如何才能鉴别SD-WAN

对于2015年才出现的SD-WAN，一直处在“一个名词，各自表述”的尴尬中。但由于其在当前的网络圈太火爆的缘故，已经到了“脚踢VPN，拳打路由器”的地步，各路厂商纷纷易帜，不管有的没的，都言必称自己的家当就是SD-WAN，以至于各位看官也不清楚谁是谁非，只能袖手旁观，看个热闹。

趁着Abloomy在市场上发布自研的SD-WAN产品之际，我对SD-WAN见诸于媒体文章的概念讨论进行了整理，试图给出有价值的总结。

纵观各厂商对于SD-WAN的介绍，不管是有意还是无意，都倾向于通过描述使用SD-WAN所带来的好处说明SD-WAN是什么，这就好像在暗示，“不管黑猫白猫，抓住老鼠就是好猫”。

Wiki上面的定义是这样的：SD-WAN is an acronym for software-defined networking in a wide area network (WAN). SD-WAN simplifies the management and operation of a WAN by decoupling (separating) the networking hardware from its control mechanism. This concept is similar to how software-defined networking implements virtualization technology to improve data center management and operation。

国内行业协会的定义也类似：软件定义广域网络，是将SDN技术应用到广域网场景中所形成的一种服务。

对于大多数非业内人士，通过这个定义仍然不能弄明白SD-WAN是什么？具备SD-WAN功能的产品该是什么样？但最起码知道了，SD-WAN应该源自于SDN，也就是它应该具有SDN的一些实现思路和技术特点。

SDN追求的是什么？

传统意义上的SDN是一个局域网范围内技术，其出现来自于校园网，最早被应用到数据中心领域，主要为数据中心部署云业务服务。而随着SDN在IDC、在云中心的普及，SDN的这一关键思路被进一步与云计算的概念相契合：

--硬件简单化、通用化：SDN提倡用功能简单和标准化的网络硬件构建IDC的网络基础设施，实际上这是降低方案成本的关键，这也与云计算基础设施的构建思路相吻合。

--网络虚拟化：可以说SDN促进了网络虚拟化在自动化业务部署方面的普及。原始的网络虚拟化技术更像是一种网络隔离技术，可以认为是一种进化版的VLAN技术。在与SDN的集中控制体系、基于主机的服务虚拟化相结合后，它迅速成为了SDN连接控制层面虚拟化、网络资源虚拟化、虚拟化平面与物理网络衔接的关键手段。同时，网络虚拟化的概念借此进一步的进化成为一种网络功能虚拟化方法（NFV）。

--控制中心化：SDN严格区分控制层面的行为和转发层面的行为，这与SDN的物理网络相对单一不无关系。SDN的中心化控制受限于单一控制器的控制能力和控制区域整体网络性能。SDN通过集中控制保证了在区域内的管理效率和手段简化，同时也实现了控制器的虚拟化部署。

--数据透明化：与控制中心化相对应，SDN实现了转发数据相对控制器和控制层的透明，毕竟，SDN控制器需要通过下发的策略和规则对流经交换机的数据进行转发控制，SDN控制器所能看到的数据深度和种类决定了整个SDN网络对客户业务的SLA的承载能力。

SD-WAN从SDN继承了什么？

首先，SD-WAN是SDN思想在广域网领域的延伸。除了研究的网络对象不同（SDN面向本地的局域网，SD-WAN面向广域网），其“转控分离”的基本思想被完全继承。并且，在硬件通用化、网络虚拟化、控制中心化和数据透明化方面两者都有相似的说法。

但由于SD-WAN与SDN的应用环境和商业环境都不同，两者在实现形态和实现途径上的考虑有很大不同：

--在转发层面的控制要求不同：SDN强调转发完全由三层硬件实现，即在端口转发线速的前提下，能够对应用转发控制深度尽量细化。SD-WAN则是要求转发层面对于传输层（Underlay）的抽象封装提出了要求，也就是说，通过SD-WAN建立的端到端的逻辑链路（物理或虚拟）和网络（overlay）应该能够以抽象的传输资源的方式被调用，overlay的传输工作不应该涉及underlay中复杂的传输协议处理。这样就可以简化对通信的管理和配置。

--在控制层面转发控制目标不同：SDN的控制目标是保证全域（LAN范围内）内业务流量的转发性能（带宽）达标。SD-WAN的控制目标则是保证全域（广域网WAN范围内）内业务流量的可靠性（QoS）和性能（带宽）达标，为此SD-WAN需要能够驾驭多种传输网络（MPLS/SDH、以太网、无线、4G/LTE、卫星通讯等），并在全域范围内调度这些网络为业务流量转发服务。

SD-WAN真正要实现什么？

按照我自己的归纳和理解，SD-WAN真正想要实现的就是：充分利用企业所能够使用的通信手段（MPLS/SDH、以太网、无线、4G/LTE、卫星通讯等，还有专网和互联网），以“转控分离”的方式，实现以全业务流量QoS为目标的，全域选路控制和业务策略编排。

因此，相对于传统的路由器组网所实现的广域网传输方案，SD-WAN在以下几点上提出了全新的实现思路：

--转控分离：这个在前面SDN介绍中已经提及，SD-WAN只是在分离的程度上有所不同，由于SD-WAN更多的是关注面向overlay层的转发控制，因此underlay层的控制更多的会放在转发层面来实现。

--全域选路控制：SD-WAN很大程度上以此替代了传统路由器的动态路由协议。我们知道传统的动态路由协议一般都是通过搜集本地链路QoS和可达信息，在域内的路由器间进行路由信息交换和表决，来维护本地动态路由转发表进行实际的转发控制。即使是BGP协议也不过通过Route Reflector将这些路由信息集中起来进行分发，具体的路由判断，也就是转发控制仍然在本地完成。而SD-WAN可以简单的认为是直接在其SDN Controller上统一维护“一张”全域的路由表，CPE/Edge设备只需要将本地链路信息上传，并接收SDN Controller针对其发布的路由表就可以了，路由处理和转发控制被极大的简化了。

--统一的QoS控制：相比于传统网关和路由器设备各行其是的本地QoS策略控制，SD-WAN强调实现集中化的QoS分析和统一的QoS策略分发。CPE/Edge设备实时上报本地链路信息数据（其中包含了链路当前的网络特性，包括延迟、jitter、丢包和可用带宽），SDN Controller统一进行分析，网络管理员将SLA目标输入转化为各种特定业务应用的QoS定义--带宽、延迟、jitter、数据包丢失等，控制器将这些要求转换为对应边缘设备“即时”的路由策略，以选择发送该流量的最佳路径。从另一个角度来说，统一的QoS控制也就是全局选路的判权策略。

--业务策略编排：SD-WAN的“软件定义”特征主要依靠“策略编排”来体现。策略，说明了SD-WAN对于业务、应用、CPE/Edge设备、链路、网络特性、SLA/QoS保证、路由等的控制方式。编排，是策略与SD-WAN下辖资源（如，可用Overlay链路池、overlay网络特性、可用underlay链路池、underlay链路特性）的映射和关联方式，简单的说，就是业务需要怎样使用SD-WAN达到相应SLA目标的自动化方式。既然是自动化方式，就意味着SD-WAN的SDN Controller可以自发的调整那些策略，使用下辖的资源，自动化的程度高低和策略控制粒度的精细程度，决定了SD-WAN的业务编排能力，也就是SD-WAN实际的实现水平。

如何识别真假SD-WAN产品？

--在基本了解了SD-WAN的真正含义和来龙去脉后，我们回到本文的初衷：如何辨别真假SD-WAN产品。

--就像文章开始所讲，SD-WAN至今没有统一的定义，这造成众多厂家的SD-WAN解决方案并不存在统一的评价标准，一些厂家也借此“赶时髦、蹭热度”，刻意混淆SD-WAN真正的技术概念和方案意图，客观上阻碍了SD-WAN市场的健康发展。近来在行业内就曾出现过有厂商采用传统的VPN配合内部的MPLS骨干简单实现伪SD-WAN方案的案例，更有甚者，竟然使用L2TP+MPLS+SNMP方案，对客户宣称是SD-WAN的笑话。

--由于SD-WAN的产品和方案并不排斥与旧有技术和产品进行整合，这为辨别真假带来了不少困扰。因此我认为，可以使用两种方法来对这个问题进行判断：

--从SD-WAN的根本特征出发进行辨别

--从SD-WAN产品的外在功能点进行归纳判断

从SD-WAN的根本特征出发进行辨别

这种方法实际上是一个测试方法，需要读者自身具备分析SD-WAN系统的基本能力，也就是能够自主的对SD-WAN系统的各部分进行考察，从而判断某个SD-WAN系统是否存在疑点。

根据前面的介绍，我认为SD-WAN必需具备的四个根本特征是：转控分离、全域选路、统一QoS控制和业务策略编排能力。为此，读者可以在某个SD-WAN系统中寻找其是否具备以下特点：

--通过考察Controller判断其是否具备“转控分离”

**在这个SD-WAN系统宣称的Controller上，考察其是否与本地的流量转发功能完全分开。因为SD-WAN系统的Controller作为系统中的中心化的控制设施，可以是一台专用设备，也可以是部署于IDC中的虚拟化服务器，或者企业网络中心位置的某个虚拟化应用。因此，我们需要确信，这个Controller与其他所有具有本地的流量转发功能的SD-WAN设备（CPE/Edge设备）都具有通信连接。

**考察这个Controller具备转发策略的发布能力。因为SD-WAN系统的转发策略基本都依赖三层及三层以上的路由规则进行，因此我们需要确信这个Controller能够生成这样的路由规则，并涵盖下辖所有的SD-WAN设备（CPE/Edge设备）。

**至此，我们可以基本确认这个Controller基本具有“转控分离”能力，但这不包括与BGP系统区别开来，为此需要下面的步骤。

--通过考察CPE/Edge设备进一步确认“转控分离”

**考察SD-WAN系统中的CPE/Edge设备的路由转发表。由于SD-WAN系统中的Controller负责更新域内所有转发设备的转发表，因此，判断在线的CPE/Edge设备是否完全依赖Controller进行路由转发表进行更新就可以了。

--通过考察Controller和CPE/Edge设备判断其是否具备“全域选路“能力

**通过选择某个CPE/Edge设备的本地链路进行通断，判断其是否会上报链路信息给Controller。

**考察这个Controller是否更新自己的全局策略表，并更新相关多个CPE/Edge设备的转发表。

**在这个过程中端到端的的两个CPE/Edge设备上的业务连接（如，视频播放）不应该中断。

--通过考察Controller和CPE/Edge设备判断其是否具备” 统一QoS控制“

**需要在这个SD-WAN系统中引入至少两个业务持续流量（比如，两个视频播放），以此来表示不同级别的QoS策略所带来的效果。

**对这个SD-WAN系统引入新的传输链路（最好是新的链路类型），设置新的QoS策略，并与前面其中一个业务流量的QoS策略进行关联。

**断掉原有的传输链路，应该能够看到QoS策略对于不同业务流量的传输效果变化。（具体策略依赖于具体的实验方法）。

--通过考察Controller判断其是否具备业务策略编排能力

**考察这个Controller的资源列表所涵盖的范围。

**考察这个Controller的策略类型所涵盖的种类。

**考察这个Controller的资源编排器（不同的厂家有不同的名字）是否涵盖上述两方面的内容。

**据此我们就基本确定这个Controller是否有业务策略编排功能，具体能力大小则需要另外判断。

当这个系统通过了以上的考察和测试后，我们就能够比较有把握的认为这个系统是一个SD-WAN系统了。

从SD-WAN产品的外在功能点进行归纳判断

由于人们并不会都有机会接触到某个SD-WAN系统，通常只能接触到该SD-WAN系统的宣传资料和部分功能列表，是否可以通过对这些文字信息进行判断得到结论呢？这里我尝试给出一份基本SD-WAN系统功能列表（Abloomy），辅助读者进行判断：

         远程站点/分支机构可以通过公有或私有WAN主动接入业务应用。

         支持分支站点设备WAN链路的多种备份和聚合方式

         SD-WAN的控制器支持单/双集群、虚拟化部署方式。

         支持根据统一的应用策略对跨专用和公共WAN路径的流量进行动态调整，并在传输和应用层上控制（提高或降低）WAN服务的性能。

         支持以集中的可视化方式管理关键性业务和实时应用程序的流量运行状态，并能对其进行控制优先级的排序。

         支持分支站点设备的零接触部署（ZTP），在直连的基础设备上几乎不做任何配置更改，确保配置和部署的敏捷性。

         支持集中策略配置，保证带宽分配、优先级自动排序和链路选择的实时性。

         支持基于业务应用程序的性能要求（带宽、延迟、jitter、数据包丢失）预定义模板。

         支持广域网优化。

     支持AAA（认证，授权和计费），支持RADIUS、LDAP或AD等。

     支持具有IPsec和SSL VPN同样等级的链路安全属性。

     分支站点设备支持本地或云端基于NFV的服务编排，支持报文捕获与解码能力（DPI）和防火墙功能。

     支持基于角色 / 多租户（同层 / 分层）的访问控制功能