SD-WAN三种基础技术架构

第一类架构：叠加网络结构（On-Prem-Overlay），这是最基本的SD-WAN架构，初期SD-WAN的典型架构，适合中小企业小规模快速组网。如图所示：

简单介绍一下这种架构：
不论是传统硬件厂商、VPN厂商或新型的SD-WAN公司，设计一套SD-WAN控制器，部署在云端或总部，基于互联网统一管理分支机构的CPE设备并组网：

• 在本地分支机构部署SD-WAN的CPE，云端部署 SD-WAN控制器，与每个分支机构CPE互联，CPE之间利用互联网和VPN技术实现安全连接。（底层技术有用GRE+IPSEC，也有用VLXAN等等）
• 满足企业分支基于互联网灵活部署和组网
• 实现SDN控制和统一策略、ZT-PNP自动部署，即插即用
• 组网模式 推荐Hub-Spoke 或小规模Full-Mesh

架构点评：

• 适合中小规模企业分支机构互联，由于分支机构需要直接建立隧道，不适合大规模扩展，如果客户有Full-Mesh的需求，这种架构就是一个灾难。
• 这种架构主要解决的是自动部署和VPN互联问题。在中国，需要考虑南北运营商互联的瓶颈问题，跨南北运营商互联时网络性能完全不可控。

第二类架构：基于POP云端网络架构（On-POP-Overlay架构），这个是云商和服务商最喜欢的SD-WAN架构，也是SD-WAN大规模分支部署的推荐架构。如下图所示：

简单介绍一下这种架构：
这种架构利用云端或运营商的POP节点来终结CPE，设计部署时会选择在各地的多个机房部署多线POP节点，分支机构需要首先探测和选择最佳的POP节点并建立连接。在POP中部署vPE或网关设备，CPE与之POP节点的建立VPN隧道，在POP层解决跨运营商互通提升互联品质， POP之间构建专线骨干网确保SD-WAN远程传输业务品质。

架构点评：

• 由于采用POP思路，大大简化隧道的数量 ，非常适合大规模SD-WAN部署
• 统一策略，极简运维，即插即用
• 组网模式可以是Full-Mesh或Hub-Spoke
• 解决南北运营商Internet瓶颈的问题，提升基于互联网组网SLA服务质量
• 推荐采用基于Linux 或OpenWRT的CPE盒子，通用的uCPE不再被厂商锁定

在这个架构中，各个厂商还有各自独特的技术特性（以大地云网SD-WAN技术为例），增加了几个非常有特色的增强功能：

• POP 动态和精准探测功能： POP站点的信息由控制器发布，CPE盒子可以根据各自租户的策略动态选择或者人工指定POP站点，另一方面 探测算法可以由系统管理员调整。
• POP站点的多租户支持：POP站点支持基于租户的的管理和安全隔离，大大节省资源管理和扩展能力。
• 多隧道机制：任何一个CPE可以实时建立两个VPN隧道到不同的POP点，这样保证任何一个POP点或Internet质量出现问题 业务可以无缝切换到另一个隧道。同时所有的POP站点都是Active/Active和动态流量分担状态。
• 还有一非常有特色的功能分级分权管理，如管理员、服务商、合作伙伴和最终租户等。这样可以发展SD-WAN服务生态系统打下一个的基础。

第三类架构：整合网络架构（Integrated SD-WAN架构），这个是MPLS服务商最喜欢的SD-WAN架构，也是实践中许多客户需要的混合组网架构。如下图所示：

简单介绍一下这种架构：
各个POP节点的vPE或GW通过与运营商MPLS网PE直联，通过OptionA 或 别的方式对接，将SD-WAN汇聚上来的流量转发到运营商的MPLS骨干网中以确保障其SLA。在这种架构中，运营商可以把MPLS VPN的PE和租户VPN集成到SD-WAN系统中，真正实现为客户提供全国范围内集MPLS VPN、IPSEC VPN、SD-WAN等多种应用的WAN解决方案。国外将这种能力也称之为“混合架构”能力。这种架构能有效提高网络性能和混合组网能力，特别是各种高服务级别的实时流量，而且可方便实现骨干网与主要云运营商对接。

架构点评：

• 该架构结构兼顾传统MPLS客户情况，真正实现为客户提供全国范围内集MPLS VPN、IPSEC VPN、SD-WAN等多种应用的WAN解决方案
• 解决运营商最后一公里的难题
• 由于实现了MPLS租户VPN与SD-WAN的租户VPN打通，也有称之为“混合架构”能力，非常适合实现骨干网、SD-WAN与主要云运营商对接，开展云联网业务
• 这种架构的加强模式：控制器将MPLS 服务商PE节点统一纳管，这样但开通VPN业务时可以实现完全的业务自动化，目前大地云网TerraEdge控制器已经具备这种能力。

第四类架构：原生SD-WAN架构 （Native SD-WAN 架构）
这个是运营商和大型的客户端到端SD-WAN架构的目标，实现从接入到骨干网的设备SDN统一管理，如下图所示：

简单介绍一下这种架构：
在整合架构的理念上，将SD-WAN Edge、骨干核心网PE/P节点统一纳管。 骨干核心网络可以基于路由器组网或者基于商用化交换机组网， 很多新一代的服务商更愿意采用通用商用化交换机搭建的原生态SD-WAN骨干网。 不管哪种方式，这种架构将各个POP节点的vPE/网关设备与骨干网系统统一纳管实现完美结合，真正实现端到端的流量SLA保障。这是一个比较彻底和原生态的端到端SD-WAN架构，可以实时监控和调度全网SD-WAN流量和业务，可以端到端保障低延迟、低丢包率和低抖动。

简要点评：

• 适合重构基础网络资源的运营商和大型客户，可以重构新一代骨干网和实现端到端的流量工程，提供高品质广域网业务。
• 实现从分支接入到云商、企业DCI到云商等高效互联，是整合架构的一种增强架构。
• 这种架构的加强模式：骨干网基于SRTE流量工程 实现流量调度和管理： 流量端到端探测、调度管理，真正实现端到端的流量SLA保障。

上面谈到几种的SD-WAN技术架构，更多从功能实现和扩展能力不同，并不是代表那个架构一定好于那个（每个人可以有各自的技术流派和追求），不同场景客户有不同选择。除此以外，SD-WAN还需考虑集成一定传统网络的功能，如路由协议、安全ACL、防火墙，QOS，流量识别和加速，分级分权管理，互联网线路和专线组网和统一纳管，还有就是基于客户要求开放北向API或定制开发。下面简要谈谈其中路由协议和API定制开发这两点。 有人说SD-WAN已经统一管理路由策略了，不需要传统路由支持，其实不对，SD-WAN除了支持SDN本身的策略路由，通常还需要支持传统的 OSPF，BGP，VRRP和静态路由等，这样SD-WAN才可以和已有路由设备可以做到互为备份和混合组网。另外北向API或定制开发也是大客户比较关心：运营商客户通常需要SD-WAN控制器开放北向接口，与现有的BSS/OSS业务系统集成和定制API；企业客户在建设SD-WAN的过程中，由于组网方式、应用需求的不同，也会有一些个性化的定制组网需求。

最后一点，也许是最重要的一点，在设计SD-WAN技术架构的时候一定要避免重蹈当年的ATM技术架构的覆辙，甚至吸取 Openflow的SDN技术架构的失败教训（至少不推荐大规模部署），以大地云网TerraEdge为例，我们在规划设计SD-WAN架构的时候，有三个铁定的原则：第一：SD-WAN控制器不参与转发面；第二 正常运行阶段控制器即使通讯失联业务不受影响；第三 即使控制器断掉转发面设备有自愈能力。 简单来说就像我们在开车使用GPS导航系统，有了它帮我们实现调度和最优路径选择，但当特殊环境GPS信号失联，我们可以用本地地图和人的大脑继续行使到达目的地-尽管难以预测后续的交通拥堵。

最后展望一下SD-WAN的未来，SD-WAN将SDN的概念和架构引入WAN是个既浪漫又务实的话题，如同云计算一样，SDN通过新型的管理和网络计算模式将分布而有限的物理网络抽象为统一而无限的逻辑网络资源以便更加灵活地使用和调度。今天SD-WAN的旅程已经开始，SD-WAN作为一种新的业务模式带来的价值和意义前景不可估量，企业的上云和多云互联发展必将使SD-WAN进入一个新高潮，进而颠覆现有的企业网络组网设计理念。未来的SDN以及SD-WAN如何和人工智能AI和大数据结合-提供精准的智能调度能力以及流量与业务智能关联分析也值得关注，同时未来的一段时间SD-WAN将与运营商的MPLS融合共存，并为企业网络服务市场带来新的生态环境，除此之外未来的SDN的开放性、通用标准和互操作（不被厂商锁定）也将是大势所趋，不忘初心，让我们拭目以待。