SDN概念的提出已十年多，“轉(zhuǎn)控“分離的思想深入人心，并且延伸到其它領域：軟件定義廣域網(wǎng)，軟件定義存儲，軟件定義邊界…任何技術的提出和落地都是以解決用戶痛點為導向的，在經(jīng)歷了概念炒作的泡沫期后，技術開始沉淀并趨于務實。本文將針對SD-WAN(軟件定義廣域網(wǎng))帶領讀者推演這一技術的使用場景和用戶價值。

[[220830]]

與LAN和MAN不同，WAN完成的是更大范圍內(nèi)的互聯(lián)，Internet就是最大的一張廣域網(wǎng)。對于多地存在分支的政企單位，存在異地互聯(lián)的需求。出于安全，時延和帶寬保證的目的，常常采取租用運營商SDH/MPLS專線的方式。專線接入實現(xiàn)了VPN甚至物理隔離，提供了網(wǎng)絡層面的天然安全，充分的Qos機制保障了對時延敏感的應用(視頻會議，VOIP等)的可靠傳輸。但專線也存在著費用高，開通慢的缺陷：本地有無POP點、到達POP點有無物理線路、跨運營商線路租用和協(xié)同、各分支線路和業(yè)務的逐臺部署。而傳統(tǒng)的專線網(wǎng)絡模型又加重了企業(yè)在專線費用這塊的經(jīng)濟負擔。

圖一 傳統(tǒng)專線網(wǎng)絡模型

如圖一所示，出于安全和審計需求，所有分支對互聯(lián)網(wǎng)訪問的流量都要經(jīng)過專線到達總部，經(jīng)由總部的互聯(lián)網(wǎng)出口進入Internet。雖然陸續(xù)出現(xiàn)的WAN加速技術(如協(xié)議優(yōu)化、連接復用、數(shù)據(jù)壓縮等)通過優(yōu)化流量一定程度緩解了WAN鏈路帶寬的需求，但隨著企業(yè)IT基礎設施的不斷擴展，WAN鏈路帶寬依舊需要不斷擴容。對于業(yè)務可靠性要求高的企業(yè)常常還租用多家運營商線路進行冗余備份，帶寬利用率低。有的企業(yè)為了應對突發(fā)流量不得不提供滿足峰值流量的資源環(huán)境，而這些資源平時大部分時間閑置，無法做到動態(tài)歸還，所有這些都與云時代的資源池化，動態(tài)伸縮的思想背道而馳。隨著云計算的發(fā)展，企業(yè)的IT架構發(fā)生的巨大變化，傳統(tǒng)的DC云化構成企業(yè)的私有云。企業(yè)的IT資源或是全部遷移到公有云(經(jīng)典網(wǎng)絡/VPC)，或是同時兼顧數(shù)據(jù)本地化和資源彈性采用私有云和公有云混合部署，但無論哪種方式都必然決定了對Internet的訪問從之前的伴隨型需求變成了剛性需求，數(shù)據(jù)的同步、備份、遷移也變?yōu)槌B(tài)。

大量的公網(wǎng)流量繼續(xù)走專線顯然已不合時宜，于是WAN的形式出現(xiàn)了一次變化—Hybrid-WAN。如圖二所示，訪問總部DC或私有云的流量繼續(xù)走專線，對公有云的訪問直接從分支進入Internet。互聯(lián)網(wǎng)分流了專線流量，減輕了專線的流量負載，但同時也在分支引入了安全和保密的需求。原本只需要在總部部署防火墻和安全策略，現(xiàn)在需要部署到分支CPE上，安全域的邊界從總部擴展到分支，同時為了在不安全的公共網(wǎng)絡上安全傳輸企業(yè)內(nèi)部數(shù)據(jù)需要引入相應的加密傳輸機制。

圖二 Hybrid-WAN網(wǎng)絡模型

互聯(lián)網(wǎng)鏈路彌補了專線的不足，通過防火墻的安全隔離使分支CPE內(nèi)部得到了一定的安全保證，SSL/IPSEC又保證了在互聯(lián)網(wǎng)上傳輸企業(yè)私密數(shù)據(jù)的安全，Hybrid-WAN看上去似乎比較完美，但在實際應用中又暴露出一些明顯的問題：

1. 分支業(yè)務無法快速開通

分支開通需要配置CPE業(yè)務，無論CLI還是網(wǎng)管，都需要對業(yè)務進行逐條配置下發(fā)，業(yè)務變更對于大量的分支機構的維護將是災難性的。

2. 選路策略基于路由，無法動態(tài)感知應用

選路策略往往是根據(jù)流量目的是去往總部還是公有云進行粗暴區(qū)分，檢測粒度沒有上升到應用級，也就無從考慮應用對鏈路質(zhì)量的需求。

3. 策略模型過于剛性，不適應業(yè)務動態(tài)變化

云計算最大特點就是高度動態(tài)，傳統(tǒng)通信設備上的策略模型嚴格依賴配置，業(yè)務或鏈路質(zhì)量發(fā)生變化后往往意味著配置要跟隨變化。于是WAN又出現(xiàn)了SDN時代的重大演進—SD-WAN。SD-WAN繼承了“轉(zhuǎn)控分離“的思想，通過統(tǒng)一的中央控制器實現(xiàn)各CPE設備的統(tǒng)一管控。新開CPE可通過Call Home自動連接控制器下載配置和策略，真正做到零接觸快速開通，且配置變更時只需要在控制器上修改一次，所有分支站點自動同步。通過CPE對流量的深度識別和基于探針的鏈路狀況檢測，使得流量選路策略更加精細靈活，實現(xiàn)策略與網(wǎng)絡質(zhì)量隨動，是真正意義的動態(tài)流量調(diào)度。

SD-WAN減輕了企業(yè)在專線使用上的開銷，利用資費更低、開通便捷的互聯(lián)網(wǎng)也適應了企業(yè)使用公有云、混合云的技術訴求，快速部署、動態(tài)調(diào)度更是將這種性價比推向極致。雖然SD-WAN的功能還不止于此，但這個功能卻是當前最具客戶價值的。下一篇將分析具體的SD-WAN技術方案。