SD-WAN(Software Defined Wide Area Network,软件定义广域网)是一种利用软件定义网络(SDN)技术来简化分支机构与数据中心或云端之间连接的网络架构。它通过集中控制和自动化,优化网络流量路径,提高网络性能和灵活性,并降低运营成本。 
SD-WAN通过以下方式工作:
- 集中控制:通过集中化的控制器,实现对整个网络的统一管理和配置。
- 自动化:自动化网络配置、优化和故障排除,减少人工干预,提高效率。
- 混合 WAN:支持多种类型的网络连接,包括 MPLS、互联网、4G/5G 等,实现灵活组网。
- 应用感知:识别不同应用程序的流量特征,并根据应用程序的优先级和 QoS 需求进行智能路由。
- 安全性:提供 VPN、防火墙、入侵检测等安全功能,保障网络安全。
1. SD-WAN技术的架构
控制层
SD-WAN架构的控制层是整个系统的大脑,负责协调和管理整个网络的行为。在这个层级中, RR (SD-WAN Route Reflector) 扮演着核心角色,它是控制层的关键组件,负责网络控制和路由决策
- VPN路由管理 : 分发和过滤SD-WAN租户的VPN路由
- 拓扑管理 : 创建和修改VPN拓扑
- 隧道管理 : 维护站点间的Overlay隧道
RR的设计理念体现了SD-WAN架构的一个重要特点: 集中式控制 。这种方式与传统网络的分布式控制形成鲜明对比,带来了多项优势:
- 简化网络运维 : 集中式控制大大简化了网络运维操作,减少了人为配置错误的可能性。
- 提高运维效率 : 提升了整体网络的运维效率,使得网络管理员能够更专注于战略性的任务。
- 增强网络灵活性 : 集中式控制赋予了网络更高的灵活性,能够快速响应网络变化和业务需求。
在实际部署中,RR可以采取不同的部署方式:
- 独立部署 :单独部署RR服务器
- 共部署 :与Edge站点同处一地
这种灵活性使得SD-WAN能够在各种规模和类型的网络环境中找到适合的部署方案。 值得注意的是,RR的引入并不意味着完全摒弃了传统网络的分布式特性。相反,它是在保留部分分布式功能的基础上,实现了更高层次的集中控制。这种设计巧妙地平衡了集中管理和分布自治的需求,既保证了网络的整体可控性,又不失局部的灵活性。 通过这种创新的控制架构,SD-WAN成功地解决了传统WAN在网络管理和资源调配方面的诸多难题,为企业用户提供了一个更加智能、高效的网络解决方案。
数据层
SD-WAN的数据层是整个架构的基础,负责实现数据的实际传输和处理。在这个层级中, Overlay隧道技术 扮演着核心角色,它通过在现有物理网络之上构建虚拟网络,实现了灵活的数据传输和隔离
- IPsec: 用于保障数据传输的安全性
- VXLAN: 实现大规模二层网络扩展
- GRE: 通用路由封装,支持多种协议传输
2、数据传输方式 :
- 多路径传输 :同时利用多个物理链路传输数据,提高带宽利用率和可靠性
- 智能选路 :根据实时网络状况选择最佳路径
3、数据处理流程 :
- 包头封装/解封装 :在数据包头部添加额外信息,便于识别和处理
- 流量分类 :根据应用类型、QoS要求等对数据流进行分类
- 加密/解密 :保护数据传输的安全性
4、硬件设备 :
- CPE (Customer Premises Equipment) :客户侧边缘设备,负责建立和维护Overlay隧道
- POP (Point of Presence) :运营商侧设备,提供网络接入点
SD-WAN数据层的设计充分体现了其灵活性和适应性。通过采用Overlay技术,SD-WAN可以在不影响底层物理网络的情况下,实现对数据传输的精确控制和优化。这不仅提高了网络资源的利用率,还增强了网络的弹性和安全性。 在实际应用中,SD-WAN数据层的表现令人印象深刻。
管理层
在SD-WAN架构中,管理层扮演着至关重要的角色,负责整个网络的编排和监控。作为SD-WAN解决方案的“智慧大脑”,网络控制器承担着核心职责,实现了端到端的业务处理
-
网络编排 :负责SD-WAN面向业务的网络模型抽象、编排和配置自动化发放
。通过对企业WAN进行网络模型的抽象和定义,网络控制器屏蔽了SD-WAN部署和实现的技术细节,使WAN网络配置和业务发放变得更加简易、灵活 。 -
网络管理 :实现对企业WAN的网络层设备的统一管理与运维
。具体功能包括:
- 1、统一配置网络业务
- 2、采集设备的告警和日志等故障信息
- 3、基于链路、应用、网络的性能数据采集、统计和分析
-
4、基于网络拓扑、告警管理、性能监控等方式多维度统计和呈现运维信息
在实际应用中,不同厂商的SD-WAN管理层架构可能存在差异。以FortiManager为例,其采用了多层次的管理架构,包括:
-
全局ADOM层 :包含全局对象数据库和页眉/页脚策略包
。这一层级主要用于运营商环境,允许客户流量通过网络,但限制客户访问网络基础设施 。 -
ADOM层 :在此层级上创建、管理和安装策略包
。ADOM层包括每个ADOM的一个通用对象数据库,包含地址、服务和安全配置文件等信息 。ADOM的主要目的是通过ADOM划分设备的管理,并控制(限制)管理员访问 。 -
设备管理层 :记录由FortiManager设备集中管理的设备信息,如设备名称、类型、型号、IP地址、当前固件版本、修订历史和实时状态
。
FortiManager还提供了两种配置SD-WAN的方法:
-
每台设备管理 :适用于设备具有不同SD-WAN配置要求的情况
。 -
集中管理 :通过配置SD-WAN模板并将其分配给一个或多个FortiGate设备,特别适合部署使用类似配置的多个设备
。
这种灵活的管理模式使得SD-WAN能够适应不同规模和复杂度的网络环境,满足多样化的企业需求。通过集中式的管理平台,企业可以显著提高网络运维效率,降低管理成本,同时保持高度的灵活性和可扩展性。
2. SD-WAN的核心技术
智能路由
SD-WAN智能路由技术是整个SD-WAN架构的核心之一,它通过先进的算法和实时数据分析,实现了网络资源的最优分配和利用。这项技术不仅提升了网络性能,还极大地改善了用户体验。 华为公司的SD-WAN解决方案 在智能路由方面表现尤为突出。其核心技术包括:
-
智能选路(Smart Policy Routing, SPR) :这是一种基于应用和链路质量的动态路由技术。SPR通过实时评估链路质量指标(如时延、抖动和丢包率等),结合应用的QoS需求,为每条流量选择最佳的传输路径
。 - 多维选路算法 :华为的智能选路功能支持多种选路算法,包括但不限于:
-
基于应用的优先级选路 :根据应用的重要程度分配不同的优先级,确保关键应用获得更好的网络资源
-
基于带宽的选路 :根据链路的可用带宽进行流量分配,实现负载均衡
-
基于链路质量的选路 :根据链路的质量指标进行选路,保证传输质量
-
主备链路切换机制 :华为的智能选路功能还支持主备链路切换机制。当主链路的SLA不满足应用要求时,系统会自动将流量切换到备用链路。值得一提的是,华为的智能选路功能支持“切换阈值上限”和“切换阈值下限”的设置,这有助于防止频繁的链路切换,同时也保证了网络的稳定性
。 -
应用感知能力 :华为的智能选路功能还具备应用感知能力。它能够识别不同的应用类型,并根据应用的特性为其分配合适的网络资源。例如,对于视频会议等实时性强的应用,系统会优先保证其带宽和延迟要求;而对于文件传输等非实时应用,则可能会被安排在空闲时段进行传输
。 -
集中式控制 :华为的智能选路功能是通过集中式的控制器(如iMaster NCE-Campus)来实现的。这种集中控制的方式使得网络管理员能够从全局视角来管理网络资源,大大简化了网络运维的复杂度
。
通过这些先进技术,华为的SD-WAN智能路由解决方案不仅提高了网络资源的利用率,还显著改善了用户体验,为企业提供了更加灵活、高效的网络连接方案。
流量优化
SD-WAN流量优化技术是整个SD-WAN架构的核心组成部分,旨在提高网络资源利用效率和用户体验。随着企业数字化转型的加速,对网络性能的要求不断提高,SD-WAN流量优化技术也在不断进步。 华为公司的SD-WAN解决方案 在流量优化领域表现突出,其核心技术包括:
-
应用感知路由(Application-Aware Routing) :这项技术能够识别不同的应用流量,并根据其特性选择最适合的传输路径。例如,对于实时性要求高的语音和视频通话,系统会选择延迟最低的路径;而对于大文件传输,则可能选择带宽最大的路径
。 -
自适应带宽管理(Adaptive Bandwidth Management) :该功能持续监控各个路径的实时延迟和数据丢包情况,根据实时网络状态动态分配带宽资源。这样可以确保关键业务应用始终获得所需的网络性能,同时最大化利用可用带宽
。 -
流量负载均衡(Traffic Load Balancing) :通过构建网络冗余,SD-WAN能在一条链路出现问题时,自动将数据包重新定向,几乎无缝地维持连接的可靠性
。这种方法不仅提高了网络的可靠性,还实现了资源的最优利用。 -
策略化流量管理(Policy-based Traffic Management) :允许企业根据业务策略,确保最重要业务数据以最快的速度传输,同时将非优先流量导向更经济的连接
。这种精细的流量管理方式使得企业在保证关键业务的同时,也能有效控制网络成本。
在实际应用中,这些技术的效果显著。以一家跨国企业为例,通过部署华为的SD-WAN解决方案,其全球数据中心间的网络连接稳定性显著提高,延迟和丢包率明显下降,数据传输效率大幅提升。特别是在多云环境中,SD-WAN通过智能路由选择和应用级别优化,显著提高了云应用的响应速度,减少了延迟,同时降低了带宽需求和使用成本。 这些流量优化技术不仅提高了网络性能,还为企业带来了显著的经济效益。通过优化流量管理,企业可以减少对昂贵专用网络服务(如MPLS)的依赖,同时提高网络资源的利用效率。这不仅降低了网络运营成本,还提高了网络的灵活性和可扩展性,使企业能够更好地适应不断变化的业务需求。
安全加密
SD-WAN安全加密是保护企业数据传输安全的关键技术之一。随着企业数字化转型的加速,网络环境变得越来越复杂,数据传输安全的重要性也随之凸显。为了应对这一挑战,SD-WAN采用了多种先进的加密算法和安全协议,以确保数据在传输过程中的机密性和完整性。 SD-WAN安全加密的核心技术主要包括:
1、IPSec加密隧道 :这是SD-WAN中最常用的安全技术之一。IPSec是一种广泛使用的网络安全协议,它支持多种加密算法和认证机制。在SD-WAN中,IPSec通常与ESP (Encapsulating Security Payload)协议结合使用,为数据传输提供端到端的加密保护
2、AES加密算法 :AES (Advanced Encryption Standard)是一种高级加密标准,被广泛认为是最安全的对称加密算法之一。在SD-WAN中,AES通常用于加密实际的数据载荷。AES支持128位、192位和256位的密钥长度,能够提供极高的安全性
3、Diffie-Hellman (DH) 密钥交换算法 :DH算法是一种非对称加密算法,用于在不安全的信道上安全地交换密钥。在SD-WAN中,DH算法通常用于建立安全的通信通道,确保密钥传输的安全性
4、安全认证机制 :除了加密之外,SD-WAN还采用了多种认证机制来确保通信双方的身份。这些机制包括:
- 数字证书 :用于验证通信实体的身份
- 预共享密钥 (PSK) :一种简单的身份验证方法
- Radius认证 :一种远程用户拨号认证服务
- 密钥管理 :SD-WAN采用了多种密钥管理方式,包括:
- 定期更换密钥 :提高系统的安全性
- 密钥生命周期管理 :确保密钥在整个生命周期内的安全性
- 密钥备份和恢复 :防止密钥丢失或损坏
在实际应用中,不同厂商的SD-WAN解决方案可能采用不同的安全加密方案。以天翼云SD-WAN为例,其安全加密方案包括:
-
支持 国产密码算法和商用密码算法 的选择,以满足不同用户的需求和法律法规要求
。 -
提供 ACL (访问控制列表)管理功能 ,通过配置五元组白名单/黑名单策略,实现对接入流量的精准管控
。
这种灵活的加密方案不仅提高了数据传输的安全性,还为企业提供了更多的选择空间,以适应不同的安全需求和法规要求。。
3. SD-WAN相比传统WAN有哪些显著优势?
SD-WAN(Software-Defined Wide Area Network,软件定义广域网)相比传统WAN(Wide Area Network,广域网)具有以下显著优势:
- 更智能的路径选择:SD-WAN能够通过实时的网络条件监控和应用协议的深层检查,智能选择最优路径进行数据传输,并根据应用程序的需求调节路径选择。
- 简化的IP组网方式:SD-WAN允许通过简化的界面进行配置和管理,降低了WAN组网的复杂性,并且可以在现有互联网服务之上构建,避免了依赖私有线路的需要。
- 提升的带宽效率:SD-WAN能够结合多种传输线路,对带宽进行优化和聚合,并通过定义流量策略,为关键业务数据流确保高品质的服务质量(Quality of Service)。
- 强化的安全措施:SD-WAN在端点之间实施加密,并集成了现代的强化性安全服务,如防火墙、网关防病毒应用、入侵检测和预防系统(IDS/IPS)等。
- 改进的应用性能:SD-WAN能够直接从分支机构访问云应用,减少了延迟并提升用户体验,并能够识别超过数千种应用,并基于此对服务进行优化。
- 降低成本:SD-WAN利用多种类型的链路,尤其是成本较低的宽带互联网连接替代昂贵的专线连接来降低成本,并且易于配置和维护的SDWAN可以减少专业IT人员的需求,从而降低了运营开销。
- 提升了可伸缩性:企业可以快速地在新地点部署网络服务,效率得到大幅提高,SD-WAN解决方案天然适合云计算应用和服务,方便统一管理。
- 灵活性:SD-WAN可以通过软件来管理和控制宽带网络,因此企业可以根据自己的业务需求随时调整网络的拓扑结构和带宽分配。
- 成本低:SD-WAN可以让企业利用现有的宽带网络资源,而不需要额外投资建设专用网络,因此成本比传统组网更低。
- 可靠性高:SD-WAN可以通过多线路负载均衡和路径规划等技术来实现网络的高可用性和可靠性。
- 安全性高:SD-WAN可以通过加密、认证和安全策略管理等技术来保证网络的安全性。
这些优势使得SD-WAN成为企业网络升级的优选方案,特别是在数字化转型和云服务普及的今天,SD-WAN能够提供更为灵活、高效、安全的网络解决方案。
4. SD-WAN如何确保网络安全性?
SD-WAN(软件定义广域网)是一种基于软件定义网络技术的广域网解决方案,它通过虚拟化技术和软件定义,将多个广域网连接集成到一个虚拟网络中,从而提高网络的可靠性、安全性和灵活性。为了确保网络安全性,SD-WAN采用了多种技术和策略:
- 加密通信:SD-WAN使用先进的加密技术对数据进行加密,保护数据在传输过程中的安全,包括对数据包进行加密和验证、身份认证等。
- 防火墙功能:SD-WAN具有防火墙功能,可以在网络入口处检测和阻止潜在的恶意流量,从而保护企业网络免受攻击。
- 网络隔离:SD-WAN可以隔离不同区域或部门之间的流量,确保敏感数据得到保护。此外,它还可以根据应用程序类型和用户角色划分不同的网络区域,以实现更细粒度的访问控制。
- 智能路由:SD-WAN可以根据网络状况智能地选择最优路径,减少延迟和丢包率,并提高网络性能和可靠性。这也有助于避免网络拥塞和服务中断,从而提高网络安全性。
- 统一管控:SD-WAN可以通过集中管理控制平台来统一管理全网设备和策略,从而更好地管理和控制企业网络安全。这也可以帮助企业快速识别和响应网络威胁,以及及时更新安全策略。
- 实时威胁情报分享:SD-WAN系统可以集成实时威胁情报,通过与安全信息与事件管理系统(SIEM)等工具的集成,及时获取关于新兴威胁和攻击的信息。这种实时的威胁情报分享使得企业能够更迅速地做出反应,保护网络免受最新威胁的侵害。
- 快速的响应和恢复能力:在发生网络威胁攻击时,SD-WAN具备快速响应和恢复的能力。它可以自动隔离受感染的区域,停止异常流量,以最短的时间内恢复网络正常运行状态,降低了潜在威胁对企业造成的影响。
- 网络切换和负载平衡:SD-WAN通过智能的网络切换和负载平衡机制,使得企业能够更灵活地应对网络攻击。当一条链路受到攻击时,SD-WAN可以自动将流量切换到其他可用的链路,确保业务的连续性,同时通过负载平衡减轻网络设备的压力。
- 统一的网络可视化和管理:SD-WAN提供了统一的网络可视化和管理平台,使得企业可以在一个界面上全面了解网络的安全状况。这种综合的可视化和管理有助于快速识别潜在的威胁,并迅速采取措施进行防范。
通过这些措施,SD-WAN为企业提供了全面的网络安全解决方案,确保企业网络的安全性和稳定性。 SD-WAN可以根据应用的重要性和需求,智能地调整流量路由,保障关键应用的性能和稳定性。例如,对于企业分支机构中视频会议、在线交易等关键业务应用,SD-WAN能优先分配网络资源,确保其流畅运行,而对于一些非关键应用(如普通网页浏览等)则可以适当分配较少资源。
