为什么要使用SD-WAN

在云计算、移动应用、企业全球化成为大背景的环境下，越来越多的实时应用（异地办公、视频会议、远程桌面、支付交易系统、远程医疗）要在多个节点间传递，断线、访问慢等问题将会放大用户的不满，造成交易流失。

从2018开始，客观地讲SD-WAN技术在中国市场才开始真正起步，曾有人深情而浪漫地把它描述为“当SDN遇见WAN”。坦率地说，从网络技术发展的历史长河来讲，以前也不是缺乏SDN这样的想象力和尝试，早期的ATM技术 （MPOA/LANE）就是一个典型尝试，但是有两个致命的问题导致ATM/MPOA昙花一现。

其中的两个技术原因： 一方面是ATM信元技术过于复杂导致成本过高 ，另一方面是转发层面过分依赖控制层面导致性能的屏障和可靠性下降。当然我认为 另一个原因更关键，是业务应用驱动力不足 ，当时没有类似今天”云计算和互联网应用”之轰轰烈烈的颠覆性业务，导致技术上实现的难度和其可能带来的效益和风险完全不成比例。

而SD-WAN的出现不仅解决了互联网不稳定、专线造价昂贵的问题，最重要的是能够极大程度上满足这些应用即时性和实时性的要求。这就是这几年SD-WAN不断获得广泛应用的原因。

SD-WAN，即软件定义广域网（Software-Defined WAN）。SD-WAN主要由两部分组成“SDN”+“WAN”。它是将 SDN 技术应用到广域网场景构建而成的新一代广域网，利用 IPSec VPN 等技术在普通上网链路上构建一个 Overlay 专网，技术打通企业私有网络，以提速降成本为目标，可以作为 MPLS 专线的替代或补充技术。也是一种使用软件定义技术保障WAN侧的通信质量，实现重点包括可视化运维、轻部署、易扩展，多以虚拟化、服务化对外体现。

虽然国内SD-WAN市场起步稍晚于国际市场，但是国内的SD-WAN产业非常活跃，很多白盒厂商、SD-WAN初创厂商、安全厂商、云服务商、网络设备厂商、运营商都参与到这个领域里，有不少组织在推动整个产业的协同发展，对于很多初创厂商而言急需尽快提升盈利能力，确保可持续发展。

尽管在2014年的ONUG的会议上定义了SD-WAN新术语但事实上由于SD-WAN没有一个事实的标准衡量，导致每家的技术差别很大，实现功能千差万别。对于很多实力较强的公司，在SD-WAN技术和市场的投入是其在未来确定地位的关键，不排除在未来的几年内国内的SD-WAN市场格局发生重组，一些实力较强的公司渐渐占据市场主体。随着用户越来越多的开始采用SD-WAN，市场也将会迎来它的爆发期！

四个主要实际功能

• Application-Aware Routing (基于应用的路由选择)，即实现灵活应用
• Security, Monitoring, and Analytics (安全，监控，和数据分析)即实现 便捷
• Zero-Touch Provisioning (全自动服务开通) 即实现 安全可视

• All-in-One uCPE Package (通用白盒CPE， VNF百宝箱)即实现 避免厂商锁定

  这几个功能的理解，即为实现了三大功能：

统一管理与监控： SD-WAN整合了路由器、防火墙、DPI检测、广域网加速等功能，确保企业真正意义上实现对应用的管理与监控。

安全性: 可通过使用IPSec或TLS/DTLS加密来保护传输中的数据，确保数据安全。

智能路径控制： 当一条链路发生故障，中央控制台会自动切换链路，保证应用程序依然能够继续工作，同时发送报告。

在规划设计SD-WAN架构的时候，有三个原则推荐给大家分享并共同探讨： 第一 ：SD-WAN控制器不参与转发面； 第二 正常运行阶段控制器即使通讯失联业务不受影响； 第三 即使控制器断掉转发面设备有自愈能力。简单来说就像我们在城市里开车使用GPS导航系统，有了它帮我们实现调度和最优路径选择，但当特殊环境GPS信号失联，我们可以用本地地图和人的大脑继续行使到达目的地-尽管难以预测后续的交通拥堵。

基于应用的路由选择(Application-Aware Routing)

Application-Aware Routing 本质上是根据客户流量中不同应用的类别，来选择使用不同的广域网(WAN) 链路 (比如专线 或公共互联网或无线移动网络) 进行数据的传输，从而达到在不影响关键应用通信质量的情况下，尽可能的降低网络带宽成本的目的。这一个功能实际上涵盖了好几个关键技术（比如中心化Policy的制定和下发，实时链路状态检测，应用类型识别，多径选择，等等）。

现实情况中最常见的情况就是一个SD-WAN控制器，两个SD-WAN CPE端侧的设备

Step 1： 用户在中心化的用户管理界面上定义Application-Aware Routing 的策略 (Policy)，例如，针对实时视频会议配置成低延迟和低丢包率。中心化的Policy制定完成后，就会下发到相应站点处的CPE设备上面，并对设备进行相应的配置。

Step 2： 不论当前WAN链路上有没有用户数据在跑，各个CPE设备时时刻刻都在对他们之间的各条数据层链路进行着测量（通常使用BFD或类似的链路监测协议）。他们不仅测量各条链路是否通畅，同时也详细记录下每条链路的实时状态信息，比如时延，丢包率，抖动等。

Step 3： 当一个应用流量进入CPE设备时，CPE设备会通过包头的端口信息（或使用深度包监测 / DPI）识别出这个流量的应用类型。如果本地Policy中已经存在对于这种应用类型的定义，CPE设备就会将Policy中对于链路质量的要求和当前所有链路的实时信息进行比对，挑选出能够满足用户Policy定义要求的链路来进行传输。在图中的例子里，路径1 (企业专线) 和路径2 (LTE专线网络) 都能满足用户Policy设定的要求，这时CPE就会在路径1和2中选择一条来进行应用A的数据传输 (当遇到多条路径均满足条件的情况，CPE通常采用等价多径 (ECMP) 的哈希算法来保证同一个应用流内的所有数据包都走相同的路径，以避免乱序到达的情况)。

用户对于Application-Aware Routing Policy的制定是中心化的，无须用户逐一登录到各个站点的CPE进行手动配置。这是SD-WAN中心化管理和控制这个核心思想的再一次体现。

Application-Aware Routing功能总结：

• 中心化Policy的制定和下发(SD-WAN控制器)
• 实时链路状态检测(SD-WAN CPE)
• 应用类型识别(SD-WAN CPE)

• 多径选择(SD-WAN CPE)，即实现：制定路由规则，对应用进行管控及最优路径匹配，降低专网运行成本。

全自动服务开通(Zero-Touch Provisioning)

Zero-Touch Provisioning (以下简称ZTP),首先ZTP这个技术最早被提出可以追溯到数据中心内对交换机进行自动配置这个应用场景。试想在构建一个大型数据中心的网络基础设施时，对其成百上千台的交换机如果都使用传统的手工命令行键入的方式来逐一进行初始化配置，镜像升级，不仅费时费力，而且还容易出错。所以交换机厂商们就率先提出了ZTP这个技术: 将初始化配置和镜像升级文件的位置等信息在交换机第一次上电后，以响应其DHCP请求的方式发送给交换机，从而让交换机能够自动去指定位置 (即ZTP Server) 获取初始化配置，下载和升级镜像文件。从而大大加快了数据中心网络的构建速度，同时减小了人为出错的机率。

SD-WAN的业务层向下对接SD-WAN网络控制器，对外通过业务Portal界面实现SD-WAN的业务呈现和发放。业务层一般有两种实现方式，一个是SD-WAN解决方案提供商提供自研Portal界面，该Portal中包含了解决方案提供商定义的完整的端到端业务配置和发放流程，企业客户可以直接部署和使用；另一种是SD-WAN的网络控制器可以通过北向开放API的方式，现在很多行业客户都把自己的BSS/OSS等第三方业务编排系统集成，根据自己的业务功能和展示风格需要，进行界面和业务发放流程定制开发。

“Zero-Touch”反映了网络运维人员对于自动化配置网络、零接触开通服务的一个美好愿景。

交换机厂商们提出了ZTP技术: 将初始化配置和镜像升级文件的位置等信息在交换机第一次上电后，以响应其DHCP请求的方式发送给交换机，从而让交换机能够自动去指定位置 (即ZTP Server) 获取初始化配置，下载和升级镜像文件。从而大大加快了数据中心网络的构建速度，同时减小了人为出错的机率,这一功能同样的适用于SD-WAN搭建场景。

Step 1：CPE设备入网前进行一些准备工作

此时CPE设备还处在设备厂商或运营商的网管中心，或企业用户自己的数据中心，在这里关于这个CPE设备的一系列具体信息 (比如: 软/硬件序列号，端口数量和类型，IP地址和其配置方式，以及即将被部署的站点位置信息，等等) 都会由网络运维人员手动录入SD-WAN网管系统。人工录入的过程通常以填写模板的方式来进行，从而提升效率、减少人为出错机率。填写好的配置模板会自动生成配置文件存放在系统里，用于之后对CPE设备的自动化配置，将ZTP server的Domain name存入这个CPE设备中。

Step 2：CPE设备接入SD-WAN系统

CPE连接WAN网络，上电，CPE设备通过WAN端口以DHCP的方式自动获取WAN IP地址

CPE 设备通过DNS Server 查询并获得 ZTP Server 的IP 地址（ SD-WAN 供应商，或运营商，或企业客户自己，来提供和维护）。ZTP Server 通过比对CPE设备的软/硬件序列号等信息，查找出这个CPE设备属于哪个企业用户，从而导向相应的验证服务器 (Auth. Server) 对CPE设备进行安全验证<邮件&短信，确保CPE设备是在正确的客户站点入网>

验证通过后，Auth. Server 会将 SD-WAN Controller 的IP 地址发送给 CPE设备，从而在Controller 和 CPE 设备之间建立起安全的控制信道

Controller 将之前生成的初始化的配置信息发送给CPE设备，从而完成设备的初始化配置和升级。

Controller和CPE设备会交换本站点和其他站点的路由及安全密钥等信息，用于建立跨站点之间的数据层IPSec链。

ZIP对应我们应用来说，它的价值就在于以下两点：

1) 从客户的角度来看：

从企业客户收到CPE设备的邮递包裹，到站点SD-WAN 业务上线，客户只需要插上相应的网线和电源线，通过短信或邮件进行简单的身份认证，剩下的事情都会自动完成，无需客户操心。

(2) 从运营商的角度来看：

只需在On-Boarding的阶段，在中心化的网管中心内，对CPE设备进行一些初始化的配置操作（而且可以借助模板来快速实现），无需派遣网络运维人员到客户站点进行繁琐的手动配置。这不仅大大加快了开通服务的速度，减少了手动配置出错的概率，同时也节省了派遣Truck Roll的成本。所以说ZTP绝对是一个皆大欢喜的好功能。

架构模型

与传统路由网络“去中心化分布式工作模式”不同的是，SD-WAN 有一个控制核心，其相当于全网的大脑，掌握全网拓扑信息，统一控制网络节点数据转发、QoS 和安全策略。

三大平面之管理面

管理面定义： 用户视角来管理和控制SD-WAN网络。

根据定义，管理面流量分为两个部分：监控管理和业务控制（按理划分到控制面较为合适，但业务控制器用户存在一定的参与，并且与EMS处于相同层次）。

监控管理： 负责网络监测和控制，监测包括流量统计、计费管理、线路状态、设备使用率、日志等；控制包括入网授权、设备升级等。分为在线监控和离线控制，前者为设备正常运维部分，通常使用NetConf(tls)保护数据安全性；后者为设备开局运维部分，通常使用加密邮件或USB开局。

业务控制： 负责网络业务支撑，如路由集中分发、NAT穿越辅助、类NHRP查询服务、线路切换等，与具体业务需求相关。

管理中心更多从用户视角抽象网络，技术实现上转化为网管或控制器的方式，目前网管基本可以代表用户视角，但不能完全表达，部分组网业务仍需要用户配合。

第三方CPE由第三方网管负责，需求上可能存在轻度逻辑关联，故第三方网管可能开放部分API接入管理中心。

三大平面之控制面

控制面定义： 将用户视角转换为技术视角，并保障业务面通畅的控制管道。与传统的MPU/SPU/LPU类似，SD-WAN控制面将传统MPU抽象，可上浮集中控制、可下沉分散控制、或混合控制。

集中控制： 业务控制器作为主控单元，各CPE通过主控单元交互控制信息，如路由由控制器收集计算后分发；如CPE查询GIP及隧道、私网映射关系等。类SDN厂商习惯这种组网方式，原因是CPE和控制器通信协议可自定义，灵活扩展各类需求，控制器可采用通用服务器模型，实现方式多样，同时CPE仅需要侧重业务面的功能，更轻量级。

网络控制器是网络控制层的核心产品，是整个SD-WAN解决方案的“智慧大脑”。SD-WAN网络控制器一般包含了网络编排、控制和管理三大组件和功能。

网络控制器的编排组件负责SD-WAN面向业务的网络模型抽象、编排和配置自动化发放。用户可以通过网络控制器北向业务编排界面，用接近企业应用和业务的语言和接口，驱动网络控制器实现简易而又灵活的网络配置和业务自动化发放。

分散控制： 各CPE自协商的方式来达到全网控制的目地，属于传统组网方式（不同点在于属于Overlay组网，部分控制协议需要考虑时延和带宽的限制）。根据企业组网的特点，通常采用中心分层组网，各站点和中心进行控制面协商，包括路由或证书。

网络控制器的控制组件负责对SD-WAN网络层的集中控制，根据用户意图实现企业WAN按需的互联互通，具体功能包括但不限于：CPE开局、WAN组网创建、VPN划分、应用选路策略、安全策略、QOS等传统策略以及面向业务和意图的策略配置和业务自动化发放。

例如金融、政府、电力、能源等行业客户通常需要支持大规模以及跨区域的分支站点互联，网络控制组件可采用分布式独立部署方式，部署与数据中心侧，并根据网络规模水平平滑扩展。此外，鉴于金融客户的站点数量庞大，若所有控制数据均由网络控制器转发，数据控制器将成为网络的瓶颈，可通过部署RR（Route Reflector，路由反射器）配合网络控制器完成对SD-WAN网络的集中控制。RR的部署形态可以是硬件AR设备，也可以是NFV化的软件虚拟设备（如路由器）。

RR作为整个SD-WAN控制平面的一部分，实际执行网络控制功能，由于RR通常采用分布式部署，也称为区域控制器，与集中的SD-WAN网络控制器协同工作，提供集中的网络控制功能。区域控制器（RR）设备形态可以是独立部署的CPE产品，也可以与已有的SD-WAN站点Edge或GW设备合设。

在金融行业中，通常RR建议部署在总行数据中心侧或一级分行侧，采用旁挂在出口网关方式，与各路由域保持互通。推荐RR采用成对部署方式，形成主备，避免单站点发生故障。

混合控制： 根据各公司技术情况，部分控制业务采用集中控制模型，部分控制业务采用分散控制模型。网络控制器的管理组件实现了企业WAN的网络管理与运维功能，包括但不限于：SD-WAN网元的告警和日志等故障信息采集；基于链路、应用、网络的性能数据采集、统计和分析，并对最终客户进行网络拓扑、故障、性能等运维信息的多维度统计和呈现。

三大平面之业务面

业务面定义： 广义：支撑用户组网和办公的网络设备、线路可以称为业务面；狭义：转发面组网。SD-WAN业务面一般不涉控制器和网管，由若干CPE组成Overlay网络，包括LAN侧组网。

业务面组网采用Overlay方式组网，CPE间通过VPN进行互联，Fixed VPN属于长连接VPN，承载控制面业务和业务面(数据面)业务；Temporary VPN属于临时连接VPN，流量触发创建，无控制业务，当然此临时VPN连接受限于组网方式，包括转发策略、NAT等。

从业务角度讲，企业的分支、总部和数据中心以及在云上部署的IT基础设施等都可以统称为企业的站点。上述不同企业站点用于WAN互联的网络设备以及中间WAN网络一起构成了SD-WAN网络层。企业的WAN网络主要包括两个部分：Underlay网络和Overlay网络。

Underlay网络： 即物理网络，主要是指运营商提供的各种WAN物理专线、MPLS以及Internet等广域网，由运营商创建和维护。物理网络和设备性能通常跟随摩尔定律持续演进，不断构建超宽接入和超宽转发的网络能力。

Overlay网络： 即虚拟网络，通过引入IP Overlay虚拟化技术，SD-WAN在物理网络上构建出一张或者多张虚拟的Overlay网络。业务策略被部署在虚拟网络上，与物理网络脱离，从而将业务的复杂度和WAN互联的复杂度解耦。

SD-WAN站点通过在underlay网络上构建overlay隧道实现站点间的互通。Overlay隧道的构建托底层的underlay网络提供的IP可达性，但是与具体的底层网络技术无关。

业务面由于路径或管理原因，存在多HUB组网，HUB间可采用多级层次组网或扁平组网。相同HUB域业务流量在本HUB内转发，跨HUB域流量经多个HUB中转，需要保证HUB在性能上和带宽上需求。

根据企业WAN业务以及企业内部管理的需要，通过overlay隧道建立多种不同的拓扑。总体来说，SD-WAN解决方案支持单层网络拓扑和分层网络拓扑。

单层网络拓扑： 也可以称为扁平网络拓扑，特点是企业的分支站点之间可以直接互联或者通过一个或者多个中心站点进行互联，如图所示。通常建议区域站点数少于1000个站点时，采用单层网络拓扑。

分层网络拓扑： 可以看作单层网络拓扑的叠加，WAN被划分成多个区域，多个区域又通过集中的骨干区域进行互联，从而实现海量站点之间跨区域的互访，如图所示。通常建议区域站点数高于1000个站点时，采用单层网络拓扑。

分层网络拓扑适应于网络站点规模庞大或者站点分散分布在多个国家或地区的大型跨国企业和大企业，网络结构清晰，网络可扩展性好。

1. 业务路径之流量路径

整体方案采用DVPN+智能选路组网。

DVPN： 由流量触发动态建立VPN隧道，按华为采用DSVPN方案，这里去除了S（智能），目地是建立VPN不需要智能（比如是否在NAT之后，是否传输质量能满足需求），由流量触发尝试创建即可。而S（智能）部分体现在智能选路上。

智能选路： 而非智能寻路，由转发面在流量转发时和选择一条符合用户应用的转发路径，而选择的输入依赖于应用识别+质量检测。智能选路的前提至少是存在多条路径达到通信条件，如路由可达，VPN就绪。

更高级的智能是根据全网质量数据规划传输路径，这在SD-WAN服务商中心侧需要重点考虑的部分，而企业自建侧更多的考虑通信站点间多条路径下的选路方式，做得好的，可以将中心HUB一起纳入智能选路方案中。

上述流量举例将中心HUB作为一条可选路径的选路方案，CPE1到CPE2初始流量经HUB中转，后续流量经CPE1学习到CPE2全局信息后，动态创建VPN，如果此VPN满足某应用101的传输质量，则流量经CPE1-CPE2 VPN传输；不满足某应用的201流量则仍是经HUB中转。此方式在路由设计时需要将HUB和CPE2纳入负载路由范畴，所以控制面保持多条路径的可负载性和可达性，而由转发面由智能选路决策具体出口和下一跳。

2. 业务路径之转发路径

我们通过一个垂直性很强的金融行业例子作为分析：

例如以金融行业的银行来举例，通常具有大量跨省的分支机构、多数据中心灾备和网络可靠性要求高的特点，SD-WAN解决方案Underlay网络设计需要重点关注一级分行（省行）、普通支行站点的物理拓扑设计，还需考虑RR站点的部署，以及网络控制器的部署。

银行在总行数据中心内部署SD-WAN网络控制器，同时对异地的两个数据中心（Hub站点）、全国各地多个分行和全国各地多个支行进行网络改造。

• 对总行所在省份内的支行现网进行扁平化改造。总行主备数据中心分别部署Hub站点；省内支行作为普通站点直接连接总行Hub站点。
• 对总行所在省份之外的分行/支行采用分层组网，分行引入Internet/LTE链路作为逃生链路。省外分行作为汇聚站点；省外支行可作为普通站点直接连接省外分行站点。

LAN侧

LAN流量经L2处理后入L3处理流程，如果是本机报文，则经协议栈上交到APP；如果是转发报文，流量经转发选路后可能回到LAN侧，或者经VPN封装后走WAN侧出去。

LAN侧模型设计工作实际是如何适配当前的LAN侧网络，很多厂家的SD-WAN解决方案都提供FE、GE、XGE、ETH-TRUNK接口进行LAN侧对接，也根据场景不同分为提供二层对接与三层对接两种对接场景，最终采用哪种对接场景取决于实际网络的具体部署情况。

第一种情况： 对于规模较小的站点（例如接入用户数低于150），当内部网络结构比较简单时，CPE通常通过二层方式连接站点的内部网络。当CPE与LAN网络采用二层方式进行对接时，支持以下组网方式：

第二种情况： 对于较大的企业站点（接入用户数高于150），站点网络有着较复杂的网络结构，网络设施比较复杂，不仅由众多的路由器、交换机构建而成，而且会伴随着分层结构和多网络设计，在三层联接场景下，SD-WAN路由器可以通过静态路由或动态路由的方式打通与LAN侧的三层联接，目前华为SD-WAN解决方案与LAN侧对接支持BGP和OSPF两种动态路由协议及静态路由协议。在三层对接场景，SD-WAN路由器可能提供直连、双归、及口字型组网。典型的三层联接场景如下，可以根据网络的规格、可靠性要求选择其中一种方式。

WAN侧

WAN侧流量为VPN流量，经L2处理后，上交到本机进行VPN解封装，然后再决定是否是本机（如Overlay的OSPF流量）或者需要转发，转发的流量可能回到LAN侧（中心站侧网络），或者再次经VPN封装后传输到其它CPE。

根据SD-WAN站点内部署的CPE数量以及CPE的WAN侧连接链路数量的多少，站点有多种组网模型。如下图所示，SD-WAN站点可以选择部署单CPE设备，也可以选择部署双CPE设备，对于小型站点可以选择部署单CPE设备，对于可靠性要求较高的站点建议选择部署双CPE设备，以提供设备级冗余。

通常来说建议CPE的WAN侧部署多条链路，一方面多条链路可以相互备份，提供链路级可靠性；另一方面，WAN侧部署质量属性不同的多条链路，也便于后续基于业务选择主备路径，为业务提供差异化的链路选择。

SD-WAN站点中，每台CPE设备最多支持3条WAN链路，当站点部署双CPE设备时，该站点最多支持6条WAN链路。WAN侧链路的相关规格如下：

• CPE支持WAN接口类型有：GE、XGE、FE、XDSL、LTE；

• 支持设置逃生链路，如部署Interent/LTE链路作为逃生链路使用。所谓逃生链路，是指最后的生存链路，其优先级最低，当主备链路全失效时，流量才会通过逃生链路进行转发。逃生链路的存在，为业务保留了最后的一线生机，在一定程度上提高了站点的可靠性。

  3.业务路径之应用侧

  OSPF邻居为Overlay侧的邻居，则在转发后交VPN封装出，否则转发后由本地LAN侧出。

  4.路由模型之路由协议

  目地：打通Underlay和Overlay路由，指导报文转发。

  Underlay层受限于企业入网方式，一般与运营商需要打通路由，可以使用动态路由协议或静态路由方式；或者与企业内部核心交换机打通路由，此方式CPE下挂到企业LAN侧，“搭桥”入网。

  Overlay层根据企业组网规模或网络拓扑选择不同的路由协议，一般以BGP和OSPF为主，路由协议覆盖LAN侧和Overlay侧（TUN）口。企业自建一般为以中心HUB辐射的星型组网，转发模式有Full Mesh方式和HUB集中转发模式。如果存在私网隔离需求，而路由协议和转发面需要支持VRF，但企业内多为L3组网，较少有L2组网需求。

由于广域NAT穿越的存在，企业站点可能在NAT设备后，即不具备公网IP，因此站点之间无法直接互联互通。同时由于Hybrid WAN的存在，每个站点可以存在多个互通的WAN接口，这些都给BGP EVPN直接使用于SD-WAN带来了新的技术挑战。

为了解决上述问题，SD-WAN的路由机制在沿用了BGP EVPN基本机制的基础上，对于SD-WAN路由的下一跳等关键信息进行了增强扩展，SD-WAN路由不仅携带一个WAN口IP地址作为下一跳，而是可以携带多个WAN口IP以及NAT前后的IP地址信息作为下一跳。

路由方案设计原则图

站点的CPE设备接入WAN网络后，需要打通和PE设备之间Underlay网络（物理网络）的路由，才能正常建立Overlay网络，进行业务转发。根据WAN网络的接入要求，可以选择使用BGP、OSPF或静态路由。

（1）VPN路由

来自于分支站点的VPN路由信息，来源主要是CPE上相关VPN的LAN侧路由，同时携带了下一跳TNP的信息，还有Origin、Originator、Preference、Site ID tag和VPN标识等常见的BGP属性。

（2）下一跳TNP路由

下一跳TNP路由主要描述了CPE的WAN接口TNP相关的可达性信息，如TNP的公网IP地址、私网IP地址、Site ID以及相应的路由优先级信息，只有VPN路由相关的TNP信息可达的时候，该VPN路由才会被导入到CPE的转发表。

总体上来看，由于垂直性行业用户网络规模可能会比较大，往往有成百上千的分支站点组成，为了避免站点之间的路由邻居数过多导致网络很难扩展的问题，考虑在网络中部署RR，负责站点之间跨越广域交换路由。

在EVPN路由反射器RR和CPE之间，一般选择部署BGP来传播SD-WAN的Overlay VPN路由，具体包括站点VPN路由前缀、下一跳TNP路由信息以及用于CPE之间数据通道的数据加密所需要的IPSec相关密钥等信息。

一个SD-WAN网络根据网络需求可以同时配置一种或多种Underlay路由。

（1）BGP路由

如果接入的是MPLS VPN网络，且使用BGP动态路由方式，一般需要CPE设备使用BGP路由协议和PE设备完成路由信息交换。网络控制器支持配置基于IP网段的路由过滤规则，控制BGP路由接收和发布。

（2）OSPF路由

WAN网络是二层网络时，可以采用OSPF路由，完成路由交换。可以通过创建OSPF进程来实现。网络控制器还支持配置OSPF路由协议优先级，通过黑白名单路由过滤策略，控制路由接收和发布。

（3）静态路由

静态路由应用的场景比较多，例如接入Internet网络，使用LTE链路接入无线网络，或为了避免路由环路需要配置黑洞路由，都会用到静态路由配置。

静态路由没有协议交互，无法感知非直连链路的WAN网络故障，可能会造成业务中断。为了避免这种情况，可以Track一个WAN网络的IP地址，通过NQA测试例探测该IP地址，当探测结果失败，系统则认为WAN网络故障，然后自动选择其他备份链路转发，避免业务长时间中断。

5.路由模型之路由表项

TUN或VPN隧道一般根据静态配置绑定会话，或者通过动态方式获取私公网映射关系建立动态会话，此过程属于TUN驱动在封装私网数据后的处理，参照华为方案，可采用NHRP方式或中心查询方式。

— 未完待续 —