本文主要介紹了SD-WAN的總體架構和關鍵技術：ZTP開局、靈活組網、智能選路、廣域優化、安全、運維與監控等。

SD-WAN 總體架構

華為SD-WAN解決方案總體架構如圖1-1所示，主要包括：管理層、控制層和網絡層。每層具備明確的核心組件并承擔不同的功能。圖1-1 華為SD-WAN解決方案總體架構

管理層：網絡控制器是管理層的核心部件，是SD-WAN解決方案的智慧大腦，具有網絡編排、管理能力，通過已有的Portal界面，進行SD-WAN端到端業務處理。

控制層：RR（SD-WAN Route Reflector，SD-WAN路由反射器），是控制層的核心產品組件，主要負責集中控制SD-WAN網絡層的路由轉發和拓撲定義。

網絡層：從業務角度來說，企業的分支、總部和數據中心以及在云上部署的IT基礎設施等都可以統稱為企業的站點。用于不同站點WAN互聯的網絡設備以及中間的WAN一起構成了SD-WAN的網絡層。

SD-WAN 關鍵技術

安全可靠的系統通道

SD-WAN解決方案的各個產品組件需要協同運作來共同實現SD-WAN解決方案的各種功能。邏輯上抽象為如下三個系統通道，如圖1-2所示，實現不同類型的數據邏輯隔離，業務互不影響。

圖1-2 SD-WAN系統通道

多場景ZTP開局，設備即插即用

傳統分支網絡的開局存在技術門檻高、易出錯、耗時長的問題。SD-WAN解決方案提供多種ZTP開局方式，來滿足不同場景的訴求。當前支持的開局方式如表1-1所示，開局流程如圖1-3所示。

表1-1 ZTP開局方式開局方式適用場景

郵件開局適用于到現場進行開局的場景。網絡管理員將開局郵件發送到指定郵箱，開局人員在收到開局郵件后，通過點擊郵件中的URL，設備自動完成開局部署。

U盤開局適合于在庫房批量開局的場景。設備管理員在庫房對CPE進行導入配置操作后，開局人員只需對CPE進行連線，插入U盤后設備上電。

DHCP Option開局僅適用于CPE通過DHCP接入的場景。站點開局人員只需對CPE進行連線上電，無須其他額外操作。

圖1-3 ZTP開局流程

靈活組網，滿足不同網絡需求

LAN側組網

華為SD-WAN解決方案提供FE、GE、XGE、Eth-Trunk等豐富的接口進行LAN側對接，并支持二層、三層2種對接場景。

LAN側二層對接

對于規模較小的站點，當內部網絡結構比較簡單時，CPE通常通過二層方式連接站點的內部網絡。當前支持四種組網方式，如圖1-4所示。

圖1-4 LAN側二層組網

LAN側三層對接

對于較大的企業站點，站點網絡有著較復雜的網絡結構，網絡設施比較復雜，不僅由眾多的路由器、交換機構建而成，而且會伴隨著分層結構和多網絡設計。SD-WAN路由器可以通過靜態路由、BGP和OSPF路由的方式打通與LAN側的三層聯接，并提供圖1-5所示三種組網。圖1-5 LAN側三層組網

WAN側組網

華為SD-WAN解決方案提供以太接口、LTE/5G接口、xDSL接口等豐富的WAN側接口。根據SD-WAN站點內部署的CPE數量以及CPE的WAN側連接鏈路數量，提供多種組網模型。

部署單CPE組網

對于小型站點可以選擇部署單CPE設備，如圖1-6所示。圖1-6 單CPE組網

部署雙CPE組網

對于可靠性要求較高的站點建議選擇部署雙CPE設備，如圖1-7所示，以提供設備級冗余。圖1-7 雙CPE組網

Overlay隧道按需構建

SD-WAN站點通過在Underlay網絡上構建Overlay隧道實現站點間的互通。企業WAN的拓撲模型，主要分為單層網絡模型和分層網絡模型兩種。按照網絡的拓撲進行細分，單層網絡模型進一步又可以劃分為Hub-spoke、Full-mesh和Partial-mesh方式，具體如圖1-8所示。

圖1-8 企業WAN的拓撲模型

應用智能選路，保障關鍵應用，提升帶寬利用率

SD-WAN的一個重要特性就是可以根據應用訴求進行智能選路，即能夠實時監控網絡的質量，并根據應用的SLA要求，在多條不同網絡質量的WAN鏈路上，動態、自動地選擇符合應用的SLA要求的網絡路徑，同時兼顧WAN網絡的整體使用效率。

SD-WAN解決方案提供如下智能選路算法。

鏈路質量選路

不同應用對鏈路質量的要求不同，比如語音和視頻業務對時延、丟包率的容忍度較低，一般要求時延在150ms以內，丟包率低于1%；則可將語音和視頻業務的主選鏈路配置為質量較好的MPLS鏈路，備選鏈路配置為Internet鏈路，并配置業務的SLA要求，按照鏈路SLA進行選路。

如圖1-9所示，在MPLS鏈路/網絡沒有發生擁塞時質量較好，此時語音選擇在MPLS鏈路上傳輸。當由于擁塞導致MPLS質量下降時，CPE通過實時的鏈路質量檢測，在檢測到鏈路SLA變差并達到語音所能容忍的SLA邊界時，將語音流量調整到符合SLA要求的負載較輕的Internet鏈路上。另外在MPLS鏈路由于故障斷鏈時，SD-WAN CPE實時檢測到鏈路故障，及時地將MPLS鏈路上所有業務遷移到Internet鏈路上，保證業務不受MPLS鏈路故障的影響。

負載分擔選路

在企業有多條鏈路時，希望能夠充分利用線路帶寬，基于鏈路帶寬進行負載分擔選路，此時可配置負載均衡方式的選路調度方式。圖1-10 負載分擔選路

如圖1-10所示，企業分別購買了不同運營商的兩條MPLS鏈路，運營商A的100M的MPLS和運營商B的50M的MPLS，則可將語音業務的主選鏈路設置為這兩條MPLS鏈路。在兩條鏈路質量均滿足語音業務SLA的前提下，語音業務可以以負載分擔的方式跑在兩條MPLS鏈路上，充分利用線路帶寬。

應用優先級選路

如果在同一條鏈路上有多種業務報文，為了在鏈路擁塞時優先保證高優先級應用的使用，在發生擁塞時低優先級應用避讓高優先級應用，此時可使用優先級選路。比如語音和視頻以及文件傳輸都在MPLS上，在鏈路帶寬不夠時優先保證語音和視頻業務不受影響。

如圖1-11所示，由于MPLS線路質量相對Internet鏈路好，為充分利用MPLS鏈路，將語音和FTP業務的主選鏈路均選擇為MPLS，備選鏈路為Internet。設置語音業務的優先級高于FTP。初始時，語音和FTP均選擇MPLS鏈路，隨著語音業務和FTP業務的增加，MPLS鏈路出現擁塞，為保證語音業務的體驗，將FTP業務逐步遷移到Internet鏈路，在MPLS擁塞解除后停止遷移。另外，為充分利用MPLS帶寬，可以配置在MPLS恢復時將FTP業務逐步遷移回MPLS鏈路。

帶寬利用率選路

如果在同一條鏈路上有多種業務報文，為了在鏈路擁塞時優先保證高優先級應用的使用，在線路帶寬利用率達到一個閾值后時，低優先級應用避讓高優先級應用同時選擇其他滿足要求的鏈路轉發，此時可使用帶寬利用率選路。比如語音和文件傳輸都在MPLS上，在鏈路帶寬利用率超過閾值上限時，優先保證語音業務不受影響。

如圖1-12所示，由于MPLS線路質量相對Internet鏈路好，為充分利用MPLS鏈路，將語音和FTP業務的主選鏈路均選擇為MPLS，備選鏈路為Internet。設置語音業務的優先級高于FTP，并且設置MPLS鏈路切換的閾值上限為70%、閾值下限為50%。初始時，語音和FTP均選擇MPLS鏈路，隨著語音業務和FTP業務的增加，MPLS鏈路出現擁塞，當MPLS鏈路的帶寬利用率超過70%時，為保證語音業務的體驗，將FTP業務逐步遷移到Internet鏈路。另外，為充分利用MPLS帶寬，當MPLS鏈路的帶寬利用率小于50%時，將FTP業務逐步遷移回MPLS鏈路。

廣域網優化，提升應用的訪問體驗

隨著音視頻分辨率的提升，音視頻會議和視頻監控技術應用更加廣泛，音視頻對帶寬和時延的要求也在迅速增長。企業數據流量WAN側比重逐漸加大，造成了企業租用線路的費用大幅提升。而Internet線路質量也帶來了企業應用體驗問題，為了解決這些問題，企業網絡需要引入廣域鏈路優化技術來優化應用的訪問體驗，并且降低企業帶寬費用。

FEC優化

FEC（Forward Error Correction，前向錯誤糾正）通過配置流策略的方式，對報文丟包進行優化。FEC通過流分類攔截指定數據流，增加攜帶校驗信息的冗余包，并在接收端進行校驗。如果網絡中出現了丟包或者報文損傷，則通過冗余包還原報文。

多路包復制

多路包復制（雙發選收）是一種抗丟包技術。發送端CPE對數據包進行復制，把原始包和復制包通過多條鏈路中的兩條一起發送。如果一條鏈路上有丟包，則接收端CPE通過另一條鏈路上的冗余包還原，從而不用重傳。適用于流量小、高可靠的業務。例如：VoIP、付款業務等。

逐包負載分擔

當某條流特別大（即大象流），一條鏈路承載不了，但是其他鏈路空閑。逐包負載分擔可以將大象流分擔到多條鏈路上，提升鏈路利用率。在有多條出口鏈路的站點中，對加速大文件傳輸有很好的效果，常見的應用有：FTP/HTTP下載大文件、數據備份復制等。

主動防御，構建端到端安全保障

SD-WAN解決方案從系統安全、業務安全、組件安全三個方面，如圖1-15所示來保證安全。

系統安全：是SD-WAN解決方案必備的基礎安全能力，系統在初始化之后就自動具備這些能力，使得SD-WAN解決方案系統能夠安全、可靠地運轉。

業務安全：是單獨部署的安全功能，根據企業用戶實際的業務安全需求，靈活選擇合適的安全防護措施。

組件安全：iMaster NCE、CPE、RR組件本身提供的安全功能以及在組件部署時需要考慮的安全因素。

可視化運維與監控，提升運維效率

數字大屏和運維監控一體化界面

基于拓撲 、GIS、50+報表等方式展示全網狀態，如圖1-16所示，提升運維效率和業務體驗質量。

基于拓撲的一站式運維

基于拓撲的一站式運維，如圖1-17所示，實現物理網絡和邏輯網絡互視，集成常用診斷工具，典型故障一鍵定位。

提供敏捷報表功能支持設備/鏈路/網絡性能/告警等數據靈活的圖形化展示能力，如圖1-18。通過拖拽式創建、自助式分析，提供業務決策的有力依據，如圖1-19。

提供精準的告警信息郵件通知

多種告警管理手段，如圖1-20所示，及時掌握現網網絡健康狀態。

原文標題：SD-WAN的架構與關鍵技術

文章出處：【微信公眾號：華為產品資料】歡迎添加關注！文章轉載請注明出處。