAN as a Service，自己提供WAN網(wǎng)絡(luò)的同時(shí)，搭配售賣SD-WAN設(shè)備。

第一類就是前面介紹的SD-WAN。這里再說一說第二類，以三昶為例，三昶通過與各個(gè)SP合作，自己構(gòu)建了一個(gè)全球范圍的WAN。三昶的WAN在全球有400個(gè)接入點(diǎn)。據(jù)稱，對(duì)于世界上95%的企業(yè)來說，都可以找到小于30毫秒的延時(shí)的接入點(diǎn)。企業(yè)用戶需要通過Internet接入到三昶的接入點(diǎn)，之后數(shù)據(jù)就跑在三昶的骨干網(wǎng)上。三昶相當(dāng)于對(duì)WAN做了虛擬化，在這之上虛擬出了多個(gè)私有WAN，供用戶使用。三昶的SD-WAN設(shè)備用來連接用戶網(wǎng)絡(luò)和其接入點(diǎn)。這種方式，部署簡(jiǎn)單，傳統(tǒng)的MPLS部署可能需要幾個(gè)月，而現(xiàn)在幾個(gè)小時(shí)就可以了。成本上也能大大降低，三昶的產(chǎn)品比較同等的MPLS，節(jié)約了超過50%的成本。下圖是三昶的組網(wǎng)示意圖。