開(kāi)始之前先插播一句我對SD-WAN的整體理解，現在很多廠(chǎng)商都在談SD-WAN，其中不乏自夸強銳的。SD-WAN的市場(chǎng)越來(lái)越大，包括華為這樣的巨頭也有團隊離職單獨成立創(chuàng )業(yè)公司專(zhuān)做SD-WAN業(yè)務(wù)，未來(lái)SD-WAN必將是更多企業(yè)的選擇，也是搞網(wǎng)絡(luò )安全需要了解的，網(wǎng)絡(luò )安全并不是只是滲透、代碼審計、漏掃等等，如果看不懂網(wǎng)絡(luò )結構不了解網(wǎng)絡(luò )基礎很難搞好網(wǎng)絡(luò )安全，也做不了大型ICT安全項目，大多時(shí)候掙大錢(qián)的還是靠ICT類(lèi)項目，這個(gè)問(wèn)題我們留在以后再聊。題跑回來(lái)，說(shuō)一下SD-WAN的幾個(gè)必備的基礎能力，也就是說(shuō)要實(shí)現是否SD-WAN那就先拿這個(gè)標尺量一下。

可通過(guò)集中管理平臺進(jìn)行設備、策略等相關(guān)配置，可統一向下推，無(wú)需網(wǎng)絡(luò )管理員一臺一臺的配置。之前與某石油的運維溝通過(guò)，他們很多配置還是靠發(fā)通知+人工配置，往往變更一些配置需要2月時(shí)間之久（全國3w+分支）。

有了集中管控平臺減輕工作量，但此平臺不應作為新的風(fēng)險點(diǎn)，當平臺故障或升級時(shí)不應影響設備的轉發(fā)能力。SD-WAN基于SDN的理念，我認為這個(gè)功能應必須支持。

零配置開(kāi)局是指在控制器配置好相關(guān)內容后，現場(chǎng)的設備即可通過(guò)U盤(pán)/郵件等方式，快速進(jìn)行配置，將網(wǎng)工的能力集中在控制器側即可，降低現場(chǎng)施工人員的要求。

根據應用需求和網(wǎng)絡(luò )狀況選擇最佳路徑，例如某企業(yè)同時(shí)有MV和互聯(lián)網(wǎng)，可以通過(guò)此功能將重要業(yè)務(wù)跑到低帶寬的高質(zhì)量的MV線(xiàn)路上，將普通業(yè)務(wù)跑到高帶寬低質(zhì)量的互聯(lián)網(wǎng)上，且線(xiàn)路出現波動(dòng)時(shí)可自動(dòng)進(jìn)行切換。

集中上網(wǎng)是指SD-WAN組網(wǎng)中某站點(diǎn)向Overlay下發(fā)默認路由，其他站點(diǎn)根據此默認路由進(jìn)行集中上網(wǎng)。本地上網(wǎng)是指將一些流量直接通過(guò)underlay進(jìn)行上網(wǎng)或業(yè)務(wù)訪(fǎng)問(wèn)，無(wú)需經(jīng)過(guò)overlay。

應用識別功能是智能選路、本地出局等功能的前提，只有能識別出該應用時(shí)才可進(jìn)行選路和本地上網(wǎng)，例如某組網(wǎng)中騰訊會(huì )議要通過(guò)本地進(jìn)行上網(wǎng)，其他的網(wǎng)頁(yè)等要經(jīng)過(guò)集團進(jìn)行統一訪(fǎng)問(wèn)。

還有一些LAN/WAN融合、SASE、零信任等廠(chǎng)商融合能力，留在以后再說(shuō)。

POP運營(yíng)場(chǎng)景進(jìn)入主題：

其實(shí)POP運營(yíng)場(chǎng)景呢也是有不同區別的，我在這里簡(jiǎn)單闡釋一下：

下面聊一下案例采用的方案：