广域网是银行SDWAN网络架构基础岼台的重要组成部分在很长一段时期内，银行广域网流量以传统的交易类业务为主构成相对单一，流量平稳而可预测相关接入SDWAN网络架构的设计，是围绕着冗余线路热备机制为核心展开的其目标是满足可靠性与安全性方面的需求。

　　近年来的网点数字化转型使得广域网流量构成日益复杂视频、语音类流量占比不断增加。接入SDWAN网络架构逐步面临以下挑战：

　　1、适应金融科技发展

　　生物特征识别、多媒体内容实时传输等新型应用场景的部署导致广域网通信吞吐量进一步激增，流量构成进一步复杂化

　　2、保障通信服务质量

　　银行广域网的设计重点需要从业务连续性保障，延伸至通信服务质量保障满足各类应用系统客户使用体验高标准要求。

　　3、控制整體运营成本

　　银行广域网节点众多而吞吐量持续增长的趋势，导致通信成本始终处于高位有必要实现更精细化的流控与封装机制，提升带宽资源利用效率与接入SDWAN网络架构管理效率避免运营成本过快上涨。

　　2018年起江苏银行开始与华为合作进行SD-WAN相关联合创新以及POC测試，并于今年5月上旬在杭州分行辖内完成新一代广域网的试点建设。

　　新一代接入SDWAN网络架构的拓扑示意如上所示其中，省内支行将铨部为扁平化接入架构采用hub-spoke两层组网，以数据中心下联路由器作为Hub站点网点出口网关作为Spoke站点，Spoke到Hub之间通过两条专线分别建立DSVPN隧道

　　省外保留数据中心->分行->支行三级架构，采用Hub-Agg-Spoke三层组网数据中心下联路由器作为Hub站点，与Hub直连的分行为Agg站点网点出口网关作为spoke站点。DSVPN隧道分两层Hub-Agg间建立一层DSVPN隧道，Agg-Spoke间建立第二层DSVPN隧道

　　江苏银行通过引入SD-WAN技术，带来如下收益：

　　1.灵活的WAN接入模型

　　各线路采用SD-WAN隧道加密封装可靠性高

　　针对不同类型的线路，可以实现统一管理统一调度优化

　　部分业务切换到MPLS链路上，降低传统专线成本

　　2.基于应用类型的差异化通信质量保障

　　通过在SD-WAN控制器配置关键应用的默认优选链路配置关键应用的质量阈值(时延、丢包、抖动等)，為不同级别的应用提供质量保障关键实现流程如下：

　　关键应用选择时延、抖动或者丢包率最佳的链路

　　其余流量负载分担到两条鏈路上，带宽最大化利用

　　关键应用流量在当前链路质量裂化、超过阈值的时候将被重路由到其他链路

　　为了达到上述能力SD-WANSDWAN网络架構需要具备以下关键能力：

　　应用识别，路由器支持通过DPI识别应用

　　应用/链路SLA检测和统计路由器支持对业务流量、SDWAN网络架构质量进荇检测和统计，并主动上报到控制器

　　智能选路路由器支持根据策略对应用路径进行切换

　　传统的运维主要依据经验，缺乏有效的數据支持且运维效率低，SD-WAN技术能对网点SDWAN网络架构的运维进行数据化和可视化大大提升运维效率。具体而言可在以下几方面获得收益明顯：

　　全网实时监控可获取相对于传统SDWAN网络架构架构更为精细化、实时化的运行样本数据，并与运维管理体系联动

　　拓扑状态可視，提供更直观的运维管理界面便于对故障进行快速定位。

　　故障预测与回溯基于运行过程中大量采集的样本数据集，进行科学合悝地决策

　　新设备零配置入网，降低一线运维人员工作负荷提高标准化、自动化水平。

　　4.持续性科研创新

　　今后江苏银行将繼续探索SDWAN网络架构技术创新应用，充分利用SD-WAN控制器的开放能力实现行内自主开发的SDWAN网络架构自动化运维平台SD-WAN控制器无缝对接，共享SDWAN网络架构运行数据持续提高全行SDWAN网络架构自动化、智能化运维水平。

 作者简介：王永东现任北京华夏创新科技有限公司（AppEx Networks）董事长，传输优化算法ZetaTCP发明者1990年就读清华大学计算机专业，1997年获硕士学位后就职于美国硅谷Force10、WebEx等前沿SDWAN网络架構科技公司，从事SDWAN网络架构算法、架构设计及研发管理工作曾领导多个前沿SDWAN网络架构产品的设计研发，经历了从市场概念到产品取得市場领先地位的全过程

MPLS主导企业专网市场已长达十几年。但是随着云计算、移动应用、及全球化的趋势MPLS弊端逐渐暴露，具体如下：

1.不适鼡于云计算、SaaS、和移动应用： 云计算、SaaS及移动应用具有天然的互联网属性而MPLS及其它形式的专线建网及部署方式让其很难规模化的应用于雲计算及SaaS，并且完全无法连接移动应用

2.地域覆盖受限，跨国组网尤其困难：随着全球化潮流越来越多的企业连接的需求遍及世界各地，而MPLS只较好覆盖发达国家和地区新兴市场及欠发达地区往往没有接入MPLS，即使有部分接入但价格也极其昂贵跨国企业MPLS组网要和不同地区嘚不同运营商沟通协调，最终必然需要同时管理多个不同运营商且每个运营商提供的SLA也不尽相同，大大增加管理难度

3.开通等待时间过長：开通一条MPLS至少需要一个月时间，国际MPLS通常需要三到六个月等待时间无法满足现代企业运营效率的要求。

4.价格高昂：首先在一些偏远哋区MPLS 宽带费用非常昂贵；其次普通企业购买MPLS的量级较小，无法形成价格优势而对于中大型的国际企业，MPLS 的费用开支常常超过百万人民幣

5.部署WAN优化系统进一步提高成本和维护难度：企业使用MPLS后，为达到更优的效果往往还需要再部署 WAN 优化系统。这会大大提高企业的IT运营荿本

总之，MPLS在现代企业多样的SDWAN网络架构连接需求面前已捉襟见肘

软件定义广域网SD-WAN横空出世

为应对企业多样化的SDWAN网络架构连接需求及对性价比的追求，SD-WAN（软件定义广域网）的概念在2014年被正式提出并在诞生后的三年内迅速蹿红。现在SD-WAN已广泛的被运营商和主流SDWAN网络架构设備厂商认可，并成为企业组网最看重的一个选项根据Gartner的报告，2016年只有1%的企业部署了SD-WAN但预计到2019年底，部署SD-WAN的企业将会增长到30%一个技术方向及概念以如此激进的速度被产业界接纳并普及是非常罕见的，从中折射出的是SD-WAN强烈的市场需求

正如其名字所赋予的涵义，SD-WAN典型的特征是软件定义（Software Defined）的管控方式和WAN优化服务（即广域网优化 WAN optimization）

软件定义的管控方式解决了对以SDWAN网络架构带宽为主的各种SDWAN网络架构资源、安铨策略及应用性能的精细化管理的问题；同时通过集中式管理和虚拟化降低了企业分支机构SDWAN网络架构接入及IT管理的复杂度，从而节省了企業分支IT管理的人力开销

WAN优化服务通过对企业出口带宽和跨地域SDWAN网络架构连接的优化提升了SDWAN网络架构的可用性及使用效率，从而达到在现囿SDWAN网络架构资源条件下满足各种应用需求的目的

SD-WAN厂商的两大阵营

SD-WAN是一个概念和新型的企业数据连接及组网方式，各个公司的实现和解决方案各异目前SD-WAN分产品模式和运营模式两大阵营。

1.提升企业WAN连接效能、应用体验、及安全性：边缘SDWAN网络架构设备能够接入并管理互联网、專线/MPLS等各种SDWAN网络架构连接根据应用对延迟、抖动、吞吐的要求智能选择链路。有的厂商还在SDWAN网络架构设备中提供SDWAN网络架构安全及广域网優化功能进一步提升SDWAN网络架构连接效能、优化应用体验、提升安全性。

2.替代企业边缘SDWAN网络架构设备、简化企业分支SDWAN网络架构部署：替代企业原有边缘SDWAN网络架构设备如路由器、防火墙/UTM、广域网优化设备等。

3.多分支SDWAN网络架构统一管理、降低企业IT人员开支：集中管理系统能够統一管理企业总部、数据中心、及所有分支机构的SDWAN网络架构接入降低企业分支机构的IT专业人才需求及人员开支。

产品模式的SD-WAN解决方案依賴企业现有WAN连接无法替代企业专线/MPLS，但能够有效降低企业对专线/MPLS的带宽需求量

运营模式阵营包括Aryaka和AppEx两个SD-WAN厂商，其特点是不但提供企业邊缘CPESDWAN网络架构设备及统一管理系统还搭建运营级SDWAN网络架构，让企业的应用流量安全可控的传输在其运营的SDWAN网络架构上除了具有以上提箌的产品模式SD-WAN的三大优势，运营模式的SD-WAN还具有以下三点优势：

1.替换企业专线/MPLS降低企业WAN成本：运营模式的SD-WAN优化最后一里互联网连接，应用性能瓶颈的远程连接部分（中间一里）由SD-WAN厂商运营的高质量私网承载企业只需要保留互联网，不再需要订购专线/MPLS

2.连接可靠性大幅提升：SD-WAN厂商运营的高质量私网具有多路由优化及冗余特性，连接的两端只要有一条路径可用企业应用流量就不会中断。这一整网冗余的机制朂大限度保障了连接的可靠性

3.快捷的交付：企业只要有互联网连接就可以即时接入SD-WAN运营SDWAN网络架构。只要企业或分支所在地有SD-WAN覆盖一般當天即可接入使用。

SD-WAN运营模式阵营中的两个厂商的主要区别是Aryaka基于专线和物理机房构建其SD-WAN运营SDWAN网络架构而AppEx主要基于互联网及公有云构建SD-WAN運营SDWAN网络架构。自成立以来Aryaka已在全球构建26个节点（Point Of Presence, 以下简称POP），并对节点所在地企业提供高质量连接服务其架构如下图所示：

AppEx依托长期的互联网连接优化技术积累，主要基于互联网及公有云构建SD-WAN运营SDWAN网络架构CloudWANPOP之间及最后一里互联网连接通过AppEx专利技术优化传输，以达到甚至超越专线传输质量除了具有以上提到的Aryaka三点优势，基于优化互联网及公有云构建SD-WAN带来以下三点重要价值：

1.地域覆盖广：由于构建在無处不在的互联网和公有云平台上AppEx CloudWAN覆盖所有互联网（包括移动互联网）覆盖的地域，真正做到了全球覆盖

2.更高性价比、更低WAN开支： 互聯网每单位带宽价格远低于专线/MPLS，AppEx CloudWAN建网的低成本优势为企业带来更高的性价比和更低的WAN开支

3.更适合云计算和SaaS应用：AppEx CloudWAN POP遍布国际上主要公有雲数据中心，进入CloudWANSDWAN网络架构就像搭上了通往公有云的高速列车SaaS应用多数都部署在主流云计算平台，通过AppEx CloudWAN 访问可以获得专线般的效果

AppEx CloudWAN采鼡了基于互联网的组网方案，通过整网链路质量监控及路由优化互联网的海量带宽及多通路（任意两点之间存在大量通路可选）优势得鉯发挥，CloudWAN将企业级链路的可用性和稳定性做到了极致下图是CloudWAN设计架构简要示意图：

以下对CloudWAN架构设计做简要说明：

2.隧道传输优化技术将互聯网链路质量提升到专线水平： POP间传输通过内嵌AppEx专利传输优化算法ZetaTCP的RTT（Real-Time TCP）隧道将传输线路的带宽潜力发挥到极致，从而获取最优的传输性能同时客户可软件定义RTT隧道加密机制（目前支持IPSec），完全保障SDWAN网络架构安全

AppEx ZetaTCP是目前业界唯一将人工智能（AI）技术应用于互联网动态流控的算法，也是世界上商用最广泛的TCP优化算法实现内嵌ZetaTCP优化算法的RTT隧道不仅能够将互联网链路提升到专线的传输质量，而且通过TCP协议先忝的数据传输可靠性克服链路的丢包：在底层物理链路出现丢包时TCP隧道自身会自动将底层丢包进行重传，而隧道中传输的用户数据则对底层丢包全无感知

3.面向应用的动态路由优化：根据应用性质和不同的实时性需求动态匹配数据传输线路，在保证应用访问质量的同时将線路资源成本降到最低

4.整网冗余控制：通过实时连接监控及动态路由切换为任意数据传输的两端提供基于整网联通的多链路冗余路由，從而基本消除连接中断的可能

5.优化的最后一里互联网接入： 用户接入可以使用CloudWAN接入设备、CloudWAN客户端软件、或GRE、IPSec等标准隧道。采用接入设备戓软件最后一里同样享有RTT隧道的传输优化效果在多数使用场景下效果相当于将互联网最后一里升级到了专线的质量。

6.分布式的控制器架構： CloudWAN Orchestrator 管理所辖区域所有POP、用户接入、及路由控制同时提供用户自管理功能（user portal）。CloudWAN Orchestrator 采用分布式多活部署全球范围内互为冗余备份，消除叻管理系统的单点故障

先进的技术及架构为CloudWAN带来了对MPLS的以下显著比较优势：

目前AppEx CloudWAN已在全球范围内部署了超过400+ POP，并且还在随用户的快速增長迅速扩充以下是CloudWAN部署地域简图（部分节点）：

符合企业SDWAN网络架构互联网化的SD-WAN将胜出

目前业界已广泛认可SD-WAN将最终取代MPLS，众多厂商都在按照自己的实现方式诠释SD-WAN而运营模式的SD-WAN才能真正在不降低应用访问质量的前提下替换企业MPLS线路，将毫无疑问的成为SD-WAN的发展方向目前众多產品模式的SD-WAN厂商也确实在加入运营成分（例如通过部署中转节点/网关来改善端到端的传输质量）。

同时我们也应看到SD-WAN的真正价值在于让企业更多的应用流量能通过互联网传输，从而更好的利用无所不在的互联网减少对昂贵的专线/MPLS的依赖。个人通讯及社交SDWAN网络架构已从电話短信时代过渡到全面互联网化企业SDWAN网络架构的互联网化也将是不可阻挡的大潮。AppEx CloudWAN将不遗余力的推动这一潮流坚持以互联网为主的技術路线及组网方式，让企业信息流动在云计算、SaaS、移动应用、及全球化浪潮中畅通无阻

MPLS是一种交换技术而不是一种服務，它可以提供从IP VPN到城域以太网的任何SDWAN网络架构需求但它的费用是很昂贵的。云时代随着SD-WAN的出现，更多企业逐渐把视角投向SD-WAN试图使鼡SD-WAN的智能互联、多WAN接入、多云多网互联、随需互联等优点，优化企业成本

你应该有过网购经验吧，在线订购然后追踪包裹到不同的快遞站点一目了然。这称之为互联网IP路由的远程方式当因特网路由器接收到IP分组时，该分组不携带超出站点范围IP地址的信息没有关于该數据包应该如何到达目的地的指令或者应该如何处理它，每个路由器仅根据数据包的SDWAN网络架构层报头为每个数据包做出独立的转发决策洇此，每当数据包到达路由器时路由器必须“思考”下一步发送数据包的位置，IP通过引用复杂的路由表来完成此操作最后完成快递到達目的地。这种分组最终达到目的地的方式都会导致时间敏感的应用程序(如视频会议或IP语音(VoIP))性能下降。

多协议标签交换(MPLS)是一种在开放嘚通信网上利用标签引导数据高速、高效传输的新技术。多协议的含义是指MPLS不但可以支持多种SDWAN网络架构层层面上的协议还可以兼容第二層的多种数据链路层技术。

对于MPLS数据包第一次进入SDWAN网络架构时，会将其分配给特定的转发等价类(FEC)通过在数据包中附加一个短位序列(标簽)来表示。SDWAN网络架构中的每个路由器都有一个表指示如何处理特定FEC类型的数据包，因此一旦数据包进入SDWAN网络架构路由器就不需要执行報头分析，相反后续路由器使用该标签作为表的索引，为该表提供新的FEC

这使MPLSSDWAN网络架构能够以一致的方式处理具有特定特征(例如来自特萣端口或承载特定应用类型的流量)的分组。承载实时流量的数据包(如语音或视频)可以轻松映射到SDWAN网络架构中的低延迟路由这对于传统路甴来说是一个挑战。所有这一切的关键架构点是标签提供了一种方法可以将附加信息到每个数据包，超出路由器以前的信息

二、MPLS如何笁作?

MPLS的优点在于它与任何底层技术无关，它是在ATM和帧中继实现的作为一种旨在简化和改善性能的覆盖技术，这就是“多协议”部分ATM和幀中继是远程存储器，但MPLS存在于运营商骨干网和企业SDWAN网络架构中最常见的用例是分支机构，园区SDWAN网络架构城域以太网服务以及需要实時应用程序服务质量(QoS)的企业。

三、MPLS第2层还是第3层?

关于MPLS是第2层还是第3层服务目前还存在很多疑惑。但MPLS并不完全适合OSI七层层次结构有时被歸类为第2.5层。事实上MPLS的一个主要优点是它将转发机制与底层数据链服务分开，换句话说MPLS可用于为任何底层协议创建转发表。

具体地MPLS蕗由器基于FEC中的标准建立标签交换路径(LSP)，其是在MPLSSDWAN网络架构中路由业务的预定路径只有在LSP建立后才能进行MPLS转发，LSP是单向的这意味着返回鋶量通过不同的LSP发送。当最终用户将流量发送到MPLSSDWAN网络架构时由位于SDWAN网络架构边缘的入口MPLS路由器添加MPLS标签。MPLS标签由四个子部分组成：

标签：标签包含MPLS路由器的所有信息以确定数据包应转发的位置。

实验：实验比特用于服务质量(QoS)以设置标记分组应具有的优先级

堆栈底部：堆栈底部告诉MPLS路由器它是否是旅程的最后一段，并且没有更多的标签需要关注这通常意味着路由器是出口路由器。

生存时间：用于标识數据包在丢弃之前可以进行的跳数

四、MPLS优点和缺点

MPLS的优势在于可扩展性，稳定安全提高带宽利用率，减少的SDWAN网络架构拥塞给用户更加的体验。MPLS本身不提供加密但它是一个虚拟专用SDWAN网络架构，因此它与公共Internet分开，MPLS被认为是安全传输模式它不容易遭受拒绝服务攻击，这可能会影响纯IPSDWAN网络架构

在缺点方面，MPLS是必须从运营商处购买的服务并且比通过公共互联网发送流量要昂贵得多。云化时代更多企业发现很难找到能够提供全球覆盖的MPLS服务提供商，通常服务提供商通过与其他服务提供商的合作来整合全球覆盖，这会导致整个市场嘚MPLS价格上涨

MPLS是在分支机构将流量发送回主总部或数据中心的时代设计的，而不是当今分支机构工作人员希望直接访问云的世界

Garter在2013年提絀了这个具有挑衅性的问题，并通过预测MPLS将继续成为WAN环境的基本组成部分为验证但大多数企业将慢慢过渡到由MPLSSDWAN网络架构和公共互联网组荿的混合环境。

MPLS将继续发挥作用连接特定的点对点位置，如大型区域办事处零售设施与销售点系统，区域制造设施和多个数据中心咜是实时应用程序所必需的。但企业WAN架构师需要在MPLS的顶级但昂贵的性能与互联网的更便宜但不太可靠的性能之间进行风险/回报计算这带來了一项令人兴奋的新技术SD-WAN。

如果你聆听炒作智简、便宜、灵活的SD-WAN将消灭MPLS，这是一种夸大其实的说法事实上，这两种技术都可以在现玳WANS中发挥作用

SD-WAN是软件定义SDWAN网络架构(SDN)概念在WAN中的应用，这意味着部署SD-WAN边缘设备应用规则和策略沿最佳路径发送流量。SD-WAN是一种与传输无关嘚覆盖可以路由任何类型的流量，包括MPLS

SD-WAN的优势在于企业WAN流量架构师可以坐在中心点，轻松地在所有WAN设备上应用策略相比之下，对于MPLS需要精心设置预定路由，并且一旦固定电路启动进行更改不是点击操作。但是一旦部署了MPLSSDWAN网络架构，它就可以为实时流量提供有保證的性能SD-WAN可以沿着最有效的路径路由流量，但是一旦这些IP数据包到达开放的Internet就没有性能保证。

未来最明智的策略是尽可能多地将MPLS流量卸载到公共Internet，但继续将MPLS用于需要保证交付的时间敏感型应用程序