SD-WAN技術(shù)在企業(yè)網(wǎng)絡(luò)接入中的研究與應(yīng)用

一、前言

企業(yè)網(wǎng)絡(luò)接入的方式多種多樣，如專線接入、VPN接入、MPLS接入、SD-WAN接入等。針對企業(yè)網(wǎng)絡(luò)當(dāng)前面臨的WAN架構(gòu)封閉、分支接入點數(shù)量激增、業(yè)務(wù)保障困難巨大、業(yè)務(wù)部署成本高、業(yè)務(wù)部署慢和運維困難等問題，SD-WAN技術(shù)可以采用集中式架構(gòu)提供全場景互聯(lián)，零配置開局自動化部署，并通過應(yīng)用級智能選路與智能加速、智能運維，構(gòu)建更好的業(yè)務(wù)體驗[1]。

二、企業(yè)網(wǎng)絡(luò)常用的接入方式

（一）專線接入

企業(yè)網(wǎng)絡(luò)常用的專線接入方式有很多，但隨著企業(yè)內(nèi)部業(yè)務(wù)種類和流量的激增，對專線帶寬和時延的要求也越來越高，常見的接入方式有以下幾種：

光纖專線：利用光纖進行數(shù)據(jù)傳輸，具有傳輸距離遠、傳輸速度快、損耗低、抗干擾能力強等優(yōu)點，能提供更高的帶寬，適合對數(shù)據(jù)傳輸速度和穩(wěn)定性要求極高的大型企業(yè)、數(shù)據(jù)中心等。

SDH專線：基于同步數(shù)字體系，SDH具有標準的復(fù)用結(jié)構(gòu)，可以靈活地將多個低速率信號復(fù)用成高速率信號，提供從2Mbit/s到10Gbit/s甚至更高的傳輸速率，滿足不同用戶對大帶寬的需求。能與現(xiàn)有的PDH網(wǎng)絡(luò)實現(xiàn)完全兼容，還能容納各種新的業(yè)務(wù)信號，如ATM信元、IP數(shù)據(jù)包等，具有很強的兼容性和適應(yīng)性。

MSTP專線接入：基于SDH平臺，同時實現(xiàn)TDM、ATM、以太網(wǎng)等業(yè)務(wù)的接入、處理和傳送，提供統(tǒng)一網(wǎng)管的多業(yè)務(wù)節(jié)點。MSTP專線利用了SDH技術(shù)的高可靠性和強大的交叉連接能力，將多種業(yè)務(wù)整合在一個傳輸平臺上，為用戶提供專用的、點到點或點到多點的通信連接。

相比共享型的公共網(wǎng)絡(luò)連接，專線接入能夠滿足對高速、穩(wěn)定網(wǎng)絡(luò)的需求，還避免了帶寬不足、延遲高和網(wǎng)絡(luò)擁塞等問題。缺點是成本較高，靈活性較低，主要用于骨干區(qū)域連接。

（二）VPN接入

VPN接入是在不安全的公共網(wǎng)絡(luò)上，利用隧道技術(shù)、加密技術(shù)、身份認證技術(shù)等，來建立安全的數(shù)據(jù)傳輸。常見的VPN接人有以下幾種：

1.IPSecVPN

工作原理：IPSecVPN基于IP協(xié)議，用于在兩個設(shè)備之間建立加密的虛擬隧道。這種隧道可以在公共網(wǎng)絡(luò)上保護數(shù)據(jù)傳輸?shù)陌踩?，常用于站點之間的VPN。

協(xié)議：使用IPSec協(xié)議進行加密和認證，通常需要配置更多的網(wǎng)絡(luò)設(shè)備，如路由器、防火墻或硬件VPN設(shè)備。

客戶端要求：通常需要專門的客戶端軟件來建立連接，或通過硬件設(shè)備來進行連接。

安全性：提供強大的加密和身份驗證機制，通常使用AES、3DES等加密算法以及IKE協(xié)議來進行密鑰交換。

性能：IPSecVPN由于加密和解密的處理，需要一定的硬件資源支持，但它能提供穩(wěn)定的性能，適合于大流量和長期的站點間連接。

2.SSL VPN

工作原理：SSLVPN是基于SSL或TLS協(xié)議的VPN技術(shù)。它通過Web瀏覽器來建立加密連接，不需要專門的客戶端軟件。

協(xié)議：使用SSL/TLS協(xié)議進行加密，通常是基于Web的應(yīng)用，通過瀏覽器來連接VPN。

客戶端要求：通常只需要Web瀏覽器即可連接，用戶通過瀏覽器訪問特定的URL來啟動VPN會話，避免了傳統(tǒng)的VPN客戶端軟件。

安全性：SSLVPN提供的加密安全性較高，尤其是在需要對用戶進行強身份認證和數(shù)據(jù)加密的場景中。它還支持通過HTTPS（端口443）進行加密通信，避免了防火墻的限制。

性能：SSLVPN對客戶端的性能要求較低，尤其適合低帶寬和短時間連接的場景。

IPSecVPN適用于需要高性能和長期穩(wěn)定連接的場景，如分支站點之間以及分支與總部數(shù)據(jù)中心間的互聯(lián)，當(dāng)分支站點數(shù)量巨大、業(yè)務(wù)種類繁多時，面臨站點管理困難、重要業(yè)務(wù)難保障等問題。SSLVPN適用于臨時、低帶寬的遠程訪問，尤其是遠程工作時，用戶可以通過Web瀏覽器方便地訪問企業(yè)內(nèi)網(wǎng)資源，但面對多站點、大應(yīng)用的場景有些無能為力。

（三）MPLSVPN接入

CE設(shè)備：即用戶邊緣設(shè)備，是位于用戶端的設(shè)備，連接用戶網(wǎng)絡(luò)與服務(wù)提供商的網(wǎng)絡(luò)，負責(zé)將用戶數(shù)據(jù)接入到MPLSVPN網(wǎng)絡(luò)中。

PE設(shè)備：即提供商邊緣設(shè)備，是服務(wù)提供商網(wǎng)絡(luò)邊緣的設(shè)備，與CE設(shè)備相連。PE設(shè)備負責(zé)處理VPN相關(guān)的業(yè)務(wù)，如標簽的添加和移除、VPN路由的管理等。

P設(shè)備：即提供商設(shè)備，位于服務(wù)提供商網(wǎng)絡(luò)內(nèi)部，主要負責(zé)根據(jù)標簽進行快速轉(zhuǎn)發(fā)數(shù)據(jù)包，不參與VPN路由信息的處理。

運營商PE與PE之間運行IGP協(xié)議和LDP協(xié)議，建立LDP會話，根據(jù)標簽信息建立LSP。

CE用戶側(cè)可運行OSPF、ISIS、靜態(tài)路由、BGP協(xié)議，通過VRF（虛擬路由轉(zhuǎn)發(fā)）實現(xiàn)VPN之間的邏輯隔離，PE收到CE側(cè)的路由，增加RD值，生成全局唯一的VPNv4路由，可傳遞至對端PE，進行通信。當(dāng)CE側(cè)運行BGP協(xié)議時，傳統(tǒng)的BGP協(xié)議不支持VPNv4，需運行MP-BGP協(xié)議，本地PE發(fā)布路由時附上RT屬性，在遠端PE接收到VPNv4路由時，根據(jù)RT值導(dǎo)入對應(yīng)的VPN實例，然后將RD值剝除，將路由通告給相應(yīng)的CE設(shè)備。

MPLSVPN因地址空間重疊、組網(wǎng)方式靈活、可擴展性好等特性，非常適合需要高性能、高安全性以及高度可擴展網(wǎng)絡(luò)的企業(yè)和大型組織，尤其在跨地域的企業(yè)網(wǎng)絡(luò)中，能夠提供穩(wěn)定的連接和優(yōu)異的流量管理能力。然而，它的成本較高，部署和維護較為復(fù)雜，需要專業(yè)的網(wǎng)絡(luò)技術(shù)和支持。

（四）SD-WAN接入

SD-WAN相較于傳統(tǒng)的專線、MPLS和VPN技術(shù)更加靈活和高效。SD-WAN利用控制器來實現(xiàn)自動化部署、配置下發(fā)、集中管理與智能路由、應(yīng)用識別等功能。

1.選擇多種接入方式

SD-WAN可以通過多種方式接入廣域網(wǎng)：

公共互聯(lián)網(wǎng)接入：通過寬帶互聯(lián)網(wǎng)連接，實現(xiàn)全球范圍內(nèi)的靈活連接。

專線接入：可以部署在MPLS或?qū)＞€線路上，以確保核心應(yīng)用和數(shù)據(jù)的優(yōu)先級。

4G/5G移動數(shù)據(jù)：通過LTE/5G無線接人，提供更高的靈活性和備份選項。

2.集中管理與智能路由

SD-WAN平臺通過部署一個集中式的控制器來管理和監(jiān)控所有接人的網(wǎng)絡(luò)。

自動化配置和策略應(yīng)用：根據(jù)業(yè)務(wù)需求，控制器自動為不同分支/站點分配適當(dāng)?shù)膸捄吐酚刹呗浴?/p>

流量優(yōu)化與路由選擇：SD-WAN控制器根據(jù)實時網(wǎng)絡(luò)性能（延遲、帶寬、丟包率等）選擇最佳路徑。

應(yīng)用感知與優(yōu)先級控制：能夠識別不同類型的流量，如語音、視頻、ERP、CRM等，并為不同應(yīng)用分配優(yōu)先級。

3.部署和運維

SD-WAN設(shè)備通?？梢栽诂F(xiàn)場進行簡單的“即插即用”部署。管理員只需要在SD-WAN控制器中進行配置，現(xiàn)場設(shè)備便可自動連接到控制器，配置并實施策略。運維方面，SD-WAN提供了集中監(jiān)控和實時報告功能，能夠快速定位和解決網(wǎng)絡(luò)問題，減少人工干預(yù)。

4.靈活性與可擴展性

SD-WAN的優(yōu)勢之一是能夠靈活地適應(yīng)不同的網(wǎng)絡(luò)需求，隨著企業(yè)業(yè)務(wù)的擴展，可以輕松添加新的接入點和連接方式，使得SD-WAN特別適合于分布式組織或在多個地點有廣域網(wǎng)需求的企業(yè)。

5.成本優(yōu)勢

通過SD-WAN，企業(yè)能夠減少對傳統(tǒng)專線的依賴，轉(zhuǎn)而使用成本較低的互聯(lián)網(wǎng)連接或4G/5G網(wǎng)絡(luò)，不僅降低了WAN的建設(shè)和運營成本，還能實現(xiàn)更高的網(wǎng)絡(luò)靈活性和帶寬利用效率。

三、SD-WAN組網(wǎng)研究

企業(yè)網(wǎng)絡(luò)接入涉及多個總部數(shù)據(jù)中心以及大量分支接入點時，將在架構(gòu)設(shè)計、控制器設(shè)計、多HUB組網(wǎng)、多SD-WAN鏈路支持、應(yīng)用識別與流量控制、TCP優(yōu)化等方面進行組網(wǎng)設(shè)計研究。

（一）架構(gòu)設(shè)計

采用集中式架構(gòu)（Hub-and-Spoke）設(shè)計，多總部中心Hub主備切換，分支機構(gòu)站點多SD-WAN鏈路備份，所有流量經(jīng)過中心主Hub，然后再根據(jù)需要分發(fā)到各個分支（Spoke），如圖1所示。這種架構(gòu)簡化了網(wǎng)絡(luò)管理，支持大量分支站點自動化部署，保障了Hub節(jié)點冗余和SD-WAN鏈路冗余，避免單點故障，各分支站點可根據(jù)實際流量和需求選擇鏈路類型和帶寬。

（二）控制器設(shè)計

控制器集群部署，可選擇單節(jié)點部署，也可根據(jù)需求選擇3， 式部署來防止平票，多節(jié)點部署即使一個或多個節(jié)點失效，只要有節(jié)點正常工作，集群依然能夠提供服務(wù)。隨著節(jié)點數(shù)目的增加，集群的性能和擴展性也得以提高，尤其在復(fù)雜的系統(tǒng)中，多個控制器節(jié)點可以分擔(dān)任務(wù)負載，減少瓶頸。

（三）多HUB組網(wǎng)

在控制器上設(shè)置中心站點優(yōu)先級，優(yōu)先級數(shù)值越小越優(yōu)，將Hub1優(yōu)先級定為1，Hub2優(yōu)先級定為2，設(shè)置Hubl為主中心站點，中心站點也可采用集群設(shè)計來提供服務(wù)，增強業(yè)務(wù)的承載能力。在spokel、spoker2上，接收的路由具備Hubl、Hub2的來源且Hub1優(yōu)先級高于Hub2，生成拓撲如圖2所示，實線表示主鏈路，虛線表示備鏈路。

（四）鏈路支持

分支CPE支持同時接入專線、有線互聯(lián)網(wǎng)、4G/5G（CPE內(nèi)置SIM卡槽），所有WAN鏈路皆支持與匯聚CPE建立SD-WAN鏈路，與控制器通信。匯聚CPE支持同時接人2條專線、2條有線互聯(lián)網(wǎng)，所有WAN鏈路皆支持與分支CPE及其他匯聚CPE建立SD-WAN鏈路，與控制器通信。分支CPE和匯聚CPE可同時部署多條、多類型接入鏈路，實現(xiàn)備份需求，生成SD-WAN鏈路。

技術(shù)應(yīng)用

（五）應(yīng)用識別與流量控制

控制器具備內(nèi)置應(yīng)用庫，可包含常用的微信、百度、360等多種應(yīng)用，還可支持基于源目IP、源目端口、DSCP值等網(wǎng)元信息自定義應(yīng)用。例如，在控制器中創(chuàng)建自定義業(yè)務(wù)test，通過TCP協(xié)議和端口443匹配test流量自定義應(yīng)用創(chuàng)建。在控制器啟用應(yīng)用防火墻，增加拒絕業(yè)務(wù)分類為test的流量策略，即可進行自定義流量控制。

對test的流量還可設(shè)置QoS優(yōu)先級以及業(yè)務(wù)帶寬，對業(yè)務(wù)進行打標分類和帶寬保障。

通過應(yīng)用識別和流量控制，可以清楚地了解網(wǎng)絡(luò)中各種應(yīng)用程序所占用的帶寬情況。識別出不同應(yīng)用的流量，從而根據(jù)業(yè)務(wù)需求對帶寬進行合理分配。

應(yīng)用識別還能夠幫助安全設(shè)備準確識別出異?；驉阂獾膽?yīng)用行為，及時采取阻斷、隔離等措施，防止安全事件的發(fā)生和擴散，保護網(wǎng)絡(luò)和數(shù)據(jù)的安全。

（六）智能選路

在控制器設(shè)置Hub節(jié)點延時、丟包、抖動切換閾值，完成策略的站點關(guān)聯(lián)與下發(fā)。當(dāng)鏈路質(zhì)量達到閾值后，流量會切換至其他鏈路?？刂破鬟€支持通過應(yīng)用庫、自定義應(yīng)用、源目IP、源目端口等網(wǎng)元信息設(shè)置基于SD-WAN鏈路帶寬流量閾值的選路策略，同時智能選路也可進行鏈路回切[2]。設(shè)置ICMP探測頻率，當(dāng)鏈路恢復(fù)后，業(yè)務(wù)可自動回切。智能選路可避免主鏈路故障或質(zhì)量不佳時對業(yè)務(wù)的影響，自動檢測回切可在主鏈路質(zhì)量恢復(fù)后自動承載業(yè)務(wù)，提高了鏈路選擇的靈活性。

（七）TCP優(yōu)化

SD-WAN鏈路多建立在互聯(lián)網(wǎng)鏈路、4G/5G基礎(chǔ)之上，網(wǎng)絡(luò)質(zhì)量不穩(wěn)定，TCP傳輸效率低，可以調(diào)整TCP接收窗口，使用連接池技術(shù)，復(fù)用已經(jīng)建立的TCP連接以及采用批量數(shù)據(jù)傳輸，減少小數(shù)據(jù)包的發(fā)送來進行優(yōu)化[3]。

在模擬單WAN鏈路帶寬限速100Mbps，延遲70ms，丟包率大于 2 % 的環(huán)境下，正常傳輸速率低于1Mbps，在優(yōu)化后測試終端通過SD-WAN鏈路在文件共享協(xié)議下傳輸 500MB文件的平均下載速度可達到70Mbps以上[4]。

（八）其他功能支持

對路由協(xié)議的支持：CPE支持通過BGP和OSPF協(xié)議與第三方設(shè)備完成對接，具備BGP和OSPF路由過濾功能，還支持靜態(tài)路由和策略路由。通過對路由協(xié)議的支持，可以無縫對接企業(yè)內(nèi)網(wǎng)環(huán)境，進行路由轉(zhuǎn)發(fā)和路由過濾以及策略路由功能。

對IPv6的支持：控制器支持Ipv4/IPv6雙棧業(yè)務(wù)配置和監(jiān)控，實現(xiàn)站點間IPv6業(yè)務(wù)互訪。支持LAN口靜態(tài)IPv6地址，動態(tài)地址分配協(xié)議SLAAC。

四、結(jié)語

通過對企業(yè)網(wǎng)絡(luò)常用的接人方式以及對SD-WAN組網(wǎng)的研究，當(dāng)企業(yè)有大量分支站點接入時，SD-WAN從鏈路成本、接入靈活度以及組網(wǎng)功能各個維度的特性，可以滿足大部分應(yīng)用場景。作為一種新興的Overlay技術(shù)，利用控制器一鍵下發(fā)配置，對各個站點進行智能化多維度管理，極大地降低了運維難度和運維工作量，并通過自定義應(yīng)用識別、智能選路與TCP優(yōu)化加速等特性，滿足企業(yè)個性化的業(yè)務(wù)需求，為企業(yè)構(gòu)建更好的業(yè)務(wù)體驗。

參考文獻

[1]張晶.軟件定義網(wǎng)絡(luò)（SDN）架構(gòu)下的網(wǎng)絡(luò)管理與優(yōu)化研究[J]現(xiàn)代計算機，2023，29（15）：100-104.

[2]楊帥.傳統(tǒng)廣域網(wǎng)向軟件定義廣域網(wǎng)（SD-WAN）架構(gòu)轉(zhuǎn)型淺析[J].中國信息化，2019（05）：60-63.

[3]穆域博，柴瑤琳，宋平，等.SD-WAN產(chǎn)業(yè)發(fā)展與關(guān)鍵技術(shù)研究[J].信息通信技術(shù)與政策，2019（11）：73-78.

[4]洪莎莎，陳志軍.廣域網(wǎng)數(shù)據(jù)傳輸優(yōu)化技術(shù)研究[J].信息與電腦（理論版），2021，33（11）：192-195.

作者單位：中國石油新疆油田分公司（數(shù)智技術(shù)公司）

責(zé)任編輯：張津平尚丹