sdwan厂商选择

sdwan厂商选择

对2015年才出现的SDWAN，一直处在“一个名词，各自表述”的为难中。但由于其在当前的网络圈太火爆的原因，已到了“脚踢方案，拳打路由器”的地步，各路厂商纷纭易帜，不管有的没的，都言必称自己的家当就是SDWAN，以致于各位看官也不清楚谁是谁非，只能袖手旁观，看个热烈。

国内行业协会的定义：软件定义广域网络，是将SDN技术利用到广域网场景中所构成的一种服务。

对大多数非业内人士，通过这个定义依然不能弄明白SDWAN是甚么?具有SDWAN功能的产品该是甚么样?但最最少知道了，SDWAN应当源自于SDN，也就是它应当具有SDN的一些实现思路和技术特点。

SDN寻求的是甚么?

传统意义上的SDN是一个局域网范围内技术，其出现来自于校园网，最早被利用到数据中心领域，主要为数据中心部署云业务服务。而随着SDN在IDC、在云中心的普及，SDN的这一关键思路被进一步与云计算的概念相契合：

**硬件简单化、通用化：**SDN提倡用功能简单和标准化的网络硬件构建IDC的网络基础设施，实际上这是下降方案本钱的关键，这也与云计算基础设施的构建思路相吻合。

**网络虚拟化：**可以说SDN增进了网络虚拟化在自动化业务部署方面的普及。原始的网络虚拟化技术更像是一种网络隔离技术，可以认为是一种进化版的VLAN技术。在与SDN的集中控制体系、基于主机的服务虚拟化相结合后，它迅速成了SDN连接控制层面虚拟化、网络资源虚拟化、虚拟化平面与物理网络衔接的关键手段。同时，网络虚拟化的概念借此进一步的进化成为一种网络功能虚拟化方法(NFV)。

**控制中心化：**SDN严格辨别控制层面的行动和转发层面的行动，这与SDN的物理网络相对单一不无关系。SDN的中心化控制受限于单一控制器的控制能力和控制区域整体网络性能。SDN通过集中控制保证了在区域内的管理效力和手段简化，同时也实现了控制器的虚拟化部署。

**数据透明化：**与控制中心化相对应，SDN实现了转发数据相对控制器和控制层的透明，毕竟，SDN控制器需要通过下发的策略和规则对流经交换机的数据进行转发控制，SDN控制器所能看到的数据深度和种类决定了全部SDN网络对客户业务的SLA的承载能力。

SDWAN从SDN继承了甚么?

首先，SDWAN是SDN思想在广域网领域的延伸。除研究的网络对象不同(SDN面向本地的局域网，SDWAN面向广域网)，其“转控分离”的基本思想被完全继承。并且，在硬件通用化、网络虚拟化、控制中心化和数据透明化方面二者都有类似的说法。

但由于SDWAN与SDN的利用环境和商业环境都不同，二者在实现形态和实现途径上的斟酌有很大不同：

**在转发层面的控制要求不同：**SDN强调转发完全由三层硬件实现，即在端口转发线速的条件下，能够对利用转发控制深度尽可能细化。SDWAN则是要求转发层面对传输层(Underlay)的抽象封装提出了要求，也就是说，通过SDWAN建立的端到真个逻辑链路(物理或虚拟)和网络(overlay)应当能够以抽象的传输资源的方式被调用，overlay的传输工作不应当触及underlay中复杂的传输协议处理。这样就能够简化对通讯的管理和配置。

**在控制层面转发控制目标不同：**SDN的控制目标是保证全域(LAN范围内)内业务流量的转发性能(带宽)达标。SDWAN的控制目标则是保证全域(广域网WAN范围内)内业务流量的可靠性(QoS)和性能(带宽)达标，为此SDWAN需要能够驾驭多种传输网络(组网/SDH、以太网、无线、4G/LTE、卫星通讯等)，并在全域范围内调度这些网络为业务流量转发服务。

SDWAN真正要实现甚么?

依照我自己的归纳和理解，SDWAN真正想要实现的就是：充分利用企业所能够使用的通讯手段(组网/SDH、以太网、无线、4G/LTE、卫星通讯等，还有专网和互联网)，以“转控分离”的方式，实现以全业务流量QoS为目标的，全域选路控制和业务策略编排。

因此，相对传统的路由器组网所实现的广域网传输方案，SDWAN在以下几点上提出了全新的实现思路：

**转控分离：**这个在前面SDN介绍中已提及，SDWAN只是在分离的程度上有所不同，由于SDWAN更多的是关注面向overlay层的转发控制，因此underlay层的控制更多的会放在转发层面来实现。

**全域选路控制：**SDWAN很大程度上以此替换了传统路由器的动态路由协议。我们知道传统的动态路由协议一般都是通过搜集本地链路QoS和可达信息，在域内的路由器间进行路由信息交换和表决，来保护本地动态路由转发表进行实际的转发控制。即便是BGP协议也不过通过RouteReflector将这些路由信息集中起来进行分发，具体的路由判断，也就是转发控制依然在本地完成。而SDWAN可以简单的认为是直接在其SDNController上统一保护“一张”全域的路由表，CPE/Edge装备只需要将本地链路信息上传，并接收SDNController针对其发布的路由表就能够了，路由处理和转发控制被极大的简化了。

统一的QoS控制：相比于传统网关和路由器装备各行其是的本地QoS策略控制，SDWAN强调实现集中化的QoS分析和统一的QoS策略分发。CPE/Edge装备实时上报本地链路信息数据(其中包括了链路当前的网络特性，包括延迟、jitter、丢包和可用带宽)，SDNController统一进行分析，网络管理员将SLA目标输入转化为各种特定业务利用的QoS定义–带宽、延迟、jitter、数据包丢失等，控制器将这些要求转换为对应边沿装备“即时”的路由策略，以选择发送该流量的最好路径。从另外一个角度来讲，统一的QoS控制也就是全局选路的判权策略。

**业务策略编排：**SDWAN的“软件定义”特点主要依托“策略编排”来体现。策略，说明了SDWAN对业务、利用、CPE/Edge装备、链路、网络特性、SLA/QoS保证、路由等的控制方式。编排，是策略与SDWAN下辖资源(如，可用Overlay链路池、overlay网络特性、可用underlay链路池、underlay链路特性)的映照和关联方式，简单的说，就是业务需要怎样使用SDWAN到达相应SLA目标的自动化方式。既然是自动化方式，就意味着SDWAN的SDNController可以自发的调剂那些策略，使用下辖的资源，自动化的程度高低和策略控制粒度的精细程度，决定了SDWAN的业务编排能力，也就是SDWAN实际的实现水平。

如何辨认真假SDWAN产品?

在基本了解了SDWAN的真正含义和来龙去脉后，我们回到本文的初衷：如何辨别真假SDWAN产品。

就像文章开始所讲，SDWAN至今没有统一的定义，这造成众多厂家的SDWAN解决方案其实不存在统一的评价标准，一些厂家也借此“赶时兴、蹭热度”，刻意混淆SDWAN真实的技术概念和方案意图，客观上阻碍了SDWAN市场的健康发展。近来在行业内就曾出现过有厂商采取传统的方案配合内部的组网骨干简单实现伪SDWAN方案的案例，更有甚者，居然使用L2TP+组网+SNMP方案，对客户宣称是SDWAN的笑话。

由于SDWAN的产品和方案其实不排挤与旧有技术和产品进行整合，这为辨别真假带来了很多困扰。因此我认为，可使用两种方法来对这个问题进行判断：

从SDWAN的根本特点动身进行辨别

从SDWAN产品的外在功能点进行归纳判断

从SDWAN的根本特点动身进行辨别

这类方法实际上是一个测试方法，需要读者本身具有分析SDWAN系统的基本能力，也就是能够自主的对SDWAN系统的各部份进行考察，从而判断某个SDWAN系统是否是存在疑点。

根据前面的介绍，我认为SDWAN必须具有的四个根本特点是：转控分离、全域选路、统一QoS控制和业务策略编排能力。为此，读者可以在某个SDWAN系统中寻觅其是否是具有以下特点：

通过考察Controller判断其是否是具有“转控分离”

**在这个SDWAN系统宣称的Controller上，考察其是否是与本地的流量转发功能完全分开。由于SDWAN系统的Controller作为系统中的中心化的控制设施，可以是一台独立的专用装备，也能够是部署于IDC中的虚拟化服务器，还是企业网络中心位置的某个虚拟化利用。因此，我们需要确信，这个Controller与其他所有具有本地的流量转发功能的SDWAN装备(CPE/Edge装备)都具有通讯连接。

**考察这个Controller具有转发策略的发布能力。由于SDWAN系统的转发策略基本都依赖三层及三层以上的路由规则进行，因此我们需要确信这个Controller能够生成这样的路由规则，并涵盖下辖所有的SDWAN装备(CPE/Edge装备)。

**至此，我们可以基本确认这个Controller基本具有“转控分离”能力，但这不包括与BGP系统区分开来，为此需要下面的步骤。

通过考察CPE/Edge装备进一步确认“转控分离”

考察SDWAN系统中的CPE/Edge装备的路由转发表。由于SDWAN系统中的Controller负责更新域内所有转发装备的转发表，因此，判断在线的CPE/Edge装备是否是完全依赖Controller进行路由转发表进行更新就能够了。

通过考察Controller和CPE/Edge装备判断其是否是具有“全域选路“能力

**通过选择某个CPE/Edge装备的本地链路进行通断，判断其是否是会上报链路信息给Controller。

**考察这个Controller是否是更新自己的全局策略表，并更新相干多个CPE/Edge装备的转发表。

**在这个进程中端到真个的两个CPE/Edge装备上的业务连接(如，视频播放)不应当中断。

通过考察Controller和CPE/Edge装备判断其是否是具有“统一QoS控制”

**需要在这个SDWAN系统中引入最少两个业务延续流量(比如，两个视频播放)，以此来表示不同级别的QoS策略所带来的效果。

**对这个SDWAN系统引入新的传输链路(最好是新的链路类型)，设置新的QoS策略，并与前面其中一个业务流量的QoS策略进行关联。

**断掉原本的传输链路，应当能够看到QoS策略对不同业务流量的传输效果变化。(具体策略依赖于具体的实验方法)。

通过考察Controller判断其是否是具有业务策略编排能力

考察这个Controller的资源列表所涵盖的范围。

考察这个Controller的策略类型所涵盖的种类。

考察这个Controller的资源编排器(不同的厂家有不同的名字)是否是涵盖上述两方面的内容。

据此我们就基本肯定这个Controller是否是有业务策略编排功能，具体能力大小则需要另外判断。

当这个系统通过了以上的考察和测试后，我们就可以够比较有掌控的认为这个系统是一个SDWAN系统了。

从SDWAN产品的外在功能点进行归纳判断

由于人们其实不会都有机会接触到某个SDWAN系统，通常只能接触到该SDWAN系统的宣扬资料和部份功能列表，是否是可以通过对这些文字信息进行判断得到结论呢?这里我尝试给出一份基本SDWAN系统功能列表(Abloomy)，辅助读者进行判断：

远程站点/分支机构可以通过公有或私有WAN主动接入业务利用。

支持分支站点装备WAN链路的多种备份和聚合方式

SDWAN的控制器支持单/双集群、虚拟化部署方式。

支持根据统一的利用策略对跨专用和公共WAN路径的流量进行动态调剂，并在传输和利用层上控制(提高或下降)WAN服务的性能。

支持以集中的可视化方式管理关键性业务和实时利用程序的流量运行状态，并能对其进行控制优先级的排序。

支持分支站点装备的零接触部署(ZTP)，在直连的基础装备上几近不做任何配置更改，确保配置和部署的敏捷性。

支持集中策略配置，保证带宽分配、优先级自动排序和链路选择的实时性。

支持基于业务利用程序的性能要求(带宽、延迟、jitter、数据包丢失)预定义模板。

支持广域网优化。

支持AAA(认证，授权和计费)，支持RADIUS、LDAP或AD等。

支持具有IPsec和SSL方案一样等级的链路安全属性。

分支站点装备支持本地或云端基于NFV的服务编排，支持报文捕获与解码能力(DPI)和防火墙功能。

支持基于角色/多租户(同层/分层)的访问控制功能