郑力

摘要：通信网络是当前企业数字化转型的基石之一，但对于拥有多级组织架构（总公司与省级机构、分公司、子公司、遍布全国的分支机构）的集团型企业来说，如何实现网络安全可靠的互联互通，并能够在企业数字化转型过程中发挥积极的作用，并非易事。随着国内广域网质量的不断提升，利用新型技术对原有专用网络的变革成为企业重点关注的演进趋势，就利用SD-WAN实现广域网组网的技术优势，实现特定场景下与专有网络类比的网络质量，以及如何在集团型企业中应用进行重点阐述，给各行业同仁提供参考。

关键词：SD-WAN；广域网组网；云端网；降本增效

一、前言

新的市场需求对存量组网业务带来新的挑战，传统组网面临成本高、灵活度低、安装周期长、应用区隔难、上云接入难、缺乏可视化运维等问题，逐渐无法满足用户的新需求。为此，新型网络连接的需求正面临更大的变化。

（一）集团型企业在网络升级优化中的挑战

随着集团型企业不断发展壮大，逐步形成了多级管理的组织结构。当前，企业面临数字化转型，如何高效经济地实现企业网络的互联互通是企业IT管理者首先需要解决的问题。在具体网络升级优化过程中，集团型企业IT管理者需要面对以下几个挑战：

1.由于历史原因，不同时期构建的网络，其制式不统一，各部门分而建之、分而治之，久而久之造成企业网络集约管理的难度非常大。

2.网络能力缺乏弹性。数字化转型带来企业信息数据量激增，局部一些数据热点区域出现拥塞，尤其是几个核心枢纽节点的数据承载量远超过现有网络承载能力。另一方面，由于业务调整、原来的核心系统下线，网络拆旧成了另一难题。

3.分支众多，网络运维成本居高不下，企业有降本增效诉求。

（二）企业组网模式的演进趋势

在传统组网模式（如MPLS VPN）中，大型企业的内部网络基于运营商专用网络构建，其特点是与公众互联网物理区隔，互不影响，其质量更稳定，安全私密。不过，传统组网模式也有明显的弊端，成本高昂，管理复杂，开通能力受限于运营商的专用网络布局，且对IT人员能力要求非常高。

近些年来，随着运营商对公众互联网大规模的投资改造，公众互联网的运行质量已得到大幅提高。与此同时，业界SD-WAN技术蓬勃发展。SD-WAN强调转发面与控制面分离，简化广域网的运行和管理。由于其可基于广域网组网的特点，可大幅降低企业在边缘分支的组网成本，管理便捷且组网灵活，让SD-WAN逐步成为企业传统专网的补充，取得质量与成本之间的平衡。

二、SD-WAN的概念与功能特点

（一）SD-WAN简介

SD-WAN全称软件定义广域网络，它是一个连接服务的管理平台，提供跨域组网和增值服务的功能。相比传统组网方案，具备配置灵活、组网灵活、管理灵活等特性，2015年该技术正式商用，至2020年，SD-WAN已在全球政企用户中广泛应用[1]。该技术本质采用了叠加网络技术屏蔽物理网络的复杂性，并综合了终端、管道、云端的多种技术，形成了技术集成创新。其主要特征包括：用户随选、零接触配置、感知云与应用、广域加速、灵活计费等。目前业内较为领先的SD-WAN厂商来自于传统企业网厂商、安全设备厂商、初创企业三大阵营，在技术上多采用overlay方式进行组网。

（二）SD-WAN技术架构

SD-WAN技术架构，包含了集中管控平台，接入网元、云端网元三个部分，支持多种复杂组网需求，具备整合overlay专线与underlay专线的能力[2]。如图1所示。

（三） SD-WAN功能特点

1.安全私密的通道，灵活的组网

SD-WAN通常支持IPsec隧道，支持不同组网拓扑，包括： hub-spoken组网、full mesh组网、partial mesh组网。转发设备与控制单元可支持分离部署。支持静态路由配置和动态路由协议。

2.零配置功能，易部署

零配置是当前业界SD-WAN的主要特性之一， 可采用邮件开局方式，支持在总部端提前配置好分支基础网络、总部接入等信息，将配置加密存储在URL链接中发送给分支管理员。通过分支管理员手动点击该链接，配置自动完成。

3.应用选路

SD-WAN应用选路和流控是核心功能之一，能实现带宽的最大化利用，以及在不增加带宽成本的同时提升应用传输质量。具体实现上，智能选路可体现为：

（1）指定线路。最核心的应用在质量最好的线路上进行传输，而非核心应用在在成本较低的线路上进行传输。

（2）高质量选路。在多线路负载场景，还可以选择“优先使用质量最好线路”的负载模式，此时进行数据包转发时，会根据各个线路的实时质量状况，选择最优的可转发线路进行数据转发。

比如，设定权值算法为：权值 = 抖动（ms） * x + 丢包率 * y + 延时（ms）[3]。

权值越小，质量越优，从而将线路对当前服务优先级的剩余带宽作为选路依据，当线路无法承载当前优先级的应用时，该线路不会被选中。

（3）按剩余带宽负载。按剩余带宽负载可以更公平的使用所有外网线路。当连接建立时，获取所有选定线路对于当前应用的可用带宽大小，再生成一个小于总可用带宽大小的随机数，判断该随机数落在哪条线路区间，确定从哪条线路进行发包。

（4）带宽叠加。当客户期望最大化利用现有所有线路带宽时，可以选择带宽叠加负载模式，将一条连接的流量负载到多条线路中，达到单连接的最大带宽利用率。

4.应用流控

在应用选路的基础上加上流控功能，则可以进一步确保核心业务稳定传输，动态保障应用的传输质量。SD-WAN支持用户自定义应用（例如五元组模式），并提供多种应用优先级选择。

在带宽足够的情况下，所有应用都能得到最大的传输速度。当带宽不足时，根据应用优先顺序，高优先级应用会得到优先传输的机会。

三、SD-WAN在集团型企业中的应用

由于分支众多，现网调度复杂，因此集团型企业在数字化转型过程中，反而比中小型企业更有动力推动网络改造升级。

（一）集团型企业网络现状

经典集团型企业网络拓扑如图2所示，核心数据中心、总部、省级机构通过专网接入企业核心网络，通常为双运营商线路（如电信与联通）冗余备份。

省级机构或分、子公司往往有自己的建设权，而各省级单位/分、子公司从自身业务特征、业务体量出发，建设及升级省级网络，选用不同的运营商和终端设备，随着时间的拉长，各省网络技术制式并不一致，承载能力也不一致。

省级以下的各级分支机构，由于数量众多，在数字化转型之前其数据传输量并不均衡饱和，出于成本的考量，仅选择部分业务量繁忙的分支机构接入省级网络。

除专网网络外，互联网管理就更加割裂分散，多数企业并未对互联网进行统筹管理，导致其信息安全管理难度大，未建立全集团的信息安全管理体系。

网络管理方面，核心网络由总公司网管负责，各省级机构/分、子公司负责本辖区内的网络，分而治之。

（二）网络升级演进思路

根据数字化转型需求，预测新增数据流量对网络的升级需求：

1.既有投资的资产保护，保持现网稳定运行，不大幅改变现有网络拓扑格局，尤其是核心网络的结构；2.提升分支接入的比例，同时降低整体网络成本，提高广域网传输带宽比例；3.提高业务访问体验，保障关键业务传输；同时对于关键业务的定义集中表现为对关键数据的定义和分级分类，通过分级分类为保障数据级的安全可控也是访问体验中的核心；4.提升业务连续性，提高网络冗余度；网络冗余度表现为带宽的关键性指标，包括带宽的容量、复用比、带宽保证、延时、抖动等；5.网络敏捷运维，集中化管理，主要组网的运营体系相关，包含提供组网能力的运营商的管理和企业自身管理的便捷性；6.安全管理，实现网络侧的安全防护、应用测的可信认证以及数据侧的监控运营，当然，这不仅在组网上具有安全能力，也需要企业自行在安全管理上具备相应的能力[4]。

具体实施上，集团型企业通常会在以下几个方面展开：

企业侧首先应测算新的数据流量模型，对应用重要度进行分级，统一制定专网+广域网协同发展的演进规划。统一专网+互联网出口管理，核心是区隔企业信息化部署的点位（包括核心节点、重要分支节点、非重要分支节点、流动性节点等），随着5G移动网络能力的提升，应充分考虑移动侧的需求。

其次，应充分利用SD-WAN的低成本优势，完成对各级分支机构的覆盖；在部分省级网络展开试点，使用SD-WAN来部分替代传统专网备份线路，同时通过试点，进行数据分级分类，并定义不同级别数据的网络传输级别；统一管理平台，纳管所有总部和分支的CPE设备，做到自动告警、配置统一下发和报表统计，在一定程度上降低终端物理管理不妥当的风险。

最后，应设立多级管理员账号，方便二级单位和三级单位自行维护各自管辖范围的设备和网络，分权分域管理；安全管理的举措，有条件的重构信息安全防护体系和安全策略；集团型技术体系和技术组织体系的重构，技术组织高效运作，关注技术演进路线。

供应商侧首要应构建SD-WAN网络的组网实现方式，建立相应的技术规范性标准，分地域实现POP的部署和配置分发机制，同步考虑总体的网络带宽部署和路由策略部署机制；对接企业侧的数据流量需求，选择适配的终端和线路保障质量，特别是移动侧的实现路径选择。加强整体网络的调度能力，避免流量对冲对SD-WAN网络带来的问题；加强网络侧安全管理机制，提升安全防护能力，降低对于网络攻击引起的客户应用宕机。对于企业侧跨网的接入需求，为如何实现数据流的调用提供更为敏捷的方便，特别是对于多云接入的需求；建立应急服务响应机制实现与企业侧的业务能够有效联动，提升服务效率。通过企业自身和网络运营商的相互协同，实现整体网络的健壮性。当然也是由双方的协同，才能实现总体成本的可控。

（三）SD-WAN的价值展现

1.引入互联网替换部分专线或者全部专线，基于广域网加速技术，降低专网带宽/成本比；2.应用自动识别，通过智能选路、应用流控来提升业务的访问体验；3.通过选路策略，实现快速故障切换，保障业务连续性；4.与传统网络（如MSTP、MPLS VPN）相融合，兼顾网络质量和网络使用成本，同时保护既有投资；5.易部署、易运维、可视化管理，网络敏捷运维，实现一图览全网的目标；6.企业安全性提升，企业自身管理能力得以提升；7.提升企业信息化人才的集中专业程度，岗位集中，降低运营成本。

四、结语

应用SD-WAN部署集中管控平台、接入网元、云端网元三个部分，可有效处理多种复杂组网需求，安全私密、随选部署、应用选路灵活、兼顾质量与成本最优。

随着5G的发展，5G+LAN SD-WAN方案可以给企业一个更好的选择。此外，随着应用云化的渗透率逐步提高，通过SD-WAN技术与云的深入融合，SD-WAN在入云方面将成为集团型企业的另一个主要使用场景，未来一定会向纵深继续扩展，SD-WAN也会向LAN、IBN领域延伸，具有非常广阔的应用空间。H

参考文献

[1]吴翠敏.新基建下云网融合需求及关键技术架构分析[J].无线互联科技，2020，17（22）：33-34+39.

[2]董炳泉.DWAN提供云网融合产品能力的的研究及应用[J].信息通信，2019（12）：245-246.

[3] Stanislav V. Korsakov，Valery A. Sokolov. On the Way to SDWAN Solution[J]. Modelirovanie i Analiz Informacionnyh Sistem，2019，26（2）.

[4] NetLinkz Ltd.; Netlinkz Ltd announces Lab Testing of Cyber Security SDWAN VIN Software with US Federal Government IT Solutions Provider Blue Tech[J]. Information Technology Newsweekly，2019.