SD-WAN基礎---SD-WAN簡單了解

一：推文（摘錄、轉載自）

關於SD-WAN，你不得不了解的10個常識

那些讓人怦然心動的SD-WAN功能（上）

那些讓人怦然心動的SD-WAN功能（中）

二：SD-WAN是什么

SD-WAN，即軟件定義廣域網絡，是將SDN技術應用到廣域網場景中所形成的一種服務。
這種服務用於連接廣闊地理范圍的企業網絡、數據中心、互聯網應用及雲服務，旨在幫助用戶降低廣域網的開支和提高網絡連接靈活性。

SD-WAN是一種應用於WAN傳輸連接的基於軟件的網絡應用技術，它可以使得企業將廣域網連接和功能整合並虛擬化成集中式的策略，
以簡化復雜WAN拓撲的部署和管理。——SDNlab

三：SD-WAN出現的原因

在雲計算、移動應用、企業全球化成為大背景的環境下，
越來越多的實時應用（異地辦公、視頻會議、遠程桌面、支付交易系統、遠程醫療）要在多個節點間傳遞，
斷線、訪問慢等問題將會放大用戶的不滿，造成交易流失。
而SD-WAN的出現不僅解決了互聯網不穩定、專線造價昂貴的問題，最重要的是能夠極大程度上滿足這些應用即時性和實時性的要求。

四：SD-WAN解決方案的基本功能

統一管理與監控：SD-WAN整合了路由器、防火牆、DPI檢測、廣域網加速等功能，確保企業真正意義上實現對應用的管理與監控。
安全性:可通過使用IPSec或TLS/DTLS加密來保護傳輸中的數據，確保數據安全。
智能路徑控制：當一條鏈路發生故障，中央控制台會自動切換鏈路，保證應用程序依然能夠繼續工作，同時發送報告。

或者

1.Application-Aware Routing (基於應用的路由選擇)----智能靈活
2.Zero-Touch Provisioning (全自動服務開通)----便捷
3.Security, Monitoring, and Analytics (安全，監控，和數據分析)----安全可視
4.All-in-One uCPE Package (通用白盒CPE， VNF百寶箱)----避免廠商鎖定

補充：CPE和無線接入點AP區別

客戶前置設備,實際是一種接收移動信號並以無線WIFI信號轉發出來的的移動信號接入設備，它也是一種將高速4G或者5G信號轉換成WiFi信號的設備，可支持同時上網的移動終端數量也較多
我們總是希望無線覆蓋基站的覆蓋范圍越大越好，但是無線系統的傳輸距離同時也與客戶終端設備的技術指標有關。標准WiFi客戶端的上行功率有限（一般為15dBm），無論無線覆蓋基站的下行功率有多大，標准WiFi客戶端的上行距離都受到了上行功率的限制，距離十分有限。無線CPE就是專用客戶終端設備，采用無線室外CPE距無線覆蓋基站的距離可以達到標准WiFi客戶端的4倍。
當然在實際應用中，難以找到視距無遮擋的應用環境，通過無線傳播模型的測算和實際經驗表明，采用CPE的客戶端與基站的傳輸距離可以達到1Km－5Km

五：SD-WAN部署的重要考慮因素--可擴展性

由於SD-WAN部署使得添加新的分支站點變得更加容易，
因此具有分布式分支站點的垂直行業是最先使用SD-WAN的一些行業，包括零售，制造業，醫療保健，餐館和金融服務。

六：SD-WAN基本功能講解---基於應用的路由選擇

（一）Application-Aware Routing (基於應用的路由選擇)

這一個功能實際上涵蓋了好幾個關鍵技術（比如中心化Policy的制定和下發，實時鏈路狀態檢測，應用類型識別，多徑選擇，等等）

Application-Aware Routing 本質上是根據客戶流量中不同應用的類別，來選擇使用不同的廣域網(WAN) 鏈路 (比如專線 vs. 公共互聯網vs. 無線移動網絡) 進行數據的傳輸，
從而達到在不影響關鍵應用通信質量的情況下，盡可能的降低網絡帶寬成本的目的。幫企業省錢

（二）案例講解--為什么要選擇使用不同的WAN鏈路？《不錯》

“殼牌石油”是一家大型跨國企業，在世界各地都有自己的分支機構和網點，
如何把這些遍布全球的辦公室和商業網點通過網絡連接起來，並保證他們之間穩定和安全的數據通信，這並不是一件容易的事情。
通常來講，他們都會從大型電信運營商那里購買一種叫“企業專線（VPN）”的服務。
這種服務覆蓋區域廣，穩定性高，也很安全，但最主要的缺點是太貴。到底有多貴？
在購買相同的帶寬檔次的情況下（比如都是100MB/s），企業專線比我們自己家里上網用的寬帶貴了10倍-100倍。
經年累月的給全球成百上千的分支機構交高昂的網絡費，即使不差錢的跨國大企業也大呼吃不消。
更令它們抓狂的是，要為新分支開通專線服務時，少則等數星期、多則等數月
（比如，當新分行不在這個電信運營商的傳統服務區域內時，電信運營商需要和本地電信運營商協商租用對方線路，有時甚至迫不得已自己挖溝埋線。）。
這些痛苦的現實令跨國大企業終於決心開始尋找其他的網絡方案。
比如，能不能盡可能的多使用、甚至只使用價格優惠的，並且無須漫長等待，隨時可以開通的公共互聯網來進行站點之間的互聯?
或者盡可能把對網絡穩定性和安全性要求沒那么高的流量通過公共互聯網來進行傳輸、只把最重要的信息通過企業專線進行傳輸? 
如此一來，企業專線所需的帶寬就能大大減少，立竿見影地為企業省下不少的銀子。這就是為什么企業想要選擇不同的WAN鏈路來進行數據傳輸背后的原因。

Application-Aware Routing 這個功能能夠使企業用戶方便靈活地通過自己定義策略 (Policy) 的方式來選擇何種類型的應用（語音，視頻，郵件等）在何種鏈路條件下 (時延，丟包率) 選擇使用哪條路徑（專線，公共互聯網，4G-LTE無線網絡）來進行數據的傳輸。
這樣既節省了專線帶寬的開銷，也保證了一些關鍵應用的通信質量。

（三）實現機制--三步走

 

第一步, 用戶（企業）在中心化的用戶管理界面上定義Application-Aware Routing 的策略 (Policy)。假設應用A是一個對網絡質量要求很高的應用（比如實時視頻會議）。 

那么用戶定義的Policy可以是：
針對應用A（實時視頻會議），請選擇時延低於100ms， 丟包率低於2% 的路徑進行傳輸。
Policy的制定可以通過類似配置文件的方式進行手動鍵入，也可以通過對常見的Policy類型先定義模板 (Template)，然后再對模板加以賦值的方式在用戶界面上快速方便的制定Policy。
后者更加人性化，也減少了用戶手動鍵入Policy時出錯的概率。
中心化的Policy制定完成后，就會下發到相應站點處的CPE設備上面，並對設備進行相應的配置。

第二步，不論當前WAN鏈路上有沒有用戶數據在跑，各個站點的CPE設備時時刻刻都在對他們之間的各條數據層鏈路進行着測量（通常使用BFD或類似的鏈路監測協議）

他們不僅測量各條鏈路是否通暢，同時也詳細記錄下每條鏈路的實時狀態信息，比如時延，丟包率，抖動，等。

第三步，每當一個新的應用流量進入CPE設備時，CPE設備會通過包頭的端口信息（或使用深度包監測 / DPI）識別出這個流量的應用類型。

如果本地Policy中已經存在對於這種應用類型的定義，CPE設備就會將Policy中對於鏈路質量的要求和當前所有鏈路的實時信息進行比對，挑選出能夠滿足用戶Policy定義要求的鏈路來進行傳輸。
在圖中的例子里，路徑1 (企業專線) 和路徑3 (LTE專線網絡) 都能滿足用戶Policy設定的要求，這時CPE就會在路徑1和3中選擇一條來進行應用A的數據傳輸 
(注：當遇到多條路徑均滿足條件的情況，CPE通常采用等價多徑 (ECMP) 的哈希算法來保證同一個應用流內的所有數據包都走相同的路徑，以避免亂序到達的情況)。

補充注意點

另外請注意用戶對於Application-Aware Routing Policy的制定是中心化的，無須用戶逐一登錄到各個站點的CPE進行手動配置。這是SD-WAN中心化管理和控制這個核心思想的再一次體現。

七：SD-WAN基本功能講解---全自動服務開通

（一）為什么ZTP會是一個吸引客戶的SD-WAN功能？

首先ZTP這個技術最早被提出可以追溯到數據中心內對交換機進行自動配置這個應用場景。
試想在構建一個大型數據中心的網絡基礎設施時，對其成百上千台的交換機如果都使用傳統的手工命令行鍵入的方式來逐一進行初始化配置，鏡像升級，不僅費時費力，而且還容易出錯。
所以交換機廠商們就率先提出了ZTP這個技術: 
將初始化配置和鏡像升級文件的位置等信息在交換機第一次上電后，以響應其DHCP請求的方式發送給交換機，從而讓交換機能夠自動去指定位置 (即ZTP Server) 獲取初始化配置，下載和升級鏡像文件。
從而大大加快了數據中心網絡的構建速度，同時減小了人為出錯的機率。

這一功能一經推出立刻大受好評，也隨之推廣到數據中心以外的各種網絡自動化部署的應用場景。
對於SD-WAN的 CPE設備的自動化部署和服務開通自然也不例外。
而針對SD-WAN 這一場景，除了之前提到提升設備配置效率、減少人為出錯這兩個優點以外，還有一個很重要的原因就是可以避免專業網絡運維人員逐一訪問各個企業站點 (俗稱：Truck Roll) 去配置CPE設備和開通SD-WAN服務。
這能幫助網絡運營商和企業用戶省下不少運維成本。這也正是ZTP 如此受到客戶青睞的原因。

（二）ZTP的典型流程和實現方式--兩個階段

 

 第一階段 (Phase 1) 是對CPE設備入網前進行一些准備工作（也即所謂的CPE On-Boarding）

此時CPE設備還處在設備廠商或運營商的網管中心，或企業用戶自己的數據中心，在這里關於這個CPE設備的一系列具體信息 (比如: 軟/硬件序列號，端口數量和類型，IP地址和其配置方式，以及即將被部署的站點位置信息，等等) 都會由網絡運維人員手動錄入SD-WAN網管系統。
人工錄入的過程通常以填寫模板的方式來進行，從而提升效率、減少人為出錯機率。填寫好的配置模板會自動生成配置文件存放在系統里，用於之后對CPE設備的自動化配置。

第二階段 (Phase 2) 是CPE設備被郵寄到企業用戶站點之后的一系列操作

(2) CPE設備開機上電 (在此之前要確保CPE設備的WAN端口已連上可用的WAN網絡)。

(3) CPE設備通過WAN端口以DHCP的方式自動獲取WAN IP地址 。

(4) CPE 設備通過DNS Server 查詢並獲得 ZTP Server 的IP 地址。ZTP Server 的Domain Name 是在Phase 1 On-Boarding時存入CPE設備的。 取決於企業客戶選擇的商業模式，ZTP Server 可以由 SD-WAN 供應商，或運營商，或企業客戶自己，來提供和維護。

(5) ZTP Server 通過比對CPE設備的軟/硬件序列號等信息，查找出這個CPE設備屬於哪個企業用戶，從而導向相應的驗證服務器 (Auth. Server) 對CPE設備進行安全驗證。

(6) 安全驗證的方式可以有很多種，包括使用郵件或短信驗證的方式來確保CPE設備是在正確的客戶站點入網。驗證通過后，Auth. Server 會將 SD-WAN Controller 的IP 地址發送給 CPE設備，從而在Controller 和 CPE 設備之間建立起安全的控制信道。

(7) Controller 將之前生成的初始化的配置信息發送給CPE設備，從而完成設備的初始化配置和升級。之后Controller和CPE設備會交換本站點和其他站點的路由及安全密鑰等信息，用於建立跨站點之間的數據層IPSec鏈路

至此，這個CPE設備算是徹底加入了SD-WAN網絡, 這個新的企業站點可以與其它的站點利用SD-WAN的各種炫酷的功能開始愉快地通信（比如上次講到的 Application-Aware Routing）。

（三）ZTP價值

(1) 從客戶的角度來看：
從企業客戶收到CPE設備的郵遞包裹，到站點SD-WAN 業務上線，客戶只需要插上相應的網線和電源線，通過短信或郵件進行簡單的身份認證，
剩下的事情都會自動完成，無需客戶操心。
(2) 從運營商的角度來看：
只需在On-Boarding的階段，在中心化的網管中心內，對CPE設備進行一些初始化的配置操作（而且可以借助模板來快速實現），
無需派遣網絡運維人員到客戶站點進行繁瑣的手動配置。
這不僅大大加快了開通服務的速度，減少了手動配置出錯的概率，同時也節省了派遣Truck Roll的成本。所以說ZTP絕對是一個皆大歡喜的好功能。