运营商sdwan部署位置

运营商具备直接在Underlay网络上提供SD-WAN服务的条件，基于传统路由实现面向战略和业务的路由。然而，由于意愿和部署困难，这个想法可能只是一个想法。SD-WAN有许多功能特性。对于混合WAN场景，提供软件定义功能的分支CPE需要满足以下业务需求:

1.主动回连控制器的配置和策略

传统组网的CPE设备高度自主，无论是命令行、网管界面还是厂商实现的所谓零部署等功能，在思维上仍然面向孤立的网元，仍然是配置驱动。业务模型的变化意味着分支站点需要修改配置。SD-WAN约定转控分离，业务配置和策略由控制器发布。通过功能分层，用户界面从面向配置转变为面向应用，实现了真正的即插即用。

Netconf是SD-WAN中非常典型的南向协议，它是C/S模型的协议，以SSH或TLS为安全通道，YANG作为元数据完成命令描述的定义，控制器作为Client，根据YANG的定义，将上层REST调用到承载在NetConf中的XML-RPC，配置设备作为Server，根据YIN验证RPC合法性，然后转换为最终设备配置。

2.应用深度识别

面向应用的前提是能够识别应用。传统的基于5元组的流分类和路由策略过于刚性，需要大量配置逐一匹配应用，界面不友好。在SD-WAN场景中，设备需要进行深度检测，通过本地识别或云识别分类应用，根据控制器策略动态调度流量和关键业务保障。

3.链路质量检验

传统的基于路由的流量调度是静态的，但网络环境是实时变化的，不能根据链路质量的变化动态调整。SD-WAN场景要求设备能够对多条专线或互联网链路进行质量检测，并根据业务分类和控制器发布策略动态选择流量。

4.防火墙的功能

分支机构接入互联网，分流专线流量，就近接入公有云获得更好的体验，但同时也引入了安全问题。分支CPE需要提供安全网关功能，划分安全边界，清理非法流量，防止黑客入侵。防火墙功能可以在本地完成，也可以在云中虚拟化。

5.加密VPN连接

在互联网上传输企业数据时，为了防止泄漏，需要采用安全通道传输，CPE需要能够与公有云、总部或其他分支VPN网关建立端到端的IPSEC隧道，通过IPSEC隧道对流量进行加密传输。

6.NAT功能

对于无需加密的互联网流量，进入互联网时需要进行NAT转换，解决了公网地址资源有限、内部地址隐藏的问题。

7.审查权和审计

传统的组网出口都在总部，认证和审计功能可以在总部单点部署，SD-WAN场景下的认证审计也变成了分布式，要求每个分支的CPE设备都有相应的功能，数据日志可以定期回传同步。

微云网络&网络综合解决方案提供商帮助企业信息化建设、数字化转型和全球互联网。SD-WAN方案可以加速全球访问、SaaS访问、海外视频和海外分支网络，有效提高国际沟通效率，帮助中国企业开拓国际市场…热线：400-028-9798，欢迎来电咨询。