一家500强用过Cisco SD-WAN解决方案，谈谈一点看法。

​

SD-WAN方案适合：

1.全球有好多分支机构的公司

2.公司对网络安全有极高的要求

3.公司老总对新鲜事物有强烈好奇心

4.公司想降低运维人员的数量

5.公司不差钱，但长期来规划缩减IT开支

以上5个条件需要同时满足，才能让SD-WAN在公司落地。

首先，看看传统型的WAN（Wide Area Network）解决方案都有哪些痛点？

老王的公司，使用MPLS VPN互联公司全球内网。

月租费贼高，而且不安全，因为MPLS不加密。

老王的公司，还有一些使用IPsec + Internet线路连接到公司内网。

配置IPsec tunnel复杂度高，运维成本高。IPsec HUB节点IKE、Key、Rekey需要极高CPU处理负担。运维人员需要配置IPsec Spoke节点的IKE、Policy、Tunnel、Route所有的配置。通常为了调试一个IPsec tunnel事件成本很高。

而且，一旦需要升级提高安全性，这些WAN Router需要一个个手动升级。

读者可能没有具体的概念，假如一个公司全球有1000个WAN Router，需要一个个手动升级，还有一个down time时间窗口网络无法使用。

痛点太多，不一一列举了。

为了系统性解决以上所有痛点，发明了SD-WAN。

什么是SD-WAN？

Software Defined WAN。

首先，宣布一个令人振奋的消息，SD-WAN在网络层全加密，解决网络安全的痛点。无论是Internet线路、MPLS 线路、卫星链路、4G链路、5G链路等等，全部加密。

在SD-WAN的眼里，自己是坐在轿子里（Overlay）尊贵的VIP。

底层的物理线路，Internet线路、MPLS线路、卫星链路、4G链路、5G链路，全是轿夫（Underlay）。

如果高级抽象，应该是这个样子的：

SD-WAN = Underlay +  Overlay   +  APP Data

Underlay读者应该很熟悉了，这个Overlay能否具体一点？

这个overlay需要加密，需要在TCP/IP眼里是一个虚拟接口（Net_Device Instance）。才能在这个overlay虚拟接口上运行路由协议如BGP/OSPF/ISIS，才能分发路由。

Cisco SD-WAN给出的overlay的样子大概是这个样子的：

Overlay ==UDP + Overlay IP + ESP + GRE + MPLS Label

ESP主要负责加密

GRE主要负责虚拟接口的封装

MPLS Label主要负责内网不同业务的逻辑隔离，图片中的Multitenant，就是这个意思。

同学们很迷惑，为何要Overlay IP？

问大家一个问题，当使用一个三层接口上网时，需要不需要一个IP地址？

当然需要了。

既然物理接口需要IP地址，这里GRE接口也是三层接口，为何不需要呢？

当然也需要。

再问一个问题，使用ethernet网卡的三层接口是怎么封装的？

Ethernet + IP

如果由它来担任轿夫（Underlay），上文的IP就是Underlay IP，咱们更新一下。

SD-WAN= Underlay  +  Overlay   +  APP Data

= Ethernet + Underlay IP  + UDP + Overlay IP + ESP + GRE + MPLS Label+  APP Data

读者可能回好奇，这个UDP是干嘛的？

Underlay IP+ UDP这个组合主要用于NAT（Network Address Trasnlation）的。

因为SD-WAN在Internet线路上，做NAT的概率是极高的，给NAT提供便利。

可是ESP需要的Key从哪里来？

是通过IKE（Internet Key Exchange）协商吗？

No，No，No。

这就是SD-WAN强大的地方。SD-WAN有一个中心化的产生Key的设备，它的名字叫vSmart Controller。 

有一个vEdge Router名字叫罗密欧，通过TLS安全连接与vSmart Controller联系上了。相互验证了数字证书，然后vSmart Controller通过OMP消息告诉罗密欧，可以使用Key = 5201314 与朱丽叶加密通信。罗密欧内心窃喜，okk。。。

有一个vEdge Router名字叫朱丽叶，通过TLS安全连接与vSmart Controller联系上了。相互验证了数字证书，然后vSmart Controller通过OMP消息告诉朱丽叶，可以使用Key = 5201314 与罗密欧加密通信。朱丽叶嘴角上扬，okk。。。

双方就可以使用上文的SD-WAN = Underlay  +  Overlay   +  APP Data

通信了，一切该有的Key全有了。

上文说了，我们需要SD-WAN 跑BGP路由协议，交换内网的路由，怎么实现？

APP Data = TCP + BGP

代入

Ethernet + Underlay IP  + UDP + Overlay IP + ESP + GRE + MPLS Label + TCP + BGP

SD-WAN怎么运输普通的packet？

只要用packet替换APP DATA，即可。

罗密欧、朱丽叶这些SD-WAN Router从哪里获得自己的basic 配置以及BGP配置？

从一台中心化的服务器，名字叫vManage上主动拉取自己配置，或者由vManage自动推送配置。

罗密欧、朱丽叶是如何知道vManage、vSmart Controller通信地址的呢？

很简单，罗密欧、朱丽叶这些SD-WAN Router在出厂的时候已经预置了vManage的地址，一旦上线立马就可以找到vManage，通过vManage可以找到vSmart Controller。

SD-WAN最大的弊端，就是每年要被厂商薅羊毛，大概10-30%的服务费，除了这个都是优点！

阅读原文：原文链接