运营商SD-WAN网络网关

公有云运营商POP点很可能没有存量设备，但可以选择重用方案网关的产品POP访问。由于公有云运营商通常采用自主研发的方式来实现网关，因此很难根据产品形式来定义其产品形式x86实现网关集群的方式比较常见，网关集群的性能和规模可以根据接入区域的需要进行调整。

在设计控制器时，CPE的管理和SD-WAN网关管理可以独立实现，也可以使用一套控制器实现统一控制。从控制器部署的位置来看Tier 1网络运营商通常负责控制地市核心机房下属的每个机房SD-WAN网关，以及当地企业CPE。对于其他运营商，通常可以采用全网平面部署的方式POP点/云中。Portal运营商通常选择自己定制，其部署位置也取决于运营商站在什么水平SD-WAN这里就不多说了。

此外，还有一种实现思路，就是利用网络运营商的方式进行部署SD-WAN不同地区的网关SD-WAN同一网络运营商 用于网关集群IP地址提供服务，对于CPE只需要和这个网络运营商 IP建隧道，即可通过互联网保证路由SD-WAN就近接入网关。但是，这通常需要运营商通过BGP发布网络运营商地址的能力，门槛高。

IPSec流量顺利到达SD-WAN网关结束后，还需要识别用户身份，并与相关人员相关联VRF，技术上可以有以下几种手段：(1)利用GREoverIPSec，为GRE口关联VRF;(2)使用组网overGREoverIPSec，关联标签；(3)使用VxLANoverIPSec，通过VNI来关联VRF;(4)采用IPSec逻辑口来关联VRF;(5)用ISAKMP Profile绑定VRF，识别SPI后直接关联VRF;(6)私有IPSec封装，在IPSec单独添加方案字段。其中(1)标准化程度最高，但封装效率较差，(5)封装效率较好，但需要使用IKE作为控制平面，在不同的实现中会有不同的选择。

对于Tier 1网络运营商，在SD-WAN网关接入段的设计会有所不同。对于异网企业用户，可以通过以上方式使用Overlay灵活接入的方式，但不需要本网企业用户使用IPSec，以太网/以太网可以直接使用PON等待库存接入技术。但这些库存接入技术的灵活性普遍较差，也可以在适当的位置引入VxLAN等Overlay通过控制器实现新业务的自动化开放。

若流量目的地在远端，则两端SD-WAN网关需要通过骨干网传输。一般来说，SD-WAN网关间的传输overlay逻辑上跳过去就可以了。事实上，有几种方法可以实现：（1）SD-WAN网关间走组网 方案，且SD-WAN网关有能力组网 方案，此时可以标记出向流量Service此时流量模型为标签CPE&—SD-WAN网关&—SD-WAN网关&—CPE;(2)SD-WAN但是SD-WAN网关没有组网 方案的能力，所以SD-WAN网关必须通过VLAN子接口和库存PE背靠背连接设备PE静态或间起eBGP然后通过路由PE此时流量模型为组网 方案CPE&—SD-WAN网关&—PE&—PE&—SD-WAN网关&—CPE;(3)骨干网不具备组网 方案的条件，也可直接通过IP隧道打过去，组网overGRE或者VxLAN都可以，通过Service标签或者VNI此时流量模型为隔离租户CPE&—SD-WAN网关&—SD-WAN网关&—CPE。

如果骨干的这种传输需要两个运营商之间的跨域，那就麻烦了。两个运营商的引入在路径上是不可避免的ASBR，流量模型可能是CPE&—SD-WAN网关(运营商A)&—PE(运营商A)&—ASBR(运营商A)&—ASBR(运营商B)&—PE(运营商B)&—SD-WAN网关(运营商B)&—CPE。除了复杂的网络模型外，还需要在不同的运营商之间进行业务协调。

另外，也可以不同SD-WAN网关间多跳中继，流量模型变为CPE&—N*SD-WAN网关&—CPE，如果源和目的出现在线路资源有限的方案中SD-WAN网关间无专用线路，通过互联网直接通过获得的质量相对较差，此时可能需要找到一些POP根据不同的要点进行中继POP动态路由调度点间质量。

可见，不同的场景和业务需求会导致不同的路径选择，流量模型不再简单CPE间IPSec一跳打通。当然，对于原生的SD-WAN如果采用架构Hub-Spoke拓扑，流量也需要通过Hub但是中继Hub是企业自有的设备，数量有限，分布固定Hub如果需要中继，通常会有固定的路径，相比之下SD-WAN网关属于运营商的设备，数量多，分布广，SD-WAN网关间流量的转发也可能更加动态。所以在引入中SD-WAN网关结束后，它对控制器提出了巨大的挑战，可能需要在集中和分布式之间做出重新决定，以找到两者之间的平衡。不同方案中的路由可能会有很大的差异。

对于互联网流量、分流可由企业分支站点进行CPE实现，流量模型是CPE&—互联网，CPE还需要在当地完成NAT、QoS、安全处理。如果企业采用Hub-Spoke的拓扑，互联网流量可能需要回传Hub但是因为Hub数量有限，Spoke到Hub可能会导致回传距离较远Spoke访问互联网流量质量下降，一切互联网流量都通过Hub接入，对Hub接入带宽也提出了更高的要求。

引入SD-WAN流量模型可能流量模型可能会变成CPE&—SD-WAN网关&—互联网，由SD-WAN网关完成互联网流量与方案流量的分流。这种区域性的企业SD-WAN网关分流的优点是可以通过SD-WAN网关集中提供当地多个分支NAT、QoS、安全等服务避免了分支机构使用这些服务的成本和复杂性互联网流量绕行Hub延迟和带宽消耗。

当然互联网业务的具体设计也取决于运营商自身的角色Tier 1网络运营商，将SD-WAN网关引入互联网在路径上，企业客户可以在当地分支互联网统一管理业务，但需要考虑股票互联网接入设备与SD-WAN网关之间的关系，以及对现有接入业务的影响，如是否允许同时携带企业宽带和解决方案。对于非Tier 1网络运营商不掌握企业互联联通过最后一公里的访问资源Overlay的方式把SD-WAN网关引入互联网在路径上，接入业务的成本和复杂性可能会增加。可通过公有云运营商SD-WAN网关把互联网流量返回云VPC，通过VPC集中地提供NAT、安全等服务，相当于以VPC作为企业的Hub，但是要考虑好Hub VPC所能提供的价值是否能覆盖返回云的成本。

对于企业的SaaS可通过办公流量Overlay的方式把SD-WAN网关引入互联网在路径上，利用骨干段专用网络的优质传输，将其加速到接近访问目标的位置，绕过公共互联网的传输和优化SaaS但是SaaS作为一种WEB在这个时候，内容可能会靠近用户的位置DNS将成为决定SaaS骨干段的牵引可能与访问质量的关键因素相反。