柴瑤琳　穆博　馬軍鋒

摘要：軟件定義廣域網(wǎng)（SD-WAN）是將軟件定義網(wǎng)絡(luò)（SDN）技術(shù)應(yīng)用于廣域網(wǎng)（WAN）連接的服務(wù)。重點(diǎn)闡述了SD-WAN應(yīng)用的關(guān)鍵技術(shù)，包括SD-WAN服務(wù)中4種典型技術(shù)架構(gòu)、SD-WAN的整體功能模塊以及邊緣設(shè)備中所采用的關(guān)鍵技術(shù)。與傳統(tǒng)的WAN架構(gòu)相比，SD-WAN技術(shù)以一種多接入、安全、策略驅(qū)動(dòng)業(yè)務(wù)、彈性路由、多虛擬隧道、敏捷上云的方法重新定義了開放式的WAN架構(gòu)。

關(guān)鍵詞：SD-WAN安全;策略驅(qū)動(dòng)業(yè)務(wù);彈性路由;多隧道;敏捷上云

Abstract： The software-defined wide-area network （SD-WAN） is a specific service that applies the software-defined network （SDN） technology to WAN connections. The key technologies of SD-WAN are discussed in this paper， including the technologies used in the following items： four typical technology architectures， the overall functional modules， and the edge devices. Compared with traditional WAN architecture， the SD-WAN technology redefines the open WAN architecture with a multi-access， security， policy-driven service， flexible routing， multiple virtual tunnels， and agile touching cloud approach.

Key words： SD-WAN security; policy-driven services; flexible routing; multi-tunnel; agile touching cloud

軟件定義廣域網(wǎng)（SD-WAN）是將軟件定義網(wǎng)絡(luò)（SDN）技術(shù)應(yīng)用到廣域網(wǎng)（WAN）場(chǎng)景中的一種服務(wù)。這種服務(wù)用于連接廣闊地理范圍的企業(yè)網(wǎng)絡(luò)，包括企業(yè)的分支機(jī)構(gòu)及數(shù)據(jù)中心[1]。SD-WAN架構(gòu)不依賴于專有的物理設(shè)備，與必須做預(yù)配置的多協(xié)議標(biāo)簽交換（MPLS）鏈路相比，彈性地解決了多分支結(jié)構(gòu)企業(yè)網(wǎng)絡(luò)在支持差異化服務(wù)等級(jí)應(yīng)用能力、網(wǎng)絡(luò)靈活度、線路成本、安全傳輸?shù)确矫嬲媾R持續(xù)增長(zhǎng)的壓力。

根據(jù)互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）的數(shù)據(jù)，SD-WAN市場(chǎng)將從2017—2022年以40.4%的復(fù)合年增長(zhǎng)率增長(zhǎng)，銷售額達(dá)到45億美元[2]。

現(xiàn)有市場(chǎng)的SD-WAN技術(shù)實(shí)現(xiàn)方案有多種：如VMware的SD-WAN架構(gòu)包含邊緣應(yīng)用程序、編排和云網(wǎng)關(guān)，提供企業(yè)和云應(yīng)用程序以及數(shù)據(jù)的直接最佳訪問點(diǎn)，同時(shí)支持在云端和內(nèi)部部署虛擬服務(wù)，顯著增強(qiáng)自動(dòng)化運(yùn)維能力;思科和華為為提供WAN連接制作了不同功能和性能需求的廣域網(wǎng)邊緣設(shè)備，更加關(guān)注廣域網(wǎng)優(yōu)化功能。通信服務(wù)提供商也正在提供SD-WAN即服務(wù)產(chǎn)品。SD-WAN即服務(wù)通過常規(guī)寬帶連接補(bǔ)充或替換通常為MPLS的專用WAN網(wǎng)絡(luò)，最大限度地提高了企業(yè)管理基礎(chǔ)架構(gòu)和連接的靈活性。中國(guó)電信隨選網(wǎng)絡(luò)系統(tǒng)由業(yè)務(wù)門戶、SDN編排器、SDN控制器、SDN設(shè)備4大組件構(gòu)成，該系統(tǒng)基于WAN和骨干網(wǎng)設(shè)備的集中控制和全局網(wǎng)絡(luò)資源的管理，根據(jù)不同服務(wù)和應(yīng)用來(lái)實(shí)時(shí)動(dòng)態(tài)建立端到端的WAN邏輯路徑，優(yōu)先滿足一些高帶寬、低時(shí)延、低抖動(dòng)的敏感應(yīng)用，包括語(yǔ)音、數(shù)據(jù)、視頻、自動(dòng)駕駛、虛擬現(xiàn)實(shí)（VR）等應(yīng)用，實(shí)現(xiàn)了SD-WAN即服務(wù)技術(shù)[3]。

隨著企業(yè)上云需求的不斷提高，現(xiàn)有企業(yè)在云場(chǎng)景中跨境數(shù)據(jù)傳輸和運(yùn)用客戶關(guān)系管理系統(tǒng)（CRM）、企業(yè)資源計(jì)劃（EPR）等高端應(yīng)用時(shí)經(jīng)常面臨丟包、延遲、卡頓等無(wú)法正常使用的情況。SD-WAN技術(shù)通過集成在多云邊緣的網(wǎng)絡(luò)功能和策略，提供了面向多云場(chǎng)景中簡(jiǎn)易運(yùn)維、即需即用、可靠、易擴(kuò)展的云化企業(yè)專線來(lái)保障多云環(huán)境下的企業(yè)業(yè)務(wù)運(yùn)轉(zhuǎn)，重塑了企業(yè)上云的生態(tài)過程。但要真正成為企業(yè)級(jí)SD-WAN服務(wù)標(biāo)準(zhǔn)，SD-WAN技術(shù)方案還須提供一些關(guān)鍵功能，如多個(gè)傳輸路徑、集中控制和自動(dòng)化，以及端到端安全性[4]。

1 SD-WAN架構(gòu)

SD-WAN架構(gòu)將部署在各個(gè)地理位置的企業(yè)網(wǎng)絡(luò)（包括分支機(jī)構(gòu)或數(shù)據(jù)中心）通過WAN接入技術(shù)相互連接。如圖1所示，不同的SD-WAN架構(gòu)以SD-WAN控制器對(duì)網(wǎng)絡(luò)域的控制邊界為準(zhǔn)，劃分為4種典型的SD-WAN架構(gòu)方式。

（1）疊加架構(gòu)。該架構(gòu)改變了傳統(tǒng)的WAN業(yè)務(wù)模型，由單一的WAN接入方式變?yōu)槎嘟尤敕绞?。同時(shí)，SD-WAN控制器控制了邊緣設(shè)備到網(wǎng)關(guān)的上行流量，簡(jiǎn)化了WAN的操作和管理，使業(yè)務(wù)模型更彈性、更靈活，例如分支到分支的業(yè)務(wù)流量由分支到數(shù)據(jù)中心再到各個(gè)業(yè)務(wù)分流變?yōu)橹苯痈S業(yè)務(wù)分流。這種架構(gòu)適合中小規(guī)模企業(yè)組網(wǎng)。

（2）云端架構(gòu)。該架構(gòu)集成SD-WAN服務(wù)提供商所部署的多個(gè)入網(wǎng)點(diǎn)節(jié)點(diǎn)，是SD-WAN服務(wù)提供商向大規(guī)模多分支公司推薦的一個(gè)經(jīng)典架構(gòu)。SD-WAN服務(wù)提供商在接入點(diǎn)（PoP）節(jié)點(diǎn)部署虛擬邊緣路由器（vPE）或網(wǎng)關(guān)（GW），一側(cè)與各個(gè)分支的邊緣設(shè)備建立虛擬專用網(wǎng)絡(luò)（VPN）隧道，另一側(cè)與通信服務(wù)提供商的MPLS網(wǎng)絡(luò)中的PE設(shè)備直連。這種SD-WAN架構(gòu)支持將匯聚上來(lái)的流量通過多個(gè)隧道轉(zhuǎn)發(fā)到運(yùn)營(yíng)商的MPLS骨干網(wǎng)中，進(jìn)而保障了端到端不同業(yè)務(wù)的服務(wù)質(zhì)量。

（3）整合架構(gòu)。網(wǎng)絡(luò)管理域由可納管多個(gè)邊緣設(shè)備擴(kuò)大到可納管1個(gè)或多個(gè)通信服務(wù)提供商的MPLS VPN的運(yùn)營(yíng)商邊緣路由器（PE）設(shè)備（如圖1中混合WAN中的網(wǎng)關(guān)），集成多種overlay技術(shù)，打破了多個(gè)通信服務(wù)提供商的統(tǒng)一和自動(dòng)化管理的通信壁壘，有效提高了網(wǎng)絡(luò)性能和混合組網(wǎng)能力。

（4）原生架構(gòu)。該架構(gòu)主要面向運(yùn)營(yíng)商。SD-WAN控制器統(tǒng)一管理邊緣設(shè)備、網(wǎng)關(guān)設(shè)備、骨干核心網(wǎng)PE、運(yùn)營(yíng)商骨干路由器設(shè)備，實(shí)現(xiàn)了業(yè)務(wù)流量從“最后一公里”接入到骨干網(wǎng)統(tǒng)一管理和編排的完整架構(gòu)，從全網(wǎng)意識(shí)上實(shí)時(shí)監(jiān)測(cè)控制和調(diào)度網(wǎng)絡(luò)流量以及各種業(yè)務(wù)狀態(tài)，以保障端到端的服務(wù)質(zhì)量。

2 SD-WAN功能模塊與關(guān)鍵

技術(shù)

本文中，我們將SD-WAN功能切分為4層：運(yùn)營(yíng)支撐系統(tǒng)（OSS）/業(yè)務(wù)支撐系統(tǒng)（BSS）層、服務(wù)編排器層、SD-WAN控制器層，以及SD-WAN邊緣設(shè)備層，各層具體情況如圖2中所示。

（1）OSS/BSS層。在SD-WAN技術(shù)架構(gòu)中，OSS/BSS層主要支持將業(yè)務(wù)配置、業(yè)務(wù)變更、監(jiān)測(cè)控制、可視化、計(jì)費(fèi)管理、運(yùn)維功能于一體的面向自動(dòng)化信息管理和智能化運(yùn)營(yíng)的支撐系統(tǒng)。

（2）服務(wù)編排器層。在SD-WAN技術(shù)架構(gòu)中，服務(wù)編排器負(fù)責(zé)編排整套服務(wù)生命周期的服務(wù)。服務(wù)編排器提供多種管理模板，支持配置端到端管理業(yè)務(wù)的多種策略定義和資源統(tǒng)一編排功能，提供開放的RESTful接口，敏捷部署新業(yè)務(wù)。

（3）控制器層。SD-WAN控制器支持軟件化、集中化、自動(dòng)化管理邊緣設(shè)備。SD-WAN控制器與邊緣設(shè)備建立安全連接，通過執(zhí)行服務(wù)編排器下發(fā)的各種策略，向各個(gè)邊緣設(shè)備分發(fā)路由協(xié)議并支持實(shí)時(shí)感知邊緣設(shè)備狀態(tài)。同時(shí)SD-WAN控制器支持實(shí)時(shí)采集流量信息，并可快速應(yīng)對(duì)網(wǎng)絡(luò)異常情況進(jìn)行彈性路徑調(diào)整。

（4）邊緣設(shè)備層。邊緣設(shè)備是創(chuàng)建和終止SD-WAN隧道連接的終端設(shè)備。邊緣設(shè)備支持常見的SDN南向接口協(xié)議，支持零接觸配置（ZTP）部署能力，支持安全隧道綁定功能，支持識(shí)別多種應(yīng)用程序功能，支持面向應(yīng)用的訪問控制策略，并還可以支持路由協(xié)議。

邊緣設(shè)備層對(duì)應(yīng)的邊緣設(shè)備在市場(chǎng)上主要由客戶終端設(shè)備（CPE）、通用客戶終端設(shè)備（uCPE）、虛擬客戶終端設(shè)備（vCPE）3種設(shè)備形態(tài)組成，3種設(shè)備的功能對(duì)比如表1所示。CPE是SD-WAN服務(wù)提供商提供的專用硬件設(shè)備。uCPE是一個(gè)支持運(yùn)行虛擬網(wǎng)絡(luò)功能（VNF）的可遠(yuǎn)程管理的基于物理硬件的通用平臺(tái)。通過uCPE，SD-WAN服務(wù)提供商可以實(shí)現(xiàn)WAN的輕松部署、修改，以及客戶端VNF的刪除。vCPE是一種通過使用軟件而不是專用硬件設(shè)備向企業(yè)提供網(wǎng)絡(luò)服務(wù)的方法。通過vCPE，供應(yīng)商可以大大簡(jiǎn)化并加速服務(wù)交付，遠(yuǎn)程配置和管理設(shè)備，并允許客戶訂購(gòu)新服務(wù)或根據(jù)需求調(diào)整現(xiàn)有服務(wù)。vCPE是網(wǎng)絡(luò)功能虛擬化（NFV）部署的主要推動(dòng)力之一。

邊緣設(shè)備的關(guān)鍵功能包括ZTP、動(dòng)態(tài)隧道建立、WAN優(yōu)化、自動(dòng)化檢測(cè)與服務(wù)質(zhì)量（QoS）、動(dòng)態(tài)功能服務(wù)鏈、應(yīng)用程序識(shí)別、動(dòng)態(tài)路徑調(diào)整、安全。

（1）ZTP。ZTP是一種允許自動(dòng)配置物理節(jié)點(diǎn)的機(jī)制，該機(jī)制將解放邊緣設(shè)備的北向接口，使邊緣設(shè)備與SD-WAN控制器形成一個(gè)從設(shè)備加電到設(shè)備與控制器互信互通的完整自動(dòng)化部署的業(yè)務(wù)態(tài)。

（2）動(dòng)態(tài)隧道建立。在SD-WAN場(chǎng)景中，動(dòng)態(tài)隧道VPN技術(shù)支持使用動(dòng)態(tài)的IP地址來(lái)建立企業(yè)自己的VPN網(wǎng)絡(luò)，并由SD-WAN控制器來(lái)集中完成隧道的建立和路由的分發(fā)。動(dòng)態(tài)隧道VPN技術(shù)主要有可擴(kuò)展虛擬局域網(wǎng)（VXLAN）、通用路由封裝（GRE）、無(wú)狀態(tài)傳輸隧道（STT）等。

（3）WAN優(yōu)化。在SD-WAN方案中CPE會(huì)支持WAN優(yōu)化功能。WAN優(yōu)化功能主要有以下技術(shù)實(shí)現(xiàn)：數(shù)據(jù)壓縮，利用算法壓縮/解壓縮數(shù)據(jù)包頭;數(shù)據(jù)消重，對(duì)高頻次的數(shù)據(jù)進(jìn)行編碼并利用指針替換;內(nèi)容緩存，統(tǒng)計(jì)熱點(diǎn)內(nèi)容，進(jìn)行邊緣存儲(chǔ)和本地訪問直接分發(fā);傳輸控制協(xié)議（TCP）優(yōu)化，利用優(yōu)化TCP協(xié)議過程來(lái)改善標(biāo)準(zhǔn)TCP的擁塞控制和重傳機(jī)制等[5]。

（4）自動(dòng)化檢測(cè)與QoS。SD-WAN技術(shù)方案根據(jù)實(shí)時(shí)網(wǎng)絡(luò)路徑傳輸性能（主要包括丟包率、時(shí)延、時(shí)延抖動(dòng)、帶寬利用率）來(lái)動(dòng)態(tài)選擇路徑轉(zhuǎn)發(fā)，彈性保障上層應(yīng)用的服務(wù)質(zhì)量。SD-WAN技術(shù)架構(gòu)中將網(wǎng)絡(luò)鏈路的性能檢測(cè)分為被動(dòng)方式和主動(dòng)方式：主動(dòng)測(cè)量方式主要利用探針技術(shù)主動(dòng)探測(cè)業(yè)務(wù)流，以Internet控制報(bào)文協(xié)議（ICMP）、雙向轉(zhuǎn)發(fā)檢測(cè)機(jī)制協(xié)議（BFD）、連接故障管理（CFM）、單向主動(dòng)測(cè)量協(xié)議（OWAMP）技術(shù)實(shí)現(xiàn)為主;被動(dòng)測(cè)量方式主要是通過在邊緣設(shè)備上定制可自動(dòng)統(tǒng)計(jì)和過濾網(wǎng)絡(luò)相關(guān)性能指標(biāo)的算法或協(xié)議棧功能。

（5）動(dòng)態(tài)功能服務(wù)鏈。動(dòng)態(tài)功能服務(wù)鏈與底層的物理拓?fù)湎喔綦x，可通過SD-WAN技術(shù)架構(gòu)中的服務(wù)編排器和控制器來(lái)自動(dòng)創(chuàng)建、增加、刪除、移動(dòng)網(wǎng)絡(luò)服務(wù)功能，提升了網(wǎng)絡(luò)架構(gòu)的可擴(kuò)展性。動(dòng)態(tài)功能服務(wù)鏈技術(shù)主要是通過將SDN技術(shù)與NFV技術(shù)相結(jié)合，即在業(yè)務(wù)編排器層通過策略驅(qū)動(dòng)資源（包含網(wǎng)絡(luò)資源、計(jì)算資源、存儲(chǔ)資源等）的統(tǒng)一編排來(lái)組合不同服務(wù)功能，同時(shí)下發(fā)流量分類策略到控制器層來(lái)動(dòng)態(tài)控制數(shù)據(jù)轉(zhuǎn)發(fā)路徑，實(shí)現(xiàn)面向用戶業(yè)務(wù)的不同需求。

（6）應(yīng)用程序識(shí)別。邊緣設(shè)備的應(yīng)用程序識(shí)別技術(shù)主要是采用深度包檢測(cè)（DPI）技術(shù)，主要包含協(xié)議解析器、檢測(cè)算法引擎、檢測(cè)結(jié)果處理功能模塊等。在SD-WAN技術(shù)架構(gòu)中，DPI通過將業(yè)務(wù)流量的前幾個(gè)數(shù)據(jù)包給協(xié)議解析器對(duì)應(yīng)用層協(xié)議進(jìn)行解析，同時(shí)并行鏡像給檢測(cè)引擎，檢測(cè)引擎將業(yè)務(wù)流量與應(yīng)用間的映射關(guān)系寫入邊緣設(shè)備的緩存數(shù)據(jù)庫(kù)中，后續(xù)的同一業(yè)務(wù)流數(shù)據(jù)包將直接匹配映射關(guān)系，因此緩存數(shù)據(jù)庫(kù)不再鏡像給檢測(cè)引擎而直接進(jìn)行后續(xù)的檢測(cè)結(jié)果處理。另一方面，后續(xù)檢測(cè)結(jié)果處理功能模塊會(huì)根據(jù)不同的應(yīng)用ID與特征進(jìn)行差異化的數(shù)據(jù)路徑轉(zhuǎn)發(fā)，進(jìn)而實(shí)現(xiàn)完整的應(yīng)用程序識(shí)別過程。

（7）動(dòng)態(tài)路徑調(diào)整。在SD-WAN技術(shù)架構(gòu)中，動(dòng)態(tài)路徑調(diào)整的實(shí)現(xiàn)方式是將多個(gè)WAN線路綁定到一起，共同提供業(yè)務(wù)傳輸服務(wù)，尤其在檢測(cè)到某個(gè)WAN線路的傳輸質(zhì)量較差時(shí)，可以將業(yè)務(wù)直接切換到其他WAN線路或者均衡一部分業(yè)務(wù)流量到其他WAN線路。隧道綁定技術(shù)可以實(shí)現(xiàn)不同流不同線路、不同應(yīng)用不同線路、不同數(shù)據(jù)包不同線路3種顆粒度的WAN傳輸。

（8）安全。安全的實(shí)現(xiàn)貫穿整個(gè)SD-WAN技術(shù)架構(gòu)。SD-WAN技術(shù)架構(gòu)一般通過集成認(rèn)證服務(wù)器/公鑰生成（PKI）服務(wù)器，或?qū)拥谌降奶峁┹p量目錄訪問協(xié)議（LDAP）/遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)的服務(wù)器（RADIUS）來(lái)實(shí)現(xiàn)身份認(rèn)證服務(wù)功能，包括對(duì)邊緣設(shè)備的ID注冊(cè)認(rèn)證、SD-WAN控制器的IP登記認(rèn)證、VNF序列號(hào)注冊(cè)認(rèn)證等。在WAN傳輸?shù)陌踩夹g(shù)主要是通過2種密鑰加解密的IPSec技術(shù)來(lái)保障。第1種是因特網(wǎng)密鑰交換協(xié)議（IKE）身份認(rèn)證的密鑰，第2套是數(shù)據(jù)流加密的密鑰。第2套密鑰在傳統(tǒng)方案中是通過去中心化加密通信框架（DH）來(lái)分布式計(jì)算;但在一些SD-WAN方案里則會(huì)直接由SD-WAN控制器來(lái)進(jìn)行同步，并周期性地進(jìn)行更新這個(gè)密鑰，以實(shí)現(xiàn)關(guān)鍵幀加密保護(hù)。SD-WAN技術(shù)架構(gòu)中的控制信道主要是將一般使用的路由協(xié)議嵌套在安全套接層協(xié)議（SSL）/傳輸層安全協(xié)議（TLS）/數(shù)據(jù)包傳輸層安全協(xié)議（DTLS）協(xié)議來(lái)實(shí)現(xiàn)加密。由于MD5的破解難度低，針對(duì)邊界網(wǎng)關(guān)協(xié)議（BGP）安全，在SD-WAN技術(shù)方案種一般會(huì)選擇嵌套在IPSec協(xié)議中。針對(duì)SD-WAN業(yè)務(wù)層的安全，一般使用緩存、訪問控制列表（ACL）、防火墻（FW）、深度數(shù)據(jù)包檢測(cè)（DPI）技術(shù)手段或者通過集成第三方的VNF如入侵檢測(cè)系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、下一代防護(hù)墻（NGFW）功能來(lái)保障。

3 應(yīng)用場(chǎng)景

根據(jù)邊緣設(shè)備的部署位置，我們將SD-WAN應(yīng)用場(chǎng)景劃分為3大類：分支到分支、分支到數(shù)據(jù)中心、分支到云。

（1）場(chǎng)景1：企業(yè)分支+企業(yè)分支場(chǎng)景。

企業(yè)在各個(gè)分支機(jī)構(gòu)部署邊緣設(shè)備，然后通過安全可靠的WAN專線來(lái)實(shí)現(xiàn)分支結(jié)構(gòu)之間的互聯(lián)互通。圖3經(jīng)常使用的解決方案中的WAN專線底層技術(shù)包括GRE、IPSec、VXLAN等等。這種應(yīng)用場(chǎng)景將可支撐企業(yè)進(jìn)行數(shù)字化信息化轉(zhuǎn)型。

（2）場(chǎng)景2：企業(yè)總部（數(shù)據(jù)中心）+企業(yè)分支場(chǎng)景。

在圖4的應(yīng)用場(chǎng)景中，企業(yè)會(huì)在MPLS專線的基礎(chǔ)上增加通過不同的ISP提供的Internet連接企業(yè)總部。在分支和數(shù)據(jù)中心所部署的邊緣設(shè)備，支持基于網(wǎng)絡(luò)的實(shí)時(shí)狀態(tài)，將業(yè)務(wù)動(dòng)態(tài)分發(fā)到總部和分支機(jī)構(gòu)之間的多條路徑上（WAN專線底層技術(shù)有GRE、IPSEC、VXLAN等等）。這種應(yīng)用場(chǎng)景可以支撐企業(yè)面向各種彈性業(yè)務(wù)的需求，例如產(chǎn)品發(fā)布、電話會(huì)議、視頻會(huì)議鏈路災(zāi)備等。

（3）場(chǎng)景3：云中心（公有云/混合云/私有云）+企業(yè)分支場(chǎng)景。

SD-WAN服務(wù)提供商通過建立一張多云專網(wǎng)，支持接入各種公有云服務(wù)（Office 365、阿里云、騰訊云、亞馬遜云服務(wù)、中國(guó)電信云等）、私有云、混合云等，支持對(duì)各種云服務(wù)進(jìn)行優(yōu)化。企業(yè)分支（或總部）部署的邊緣設(shè)備，如圖5所示，可以識(shí)別出云數(shù)據(jù)，并通過SD-WAN服務(wù)提供商建立的云專網(wǎng)進(jìn)行承載，將業(yè)務(wù)流傳輸?shù)皆谱罱慕尤牍?jié)點(diǎn)和數(shù)據(jù)中心，以提供更好的云服務(wù)。這種應(yīng)用場(chǎng)景可支撐企業(yè)業(yè)務(wù)容災(zāi)、集中備份、快速安全上云等。

4 結(jié)束語(yǔ)

當(dāng)前的SD-WAN技術(shù)方案主要是針對(duì)混合城域網(wǎng)方案的技術(shù)優(yōu)化。在面向云網(wǎng)協(xié)同的場(chǎng)景中，在企業(yè)網(wǎng)絡(luò)中所部署的SD-WAN架構(gòu)與云架構(gòu)缺乏互聯(lián)互通，各自部署獨(dú)立的編排與運(yùn)營(yíng)系統(tǒng)，難以實(shí)現(xiàn)面向應(yīng)用驅(qū)動(dòng)的網(wǎng)云一體化、集成化、智能化、安全化的完整功能鏈的統(tǒng)一編排和資源動(dòng)態(tài)調(diào)度，真正保障端到端業(yè)務(wù)的自動(dòng)化、彈性化。另一方面，SD-WAN各個(gè)技術(shù)模塊的標(biāo)準(zhǔn)化仍存在很多問題，如SD-WAN技術(shù)架構(gòu)的規(guī)范定義，對(duì)應(yīng)服務(wù)編排器、控制器、邊緣設(shè)備的各自基本功能模塊定義和南北向接口一致性規(guī)范等。在面向企業(yè)的SD-WAN商用方案中，SD-WAN技術(shù)架構(gòu)應(yīng)在安全、高可用等方面提供可信WAN技術(shù)，支撐未來(lái)網(wǎng)絡(luò)的各種應(yīng)用，如無(wú)人駕駛、視頻會(huì)議、網(wǎng)絡(luò)直播、AR/VR、工業(yè)互聯(lián)網(wǎng)等。

參考文獻(xiàn)

[1] 中國(guó)互聯(lián)網(wǎng)協(xié)會(huì).軟件定義廣域網(wǎng)（SD-WAN）研究報(bào)告[R]. 2018

[2] IDC. IDC報(bào)告[EB/OL].[2019-01-22].http：//news.idcquan.com/gjzx/150052.shtml

[3] 孫穎， 林睿， 聶世忠. 隨選網(wǎng)絡(luò)系統(tǒng)架構(gòu)及關(guān)鍵技術(shù)實(shí)踐[J]. 電信科學(xué)， 2018， 33（12）： 142-147

[4] GORDEYCHIK S， KOLEGOV D. SD-WAN Threat Landscape [EB/OL].[2019-01-22]. https：//arxiv.org/abs/1811.04583

[5] 張晨.SD-WAN進(jìn)階教程[EB/OL].[2019-01-22].https：//www.sdnlab.com/20683.html#001