edge是什么

SD-WAN是什么？SD-WAN能解决什么问题？

SD-WAN（SoftwareDefinedWideAreaNetwork，软件定义的⼴域⽹）将企业的分⽀、总部和多云之间互联起来，应

⽤在不同混合链路（MPLS，Internet，5G，LTE等）之间选择最优的进⾏传输，提供优质的上云体验。通过部署SD-

WAN可以提⾼企业分⽀⽹络的可靠性、灵活性和运维效率，确保分⽀⽹络⼀直在线，保证业务的连续和稳定。

业界标准中的SD-WAN：

对于SD-WAN的定义，不同SD-WAN的⼚商会给你不同的答案，我们来了解⼀下业界的标准定义。

Gartner的定义：

Gartner明确定义了SD-WAN的基本特性：

1.⽀持混合链路接⼊：如MPLS、Internet、LTE等。

2.⽀持动态调整路径：允许跨WAN连接进⾏负载分担。

3.管理和业务发放简单：如⽀持在分⽀机构的零配置开局，应该与家庭Wi-Fi⼀样易于设置。

4.⽀持VPN以及其他增值业务服务：以及其他第三⽅服务，如WOC（WANOptimizationController，⼴域⽹优化控制

器）、防⽕墙等。

MEF的定义

MEF（MetroEthernetForum）在MEF-70中给出了第⼀个SD-WAN的标准化定义。标准中明确定义了SD-WAN组件、

能⼒，并为每个组件的所有接⼝定义了框架和API的服务规范。

华为的SD-WAN

华为SD-WAN解决⽅案，遵循MEF的标准，并满⾜Gartner对SD-WAN的定义。华为SD-WAN拥有软件、硬件和虚拟计

算平台等丰富的软硬件产品组合，丰富的接⼝类型，基于技术创新带来的差异化优势，在WANEdge基础设施市场始终

保持着强劲的增长势头，在2018~2020年Gartner发布的WANEdge基础设施魔⼒象限报告中始终跃居挑战者象限。

SD-WAN的好处是什么？

针对企业⽹络当前⾯临的WAN封闭架构、业务体验难保障、业务部署慢和运维困难的问题，华为SD-WAN解决⽅案为

企业提供分⽀与分⽀、分⽀与数据中⼼之间提供全场景随需互联，并通过应⽤级智能选路与智能加速、智能运维，构建

更好的业务体验，重塑企业WAN互联全流程的业务体验。华为SD-WAN主要好处如下：

•5G超宽，随需互联：5G/有线多种上⾏，随时随地连接到总部和云，⼤规模灵活组⽹使能可靠、可扩展的企业分⽀

互联。

•智能选路，极智体验：通过应⽤智能选路和优化，保证办公、⽣产等任意地点分⽀的本地和云上关键应⽤的体验。

•⼀体管控，智能运维：LAN/WAN统⼀云管理，简化海量分⽀业务部署和运维复杂度。

SD-WAN的架构，SD-WAN是如何⼯作的？

从逻辑分层及功能⾓度划分，SD-WAN的逻辑架构主要包括业务呈现层、管理层、控制层以及⽹络层，每层承担的功能

不同，其中⼜包括若⼲核⼼组件，如下图所⽰。

SD-WAN的架构

1.业务呈现层

SD-WAN的业务呈现层向下对接⽹络控制器，对外通过业务Portal界⾯实现SD-WAN的业务呈现和发放。业务呈现层当

前有如下两种形式：

•⾃研Portal界⾯：由SD-WAN解决⽅案提供商向客户提供SD-WAN端到端的业务配置和处理流程。

•第三⽅BSS/OSS：第三⽅根据业务功能和展⽰风格需要，借助⽹络控制器的北向开放API，实现SD-WAN⽅案的集

•第三⽅BSS/OSS：第三⽅根据业务功能和展⽰风格需要，借助⽹络控制器的北向开放API，实现SD-WAN⽅案的集

成和界⾯的灵活定制。

2.管理层

⽹络控制器是管理层的核⼼组件，是整个SD-WAN的“智慧⼤脑”。SD-WAN⽹络控制器⼀般有⽹络编排和管理功能：

•⽹络编排：负责SD-WAN⾯向业务的⽹络模型抽象、编排和配置⾃动化发放，主要包括企业WAN组⽹和各种⽹络策

略相关的业务编排。⽹络控制器通过对企业WAN进⾏⽹络模型的抽象和定义，屏蔽了SD-WAN部署和实现的技术细

节，使WAN⽹络配置和业务发放更加简易、灵活。

•⽹络管理：⽹络控制器的管理组件实现了企业WAN的⽹络管理与运维功能，包括但不限于SD-WAN⽹元的告警和⽇

志等故障信息采集；基于链路、应⽤、⽹络的性能数据采集、统计和分析，并对最终客户进⾏⽹络拓扑、告警管

理、性能等运维信息的多维度统计和呈现。

3.控制层

RR（SD-WANRouteReflector，SD-WAN路由反射器），是控制层的核⼼组件，主要负责⽹络控制。

RR的功能主要包括：SD-WAN租户VPN路由的分发和过滤，VPN拓扑的创建和修改，站点间Overlay隧道的创建和维

护等。相⽐传统⽹络完全的分布式控制⽅式，这种集中式的控制实现了企业WAN控制平⾯和转发平⾯的分离，简化了

⽹络运维操作，减少了⽹络配置错误⼏率，提升了企业WAN的运维效率。

4.⽹络层

从业务⾓度讲，企业的分⽀、总部和数据中⼼以及在云上部署的IT基础设施等都可以统称为企业的站点。不同企业站点

⽤于WAN互联的⽹络设备以及中间WAN⽹络⼀起构成了SD-WAN⽹络层。

SD-WAN的⽹络设备，主要包括：Edge和GW两种类型。

•CPE：传统硬件CPE。CPE作为⼀种⽹络设备，最早是以硬件盒⼦的形态部署于站点中。从硬件⾓度来看，CPE中

通常会包含主控板、接⼝卡、多核CPU以及各种硬件组件。从软件功能⾓度来看，CPE会提供⼆层交换和三层路由

的功能，可以连接站点的内部⽹络和外部⽹络。⼀般把这种CPE称之为传统CPE（TraditionalCPE）。

•uCPE：随着云计算和NFV技术的发展，云化和虚拟化成为不可阻挡的趋势，传统的专有硬件设备都已经有了软件化

的形态，安全、⼴域加速、负载均衡等功能可以通过VNF（VirtualNetworkFunction，虚拟⽹络功能）的形式提

供。如果能将这些功能都放进CPE⾥⾯，既能降低设备成本和能耗，⼜能实现灵活快速的业务发放。

•vCPE：如果把传统CPE中的⽹络功能从硬件盒⼦中抽离出来，通过纯软件的⽅式实现，彻底将软件与硬件解耦，这

种新的CPE形态就称为vCPE（VirtualCPE）。vCPE可以代替专⽤的硬件设备，通过软件的⽅式来实现传统CPE的

功能，这样的⽅式有利于更轻松、更快速的部署业务，同时增强了业务的可伸缩性和可扩展性，并且降低了部署和

运营成本。

•Edge

•Edge，即（SD-WANEdge）的主要是指企业总部、分⽀、数据中⼼或者云站点的出⼝CPE设备，是SD-WAN隧道

的发起和终结点，也可以看做是SD-WAN⽹络的边界点。Edge之间的Overlay隧道可以构建在任意的有线或者⽆线

的UnderlayWAN技术之上，并且通常与某种数据加密技术(如IPSec)结合使⽤，以确保企业WAN数据传输的安全

性。

•Edge⼀般可以采⽤如下设备，在SD-WAN中，CPE可以是硬件形态的传统CPE和uCPE，也可以是软件形态的

vCPE。

•GW

•GW（SD-WANGW）是联接企业新的SD-WAN站点和其他传统VPN站点的中间设备。由于⽼的传统⾮SD-WAN站

点的存在，借助GW实现SD-WAN⽹络到企业传统分⽀⽹络的互通。

SD-WAN与MPLSVPN专线有什么关系？

在传统的WAN拓扑中，主要通过MPLS专线进⾏互联。可以有效保证带宽、减少数据包传输的延时。SD-WAN是从

MPLS技术演变⽽来的。SD-WAN⽀持MPLS、Internet、LTE和5G链路灵活组合进⾏WAN分⽀互联。

通过如下⽅⾯，可以帮助你更好的理解MPLS与SD-WAN之间的关系：

•成本：MPLS专线费⽤⽐较贵。SD-WAN⽀持MPLS、Internet、LTE和5G链路灵活组合，从⽽整体降低链路成本。

•安全：MPLS可以提供安全、可靠的连接，适⽤于对安全性⽐较⾼的应⽤。在SD-WAN中，优先选⽤MPLS链路，可

•安全：MPLS可以提供安全、可靠的连接，适⽤于对安全性⽐较⾼的应⽤。在SD-WAN中，优先选⽤MPLS链路，可

以保障连接的安全性。

•性能：在同等带宽下，Internet的性能⽐MPLS的性能要低。SD-WAN可以通过将多条Internet链路聚合在⼀起，形成

⼀条逻辑链路，从⽽保障性能。

•稳定性：⽹络中会存在对时延、丢包率敏感，链路质量⽐较⾼的关键业务。MPLS没有提供⼀个平台来区分优先级，

通过SD-WAN提供的策略的管理和智能选路能⼒，可以实现在发⽣拥塞时低优先级应⽤避让⾼优先级应⽤，即关键

业务的流量通过MPLS进⾏发送，⽽其他所有业务的流量则通过⾼宽带的Internet进⾏发送。

•部署效率：传统的MPLS部署可能需要1~6个⽉，SD-WAN⽐较短，只需要⼏个⼩时。

•云计算、SaaS等移动应⽤：MPLS的建⽹及部署⽅式很难规模化的应⽤于云计算及SaaS。为了⽀持更快地访问在云

中运⾏的应⽤程序，SD-WAN可以配置流量转向规则，以便为这些应⽤程序使⽤Internet连接。因此，云流量从分⽀

机构直接传输到互联⽹，⽽不是回程到总部。⼀些SD-WAN运营商可以从其⽹关直接访问云数据中⼼（例如AWS或

MicrosoftAzure），从⽽提⾼托管在这些云上的应⽤程序的性能和可靠性。

SD-WAN使建⽴混合WAN更加容易，并且可以在成本，可靠性和性能之间找到适当的平衡，以实现各种应⽤程序流量

的混合。

如何保障SD-WAN的安全？

SD-WAN的安全性可以从系统安全和业务安全两个⽅⾯来进⾏保障。系统安全是SD-WAN解决⽅案必备的基础安全能

⼒，SD-WAN解决⽅案系统在初始化之后就应该⾃动具备这些能⼒，使其能安全可靠的运转。⽽业务安全是单独部署的

安全功能，要根据企业⽤户实际的业务安全需求灵活选择合适的安全防护措施。

•系统安全

•系统安全涵盖的范围主要包括：SD-WAN解决⽅案中组件间的通信安全、多租户安全以及组件⾃⾝的安全。SD-

WAN解决⽅案系统包含多个组件，组件本⾝以及组件之间的通信都会受到安全威胁。因此，必须要有安全措施来保

证SD-WAN解决⽅案系统的构建和运转是安全可信的。

•保证系统安全，即通过⾝份认证、数据加密、数据验证、权限控制等措施，避免⾮法接⼊、信息泄露、数据篡改等

安全问题。特别是针对CPE接⼊的场景，SD-WAN解决⽅案基于零信任（ZeroTrust）的安全理念，严格验证CPE

的⾝份信息，防⽌⾝份仿冒，确保只有合法可信的CPE才能接⼊。

•业务安全

•业务安全指的是SD-WAN解决⽅案所承载业务的安全，部署SD-WAN解决⽅案的⽬的是要帮助企业更好地开展业

务，根据企业的业务模型，业务安全包括站点间互访业务的安全、站点访问Internet业务的安全、站点⼊云业务的安

全。

•满⾜业务安全的需求，就是要针对不同的业务采取相应的安全防护措施。例如，对于站点间互访业务，要加密处理

保证其在Internet上传输的安全性；对于站点访问Internet业务，可以使⽤CPE提供的安全功能，如ACL过滤、防⽕

墙、IPS和URL过滤以及VAS⾼级安全功能等，防御各类攻击以及⼊侵⾏为。需要注意的是，这些安全功能可以基于

VPN来配置，即针对同⼀个租户内的不同部门，实施差异化的业务安全防护措施。

•另外，SD-WAN解决⽅案还⽀持对接第三⽅云安全⽹关，利⽤第三⽅云安全⽹关对访问公有云、SaaS的业务流量进

⾏安全防护。

SD-WAN与云有什么关系？

随着云化时代的到来，越来越多的企业已经将⾃⼰的IT系统搬到公有云上。企业WAN也需要能灵活地连接各种云资源，

这些云资源主要包括：IaaS基础云服务以及SaaS云应⽤。

公有云站点的Edge可以部署vCPE软件虚拟CPE设备，并通过VNF（VirtualNetworkFunction，虚拟⽹络功能）的形式

提供软件化的安全、⼴域加速、负载均衡等功能。将这些功能都放进CPE⾥⾯，既能降低设备成本和能耗，⼜能实现灵

活快速的业务发放。

链接公有云

为了更⾼效地访问SaaS应⽤，SaaS路径可能存在多种路径选择，通过SD-WAN的智能选路能够实时感知每条可选路

径的⽹络SLA（ServiceLevelAgreements，服务等级协定）质量，并在集中的⽹络控制系统的帮助下，具备实时调整

并选择最优SaaS访问路径的能⼒。

访问SaaS应⽤