作者简介：顾玮 转自SDNLAB

2014年，北美市场上乍现SD-WAN这一名词，随后其热度传回国内。历经近5年的发展，SD-WAN的全球装机量已达近10万个节点。然而产业界对于SD-WAN到底是什么、能做什么等并没有一致的认识，甚至在很长一段时间里，连SD-WAN的定义都没有。目前，根据技术差异与供应商差异，SD-WAN已衍生出几大主要江湖派别：纯软件主导的SD-WAN、SDN-WAN（网络资源主导）、云快线（上云网关）、设备主导与广域网优化。作为5年来专注SD-WAN、服务近400家中大型行业用户的凌锐蓝信，将详细解析这几大技术流派。

纯软型SD-WAN

据咨询机构ONUG（Open Network Users Group）对企业用户的调查，SD-WAN应该满足企业用户以下主要业务需求：

• 为了让应用软件最终体验更加良好，企业边缘站点或分支机构（Edge sites/branch offices）可以灵活调用公网线路与专网线路（private WANs），两者能够负载均衡或者互为备份，并且能够基于链路使用情况、延时、抖动等主备切换，而不是基于链路的通断切换。
• 支持黑盒白盒部署且能够在云平台上部署或软件形式的用户终端，即CPE、vCPE。
• 拥有一个安全的混合广域网体系，具有DPI功能，可以根据具体应用软件策略，任意动态调度体系中的资源（包括私有广域网与公共广域网），而非指定某一种资源，以便获得更高的网络资源可用性、应用层性能，且具有相应优化技术能够使得某些性能较差的线路能够支撑业务运行。
• 业务与管理可视化、优先级设定、调控核心业务与实时应用，并且确保安全与合规
• 可以做集中化的管控，同时又能对某边缘节点单独调控策略而不影响全局部署
• 能够获得最佳用户体验（包括应用性能体验）的高可用且高弹性混合广域网
• 3-7层网络的互操作性
• 仪表盘式的站点、应用、私有虚拟网的状态与性能即时报告
• 可以开放北向API，用户能够二次开发调用头端的全部功能；有能力推送具体日志事件给网络事件管理器（SNMP，netflow），且最好拥有安全事件管理器（Security Incident & Event Manager）
• 0接触部署，即插即用，以确保业务敏捷力
• 端到端的网络与安全管控
• FIPS 140-2（Federal Information Processing Standard Publication 140-2）证书，自动更新证书的生命周期管理与报告

实际上SD-WAN这一用词就是纯软派提出的，因而把他们归类于SD-WAN正宗派也是尊重事实。这一派比较注重软件即Software Defined层面，强调利用软件功能去管控、协调线路与硬件资源而获得整体效能，满足企业用户的业务与应用层在广域网部署的需求，力求精细化管理，获得更好的用户体验，同时可以快捷部署与简便运维。 此种形态下，软件模块占到架构的80-90%之多，与线路、硬件设备松耦合集成而没有特定性。可以这么理解，如果企业用户没有特定专线，纯软型SD-WAN可以直接利用普通互联网线路（企业宽带，且支持PPPoE），3G/4G 甚至未来5G进行组网。软件模块开启各种优化功能，从而让用户获得较传统组网IPsec-VPN更加优良的体验。 而对于用户已拥有固定线路，如主线MPLS/SDH 与 Internet备线组网模式，软件主导的SD-WAN可直接利用这些线路，组成大的带宽资源池，通过精细化管控善用每一条线路，并不挑剔。对于网络硬件，由于软件功能的强大（All-in-one），可以替换诸如路由器、负载均衡、广域网加速等设备，达到降低成本之目标，而且支持用户使用第三方白牌硬件。此外，由于强调软能力，该技术流派大多集成了软性安全模块，拥有较强的防火墙能力，可在一定程度上替代防火墙设备。值得一提的是，此流派使用软件行业通用的API接口，为广大用户带来便捷的二次开发可行性。

总而言之，软件主导的SD-WAN，灵活性非常强，既可以直接服务于企业用户，又可以与运营商结合，用户可获得精细化管控能力、业务敏捷力、灵活性、高可靠性、灵活扩展能力、一定的优化能力、与较低成本（相对于专线而言）。 从使用场景考虑，可以解决Hybrid-WAN, SD-Branch, SD-Security, Edge WAN-controlling, WAN-access Bonding, WAN-optimization, Application-visibility/Acceleration等企业用户比较关注的需求。不过该流派对软件集成能力要求很高，因此软件能力强弱也会导致服务水平差异化。

资源型SDN-WAN与上云快线

首先简要回顾一下SDN, 全称Software Defined Network，是一种大规模网络设计、构建与运维的架构，利用中央控制器的软件对路由器与交换机的转发策略进行编程控制。从定义中可以看到，中央控制器、可编程的转发策略是SDN重点。回顾SDN起源，如果以Nicira公司作为标志，起源时间可被认为是在2007年。不难发现，那个时代直至Nicira公司于2012年被VMware收购时，市场上仍然是以“企业应用软件主要部署在数据中心，辐射分支机构与销售网点”为主要运营模式。而SDN作为新型大规模网络管理与运维的技术，为数据中心网络搭建、管理、协调、运维，可谓立下汗马功劳！特别是以OpenFlow为主流的协议与接口标准，奠定了SDN在数据中心时代的地位。然而，随着全球经济变革，以及电子商务、移动互联网与云技术的出现，各公司业务模式开始有所变化，要求更加灵活敏捷，更加贴近最终用户。因此，企业对于广域网传输要求越来越高！而SDN的重点并不在广域网，于是出现了SD-WAN。两者相同点是，都利用软件作为手段去控制并管理网络，都有软件形态的中央控制器。不同点就在于，SD-WAN更加注重广域网。也就是说，更加符合企业通过广域网传输各种业务数据与应用数据。很多熟悉SDN的网络工作者，喜欢把SD-WAN说成SDN技术对于广域网的延伸。事实上，这种认识并不准确。笔者更愿意这样描述：SDN可被视为是SD-WAN的启蒙，而在技术上两者还是有相当大的区别。

“资源型流派”特指拥有网络资源的供应商，其特点就是自身拥有底层线路骨干网，而SD的部分，则是建立在骨干线路之上。一家好的资源型厂商会充分利用SDN技术精细化管理自身网络POP点与骨干网，而且会在各网络POP点集成诸如TCP/UDP优化、智能路由、数据压缩与重删这类对应用层数据传输有帮助的软模块，以提高服务质量。而对于广域网（WAN）的最后一公里接入，通常都是利用用户现有internet通过IPsec VPN与POP节点连接，形成SDN-WAN的整体解决方案，所以此类方案亦可称之为SDN-WAN方案。此方案严格来说不算是端对端SD-WAN方案，因为供应商通常不对最后一公里的链接质量负责。负责任的厂商此时会提供一件加载上述优化模块的终端设备，以确保用户使用体验，当然成本也会略高。一般而言，则可能只提供一套可以支持IPsec VPN的设备，甚至使用客户端自己的设备。

此流派的特点就是拥有自身骨干网，而配置一款终端设备并不是技术难点。也因此，一些传统线路商也纷纷进入这个领域，宣称自己拥有SD-WAN方案。但如果不能完全满足业务需求，较少包含软件管控与优化能力的方案，业界一般认为只是普通的广域网接入服务，并不是SD-WAN. 而骨干网本身的质量也是制约SDN-WAN方案性能的主要因素之一。SDN技术虽然本身缺乏面对低质量网络的优化能力，但好的供应商可以在POP点或终端设备集成相应的广域网优化模块，以达到效果。然而并不是每一家供应商都愿意花成本这么做，因此需要用户仔细鉴别。

另一个问题是，SDN主要是为了更好解决大型IDC（含云IDC）南北向线路服务，不需要针对企业广域网复杂场景。因此此类方案实现WAN连接服务没问题，但无法完全满足企业对应用层部署在WAN上的精细需求，也没有面对业务层的服务流程优化与管控，无法完全满足企业服务体验至上的需求。

总结而言，该流派拥有可利用的已有网络骨干线，集成软件能力与终端设备后，可迅速扩展为SDN-WAN方案。而对企业用户，使用SDN-WAN被一家运营商锁定的可比性比较高，无法满足灵活性部署，从而失去未来的敏捷性。考虑到一些企业超远程业务部署需要，比如跨越国家，纯软型SD-WAN加载普通互联网，仍然缺乏远程良好性能，拥有高质量骨干网并能够集成优化能力的SDN-WAN仍是主要选择之一。

上云快线：由于SDN在云架构内得到重用，云快线本质上也属于资源型流派，更注重对企业上云提供快速通道。不过此类服务质量的优劣，往往取决于提供服务的云服务商对于广域网的理解是否到位。

设备型SD-WAN

“设备型”比较容易理解，主要是原有网络硬件设备商，希望能够进入SD-WAN领域，但又无法放弃原有设备产品，从而发展出的解决方案。通过升级传统设备的软件，以支持统一的管理界面。此类方案或有简单的中央控制器，或完全没有，而且比较考验硬件厂商的软件能力，且大部分情况下只能管理自有品牌的硬件。控制客户终端是此类方案的实质。老客户如果不打算更换设备品牌，可以尝试。

广域网优化型SD-WAN

该技术流派是所有SD-WAN技术流派中最接近纯软型SD-WAN。供应商清一色是传统广域网优化的解决方案提供商。对于这些厂商而言，广域网优化软件能力（TCP双边透明代理为主，高级供应商还有数据压缩/重删功能）本身就做得很好，而SD-WAN架构里也确实把广域网优化能力作为一个重要功能而集成，从而让此流派近水楼台先得月，无论是否拥有中央控制器都即可变身为SD-WAN供应商。然而，如前所示，SD-WAN是一种全新的整体企业组网解决方案，优化只是其中一种能力，更强调对于用户业务与应用层的梳理与管控，以及相应的高级安全功能，是广域网优化型技术派别不具备，或弱存在。

小结

通过ONUG SD-WAN研究报告中企业用户CIO/CTO们的总结与过去5年海外与中国市场的真实案例，我们认识到SD-WAN是第一个适应企业IT架构上层建筑的网络方案。不难理解，因为各领域企业第一要务是发展自己核心业务，ICT技术只是作为重要工具服务于第一要务。而应用软件直接服务于业务，因此，SD-WAN 的Software Defined部分做的越充分，越能符合企业需求，越能够快速被企业用户认可。Software Defined 涵盖至少三个层面：针对企业业务层与应用软件层（包括数据层）的工作流梳理与传输优化，具备业务敏捷性；针对服务至上理念的流程优化；最后，安全可靠是必备条件。从这个角度可以看出，SD-WAN作为企业级便捷的ICT工具，能够支撑企业用户实现高效且精细化的管控与业务敏捷力，从而更好地调配有限资源去做好核心业务，提升最终用户体验。