工联网消息(IItime) SD-WAN（Software Defined Wide Area Network，软件定义广域网）自2012年问世以来迅速发展。2019年8月，MEF发布了MEF70，推出了SD-WAN的第一个标准化定义。SD-WAN凭借敏捷性、安全性、灵活性、多样性等特点在全球备受推崇，尤其是在疫情的影响下，众多企业加速数字化转型，SD-WAN服务将成为产业数字化时代融合通信的必然发展趋势。

伴随SD-WAN市场迅速发展，提供SD-WAN服务的企业也越来越多，包括服务提供商、方案提供商、设备提供商、电信运营商等。不同企业搭建的SD-WAN网络架构不尽相同，大多数企业由于没有网络资源，因此采用根据全网资源状态集中调度基于应用的转发及QoS策略的方法，以提供优质的SD-WAN服务；而电信运营商掌握大量网络资源，因此SD-WAN网络的构建和发展自成一格。

SD-WAN提供的服务竞争力关键在于质量保障，因此运营商SD-WAN的发展可以分为两个阶段：第一个阶段是Overlay不感知Underlay方式的传统SD-WAN部署，第二个阶段可考虑基于Underlay协同的新一代SD-WAN部署。目前，传统SD-WAN已在全国范围内广泛部署，新一代SD-WAN的部署正在积极推动中。

运营商传统SD-WAN的发展和部署

运营商传统SD-WAN基本由SD-WAN控制器、PoP点及CPE设备 3个组件组成。管理门户可以集成在控制器中或相对独立。

管理门户（Portal）

管理门户（Portal）是SD-WAN网络面向管理运营人员和企业用户的统一图形化管理界面。采用多租户架构，可实现对用户的分权分域认证管理以及对业务功能的统一管理。管理门户基于Web开发，采用可视化界面设计方式，使用人员通过简单操作即可完成相关的信息查看、配置下发、数据分析等工作。

SD-WAN控制器

SD-WAN控制器是SD-WAN网络的核心控制单元，负责对SD-WAN网络各组件进行协调管理，并对用户侧CPE设备进行统一的控制管理。SD-WAN控制器能够对网络拓扑变化进行实时管理，并对路由进行集中控制，实现在SD-WAN网络上对业务流量进行智能的最优调度。

每个控制节点内应用服务、数据库服务均为高可用架构设计，支持虚拟机部署，当性能出现瓶颈时，通过主机、数据库、网络的扩容，配合负载均衡，方便地实现纵向和横向的升级，从容应对突如其来的业务增长。

控制器主要支持功能包括：支持分支设备的零配置开局部署；支持链路/隧道/网络质量自动监控和告警及全面可视化；支持集群化部署；支持对多企业用户实现分权分域管理等。

PoP节点

PoP节点是SD-WAN网络的接入节点，用于将SD-WAN边缘设备的业务流量接入SD-WAN网络。PoP节点的软件网关部署在移动云（中国移动的公有云）上，支持虚拟机部署、弹性扩缩容，关键模块采用主备方式部署。

Pop节点主要支持功能包括：基础路由、DHCP、QoS、VPN、NAT、防火墙等；支持协议优化，可针对边缘设备到PoP节点的“最后一公里”进行传输优化；支持多租户能力；支持针对边缘设备接入的安全认证服务和访问控制策略等。

SD-WAN边缘设备（CPE设备）

SD-WAN边缘设备是部署于用户侧的网关设备，具备微型、小型、中型、大型4个系列。该设备基于通用硬件架构或者NFV软件架构，集成多种网络和安全功能。一方面，边缘设备采用IPSec等加密隧道技术，将工业企业的网络数据接入SD-WAN网络；另一方面，其具备的多种网络和安全功能，可为企业提供深度流量分析、网络安全、流量优化加速等服务。边缘设备支持至少两种加密隧道技术，并涵盖IPSec。

SD-WAN边缘设备支持链路级和设备级的冗余保护，以保证SD-WAN边缘侧的高可用性。边缘设备除支持有线接入外，还支持4G或5G接入方式，可覆盖多种接入场景。其无线链路也可以作为管理通道，确保在任意场景，边缘设备均可做到上电即连接到平台，满足真正的零配置部署需求。

传统SD-WAN主要为用户提供境内组网、上云、跨境加速三大类业务，下面以中国移动为例进行介绍。

省内、跨省组网

政企用户分支机构的CPE设备接入CMNet。通过控制器控制，小微企业的CPE之间可以直接建立隧道，采用网状或星型组网；对于大中型企业，分支机构众多，对互联质量要求高，控制器控制CPE和PoP点，CPE就近接入PoP点，PoP点之间通过云专网互联，支持分支机构间采用网状或星型组网，从而达到隧道扩展性和互联质量要求。

移动云接入

移动云设置PoP点，在控制器控制下，政企用户CPE设备可以通过CMNet直接连接企业云上应用所在移动云PoP点，也可在就近的PoP点汇聚后，通过云专网接入云上应用所在移动云PoP点。

跨境互联网加速

中国移动已开展国际快线业务，针对每省均划分了特定源IP地址段，通过策略路由经过专用国际专线连接国际互联网，可以保障互联质量。针对跨境加速签约用户，调度中心控制用户CPE与PoP点建立隧道，CPE将跨境加速流量通过隧道送至PoP点，由PoP汇聚流量后集中优化跨境路径，从而实现跨境加速。

新一代SD-WAN的发展

在云网融合时代，为进一步发挥运营商网络资源优势，满足网络差异化和弹性敏捷的业务需求，运营商正在积极推动基于SRv6的新一代SD-WAN的发展，其中以中国移动的5G智享WAN（别名弹性SD-WAN）为代表的新一代SD-WAN基于应用需求，为用户提供整合“算力+网络+安全”资源的一体化能力。

基于SRv6/G-SRv6的新一代SD-WAN将运营商Underlay网络能力和云虚拟化资源进行了全面整合，其特点如下。

第一，端到端SRv6/G-SRv6使能Underlay与Overlay协同，提供差异化的网络服务。

第二，确定性的SLA质量保障，基于随流检测感知业务质量和SDN形成闭环的控制系统。

第三，应用驱动的网络服务，利用DNS报文驱动网络路径建立，实现自动化的应用和网络策略关联。

第四，降低网络部署运维复杂度，Underlay网络的路由器可兼做PoP，无需单独部署PoP点。

新一代SD-WAN将多段隧道变为1条端到端隧道，消除了多段隧道拼接时存在的断点，以中国移动5G智享WAN为例，新一代SD-WAN还具有如下优势。

零接触部署、自动化部署

对于大型工业制造企业而言，需要通过互联网实现设计、研发、制造高效协同，涉及跨区域、大量分支之间的互连。因此是否支持简易且自动化部署对企业十分重要，而智享WAN可以提供零接触部署和批量自动化配置的能力。

CPE发货之前，在控制器进行相应登记、注册；设备发货至企业用户，用户现场需要将设备上电，并连接至网络中；CPE会自动连接至控制器进行注册和认证；管理员和用户沟通确认无误后，控制器自动推送配置给CPE，从而完成网络开通。

CPE部署现场不需要IT人员支持，只需要打开CPE设备的包装，插入通信链路并接上电源，基础业务即自动开通。对于站点的个性化策略，通过控制器集中远程配置即可，大大简化了现场部署难度，降低了企业的部署成本。

数据加密、安全可控

工业互联网由网络、平台、安全3个部分构成，其中网络是基础、平台是核心、安全是保障。智享WAN支持数据安全加密，为工业互联网提供网络安全保障。

智享WAN主要网元部署在中国移动云平台上，由云平台提供统一的网络安全防护。网元通信基于中国移动CMNet、云专网，由中国移动承载网络提供抗DDoS攻击、VPN专线连接等安全措施。同时，CPE之间通信基于加密隧道（支持IPSec、国家商密体系等），通过加密隧道加强对所有报文数据的保护，降低智享WAN系统被攻击的风险，提升系统的安全性。

支持有线/4G/5G多重上行备份

企业可以根据需要选用内置4G/5G模组的智享WAN CPE设备，实现有线与无线多重上行备份。在有线不可达或布线成本高的分支，采用4G/5G上行作为备份链路，解决企业有线接入的痛点。

在工业应用场景中，线缆无法到达，无法采用有线接入；通过4G/5G CPE设备，不用部署光纤、网线，即可灵活便捷地接入4G/5G网络，解决企业“最后一公里”网络接入问题。同时4G/5G网络的高带宽、低时延、海量接入的特性，更贴合工业互联网的需求。

促进云网融合

智享WAN的PoP点部署在中国移动的移动云内，可使移动云用户通过智享WAN快速访问云资源池，并提供差异化的网络服务能力。

实现端到端差异化、确定性网络服务

智享WAN可通过SRv6/G-SRv6在CPE单点实现端到端的全网网络路径调度能力；通过网络主动感知为应用提供差异化的自动调度、增值服务。通过随流检测感知业务质量，并进行业务质差自动定位、定界，结合业务保障策略形成管控、业务质量保障的闭环控制。

中国移动智享WAN依托Overlay网络和Underlay骨干网全面部署SRv6/G-SRv6，实现从CPE到CPE或云内网关PoP点的端到端SRv6路径编排和调度。当前中国移动正在牵头从标准、规范、自研、测试、试点验证等方面，着手推进智享WAN的产业链成熟与商用部署。在国际标准方面，智享WAN系列标准在国际标准组织BBF（Broadband Forum）完成立项，获得了威瑞森、沃达丰、德国电信、意大利电信、博通、思博伦等主要国际运营商及芯片厂家的支持。这标志着新一代SD-WAN将成为一种国际通用的新技术。在国内标准方面，CCSA TC3于2021年完成智享WAN总体技术要求的立项，将持续推进智享WAN组件、接口、关键功能的系列标准立项，进一步推动智享WAN产业生态的开放创新与全面发展。

在产业推动方面，中国移动联合产业合作伙伴（如华为、中兴、烽火、新华三、诺基亚、锐捷、安徽皖通、瑞斯康达等设备厂家，中盈优创等控制器厂家，Intel等芯片供应商，ARM等芯片IP提供商）开展相关技术规范制定工作，并陆续在实验室进行产品和方案验证。

在关键技术攻关方面，中国移动解决了SRv6/G-SRv6无线上行、穿防火墙入云、VPN安全隔离等基础问题，开发出智享WAN原型系统并完成了实验室验证。在CPE侧采用开源操作系统Ubuntu18.04，Linux-4.14内核，采用VPP、DPDK、OpenSSL等开源软件及基于ARM架构的NXP LS1046芯片；在PoP点使用Intel FPGA PAC N3000的HCL解决方案进行SRv6加速。产品验证了Overlay/Underlay协同路径调度、SRv6/G-SRv6 4G/5G上行，首次实现了SRv6/G-SRv6穿防火墙入云、VPN安全隔离等技术，结果表明该系统能够很好地支持这些功能。在CPE性能测试中该系统可达到700Mbit/s的速率，网卡接近线速转发。近期中国移动将在多省开展现网技术验证工作。

未来展望

随着数字化的不断加速，新一代SD-WAN连接更需要以业务为中心，融合“算力+网络+安全”多要素，为用户提供敏捷部署、可编程、弹性伸缩、增值服务一体的服务。

未来中国移动将持续加强新一代SD-WAN多要素协同的作用，基于SRv6/G-SRv6路径调度能力，在算力方面协同安全功能实现SASE，在网络方面协同多路径实现灵活的主备、聚合、多发选收等能力，在应用方面积极探索多种应用感知新技术。以标准化为牵引，开展技术攻关和产业推动，快速推进新一代SD-WAN技术演进和商用成熟。