知行学院总结 | SD-WAN 经典部署方案及应用实践

知行学院是青云QingCloud 为广大 CIO、架构师、开发者、运维工程师、技术爱好者提供的一个云计算、大数据、容器等技术的最佳分享与实践平台。其中包括线上技术公开课、云产品解析、线下实践课堂、行业沙龙等众多知识分享形式。

本次我们邀请了青云QingCloud 解决方案架构师由琇，带来《SD-WAN 经典部署方案及应用实践》。

播放

正文：

随着近几年 SD-WAN 落地的模式逐渐成熟，有越来越多的运营商和企业在构建企业专有网络服务中，将 SD-WAN 作为技术首选。

本次文章我们将从以下四个方面进行介绍：

第一，针对 SD-WAN 的来龙去脉做大致的介绍。

第二，SD-WAN 本身有典型的架构和场景分享。

第三，SD-WAN 对于企业而言，可以支撑哪些业务场景和部署模式，我们会在第三部分针结合场景做说明。

第四，SD-WAN 的特点和优势。

   

1

SD-WAN 的背景与定义

众所周知，很多规模庞大或者高速成长的企业 IT 往往有一个相同的特点——它们一般在全国各地拥有比较多的分支节点和数据中心，这些分支节点和数据中心之间往往存在较多重要数据、业务的互通需求。

在当前环境下，大多数数据互动需求、应用工具都是以网络架构和计算技术协同为基础的，缺一不可。他们基本都是以延时敏感性应用的身份出现在企业的应用列表里，受到企业的重点关注。

近几年，计算技术以云计算为代表产生了翻天覆地的变化。但在网络上，尤其是企业的广域网架构上，基本仍采用传统的组网模式，其部署、管理和维护给企业带来了比较大的负担。聚焦企业市场和广域网范畴，SD-WAN 正是在这样的行业背景下产生。

SD-WAN 这个词最早出现在公共视野，是于 2014 年发表在Network Computing，同一时代美国有一个开源网络用户论坛 ONUG，该论坛主要讨论企业大型网络的构建、IT 技术变革等内容。

在讨论中，人们发现 SDN 软件定义网络技术在广域网中可以更好的实现应用，可以很好的贴合企业广域网需求场景。所以在 2014 年的一次 ONUG 会议上，明确定义了 SD-WAN 这个术语。SD-WAN 是软件定义-广域网的缩写，是软件定义网络的重要分支。它将 SDN 的概念和架构引入到广域网中，通过将网络硬件和控制机制分离，简化广域网的管理和操作。

对于企业而言，SD-WAN 通过应用软件技术、应用部署策略等技术手段，实现统一策略下发模式，减轻了企业部署压力，同时基于 WAN 管理 UI 界面实现了全域调度能力。相对于传统的专线而言，云计算企业采用更低成本的技术，比如 Internet 或 LTE 来构建广域网服务，为企业节省成本。

提到广域网，这是一种包含互联网、移动蜂窝、MPLS、VPN 等多种模式，实现异地互连的网络。

企业通过广域网构建跨地域互联，中国的广域网技术相对于海外略有滞后，中国的广域网模式始于 90 年代，第一个面向企业的广域网是 X.25，它是使用电话或者 SDN 设备作为网络硬件设备来构建广域网的一套网络协议。

当时的网络环境非常复杂，存在高噪声，缺乏抗干扰的环境。基于这个需求，X.25 支持纠错和诊错，人们在这种环境下能实现高可靠的传输，这对于当时的企业来讲十分理想。

1993 年时，中国成立的分组交换数据网（China PC），就是基于 X.25 协议。继 X.25 后，帧中继即 FR 是 X.25 的升级版，相对于 X.25 它减少了每一个网络节点的协议处理步骤，所有的确认和差错恢复是由用户终端执行的，加快了整体数据的传输数率，减少端到端的延迟。

真正使用的是 OSM 模型的最下面两层：物理层和数据链路层，简化数据处理可以让网络效果更高，吞吐数据量增加。

和帧中继同时代的是异步传输模式（ATM），在图中左侧位置。和帧中继有一点不同，ATM 使用的是统一的信元传输数据，大家可以把信元想象成运输设备，它可以把数据块从一个设备经过 ATM 交换设备传到另一个设备上。

所有的信元具有相同大小，而不像局域数据分组大小不定，使用相同大小的信元可以保证所需要的带宽。但 ATM 本身存在一个问题，信元包头过大，变相的降低了网络的传输，其架构有些理想化，不适于落地。在海外，没有实现太多有意义的企业广域网市场份额。

但在中国模式略有不同，2000 年时，中国电信投资建设了中国公用帧中继宽带业务网（China FRN），它以帧中继为基础，赋予 APM 向全社会提供高效数据传输服务的数据性网络。

在这几个之后是我们熟知的互联网 IP 技术，互联网 IP 技术应用得很早，它被企业运用在广域网的构建中，但很少有企业愿意使用纯粹的公网环境承载其内部关键应用，原因在于纯粹的互联网无法实现端到端的服务等级，只能基于尽力而为的一套传输规则，而无法保证重要应用的数据传输。同时，互联网本身存在极大的不安全因素，很多存在重要、需要保密数据业务的企业望而却步。

90 年代中后期，IPsec VPN 技术逐渐普及，这个技术实现了端到端的加密。也是因为互联网本身极大的不稳定性和不安全性，很多企业一般会在具有一定规模或者预算后，考虑用其他模式替换。

在中国，公共互联网一般由一类运营商管理，如电信 163 网、联通 169 网等。在此之后，多协议标签交换技术（MPLS）出现，是建立在 IP 基础之上的帧中继技术后继者。

在 MPLS 网络中存在若干简短的字段，它会作为数据的标签，标识数据包转发目的地，让原图设备识别路径。同时根据标签进行服务等级分类处理。运营商很喜欢这个东西，运营商基于 MPLS 构建企业专网，依托此专网实现包含数据、音频、视频等重要业务的数据传输。

2004 年时，中国电信在 163 网的网络基础上，基于 MPLS 构建了针对大型企业的大型网络——CN2 网络。MPLS 解决了企业广域网传输问题，但仍然面临很多其他问题，比如架构冗余、成本很高，MPLS 需要维系，以专线模式进行对接，使用周期很长、维护很复杂等，给企业带来很多问题和麻烦。

这几年来，人们逐渐思考广域网的简化管理，尤其是云平台诞生后，这个需求更加迫切，SD-WAN 正是这个时期的产物。

2

SD-WAN 的架构概览 

SD-WAN 传统架构

我们知道现在存在不同 SD-WAN 的提供厂商，每家厂商的逻辑和模式有所不同。相对来说，SD-WAN 有一些传统简要的部署架构，图中所示是其传统架构，可以看到这里包含四部分，左下方是 SD-WAN 编译设备 Edge，右下方是网关 Gateway，上方是 SD-WAN 控制器 Controller，再上方是编排 Orchestrator。

在这个模式里，SD-WAN 编辑网关 Edge 一般会部署在用户侧，通过隧道方式实现业务互通，打通各个节点之间的连通。

在这个设备里，由于 SD-WAN 设备需要连接互联网，设备一般会附带包含防火墙功能，以保证安全和转化。同时，基于已有的策略，如果存在多个端口接入，会根据数据策略的需求进行策略调整和业务整合模式。

同 SD-WAN 边缘设备对接的是 SD-WAN 网关，它负责同 SD-WAN 边缘设备对接，将流量依照策略转发到其他节点上，实现全网互通。

在这两种设备之上，会统一由控制器进行管理，控制器管理相关的硬件和软件节点。在此之上，控制器提供包含配置、激活、IP 地址管理和推送等服务，同时将以上服务下发到 SD-WAN 边缘设备和网关上。

一般来说，在控制器之上有 Orchestrator 模块，这个模块主要实现 SD-WAN 服务生命周期的统一管理，比如服务的实现、性能、控制、保障、使用分析、安全和策略等。基于安全性和服务等级管理，通过订阅用户实现修改请求的接收，广域网可以建立转发规则。不同的厂商有不同的部署模式，一般来说 SD-WAN 控制器和 Orchestrator 会以统一的模式对外提供服务。

除了以上四个模块之外，用户可以通过一套门户网站实现自己的业务需求修改和管理，这套模式会跟业务编排进行对接。此外，如果存在 OS、BSS 服务架构，可以通过 API 等模式实现远程调用，统一进行内部设备的管理。

SD-WAN 运营商传统架构

SD-WAN 的部署架构除了刚才提到的几个架构外，针对企业广域网上包含多种模式。比如基于纯互联网的叠加模式、基于简单的骨干网云端模式，包含融合了 MPLS 或者有流量调度工程的整合架构，各个模式各不相同，很多命名也各不相同。

青云 SD-WAN 基于整合架构实现了广域网部署，相对于传统模式来讲，青云依托已有的骨干网实现了企业异地节点的互联。我们可以看到图中一共包含几部分，左侧和右侧分别是企业的异地分支节点，在分支节点上部署 SD-WAN。SD-WAN 设备通过和青云的网络实现业务打通、数据打通，将两者之间的业务数据通过青云骨干网实现连接。同时，上方通过 SD-WAN 控制器进行统一管理。在这个部分一共包含三个模块：

首先是青云的骨干网。

青云的骨干网从 2015 年开始建设，目前为止针对全国范围的节点覆盖提供了不同的技术节点。中国的网络环境非常复杂，我们熟知的北联通南电信，每个节点存在的网络状况都很复杂，良莠不齐。

针对这个状况，青云的网络提供对外 BGP 网络接口。我们知道 BGP 网络是通过统一网络出口对接不同的运营商，青云除了原有的三大运营商：电信、联通和移动外，针对部分地区运营商也实现了网络对接，方便用户、企业的快速接入。此外，针对跨地域传输，青云网络内部 DCI 实现高品质冗余线路的传输，保障企业的数据安全。

其次是 SD-WAN 设备。

除了骨干网外，SD-WAN 设备可以直接部署在用户侧，基于用户已有的上网专线、拨号线路、MPLS 和 4G，直接实现同青云网络的打通，将数据引入到青云网络中。同时，针对于冗余需求的用户可以实现主备切换和负载均衡，保证用户数据安全。

最后是统一控制平台。

SD-WAN 设备的配置策略全部实现统一管理，由控制器统一进行下发。设备可以快速部署到企业中，方便企业进行整体实施。同时，针对相关网络支持自定义网络管理，通过统一界面将所有节点实现策略的调整和配置。针对动态带宽需求，可以根据需要弹性调整带宽。

青云的 SD-WAN 在原有网络基础上添加了将网络和云平台实现整合的功能，用户可以直接通过云控制平台直接管理云资源和网络资源，方便大家的管理。

对于 SD-WAN 来说，尤其是对于 SD-WAN 设备来说，不同企业分支节点的网络情况各不相同。

有些企业以传统上网专线，比如包含固定 IP 的网络切入。有些以 PPPOE 拨号的家庭宽带为主，有些可能是当地物业内网地址，有的甚至没有传统的上网线路。

在这种情况下，SD-WAN 设备可以满足不同的需求。针对存在的上网专线具有固定 IP 和内网静态 IP 的用户，只要可以满足上述需求，设备端口支持静态配置模式，就可以将 IP 地址配置在 SD-WAN 端口上，实现业务打通。

同时针对拨号模式，将账号密码配置在 SD-WAN 设备上，实现网络的连接。同时设备支持 DHCP，意味着它可以直接连到企业办公网上，直接将网络打通。针对无线网络，设备支持 4G 模式，保证不同环境下的设备连入需求。

3

SD-WAN 的部署模式

不同的企业有不同的部署模式，一般来说包含三种模式：设备外置、设备旁挂、设备内置。当然，三种模式只是笼统性计算，我们知道不同环境下，比如内置环境下接触不同的设备，模型各不相同。

设备外置模式

在这三种模式中，最下方的外置模式是将 SD-WAN 终端直接放置在企业用户边缘侧外，将边缘侧已有的公网 IP 和拨号能力直接移植到 SD-WAN 终端上。企业根据需求，将原有的内网流量转发到 SD-WAN 终端上，通过 SD-WAN 终端打通各个节点的互联。

这种模式的优势在于运营商的设备和企业设备实现明确的权责分配。运营商网络不进入企业内网中，保证企业的安全。当出现问题时，双方可以根据需求进行互相排查，提升效率。

设备旁挂模式

中间是 SD-WAN 旁挂模式，这种模式一般针对于不希望将自己的公网 IP 进行设备配置变更的企业，他们更多的希望将 SD-WAN 设备旁挂在自己的设备集群中，自己统一进行管理。

在这个管理模式中，SD-WAN 直接对应用户自己的路由器、交换机和防火墙，用户根据需求，将需要的流量转发到 SD-WAN 设备上，SD-WAN 设备将转发流量发送到云端或者其他节点实现业务打通。

这种模式的优势在于不需要调整外网公有 IP，劣势在于一旦企业外部网络中断，运营商无法第一时间查看设备的情况，因为它被关在了外面。

设备内置模式

此外，最上面的是内置模式，SD-WAN 设备采用串接或者接入企业办公网实现部署。这个部署的模式优势在于可以实现快速部署，一个设备可以很简单的直接接入用户终端上，很多用户愿意使用这个模式。相对来说，它的劣势比较明显，当设备出现问题时，比如企业内部网络出现问题时，运营商无法通过终端配合企业进行设备的快速定位。

以上三种模式，企业可以根据需求灵活的选择。在这三种模式外还有很多其他的模式，比如在最下方的模式中，如果企业有多个公网 IP 或者多条上网线路，可以由自己的设备进行策略选择。其中，需要访问云端的，直接将其转发到 SD-WAN 终端上，其他流量全部使用原有的上网线路即可。SD-WAN 的接收模式非常灵活。

SD-WAN 设备一旦可以上网后，它会跟云平台、控制器进行对接和注册。如图中所示，左右两侧分别是企业的分支节点，中间是运营商网络，在 SD-WAN 上通过控制器进行统一管理，用户通过业务编排实现自己需求的调整。

在这个模式里，SD-WAN 基于已有的运营直接向控制器实现注册，发起注册请求。待确认后，控制器会将已有对接模块的信息发回 SD-WAN 设备上，SD-WAN 设备根据自己的需求选择最优的节点实现对接。

在对接模式后，控制器会将相应的路由信息和配置直接下发到设备上，通过这种模式实现全网数据的路由互通。用户可以根据需求灵活的配置和调整 SD-WAN 终端设备，不需要单独登录某台设备上进行复杂的管理，这种管理模式下可以直接实现设备的快速注册和全域调度管理模式。

此外，青云骨干网基于 SE-TE 实现全网路由调度，用户可以根据需求灵活调整。在青云骨干网内部基于已有的路径规划策略实现端到端隧道的连接，当链路或者节点出现故障时，启动备用路径保证企业的数据安全。

同时，骨干网基于已有的 BGP 网络实现不同模式下的企业快速对接，企业通过地区线路、联通线路可以快速打通同运营商网络的对接，保证跨地域的传输。

除了接入端和控制平面外，可以在平台的管理上通过统一的控制界面进行管理。在这个界面的左侧位置，SD-WAN 实现了整合，在这部分中 SD-WAN 和云平台资源在同一个控制界面中。

其中我们注意到屏幕上方位置有三个类型，光盒对应的是 SD-WAN 节点，网关对应云内资源节点，专线对应专线接入节点。企业在申请到 SD-WAN 设备后，将 SD-WAN 设备上的序列号在平台上实现自助服务，根据需要选择带宽。

在这个服务模式注册后设备会自动上线、设备配置下发，企业可以根据需要，在控制界面上灵活的选择包含 WAN 配置、路由配置、防火墙配置和内部的无线配置等，基于已有界面进行包含消费、操作、监控的统一排查。

针对存在的云平台访问需求，企业需要对接云内某资源时，可以基于网关做调整。现在青云提供内网路由器和内网路由策略，基于内网路由器和内网路由策略可以直接实现 SD-WAN 节点在云内资源的整体打通，方便企业数据互访。

打通后，各个连接节点会以列表的方式呈现在用户面前，用户可以进行统一的信息管理，包括 ID、名称、状态、区域、带宽和注册模式等。可以看到这里包含两条：一是 SD-WAN 相关节点，二是相应的 VP 节点，都可以进行统一查看。

此外，青云在原有的列表基础上提供地图模式，可以通过地图模式查看当地节点的带宽流量情况，根据需要进行带宽调整。当企业存在多个节点时，地图模式可以更好更直观的查看现有网络情况。右侧有不同的颜色进行标识，正常状态下是绿色，出现故障是红色，可以更方便的对平台实现管理。

4

SD-WAN 的场景与分析

SD-WAN 技术和架构在企业场景落地中包含几个典型场景：

一、快速实现混合云组网，一键直达云业务

一是混合云主网场景，在这个场景包含三部分，左侧是企业分支节点，中间是运营商骨干网，右侧是企业公有云、托管云和私有云资源。当企业需要在分支节点和云平台资源之间实现用户互通需求，可以基于 SD-WAN 快速打通运营商网络的对接。打通模式可以基于企业已有的任何上网线路模式，在企业节点和分支之间包含云平台之间实现互动模式，提升访问品质。

二、企业自主构建专属广域网，轻松与企业各分支互联

第二，除了已有的云平台外，企业无须一定要针对云平台资源实现全网的路径，企业可以通过 SD-WAN 构建自己的专属网络，专属网络左侧是企业分支，右侧是企业总部和数据中心。数据中心不是一定要使用云平台，传统服务器架构也是可以的。通过 SD-WAN 模式，基于骨干网实现分支、总部和数据中心的业务互通，保证企业网络传输的要求。

三、基于桌面云企业组网，企业总部与分支协同办公

此外，现有的桌面云服务也可以通过 SD-WAN 的方式实现桌面云网络的构建。我们知道桌面云可以很大的减轻企业终端和资产的负载。桌面云终端对于网络要求稳定性要求较高，基于 SD-WAN 模式可以实现分支和桌面云服务器的打通，方便企业各个分支、内部办公人员使用桌面云服务。

四、案例-支付系统SD-WAN互通

除了以上三个场景外，图中是一个典型的云网互通的场景，在这个场景里，我们可以看到左侧是云平台，云平台内部包含用户需要的云主机服务器，右侧是用户已有的办公网络，办公网络使用了电信、联通、移动等上网线路。

在这个需求场景中，基于 SD-WAN 快速部署能力可以实现企业快速上线。尤其是针对众多跨地域分支节点的企业，SD-WAN 不像传统路由设备一样要实现冗余的调整，通过界面方式直接实现快速部署，保证企业部署速度。

此外，针对跨地域传输，基于运营商网络可以直接实现高品质的传输互访。同时针对各个节点和云平台的资源，通过云网一体的管理模式实现统一的管理，减少企业运维压力和学习成本。

如果用户存在内部的访问策略需求，图中所示右侧位置，假设某些 PC 存在一般性访问业务，绿色虚线可以访问云平台，也希望使用原有的网络进行上网活动，某些业务只需要跟云平台进行对接。

为了保证安全，不希望访问互联网，这种模式下可以基于设备和策略的灵活调整，针对日常应用，满足云平台访问的基础上实现上网路径的调整；针对加强业务，不允许它访问互联网，只允许它通过策略跟云平台服务器实现对接。

针对于存在冗余安全要求的用户，我们基于不同运营商网络和链路模式，保证设备链路之间的切换，形成主备关系，保证网络冗余安全。

可以看到 SD-WAN 针对企业可以实现包含设备快速部署、跨地域高速互访、云网一体的管理模式，同时根据策略进行自定义网络策略调整，最后可以依托现有的网络要求进行冗余的设置，保证企业对于网络的不同要求。

我们知道相对于传统专线来讲，SD-WAN 存在较多的优势。

在管理方面，省去了很多 CLI 命令行管理模式，不需要逐台设备进行远程登录调整。可以通过统一的管理界面降低企业运维成本。

在周期上，MPLS 依托于专线有较长的实施周期和调整周期。SD-WAN 依托于互联网可以实现快速部署。

在设备上线上，SD-WAN 无须经过设备繁杂配置，通过界面化统一进行策略下发，加快部署速度。

最后，SD-WAN 依托于互联网模式，极大的降低了企业运营成本，保证企业在传统专线服务和互联网服务上存在更好的选择平衡。

相对于 SD-WAN 来讲，青云的 SD-WAN 存在一些不同，在管理方面，青云实现端到端的管理模式，存在更多管理深度。用户可以根据需要进行更多的策略调整。在网络管理方面，除了原有的网络功能集成外，通过控制台方式实现了云资源管理和网络管理的统一协调，方便用户对企业的广域资源进行整体管理。

此外，在注册服务上，青云在管理平台上提供自助式服务，企业可以在原有的优势上根据自己的需要灵活安排实施周期和部署周期，更好的加快部署速度。

同时，在保证原有 SD-WAN 的成本下，用户可以根据需要进行动态带宽调整，根据带宽进行计费调整，满足用户高峰值的带宽需求。

在尽量保证网络品质方面，青云骨干网对外提供 BGP 出口，针对不同运营商企业网络实现快速对接。对内针对跨地域互联需求，通过已有的链路实现跨地域互联需求，最大限度的保证我们的品质安全。

前面我们介绍了 SD-WAN 的大概情况，这个情况更多的偏重于企业广域网的管理和配置优势。我们知道 SD-WAN 软件定义广域网相对于广域网来讲，更重要的是软件定义。

通过软件定义的模式，企业可以更好的形成一套资源的全局调度管理，更加方便的进行整体部署运维。传统的 MPLS 模式基于老式硬件，比如传统路由器交换机模式。这些设备的生命周期是按照传统硬件设备功能进行速度迭代，软件定义的模式将这种速度从原有的硬件速度提升到软件速度上，我们发现很多企业和厂商推出 SD-WAN 后，在功能跟进上的速度远远超出老式的速度，加快了功能的叠加速度。

额外举例说明，十几年前我们所需要的通讯设备类似于诺基亚、摩托罗拉等翻盖手机，这些手机传输的是电话和短信数据，我们可以变相理解为电话是老式传统路由交换设备，他们传输的东西和企业产生的内容一样，都是我们所需要的业务数据。

在 iPhone 出现后，颠覆了老式电话的模式，人们发现除了电话和短信外，手机可以将办公、娱乐、应用集成为一体，在原有通信模式上出现了更大的发展。iPhone 的模式是传统的软件定义模式，通过软件定义模式，相对于传统老式路由交换设备，给原有的架构和想象带来无限的可能。

SD-WAN 的模式也是如此，随着越来越多的运营商从架构上进行调整，尤其是针对于交换机、设备的调整，越来越多的功能将会转移。SD-WAN 相对于传统的万网结构，会集成更多的功能模式，通过软件定义的方式，SD-WAN 可以给企业带来更好的统一调度模式，实现更多的功能叠加速度为大家带来功能上更多、无限的可能。

往期文章回顾：

知行学院总结 | 真正多活，不惧宕机——Region及同城多活方案分享

知行学院总结 | 零基础学习音视频技术及场景应用

知行学院 | 运维工程师的逆袭——云资源的管理与维护

知行学院 | QingStor™ 对象存储场景化开发实践

企业智慧办公，高效协同神器 —— Anybox

- FIN -

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/