SD-WAN基础---SD-WAN简单了解

一：推文（摘录、转载自）

关于SD-WAN，你不得不了解的10个常识

那些让人怦然心动的SD-WAN功能（上）

那些让人怦然心动的SD-WAN功能（中）

二：SD-WAN是什么

SD-WAN，即软件定义广域网络，是将SDN技术应用到广域网场景中所形成的一种服务。
这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务，旨在帮助用户降低广域网的开支和提高网络连接灵活性。

SD-WAN是一种应用于WAN传输连接的基于软件的网络应用技术，它可以使得企业将广域网连接和功能整合并虚拟化成集中式的策略，
以简化复杂WAN拓扑的部署和管理。——SDNlab

三：SD-WAN出现的原因

在云计算、移动应用、企业全球化成为大背景的环境下，
越来越多的实时应用（异地办公、视频会议、远程桌面、支付交易系统、远程医疗）要在多个节点间传递，
断线、访问慢等问题将会放大用户的不满，造成交易流失。
而SD-WAN的出现不仅解决了互联网不稳定、专线造价昂贵的问题，最重要的是能够极大程度上满足这些应用即时性和实时性的要求。

四：SD-WAN解决方案的基本功能

统一管理与监控：SD-WAN整合了路由器、防火墙、DPI检测、广域网加速等功能，确保企业真正意义上实现对应用的管理与监控。
安全性:可通过使用IPSec或TLS/DTLS加密来保护传输中的数据，确保数据安全。
智能路径控制：当一条链路发生故障，中央控制台会自动切换链路，保证应用程序依然能够继续工作，同时发送报告。

或者

.Application-Aware Routing (基于应用的路由选择)----智能灵活
.Zero-Touch Provisioning (全自动服务开通)----便捷
.Security, Monitoring, and Analytics (安全，监控，和数据分析)----安全可视
.All-in-One uCPE Package (通用白盒CPE， VNF百宝箱)----避免厂商锁定

补充：CPE和无线接入点AP区别

客户前置设备,实际是一种接收移动信号并以无线WIFI信号转发出来的的移动信号接入设备，它也是一种将高速4G或者5G信号转换成WiFi信号的设备，可支持同时上网的移动终端数量也较多
我们总是希望无线覆盖基站的覆盖范围越大越好，但是无线系统的传输距离同时也与客户终端设备的技术指标有关。标准WiFi客户端的上行功率有限（一般为15dBm），无论无线覆盖基站的下行功率有多大，标准WiFi客户端的上行距离都受到了上行功率的限制，距离十分有限。无线CPE就是专用客户终端设备，采用无线室外CPE距无线覆盖基站的距离可以达到标准WiFi客户端的4倍。
当然在实际应用中，难以找到视距无遮挡的应用环境，通过无线传播模型的测算和实际经验表明，采用CPE的客户端与基站的传输距离可以达到1Km－5Km

五：SD-WAN部署的重要考虑因素--可扩展性

由于SD-WAN部署使得添加新的分支站点变得更加容易，
因此具有分布式分支站点的垂直行业是最先使用SD-WAN的一些行业，包括零售，制造业，医疗保健，餐馆和金融服务。

六：SD-WAN基本功能讲解---基于应用的路由选择

（一）Application-Aware Routing (基于应用的路由选择)

这一个功能实际上涵盖了好几个关键技术（比如中心化Policy的制定和下发，实时链路状态检测，应用类型识别，多径选择，等等）

Application-Aware Routing 本质上是根据客户流量中不同应用的类别，来选择使用不同的广域网(WAN) 链路 (比如专线 vs. 公共互联网vs. 无线移动网络) 进行数据的传输，
从而达到在不影响关键应用通信质量的情况下，尽可能的降低网络带宽成本的目的。帮企业省钱

（二）案例讲解--为什么要选择使用不同的WAN链路？《不错》

“壳牌石油”是一家大型跨国企业，在世界各地都有自己的分支机构和网点，
如何把这些遍布全球的办公室和商业网点通过网络连接起来，并保证他们之间稳定和安全的数据通信，这并不是一件容易的事情。
通常来讲，他们都会从大型电信运营商那里购买一种叫“企业专线（VPN）”的服务。
这种服务覆盖区域广，稳定性高，也很安全，但最主要的缺点是太贵。到底有多贵？
在购买相同的带宽档次的情况下（比如都是100MB/s），企业专线比我们自己家里上网用的宽带贵了10倍-100倍。
经年累月的给全球成百上千的分支机构交高昂的网络费，即使不差钱的跨国大企业也大呼吃不消。
更令它们抓狂的是，要为新分支开通专线服务时，少则等数星期、多则等数月
（比如，当新分行不在这个电信运营商的传统服务区域内时，电信运营商需要和本地电信运营商协商租用对方线路，有时甚至迫不得已自己挖沟埋线。）。
这些痛苦的现实令跨国大企业终于决心开始寻找其他的网络方案。
比如，能不能尽可能的多使用、甚至只使用价格优惠的，并且无须漫长等待，随时可以开通的公共互联网来进行站点之间的互联?
或者尽可能把对网络稳定性和安全性要求没那么高的流量通过公共互联网来进行传输、只把最重要的信息通过企业专线进行传输? 
如此一来，企业专线所需的带宽就能大大减少，立竿见影地为企业省下不少的银子。这就是为什么企业想要选择不同的WAN链路来进行数据传输背后的原因。

Application-Aware Routing 这个功能能够使企业用户方便灵活地通过自己定义策略 (Policy) 的方式来选择何种类型的应用（语音，视频，邮件等）在何种链路条件下 (时延，丢包率) 选择使用哪条路径（专线，公共互联网，4G-LTE无线网络）来进行数据的传输。
这样既节省了专线带宽的开销，也保证了一些关键应用的通信质量。

（三）实现机制--三步走

第一步, 用户（企业）在中心化的用户管理界面上定义Application-Aware Routing 的策略 (Policy)。假设应用A是一个对网络质量要求很高的应用（比如实时视频会议）。

那么用户定义的Policy可以是：
针对应用A（实时视频会议），请选择时延低于100ms， 丢包率低于2% 的路径进行传输。
Policy的制定可以通过类似配置文件的方式进行手动键入，也可以通过对常见的Policy类型先定义模板 (Template)，然后再对模板加以赋值的方式在用户界面上快速方便的制定Policy。
后者更加人性化，也减少了用户手动键入Policy时出错的概率。
中心化的Policy制定完成后，就会下发到相应站点处的CPE设备上面，并对设备进行相应的配置。

第二步，不论当前WAN链路上有没有用户数据在跑，各个站点的CPE设备时时刻刻都在对他们之间的各条数据层链路进行着测量（通常使用BFD或类似的链路监测协议）

他们不仅测量各条链路是否通畅，同时也详细记录下每条链路的实时状态信息，比如时延，丢包率，抖动，等。

第三步，每当一个新的应用流量进入CPE设备时，CPE设备会通过包头的端口信息（或使用深度包监测 / DPI）识别出这个流量的应用类型。

如果本地Policy中已经存在对于这种应用类型的定义，CPE设备就会将Policy中对于链路质量的要求和当前所有链路的实时信息进行比对，挑选出能够满足用户Policy定义要求的链路来进行传输。
在图中的例子里，路径1 (企业专线) 和路径3 (LTE专线网络) 都能满足用户Policy设定的要求，这时CPE就会在路径1和3中选择一条来进行应用A的数据传输
(注：当遇到多条路径均满足条件的情况，CPE通常采用等价多径 (ECMP) 的哈希算法来保证同一个应用流内的所有数据包都走相同的路径，以避免乱序到达的情况)。

补充注意点

另外请注意用户对于Application-Aware Routing Policy的制定是中心化的，无须用户逐一登录到各个站点的CPE进行手动配置。这是SD-WAN中心化管理和控制这个核心思想的再一次体现。

七：SD-WAN基本功能讲解---全自动服务开通

（一）为什么ZTP会是一个吸引客户的SD-WAN功能？

首先ZTP这个技术最早被提出可以追溯到数据中心内对交换机进行自动配置这个应用场景。
试想在构建一个大型数据中心的网络基础设施时，对其成百上千台的交换机如果都使用传统的手工命令行键入的方式来逐一进行初始化配置，镜像升级，不仅费时费力，而且还容易出错。
所以交换机厂商们就率先提出了ZTP这个技术: 
将初始化配置和镜像升级文件的位置等信息在交换机第一次上电后，以响应其DHCP请求的方式发送给交换机，从而让交换机能够自动去指定位置 (即ZTP Server) 获取初始化配置，下载和升级镜像文件。
从而大大加快了数据中心网络的构建速度，同时减小了人为出错的机率。

这一功能一经推出立刻大受好评，也随之推广到数据中心以外的各种网络自动化部署的应用场景。
对于SD-WAN的 CPE设备的自动化部署和服务开通自然也不例外。
而针对SD-WAN 这一场景，除了之前提到提升设备配置效率、减少人为出错这两个优点以外，还有一个很重要的原因就是可以避免专业网络运维人员逐一访问各个企业站点 (俗称：Truck Roll) 去配置CPE设备和开通SD-WAN服务。
这能帮助网络运营商和企业用户省下不少运维成本。这也正是ZTP 如此受到客户青睐的原因。

（二）ZTP的典型流程和实现方式--两个阶段

第一阶段 (Phase 1) 是对CPE设备入网前进行一些准备工作（也即所谓的CPE On-Boarding）

此时CPE设备还处在设备厂商或运营商的网管中心，或企业用户自己的数据中心，在这里关于这个CPE设备的一系列具体信息 (比如: 软/硬件序列号，端口数量和类型，IP地址和其配置方式，以及即将被部署的站点位置信息，等等) 都会由网络运维人员手动录入SD-WAN网管系统。
人工录入的过程通常以填写模板的方式来进行，从而提升效率、减少人为出错机率。填写好的配置模板会自动生成配置文件存放在系统里，用于之后对CPE设备的自动化配置。

第二阶段 (Phase 2) 是CPE设备被邮寄到企业用户站点之后的一系列操作

() CPE设备开机上电 (在此之前要确保CPE设备的WAN端口已连上可用的WAN网络)。

() CPE设备通过WAN端口以DHCP的方式自动获取WAN IP地址 。

() CPE 设备通过DNS Server 查询并获得 ZTP Server 的IP 地址。ZTP Server 的Domain Name 是在Phase  On-Boarding时存入CPE设备的。 取决于企业客户选择的商业模式，ZTP Server 可以由 SD-WAN 供应商，或运营商，或企业客户自己，来提供和维护。

() ZTP Server 通过比对CPE设备的软/硬件序列号等信息，查找出这个CPE设备属于哪个企业用户，从而导向相应的验证服务器 (Auth. Server) 对CPE设备进行安全验证。

() 安全验证的方式可以有很多种，包括使用邮件或短信验证的方式来确保CPE设备是在正确的客户站点入网。验证通过后，Auth. Server 会将 SD-WAN Controller 的IP 地址发送给 CPE设备，从而在Controller 和 CPE 设备之间建立起安全的控制信道。

() Controller 将之前生成的初始化的配置信息发送给CPE设备，从而完成设备的初始化配置和升级。之后Controller和CPE设备会交换本站点和其他站点的路由及安全密钥等信息，用于建立跨站点之间的数据层IPSec链路

至此，这个CPE设备算是彻底加入了SD-WAN网络, 这个新的企业站点可以与其它的站点利用SD-WAN的各种炫酷的功能开始愉快地通信（比如上次讲到的 Application-Aware Routing）。

（三）ZTP价值

() 从客户的角度来看：
从企业客户收到CPE设备的邮递包裹，到站点SD-WAN 业务上线，客户只需要插上相应的网线和电源线，通过短信或邮件进行简单的身份认证，
剩下的事情都会自动完成，无需客户操心。
() 从运营商的角度来看：
只需在On-Boarding的阶段，在中心化的网管中心内，对CPE设备进行一些初始化的配置操作（而且可以借助模板来快速实现），
无需派遣网络运维人员到客户站点进行繁琐的手动配置。
这不仅大大加快了开通服务的速度，减少了手动配置出错的概率，同时也节省了派遣Truck Roll的成本。所以说ZTP绝对是一个皆大欢喜的好功能。