SDN概念的提出已十年多，“轉控“分離的思想深入人心，并且延伸到其它領域：軟件定義廣域網，軟件定義存儲，軟件定義邊界…任何技術的提出和落地都是以解決用戶痛點為導向的，在經歷了概念炒作的泡沫期后，技術開始沉淀并趨于務實。本文將針對SD-WAN(軟件定義廣域網)帶領讀者推演這一技術的使用場景和用戶價值。

[[220830]]

與LAN和MAN不同，WAN完成的是更大范圍內的互聯，Internet就是最大的一張廣域網。對于多地存在分支的政企單位，存在異地互聯的需求。出于安全，時延和帶寬保證的目的，常常采取租用運營商SDH/MPLS專線的方式。專線接入實現了VPN甚至物理隔離，提供了網絡層面的天然安全，充分的Qos機制保障了對時延敏感的應用(視頻會議，VOIP等)的可靠傳輸。但專線也存在著費用高，開通慢的缺陷：本地有無POP點、到達POP點有無物理線路、跨運營商線路租用和協同、各分支線路和業務的逐臺部署。而傳統的專線網絡模型又加重了企業在專線費用這塊的經濟負擔。

圖一 傳統專線網絡模型

如圖一所示，出于安全和審計需求，所有分支對互聯網訪問的流量都要經過專線到達總部，經由總部的互聯網出口進入Internet。雖然陸續出現的WAN加速技術(如協議優化、連接復用、數據壓縮等)通過優化流量一定程度緩解了WAN鏈路帶寬的需求，但隨著企業IT基礎設施的不斷擴展，WAN鏈路帶寬依舊需要不斷擴容。對于業務可靠性要求高的企業常常還租用多家運營商線路進行冗余備份，帶寬利用率低。有的企業為了應對突發流量不得不提供滿足峰值流量的資源環境，而這些資源平時大部分時間閑置，無法做到動態歸還，所有這些都與云時代的資源池化，動態伸縮的思想背道而馳。隨著云計算的發展，企業的IT架構發生的巨大變化，傳統的DC云化構成企業的私有云。企業的IT資源或是全部遷移到公有云(經典網絡/VPC)，或是同時兼顧數據本地化和資源彈性采用私有云和公有云混合部署，但無論哪種方式都必然決定了對Internet的訪問從之前的伴隨型需求變成了剛性需求，數據的同步、備份、遷移也變為常態。

大量的公網流量繼續走專線顯然已不合時宜，于是WAN的形式出現了一次變化—Hybrid-WAN。如圖二所示，訪問總部DC或私有云的流量繼續走專線，對公有云的訪問直接從分支進入Internet。互聯網分流了專線流量，減輕了專線的流量負載，但同時也在分支引入了安全和保密的需求。原本只需要在總部部署防火墻和安全策略，現在需要部署到分支CPE上，安全域的邊界從總部擴展到分支，同時為了在不安全的公共網絡上安全傳輸企業內部數據需要引入相應的加密傳輸機制。

圖二 Hybrid-WAN網絡模型

互聯網鏈路彌補了專線的不足，通過防火墻的安全隔離使分支CPE內部得到了一定的安全保證，SSL/IPSEC又保證了在互聯網上傳輸企業私密數據的安全，Hybrid-WAN看上去似乎比較完美，但在實際應用中又暴露出一些明顯的問題：

1. 分支業務無法快速開通

分支開通需要配置CPE業務，無論CLI還是網管，都需要對業務進行逐條配置下發，業務變更對于大量的分支機構的維護將是災難性的。

2. 選路策略基于路由，無法動態感知應用

選路策略往往是根據流量目的是去往總部還是公有云進行粗暴區分，檢測粒度沒有上升到應用級，也就無從考慮應用對鏈路質量的需求。

3. 策略模型過于剛性，不適應業務動態變化

云計算最大特點就是高度動態，傳統通信設備上的策略模型嚴格依賴配置，業務或鏈路質量發生變化后往往意味著配置要跟隨變化。于是WAN又出現了SDN時代的重大演進—SD-WAN。SD-WAN繼承了“轉控分離“的思想，通過統一的中央控制器實現各CPE設備的統一管控。新開CPE可通過Call Home自動連接控制器下載配置和策略，真正做到零接觸快速開通，且配置變更時只需要在控制器上修改一次，所有分支站點自動同步。通過CPE對流量的深度識別和基于探針的鏈路狀況檢測，使得流量選路策略更加精細靈活，實現策略與網絡質量隨動，是真正意義的動態流量調度。

SD-WAN減輕了企業在專線使用上的開銷，利用資費更低、開通便捷的互聯網也適應了企業使用公有云、混合云的技術訴求，快速部署、動態調度更是將這種性價比推向極致。雖然SD-WAN的功能還不止于此，但這個功能卻是當前最具客戶價值的。下一篇將分析具體的SD-WAN技術方案。