为什么需要专线+SD-WAN？

运营商的传统专线业务存在诸多痛点，如常常面临末端协调成本高、时效性差、灵活性欠佳等痛点，且同时面临OTT厂商的跨界竞争压力；以及业务首次开通时间不可控，一般为2-6周，又缺乏能力开放接口，无法实现能力调用和用户自服务，多业务协同能力较差，专线业务服务总在最后一公里的线路接入。

SD-WAN （Software Defined Wide Area Network，软件定义广域网） 是一个连接服务的管理平台，可以提供跨域组网和增值服务。 相比传统组网方案，具备 接入灵活， 配置灵活，组网灵活，管理灵活等特性，同时可实现 单一入口管理简化运维 。

运营商可以通过SD-WAN实现灵活的组网服务，向上可延伸到云内拓展安全增值服务，向下可延伸到企业LAN网络，实现LAN & WAN统一管理；再结合丰富的Underlay网络（Internet、4G/5G、 IP专线 等）保障，提供优质的网络服务，保障业务体验。在传统专线基础上增加网络服务能力，守住老用户、拓展新用户，实现从传统的卖管道向卖服务的转型，打造其自有的一站式Managed Service平台，提高解决方案销售竞争力。 还能满足企业多样化需求，方便按需获得更多的增值业务， 支持多链路选路，提升带宽利用率；同时 实现 用户网络站点 / 链路 / 应用可视， 业务可变更灵活，一键下发配置， 快速和多云互联，保障云业务体验。

专线+SD-WAN的网络架构

专线+SD-WAN解决方案总体架构图

专线+ SD-WAN 解决方案总体架构包含编排层、控制层和网络层。每一层具备不同的功能。

第三方BSS/OSS：当运营商或者企业客户希望将 广域 的端到端业务处理流程纳入到已有的BSS/OSS等第三方业务编排系统中时，可以借助 广域 网络控制器的北向开放API能力，实现对广域方案的集成和界面的灵活定制。

管理层：网络控制器是管理层的核心部件，是 SD-WAN解决方案 的智慧大脑，具有网络编排、管理能力，通过已有的Portal界面，进行 SD-WAN 端到端业务处理。

网络编排：负责SD-WAN面向业务的网络模型抽象、编排和配置自动化发放，主要包括企业WAN组网和各种网络策略相关的业务编排。网络控制器通过对企业WAN进行网络模型的抽象和定义，屏蔽了SD-WAN部署和实现的技术细节，通过接近企业应用/业务的编排界面，使WAN网络配置和业务发放更加简易、灵活。

网络管理：通过网络管理功能实现了对企业WAN的网络层设备的统一管理与运维，主要包括统一配置网络业务；采集设备的告警和日志等故障信息；基于链路、应用、网络的性能数据采集、统计和分析；基于网络拓扑、告警管理、性能监控等方式多维度统计和呈现运维信息。

控制层： RR （广域 Route Reflector ，广域路由反射器），是控制层的核心产品组件，主要负责集中控制广域网络层的路由转发和拓扑定义。RR的功能主要包括：广域租户 VPN 路由的分发和过滤；VPN拓扑的创建和修改；站点间Overlay隧道的创建和维护等。相比传统网络完全的分布式控制方式，这种集中式的控制实现了企业WAN控制平面和转发平面的分离，简化了网络运维操作，减少了网络配置错误几率，提升了企业WAN的运维效率。在实际部署时，RR即可以独立部署，也可以与已有的Edge站点共部署。

网络层：从业务角度来说，企业的分支、总部和数据中心以及在云上部署的IT基础设施等都可以统称为企业的站点。用于不同站点WAN互联的网络设备以及中间的WAN一起构成了广域的网络层。 从网络功能层次划分，企业广域网络可以分为Underlay网络和 Overlay网络 两层。

Underlay网络：即物理网络，是由路由器等网络设备通过运营商提供的物理线路互联组成的WAN，常见类型有MSTP专线、 MPLS VPN以及Internet等。

Overlay网络：即虚拟网络，是通过引入IP以及软件技术，在同一张物理网络上构建出的一张或者多张虚拟的逻辑网络。不同的虚拟网络虽然共享物理网络中的设备和线路，但是虚拟网络中的业务与物理网络中的物理组网和互联技术相互解耦。虚拟网络的多实例化，既可以服务于同一租户的不同业务（如多个部门），也可以服务于不同租户，是广域网络层的核心组网技术。

从网络设备的功能定位划分，企业广域的网络层主要由Edge和GW两种类型的设备构成。

Edge：是企业广域站点的出口CPE设备。Edge的本质是 广域 隧道的发起和终结点，也可以看做是 广域 网络的边界点。Edge之间的Overlay隧道可以构建在任意的有线或者无线的Underlay WAN网络上。

GW：是联接企业广域站点和其他网络（如传统VPN）的网关设备。通过GW可以实现 广域 网络到企业传统网络、 公有云 网络的互通。

一网联多云，业务随处可达

灵活组网，业务随需互联：CPE提供多种有线和无线的WAN接口，支持Hub-spoke、Full-mesh、Partial-mesh等丰富的组网模型，支持大规模组网能力，根据网络规模可选择单层组网或分层组网，满足企业网络需求。支持运营商部署多租户高性能的CPE作为GW设备，为企业租户提供与传统专线网络对接业务和POP组网业务。通过多租户IWG（Interworking Gateway），提供灵活的传统 MPLS 站点互访功能，使传统企业网络可以平滑演进到 SD-WAN 网络。

多种入云方式，业务一跳上云：分支CPE和 私有云 之间建立隧道，业务流量从分支站点一跳到私有云；通过IWG，方便运营商为多个企业提供与传统网络互访，一跳到MPLS云骨干；支持通过本地出局，或者通过总部集中出局，访问SaaS云服务。

5G千兆无线，超宽连接：支持5G上行，免布线，网络分钟级快速开通；支持逐包/逐流 负载分担 ，有效提升5G链路利用率。

智能选路 ，极智体验

应用智能选路，体验可保障：丰富 应用识别 技术，首包识别+SA+自定义，精准高效。基于应用SLA、应用优先级、带宽利用率等多维度综合路径选优，保证关键应用在最优链路上。

应用优化，体验调优：对流量小，高可靠的业务，比如VoIP（Voice over Internet Protocol，基于IP的语音传输）、付款业务、5G工业场景等，通过 多路包复制 ，在多条链路同时传输，在接收端进行缓存、去重复操作，保障业务可靠传输。对音视频业务，通过内置质量感知的首创 A-FEC (Adaptive Forward Error Correction， 自适应前向纠错 )，确保30%丢包率下的音视频应用无损体验。

端到端加密，安全互联：华为NetEngine AR路由器，内置AV 反病毒 、 IPS （Intrusion Prevention System， 入侵防御系统 ）等安全功能，在分支本地出局访问Internet时，保障分支站点安全，且支持在线升级特征库，有效防御各类攻击和 病毒 。通过端到端 IPSec 加密，保障整网业务安全传输。

极简开局，智能运维

极简开局：基于丰富的 ZTP （Zero Touch Provisioning，零配置部署）手段，实现无人上站，设备即插即用；通过构建以应用为中心的导航式配置，实现从设备开局，网络编排，应用策略，到可视运维的全流程自动化，将业务配置时间从30分钟缩短到5分钟；

可视化运维：华为SD-WAN提供应用/链路/站点/整网多维度可视，40+敏捷报表。

智能运维：iMaster NCE-CampusInsight基于智能和大数据分析技术，通过 Telemetry 技术实时采集网络数据，利用大数据分析、机器学习算法学习网络行为并识别故障模式。实现体验可视、故障主动检测，在保障业务体验的同时可以极大地减少网络运维成本，提供智能的根因分析，打造卓越的网络服务保障体验。

华为专线+ SD-WAN 解决方案主要场景为运营商B2B业务场景，在此场景中，运营商在为企业客户提供方案时，也可以参考企业自建场景的网络设计方案。

运营商需要为不同行业、不同规模的企业提供建设和运维企业网络的服务，使企业可以快速完成网络部署和业务开通。而且，运营商从网络管道提供商向服务提供商转型，为企业提供网络服务、增值服务、云服务等业务。

运营商B2B应用场景

如 图1-3 所示，华为 SD-WAN解决方案 主要从以下几个方面提供解决方案。

运营商通过 iMaster NCE-Campus 多租户模式、部署支持多租户的 RR 设备，为多个企业提供 SD-WAN 网络。企业可以作为租户，租用运营商提供的 SD-WAN 网络，企业租户之间互不可见，每个租户独立维护企业自己的 SD-WAN 网络。

企业分支通过多种链路灵活组合接入网络，使用vCPE作为 公有云 和 私有云 的网关，实现和其他分支通信、访问SaaS应用，访问公有云和私有云。企业租户可以根据需求选择多级 QoS 策略，基于链路质量、应用优先级、带宽、 负载均衡 的 智能选路 ，安全等策略，满足保障关键业务体验、高带宽利用率、安全等诉求。

运营商通过 iMaster NCE-Campus 的可视化运维系统，维护 SD-WAN 网络，统一部署管理云业务，为企业提供增值服务。

企业网络有客户资产的存量经营需求，需要支持 SD-WAN 站点和传统分支站点互访，运营商可以部署支持多租户的IWG设备与传统网络中的ASBR-PE（Autonomous System Boundary Router，自治系统边界路由器）设备互通，同时解决多个企业网络 SD-WAN 站点和传统分支站点的互联互通需求。

针对大型企业，若为了实现跨国或者跨越多个区域的企业站点之间的网络互通，企业往往会选择全球性的运营商专线或者Internet的方式进行总部分支组网互联。基于华为 SD-WAN解决方案 提供的POP组网方案，运营商在高品质的跨国/跨区域的WAN骨干网边缘建立POP点，并在POP点内部署 SD-WAN 的Gateway设备（POP GW），POP GW设备与运营商骨干网边缘网络设备（PE）互联；借助本地运营商的MPLS/Internet，在企业分支站点与POP点的POP GW之间建立Overlay隧道，从而实现跨国/跨区域分支之间的互联，如 图1-4 所示。
运营商POP Gateway组网

组网成本高。 小分支网络分开建设，方案不统一，专线、交换机、 AP 单独采购，整体组网成本高 。

业务混跑，安全风险。 生产业务和其他混跑，无隔离，业务冲突大，核心业务卡顿，安全风险。

运维效率低。 以单设备为中心，业务流量不可视，无组网拓扑，运维效率低 。

XX石化公司通过专线+ SD-WAN 解决方案，在专线宽带的基础上叠加广域管理服务，实现业务增收，提高客户粘性。网络架构如 图1-5 所示。

XX石化公司专线+SD-WAN网络解决方案架构

该方案架构的特点：

极简分支，极简成本： 分支专线 +AP 一体交付，零配置分钟级开通，成本降低 50%；

统一运维，安全隔离： 总部集中运维，分支免运维；生产业务隔离，提升安全可靠性 。