关于SD-WAN的十问十答（最强攻略戳这里）

1. WAN和SD-WAN之间的区别？

从底层来看，相较基于硬件物理设施的WAN，SD-WAN是一种覆盖现有网络的软件技术，是部署在物理基础设施下层的流量管理网络。

和常规WAN相比，SD-WAN具有虚拟WAN体系结构和软件驱动技术，其关键要素是它的中心控制系统，通过虚拟化硬件资源进行集中控制，能够使网络连接、安全策略、应用程序和流量管理均能与相关硬件分离。而WAN是一个覆盖大区的计算机网络，通常包括一系列局域网（LAN），连接可以是电话系统、租用线路或卫星。

除此之外，SD-WAN与WAN的部署和管理方式通常不同，SD-WAN是一种基于软件的技术，覆盖在现有网络上，所谓软件定义WAN，并不是将现有的硬件用软件来替代，而是让硬件标准化后，再由SD-WAN Controller统一进行调配。使用SD-WAN，物理网络与逻辑网络是分开的。它将网络与管理平面分离，并将流量管理和监视任务与硬件断开。例如，传统的WAN连接处理数目完全依赖底层硬件的上限，而SD-WAN不受组成网络的底层硬件的限制。

2. 为什么SD-WAN会出现？

在云计算、移动应用、企业全球化成为大背景的环境下，越来越多的实时应用(异地办公、SaaS应用程序、视频会议、远程桌面、支付交易系统、远程医疗)要在多个节点间传递，如果频繁断线、网络访问慢等问题都会放大用户的不满，造成交易流失。而SD-WAN的出现不仅解决了互联网不稳定、专线造价昂贵的问题，最重要的是能够极大程度上满足这些应用即时性和实时性的要求。

SD-WAN的出现和崛起也是企业用户对WAN网络价值释放的强烈诉求。他们希望：

组网可以更简单，缩短部署周期；

WAN网络的成本能降低但是性能不受影响；

能满足可视化运维，可以监控网络资源使用情况；

可以保障关键业务的应用性能；

云网融合，能满足业务上云后的访问；

能使用更安全、更稳定、更敏捷的网络访问业务系统。

3. SD-WAN常见的组网模式？

(1)本地组网。企业分支机构通过Internet或者专线的方式连接到企业的总部。部署在分支机构和总部的终端将由SD-WAN控制器统一做配置和管理。对于重要的分支可以部署多条MPLS和Internet线路。

(2)POP点组网。如图所示：在运营商POP节点部署云网关（软件），分支机构和总部的终端连接到最近POP点的云网关，通过运营商提供的骨干网来做互联。

(3)入云架构。如图所示：企业总部和分支可采用传统CPE或vCPE作为企业网关，每个CPE或vCPE支持一个或多个WAN连接，公有云或私有云采用vCPE作为云网关。分支侧网关可以采用MPLS链路、Internet链路或LTE链路灵活组合，与总部/数据中心、公有云和私有云建立连接，通过DSVPN隧道技术构建Overlay网络。

戳一戳：https://www.yun-gu.com/solution.html

4.SD-WAN有哪些不容忽视的功能?

基于 MPLS 的传统专用网络极度结构化、僵化，缺乏灵活性和变通性。SD-WAN 在网络可管理性和成本方面提供了巨大改进，可随业务的扩展及新分支机构的增设而高效扩展。其中有五大核心功能，可以保障关键业务服务质量：

易于操作，便于管理

工程师无需通过命令行进行配置和维护，只需在操作界面上点击几下，即可完成对应的操作。

快速部署，降低成本

SD-WAN支持零接触自动配置，并且独立于传输层。一方面，零接触自动配置可以让IT人员不必到现场，只需把SD-WAN设备连接到互联网，几分钟之内便可完成配置和上线。另一方面，可以通过4G/5G进行快速连接，减少专线接入时间。

优化路径，升级体验

SD-WAN实时评估多条链路的网络质量，并进行动态选路，对于语音、视频等关键应用，优先选择时延、丢包、抖动最优的路径进行传输。

加密防护，安全可信

SD-WAN将安全集成至设备当中，为用户提供弹性、按需订阅的安全服务，并且提供端到端、端到POP的隧道加密，确保业务数据全程的私密性。

简化流程，轻松访问

SD-WAN以最佳的路径将IaaS、SaaS不同的云应用进行连接。第一层帮助企业在云中采用IaaS，即以简单的方式将工作负载转移到公共云，如AWS、阿里云等。第二层优化云上的应用程序，即如果客户想要使用 SaaS，比如 Office 365、Salesforce、SAP、Oracle等，那么SD-WAN即可帮企业快速完成。

5. SD-WAN只能采用硬件接入吗？

SD-WAN可以通过硬件CPE、软件vCPE、移动客户端和域名CName四种方式进行接入，企业可以根据自己的情况选择接入方式。

部署时间最多只需一天，就可以在世界任何地方完成部署。

6. SD-WAN的零接触部署是什么？

零接触配置(Zero Touch Provisioning)，也称零配置上线，顾名思义，就是网络设备不需要我们做任何操作，也能通过自动化的方式上线，SD-WAN 的设备都是支持ZTP，即设备只需要连线正确，使客户在数分钟内完成新分支机构的部署。无需 IT 人员访问该站点进行安装和设置。分支机构现场的非 IT 人员可以简单地打开边缘设备的包装，接入通信链路并插入电源。然后，设备将使用适当的策略进行自动配置，智能准备好并进入运行，实现自助调配交付模式，智能继承配置和策略。极大简化海量分支业务部署和运维复杂度，缓解分支机构中的设备剧增状况。

ZTP部署方式，一般有以下三种方式：

U盘开局：在开局现场或发货前通过向CPE插入U盘来进行初始配置的导入，进一步完成开局，支持CPE批量开局；

邮件开局：网络管理员在控制器客户端，通过指定开局邮件中的URL链接参数完成开局信息配置，并将开局邮件发送到开局邮箱，开局人员在收到开局邮件后，通过浏览器访问邮件中的URL链接启动开局流程，设备自动完成开局部署的一种开局方式；

DHCP Option开局：通过配置DHCP服务器，设备开局上线获取地址时，同时通过DHCP Option字段获取SD-WAN控制器地址，从而完成CPE自动开局的方式。

戳一戳：https://www.yun-gu.com/solution.html

7. SD-WAN如何做到智能路径切换

如果选定的线路出现故障、质量变差、拥塞了该怎么办？SD-WAN有四大智能选路策略，根据不同场景使用不同策略，通过灵活的线路切换机制和隧道内流控技术，能很好地帮助用户解决这些问题，可为客户提供最佳的业务体验。

线路切换

SD-WAN线路切换有两种方式：第一种是故障切换，即线路连接断开时，切换到其他符合要求的线路上；第二种是质量阈值切换，可以通过定义线路的丢包、时延、抖动达到某个固定的阈值时，进行线路切换，并且当线路的质量达到任意一个阈值时，都将进行切换。切换后，应用将继续在剩余的线路中，选择符合质量要求的最优线路进行传输，以此更好地保证用户的应用体验。

隧道内流控

在带宽不足的情况下，如何保障核心应用优先传输？SD-WAN支持应用程序优先级划分和流量负载平衡，通过定义应用的优先级，使得高优先级的应用优先使用线路带宽，确保核心业务稳定传输。

基于以上智能选路策略，在广域网环境，SD-WAN帮助用户实现对业务线路感知更精确、切换更及时、体验更流畅。也在不断创新，持续探索更适合用户网络、更能解决用户实际业务需求的选路方案，帮助用户提升线路资源利用率，实现业务极致可靠。

8. SD-WAN可用性如何呢？

SD-WAN本身可以提高位置的可用性，基于SD-WAN线路冗余策略的路由，SD-WAN在严重线路故障期间可以提供备用连接路径，主动在WAN中建立冗余，帮助我们使WAN与我们的业务重点保持一致。通过混合使用不同类型的WAN(例如4G / LTE和光纤)，可以更容易地保证各种路由。我们可以为每个位置，用户或资源提供正确的可用连接性，并配置适当数量的弹性。比如如果出现停电，SD-WAN路由器会自动将流量切换到第二个连接。根据实现的不同，故障转移可能足够快以维持会话。用户永远不会意识到存在网络问题或链接故障。

又比如在业务关键位置，如数据中心，可通过连接MPLS进行双路连接。MPLS可能用于大型办公室线路连接，其他临时小组可以使用4G / LTE。尽管进行了配置，但所有站点仍将继续由具有相同编排引擎和相同管理控制台的同一组安全策略和路由规则进行管理。简而言之，我们从基础WAN资源中提取最大价值，以获得最佳投资回报率(ROI)。

9. SD-WAN的安全性如何？

与传统的WAN比较网络，比如多协议标签交换(MPLS)，安全性更好，管理控制集中，能够监视和管理整个堆栈的性能至关重要。通过软件定义管理的广域网的性能和事件监视，可以识别异常行为，受损的用户帐户和威胁。数据可以流动并且服务质量(QoS)正确很重要。由于SD-WAN解决方案具有针对特定应用程序的网络配置的新功能，从而体验质量(QoE)大大提高了。SD-WAN 为客户按需组建虚拟网络，中心节点到分支机构之间建立基于业务隔离的安全连接，支持国际算法以及国密算法的加密数据传输。且新的 SD-WAN 设备需要先接受身份验证，然后才能加入混合网络。通过安全策略，敏感流量可以通过单独的加密密钥来将自己与其他流量隔离。此外，网络层会根据应用和用户的安全标准和性能要求选择最佳的链路和网关组合。