本文主要介紹了SD-WAN的總體架構和關鍵技術：ZTP開局、靈活組網(wǎng)、智能選路、廣域優(yōu)化、安全、運維與監(jiān)控等。

SD-WAN 總體架構

華為SD-WAN解決方案總體架構如圖1-1所示，主要包括：管理層、控制層和網(wǎng)絡層。每層具備明確的核心組件并承擔不同的功能。圖1-1 華為SD-WAN解決方案總體架構

管理層：網(wǎng)絡控制器是管理層的核心部件，是SD-WAN解決方案的智慧大腦，具有網(wǎng)絡編排、管理能力，通過已有的Portal界面，進行SD-WAN端到端業(yè)務處理。

控制層：RR（SD-WAN Route Reflector，SD-WAN路由反射器），是控制層的核心產(chǎn)品組件，主要負責集中控制SD-WAN網(wǎng)絡層的路由轉(zhuǎn)發(fā)和拓撲定義。

網(wǎng)絡層：從業(yè)務角度來說，企業(yè)的分支、總部和數(shù)據(jù)中心以及在云上部署的IT基礎設施等都可以統(tǒng)稱為企業(yè)的站點。用于不同站點WAN互聯(lián)的網(wǎng)絡設備以及中間的WAN一起構成了SD-WAN的網(wǎng)絡層。

SD-WAN 關鍵技術

安全可靠的系統(tǒng)通道

SD-WAN解決方案的各個產(chǎn)品組件需要協(xié)同運作來共同實現(xiàn)SD-WAN解決方案的各種功能。邏輯上抽象為如下三個系統(tǒng)通道，如圖1-2所示，實現(xiàn)不同類型的數(shù)據(jù)邏輯隔離，業(yè)務互不影響。

圖1-2 SD-WAN系統(tǒng)通道

多場景ZTP開局，設備即插即用

傳統(tǒng)分支網(wǎng)絡的開局存在技術門檻高、易出錯、耗時長的問題。SD-WAN解決方案提供多種ZTP開局方式，來滿足不同場景的訴求。當前支持的開局方式如表1-1所示，開局流程如圖1-3所示。

表1-1 ZTP開局方式開局方式適用場景

郵件開局適用于到現(xiàn)場進行開局的場景。網(wǎng)絡管理員將開局郵件發(fā)送到指定郵箱，開局人員在收到開局郵件后，通過點擊郵件中的URL，設備自動完成開局部署。

U盤開局適合于在庫房批量開局的場景。設備管理員在庫房對CPE進行導入配置操作后，開局人員只需對CPE進行連線，插入U盤后設備上電。

DHCP Option開局僅適用于CPE通過DHCP接入的場景。站點開局人員只需對CPE進行連線上電，無須其他額外操作。

圖1-3 ZTP開局流程

靈活組網(wǎng)，滿足不同網(wǎng)絡需求

LAN側(cè)組網(wǎng)

華為SD-WAN解決方案提供FE、GE、XGE、Eth-Trunk等豐富的接口進行LAN側(cè)對接，并支持二層、三層2種對接場景。

LAN側(cè)二層對接

對于規(guī)模較小的站點，當內(nèi)部網(wǎng)絡結構比較簡單時，CPE通常通過二層方式連接站點的內(nèi)部網(wǎng)絡。當前支持四種組網(wǎng)方式，如圖1-4所示。

圖1-4 LAN側(cè)二層組網(wǎng)

LAN側(cè)三層對接

對于較大的企業(yè)站點，站點網(wǎng)絡有著較復雜的網(wǎng)絡結構，網(wǎng)絡設施比較復雜，不僅由眾多的路由器、交換機構建而成，而且會伴隨著分層結構和多網(wǎng)絡設計。SD-WAN路由器可以通過靜態(tài)路由、BGP和OSPF路由的方式打通與LAN側(cè)的三層聯(lián)接，并提供圖1-5所示三種組網(wǎng)。圖1-5 LAN側(cè)三層組網(wǎng)

WAN側(cè)組網(wǎng)

華為SD-WAN解決方案提供以太接口、LTE/5G接口、xDSL接口等豐富的WAN側(cè)接口。根據(jù)SD-WAN站點內(nèi)部署的CPE數(shù)量以及CPE的WAN側(cè)連接鏈路數(shù)量，提供多種組網(wǎng)模型。

部署單CPE組網(wǎng)

對于小型站點可以選擇部署單CPE設備，如圖1-6所示。圖1-6 單CPE組網(wǎng)

部署雙CPE組網(wǎng)

對于可靠性要求較高的站點建議選擇部署雙CPE設備，如圖1-7所示，以提供設備級冗余。圖1-7 雙CPE組網(wǎng)

Overlay隧道按需構建

SD-WAN站點通過在Underlay網(wǎng)絡上構建Overlay隧道實現(xiàn)站點間的互通。企業(yè)WAN的拓撲模型，主要分為單層網(wǎng)絡模型和分層網(wǎng)絡模型兩種。按照網(wǎng)絡的拓撲進行細分，單層網(wǎng)絡模型進一步又可以劃分為Hub-spoke、Full-mesh和Partial-mesh方式，具體如圖1-8所示。

圖1-8 企業(yè)WAN的拓撲模型

應用智能選路，保障關鍵應用，提升帶寬利用率

SD-WAN的一個重要特性就是可以根據(jù)應用訴求進行智能選路，即能夠?qū)崟r監(jiān)控網(wǎng)絡的質(zhì)量，并根據(jù)應用的SLA要求，在多條不同網(wǎng)絡質(zhì)量的WAN鏈路上，動態(tài)、自動地選擇符合應用的SLA要求的網(wǎng)絡路徑，同時兼顧WAN網(wǎng)絡的整體使用效率。

SD-WAN解決方案提供如下智能選路算法。

鏈路質(zhì)量選路

不同應用對鏈路質(zhì)量的要求不同，比如語音和視頻業(yè)務對時延、丟包率的容忍度較低，一般要求時延在150ms以內(nèi)，丟包率低于1%；則可將語音和視頻業(yè)務的主選鏈路配置為質(zhì)量較好的MPLS鏈路，備選鏈路配置為Internet鏈路，并配置業(yè)務的SLA要求，按照鏈路SLA進行選路。

如圖1-9所示，在MPLS鏈路/網(wǎng)絡沒有發(fā)生擁塞時質(zhì)量較好，此時語音選擇在MPLS鏈路上傳輸。當由于擁塞導致MPLS質(zhì)量下降時，CPE通過實時的鏈路質(zhì)量檢測，在檢測到鏈路SLA變差并達到語音所能容忍的SLA邊界時，將語音流量調(diào)整到符合SLA要求的負載較輕的Internet鏈路上。另外在MPLS鏈路由于故障斷鏈時，SD-WAN CPE實時檢測到鏈路故障，及時地將MPLS鏈路上所有業(yè)務遷移到Internet鏈路上，保證業(yè)務不受MPLS鏈路故障的影響。

負載分擔選路

在企業(yè)有多條鏈路時，希望能夠充分利用線路帶寬，基于鏈路帶寬進行負載分擔選路，此時可配置負載均衡方式的選路調(diào)度方式。圖1-10 負載分擔選路

如圖1-10所示，企業(yè)分別購買了不同運營商的兩條MPLS鏈路，運營商A的100M的MPLS和運營商B的50M的MPLS，則可將語音業(yè)務的主選鏈路設置為這兩條MPLS鏈路。在兩條鏈路質(zhì)量均滿足語音業(yè)務SLA的前提下，語音業(yè)務可以以負載分擔的方式跑在兩條MPLS鏈路上，充分利用線路帶寬。

應用優(yōu)先級選路

如果在同一條鏈路上有多種業(yè)務報文，為了在鏈路擁塞時優(yōu)先保證高優(yōu)先級應用的使用，在發(fā)生擁塞時低優(yōu)先級應用避讓高優(yōu)先級應用，此時可使用優(yōu)先級選路。比如語音和視頻以及文件傳輸都在MPLS上，在鏈路帶寬不夠時優(yōu)先保證語音和視頻業(yè)務不受影響。

如圖1-11所示，由于MPLS線路質(zhì)量相對Internet鏈路好，為充分利用MPLS鏈路，將語音和FTP業(yè)務的主選鏈路均選擇為MPLS，備選鏈路為Internet。設置語音業(yè)務的優(yōu)先級高于FTP。初始時，語音和FTP均選擇MPLS鏈路，隨著語音業(yè)務和FTP業(yè)務的增加，MPLS鏈路出現(xiàn)擁塞，為保證語音業(yè)務的體驗，將FTP業(yè)務逐步遷移到Internet鏈路，在MPLS擁塞解除后停止遷移。另外，為充分利用MPLS帶寬，可以配置在MPLS恢復時將FTP業(yè)務逐步遷移回MPLS鏈路。

帶寬利用率選路

如果在同一條鏈路上有多種業(yè)務報文，為了在鏈路擁塞時優(yōu)先保證高優(yōu)先級應用的使用，在線路帶寬利用率達到一個閾值后時，低優(yōu)先級應用避讓高優(yōu)先級應用同時選擇其他滿足要求的鏈路轉(zhuǎn)發(fā)，此時可使用帶寬利用率選路。比如語音和文件傳輸都在MPLS上，在鏈路帶寬利用率超過閾值上限時，優(yōu)先保證語音業(yè)務不受影響。

如圖1-12所示，由于MPLS線路質(zhì)量相對Internet鏈路好，為充分利用MPLS鏈路，將語音和FTP業(yè)務的主選鏈路均選擇為MPLS，備選鏈路為Internet。設置語音業(yè)務的優(yōu)先級高于FTP，并且設置MPLS鏈路切換的閾值上限為70%、閾值下限為50%。初始時，語音和FTP均選擇MPLS鏈路，隨著語音業(yè)務和FTP業(yè)務的增加，MPLS鏈路出現(xiàn)擁塞，當MPLS鏈路的帶寬利用率超過70%時，為保證語音業(yè)務的體驗，將FTP業(yè)務逐步遷移到Internet鏈路。另外，為充分利用MPLS帶寬，當MPLS鏈路的帶寬利用率小于50%時，將FTP業(yè)務逐步遷移回MPLS鏈路。

廣域網(wǎng)優(yōu)化，提升應用的訪問體驗

隨著音視頻分辨率的提升，音視頻會議和視頻監(jiān)控技術應用更加廣泛，音視頻對帶寬和時延的要求也在迅速增長。企業(yè)數(shù)據(jù)流量WAN側(cè)比重逐漸加大，造成了企業(yè)租用線路的費用大幅提升。而Internet線路質(zhì)量也帶來了企業(yè)應用體驗問題，為了解決這些問題，企業(yè)網(wǎng)絡需要引入廣域鏈路優(yōu)化技術來優(yōu)化應用的訪問體驗，并且降低企業(yè)帶寬費用。

FEC優(yōu)化

FEC（Forward Error Correction，前向錯誤糾正）通過配置流策略的方式，對報文丟包進行優(yōu)化。FEC通過流分類攔截指定數(shù)據(jù)流，增加攜帶校驗信息的冗余包，并在接收端進行校驗。如果網(wǎng)絡中出現(xiàn)了丟包或者報文損傷，則通過冗余包還原報文。

多路包復制

多路包復制（雙發(fā)選收）是一種抗丟包技術。發(fā)送端CPE對數(shù)據(jù)包進行復制，把原始包和復制包通過多條鏈路中的兩條一起發(fā)送。如果一條鏈路上有丟包，則接收端CPE通過另一條鏈路上的冗余包還原，從而不用重傳。適用于流量小、高可靠的業(yè)務。例如：VoIP、付款業(yè)務等。

逐包負載分擔

當某條流特別大（即大象流），一條鏈路承載不了，但是其他鏈路空閑。逐包負載分擔可以將大象流分擔到多條鏈路上，提升鏈路利用率。在有多條出口鏈路的站點中，對加速大文件傳輸有很好的效果，常見的應用有：FTP/HTTP下載大文件、數(shù)據(jù)備份復制等。

主動防御，構建端到端安全保障

SD-WAN解決方案從系統(tǒng)安全、業(yè)務安全、組件安全三個方面，如圖1-15所示來保證安全。

系統(tǒng)安全：是SD-WAN解決方案必備的基礎安全能力，系統(tǒng)在初始化之后就自動具備這些能力，使得SD-WAN解決方案系統(tǒng)能夠安全、可靠地運轉(zhuǎn)。

業(yè)務安全：是單獨部署的安全功能，根據(jù)企業(yè)用戶實際的業(yè)務安全需求，靈活選擇合適的安全防護措施。

組件安全：iMaster NCE、CPE、RR組件本身提供的安全功能以及在組件部署時需要考慮的安全因素。

可視化運維與監(jiān)控，提升運維效率

數(shù)字大屏和運維監(jiān)控一體化界面

基于拓撲 、GIS、50+報表等方式展示全網(wǎng)狀態(tài)，如圖1-16所示，提升運維效率和業(yè)務體驗質(zhì)量。

基于拓撲的一站式運維

基于拓撲的一站式運維，如圖1-17所示，實現(xiàn)物理網(wǎng)絡和邏輯網(wǎng)絡互視，集成常用診斷工具，典型故障一鍵定位。

提供敏捷報表功能支持設備/鏈路/網(wǎng)絡性能/告警等數(shù)據(jù)靈活的圖形化展示能力，如圖1-18。通過拖拽式創(chuàng)建、自助式分析，提供業(yè)務決策的有力依據(jù)，如圖1-19。

提供精準的告警信息郵件通知

多種告警管理手段，如圖1-20所示，及時掌握現(xiàn)網(wǎng)網(wǎng)絡健康狀態(tài)。

原文標題：SD-WAN的架構與關鍵技術

文章出處：【微信公眾號：華為產(chǎn)品資料】歡迎添加關注！文章轉(zhuǎn)載請注明出處。