SD-WAN運(yùn)維經(jīng)驗(yàn)及相關(guān)開源技術(shù)分享

編者按

SD-WAN早已走過炒作進(jìn)入應(yīng)用，據(jù)IDC報(bào)告顯示，2022上半年中國SD-WAN市場(chǎng)規(guī)模為1.2億美元，同比增長45.8%。隨著SD-WAN組網(wǎng)方案繼續(xù)發(fā)展成熟，預(yù)計(jì)其后續(xù)部署仍有較大潛力。目前關(guān)于SD-WAN的文章多是從市場(chǎng)分析、技術(shù)方案等角度展開，本文作者獨(dú)辟蹊徑，根據(jù)其幾十年的網(wǎng)絡(luò)經(jīng)驗(yàn)和幾年的SD-WAN從業(yè)經(jīng)歷，介紹了SD-WAN運(yùn)維相關(guān)經(jīng)驗(yàn)。SD-WAN實(shí)際運(yùn)維會(huì)面臨哪些棘手問題？SD-WAN產(chǎn)品設(shè)計(jì)對(duì)運(yùn)維會(huì)產(chǎn)生什么影響？SD-WAN有哪些開源工具？SD-WAN從業(yè)人員需要具備哪些技能？我們一起來看看。

盡管從部署和使用者角度來看SD-WAN非常簡(jiǎn)單， 但SD-WAN的運(yùn)維卻并不容易 ：SD-WAN運(yùn)維過程中會(huì)涉及產(chǎn)品能力理解（產(chǎn)品能力或設(shè)計(jì)架構(gòu)）、客戶環(huán)境問題排障、互聯(lián)網(wǎng)底層問題、組網(wǎng)設(shè)計(jì)、軟件迭代開發(fā)和發(fā)布、服務(wù)流程的管理，以及和其它系統(tǒng)對(duì)接等諸多問題， 覆蓋范圍很廣。

作為一個(gè)SD-WAN創(chuàng)業(yè)團(tuán)隊(duì)，我們需要支撐幾十家大型基礎(chǔ)運(yùn)營商、服務(wù)商和企業(yè)的復(fù)雜SD-WAN二線運(yùn)維。雖說是二線支持，但有時(shí)客戶基礎(chǔ)環(huán)境出問題（如互聯(lián)網(wǎng)、防火墻配置的導(dǎo)致SD-WAN業(yè)務(wù)問題 ，通常80%以上都是基礎(chǔ)環(huán)境相關(guān)），我們也需要參與分析排障。

作為網(wǎng)絡(luò)領(lǐng)域浪漫又務(wù)實(shí)的技術(shù)，SD-WAN有著極簡(jiǎn)部署、一鍵組網(wǎng)和上云、統(tǒng)一的配策略管理和運(yùn)維管理等特點(diǎn)，筆者非?？春谩１疚膶⒅攸c(diǎn)聊聊筆者在SD-WAN運(yùn)維過程中解決問題常用的網(wǎng)絡(luò)技術(shù)、開源工具和心得體會(huì)，同時(shí)在此感謝這些年一起并肩戰(zhàn)斗在第一線和第二線的SD-WAN運(yùn)維網(wǎng)工和研發(fā)網(wǎng)工。

SD-WAN產(chǎn)品能力

產(chǎn)品本身的設(shè)計(jì)和自愈能力，尤其是控制器的架構(gòu)設(shè)計(jì)在SD-WAN運(yùn)維和支撐中至關(guān)重要：光鮮的SD-WAN光環(huán)下其實(shí)面臨著艱巨的運(yùn)維工作，SD-WAN多是大型服務(wù)商面向多租戶場(chǎng)景使用，SD-WAN運(yùn)維保障和后臺(tái)支持壓力很大。

在市場(chǎng)推銷SD-WAN的時(shí)候，部署運(yùn)維簡(jiǎn)化是一大亮點(diǎn)，但真正接手運(yùn)維之后，客戶環(huán)境千差萬別，運(yùn)維中各種問題層次不窮：CPE穿透防火墻問題，POP點(diǎn)NAT映射也會(huì)經(jīng)常出錯(cuò)，而且還需要考慮基于互聯(lián)網(wǎng)SD-WAN是否會(huì)不穩(wěn)定的風(fēng)險(xiǎn)，客戶SD-WAN系統(tǒng)會(huì)不會(huì)DOWN機(jī)，技術(shù)人員有限如何支撐成千上萬的多租戶CPE……

下面先聊聊幾個(gè)SD-WAN產(chǎn)品能力對(duì)運(yùn)維的影響：

SD-WAN的架構(gòu)設(shè)計(jì)至關(guān)重要

由于SD-WAN是基于互聯(lián)網(wǎng)組網(wǎng)技術(shù)，CPE連接控制器和POP系統(tǒng)基本上基于互聯(lián)網(wǎng)實(shí)現(xiàn)，互聯(lián)網(wǎng)可靠性和盡力而為的機(jī)制有一定的局限性或薄弱環(huán)節(jié)，這就要求SD-WAN控制器系統(tǒng)尤其是CPE（承載租戶業(yè)務(wù)）具有較強(qiáng)容忍性和自愈能力?？梢哉f系統(tǒng)設(shè)計(jì)架構(gòu)是決定SD-WAN 可靠性能力的重要因素。幾年前談過SD-WAN四種業(yè)務(wù)場(chǎng)景架構(gòu)（https://www.sdnlab.com/22769.html），今天談?wù)勀壳皹I(yè)界SD-WAN內(nèi)部的幾種典型轉(zhuǎn)控分離設(shè)計(jì)架構(gòu)，下面僅為作者個(gè)人分析 （不針對(duì)任何廠商，請(qǐng)勿對(duì)號(hào)入座）。

# 強(qiáng)控模式

數(shù)據(jù)流的包或第一個(gè)包的處理基于控制器的參與，典型的是基于OpenFlow的SDN/SD-WAN技術(shù)架構(gòu)，這種設(shè)計(jì)屬于強(qiáng)控模式，控制器出問題會(huì)直接影響流表轉(zhuǎn)發(fā)，大大影響系統(tǒng)的穩(wěn)定性和性能，基本上已經(jīng)被淘汰。

# 中控模式

基于SD-WAN路由反射器設(shè)計(jì)組網(wǎng)，RR 是控制層的核心組件，主要負(fù)責(zé)網(wǎng)絡(luò)控制，RR參與或負(fù)責(zé)租戶VPN路由的分發(fā)和過濾、VPN 站點(diǎn)間Overlay隧道的創(chuàng)建和維護(hù)等。中控模式下，RR的穩(wěn)定性和性能也會(huì)對(duì)全網(wǎng)造成很大影響（盡管RR有備份，如MPLS RR也很穩(wěn)定，但互聯(lián)網(wǎng)環(huán)境什么可能性都會(huì)有），對(duì)于大型服務(wù)商SD-WAN多租戶網(wǎng)絡(luò)建議慎重評(píng)估。

# 弱控模式-或者真正的轉(zhuǎn)控分離模式

在規(guī)劃設(shè)計(jì)SD-WAN架構(gòu)的時(shí)候，控制器只負(fù)責(zé)配置策略、系統(tǒng)管理和監(jiān)控等，轉(zhuǎn)發(fā)層面租戶VPN路由學(xué)習(xí)都是由CPE基于控制的配置策略在本地實(shí)現(xiàn)，類似數(shù)據(jù)中心SDN+ VXLAN/EVPN的思路。以大地云網(wǎng)TerraEdge為例，在可靠性設(shè)計(jì)有三個(gè)鐵定原則和設(shè)計(jì)理念：

1）SD-WAN控制器不參與轉(zhuǎn)發(fā)面

2）即使正常運(yùn)行階段控制器通訊失聯(lián)，業(yè)務(wù)也不受影響

3）即使控制器斷掉或失聯(lián)，轉(zhuǎn)發(fā)面（CPE和POP）設(shè)備有強(qiáng)大的自愈能力，客戶CPE業(yè)務(wù)不受影響并且具有基于已有的策略進(jìn)行自愈和選路的自動(dòng)修復(fù)

POP 智能探測(cè)和切換

經(jīng)常和朋友討論SD-WAN和傳統(tǒng)路由器網(wǎng)絡(luò)最大的區(qū)別，我會(huì)毫不猶豫說是基于POP站點(diǎn)的智能探測(cè)和選路算法。IP網(wǎng)絡(luò)發(fā)展了幾十年，但是服務(wù)保障SLA/QOS一直是個(gè)千年難題，傳統(tǒng)網(wǎng)絡(luò)是基于IP QoS技術(shù)當(dāng)中的兩種服務(wù)體系：IntServ和DiffServ。DiffServ是基于類的QoS技術(shù)，沒有端到端QOS能力；IntServ是端到端的基于流的QoS技術(shù)，但是節(jié)點(diǎn)/網(wǎng)絡(luò)管理和配置是一個(gè)復(fù)雜和艱巨的任務(wù)，導(dǎo)致很難大規(guī)模部署。

SD-WAN系統(tǒng)的POP點(diǎn)的探測(cè)和切換策略是SD-WAN系統(tǒng)成功的關(guān)鍵，客戶設(shè)備CPE智能探測(cè)互聯(lián)網(wǎng)網(wǎng)絡(luò)服務(wù)質(zhì)量，選擇最佳POP站點(diǎn)（POP站點(diǎn)通常建議多運(yùn)營商出口）以及實(shí)時(shí)監(jiān)測(cè)和自動(dòng)切換，這個(gè)機(jī)制目前可以很好地解決互聯(lián)網(wǎng)SLA質(zhì)量問題以及跨運(yùn)營商瓶頸問題，確保核心業(yè)務(wù)訪問獲取更好體驗(yàn)。我們基于POP點(diǎn)的服務(wù)質(zhì)量探測(cè)和切換策略研究了一個(gè)TerraFlow的網(wǎng)絡(luò)機(jī)器算法模型，包括延時(shí)、抖動(dòng)、丟包、帶寬、路由切換、路由防泄漏、穩(wěn)定性等約束條件進(jìn)行自動(dòng)化探測(cè)和隧道管理。同時(shí)POP算法中還引入了多隧道機(jī)制和Active/Active機(jī)制，不僅解決互聯(lián)網(wǎng)SLA質(zhì)量問題，同時(shí)也是對(duì)可靠性的很好保障。

租戶CPE的幾個(gè)特色運(yùn)維功能

CPE 加密端口動(dòng)態(tài)調(diào)整：由于各種情況，互聯(lián)網(wǎng)經(jīng)常會(huì)出現(xiàn)加密端口封殺、SD-WAN加密端口號(hào)協(xié)商、VPN加密端口自動(dòng)調(diào)整等情況，如支持對(duì)IPSEC SSLVPN 端口動(dòng)態(tài)調(diào)整，實(shí)現(xiàn)復(fù)雜環(huán)境下的業(yè)務(wù)上線。

CPE MTU動(dòng)態(tài)探測(cè)和調(diào)整：通常VPN技術(shù)中的MTU問題是個(gè)頭疼問題，我們?cè)赟D-WAN增加 MTU的檢測(cè)和調(diào)整以及 DF-BIT清除，使網(wǎng)絡(luò)更加健壯易用。

賬號(hào)管理：分級(jí)分權(quán)賬號(hào)和審計(jì)

基于多租戶下分級(jí)分權(quán)分域管理在SD-WAN系統(tǒng)運(yùn)維管理和安全至關(guān)重要。以TerraEdge賬號(hào)管理為例，角色支持三級(jí)：系統(tǒng)管理員、合作伙伴管理員、租戶管理員，不同賬戶可以有不同的可視化界面管理權(quán)限和資源管理能力。這個(gè)功能對(duì)大型服務(wù)商或者基礎(chǔ)運(yùn)營商非常有用，既有利于業(yè)務(wù)拓展更有利于系統(tǒng)的安全運(yùn)維管理。

SD-WAN常用的開源工具

俗話說，工欲善其事必先利其器。SD-WAN開發(fā)設(shè)計(jì)通常會(huì)用到許多開源技術(shù)， 如：ODL、ONOS、RYU、SpringCloud、kafka 、mysql/mongodb、Grafana、K8S/Docker、Linux/Openwrt 、Nginx 、FRR、VPP/DPDK、NetConf/Yang Model等開源技術(shù)；CPE硬件開發(fā)還會(huì)涉及 Arm、x86、Wi-Fi、4G/5G 以及相關(guān)Linux Kernel/Driver等適配工作。SD-WAN作為NetDevops成功典范之一，對(duì)于SD-WAN運(yùn)維和技術(shù)網(wǎng)工，不僅需要了解產(chǎn)品設(shè)計(jì)的相關(guān)開源技術(shù)，同時(shí)還需要了熟悉相關(guān)的開源工具包括Linux相關(guān)的網(wǎng)絡(luò)工具，下面就一些常用的運(yùn)維支撐開源工具加以介紹：

Jumpserver：推薦指數(shù) 5星

簡(jiǎn)述：Jumpserver是使用python的Django開發(fā)的開源堡壘機(jī)系統(tǒng)，相對(duì)于普通的跳板機(jī)，堡壘機(jī)可以看作一個(gè)升級(jí)版的跳板機(jī)，為互聯(lián)網(wǎng)企業(yè)提供了認(rèn)證、授權(quán)、審計(jì)和自動(dòng)化運(yùn)維等功能。在SD-WAN系統(tǒng)中Jumpserver是一個(gè)很好的運(yùn)維工具，利用Jumpserver堡壘機(jī)登陸控制臺(tái)，POP節(jié)點(diǎn)等作為運(yùn)維平臺(tái)，對(duì)安全管理和追溯記錄蠻好的。

另外SD-WAN系統(tǒng)是多租戶設(shè)計(jì)，由于租戶的CPE系統(tǒng)沒有帶外管理和公網(wǎng)地址，管理CPE成為了一個(gè)挑戰(zhàn)，為此SD-WAN廠商通常會(huì)提供一些手段以在CPE有異常的情況下登錄到CPE進(jìn)行排障（專用CPE跳板機(jī)系統(tǒng)就是其中工具之一），考慮到安全，通常只有管理員賬戶在得到租戶許可才具備登陸CPE權(quán)限。

Jenkins：推薦指數(shù) 4星

簡(jiǎn)述：Jenkins 是一款業(yè)界最好的完成CI/CD持續(xù)集成持續(xù)部署的工具，用于自動(dòng)化各種任務(wù)，包括自動(dòng)編譯、分發(fā)、部署和測(cè)試等。在SD-WAN系統(tǒng)中，除了軟件的迭代開發(fā)持續(xù)測(cè)試，也可基于Jenkins做系統(tǒng)運(yùn)維數(shù)據(jù)備份，防止災(zāi)難發(fā)生。別小看這個(gè)備份，SD-WAN控制系統(tǒng)管理全網(wǎng)的資源、POP和CPE配置，而SD-WAN控制平臺(tái)又在互聯(lián)網(wǎng)訪問環(huán)境運(yùn)行，自然風(fēng)險(xiǎn)會(huì)相對(duì)增加，因此，SD-WAN系統(tǒng)運(yùn)維數(shù)據(jù)備份直接關(guān)系到生產(chǎn)業(yè)務(wù)，至關(guān)重要。另外SD-WAN軟件版本灰度發(fā)布也可以用Jenkins進(jìn)行管理。

ZenMap：推薦指數(shù) 5星

簡(jiǎn)述：ZenMap是安全掃描工具NMap的一個(gè)官方圖形用戶界面，NMap是一個(gè)開放源代碼的網(wǎng)絡(luò)探測(cè)和安全審核的工具。使用Zenmap工具可以快速地掃描大型網(wǎng)絡(luò)或單個(gè)主機(jī)的信息。如掃描主機(jī)提供了哪些服務(wù)，使用的操作系統(tǒng)等，它是SD-WAN網(wǎng)絡(luò)管理員必用的軟件之一，我強(qiáng)烈建議SD-WAN運(yùn)維人員使用。

在SD-WAN 環(huán)境，CPE 通過互聯(lián)網(wǎng)連接控制器和POP節(jié)點(diǎn)，建立到POP節(jié)點(diǎn)的IPSEC/SSL/國密安全隧道，我們碰到最多的問題是VPN隧道的建立，CPE在客戶側(cè)，客戶環(huán)境有時(shí)“很復(fù)雜” 或做了很多復(fù)雜安全限制，或者客戶側(cè)的ISP服務(wù)商也會(huì)有些限制，如何判斷到控制器和POP節(jié)點(diǎn)互聯(lián)網(wǎng)協(xié)議和端口是否正常，ZenMap會(huì)是一個(gè)很好的手段或工具。如圖：

Postman：推薦指數(shù) 3星

簡(jiǎn)述：Postman是和研發(fā)人員對(duì)接很好的“溝通橋梁”。Postman是一個(gè)接口測(cè)試工具，在做接口測(cè)試的時(shí)候，Postman相當(dāng)于一個(gè)客戶端，它可以模擬用戶發(fā)起的各類HTTP請(qǐng)求，將請(qǐng)求數(shù)據(jù)發(fā)送至服務(wù)端，獲取對(duì)應(yīng)的響應(yīng)結(jié)果， 從而驗(yàn)證響應(yīng)中的結(jié)果數(shù)據(jù)是否和預(yù)期值相匹配; 并確保開發(fā)人員能夠及時(shí)處理接口中的問題，進(jìn)而保證產(chǎn)品上線之后的穩(wěn)定性和安全性。

SD-WAN系統(tǒng)中，功能在不斷迭代開發(fā)，客戶通常還會(huì)有自己的業(yè)務(wù)門戶和編排系統(tǒng)，通過RestAPI調(diào)用SD-WAN控制器，實(shí)現(xiàn)業(yè)務(wù)統(tǒng)一管理和運(yùn)維，Postman是一個(gè)偏向于開發(fā)的接口測(cè)試工具，SD-WAN網(wǎng)工如果掌握這個(gè)技能就可以方便和客戶的業(yè)務(wù)系統(tǒng)開發(fā)人員有更多共同語言，展現(xiàn)SD-WAN網(wǎng)工的能力和強(qiáng)大魅力。

Ansible和Python ：推薦指數(shù) 4星

簡(jiǎn)述：在SD-WAN運(yùn)維中，實(shí)際上也是將DevOps的理念引入到網(wǎng)絡(luò)領(lǐng)域（NetDevOps）典型場(chǎng)景，利用技術(shù)與工具提高自動(dòng)化運(yùn)維水平，目標(biāo)是實(shí)現(xiàn)網(wǎng)絡(luò)的自動(dòng)化管理。這就需要SD-WAN網(wǎng)工在傳統(tǒng)復(fù)雜網(wǎng)絡(luò)協(xié)議基礎(chǔ)上增加可編程能力和自動(dòng)化腳本技能，其中 Ansible和Python 成為SD-WAN運(yùn)維網(wǎng)工的網(wǎng)工必備和技能之一，也是提高日常管理、系統(tǒng)備份、排障效率、運(yùn)維效率重要手段和工具。

TCPDump：推薦指數(shù) 5星

簡(jiǎn)述：TCPDump是根據(jù)使用者的定義對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行截獲的包分析工具，可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包完全截獲下來提供分析。它支持針對(duì)網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過濾。

SD-WAN系統(tǒng)中，控制器/POP節(jié)點(diǎn)以及CPE基本上在防火墻測(cè)都做了NAT，我們碰到很多次客戶抱怨隧道建立不正常，或者非常奇怪的現(xiàn)象，排障到最后發(fā)現(xiàn)是防火墻NAT做的不對(duì)或者產(chǎn)生異步路徑，這時(shí)候強(qiáng)烈推薦通過 TCPDump抓包看看源IP地址和NAT是否正確。

iperf3 ：推薦指數(shù) 4星

簡(jiǎn)述：iperf3是一個(gè)廣泛使用的網(wǎng)絡(luò)性能測(cè)量和調(diào)整工具， 用于主動(dòng)測(cè)試IP網(wǎng)絡(luò)上最大可用帶寬的工具。它支持時(shí)序、緩沖區(qū)、協(xié)議（TCP，UDP，SCTP與IPv4和IPv6）有關(guān)的各種參數(shù)?？梢詣?chuàng)建數(shù)據(jù)流來測(cè)量?jī)啥酥g單向或雙向的網(wǎng)絡(luò)吞吐量。典型的iperf輸出包含一個(gè)有時(shí)間標(biāo)記的數(shù)據(jù)傳輸量和吞吐量測(cè)量的報(bào)告。

SD-WAN有時(shí)候由于各種原因，CPE帶寬很難達(dá)到客戶期望，iperf3打流就成為網(wǎng)工必備技能，有時(shí)還需要調(diào)整TCP Window Size設(shè)置窗口大小。iperf3里面很多參數(shù)，如：其中一個(gè)-R反向模式運(yùn)行（Server 端發(fā)送，Client 端接收），蠻有意思。

iptables：推薦指數(shù) 4星

簡(jiǎn)述：iptables命令是Linux上常用的防火墻軟件，是netfilter項(xiàng)目的一部分， iptables是采用數(shù)據(jù)包過濾機(jī)制工作的，所以它會(huì)對(duì)請(qǐng)求的數(shù)據(jù)包的包頭進(jìn)行分析，并根據(jù)我們預(yù)先設(shè)定的規(guī)則進(jìn)行匹配來決定是否可以進(jìn)入主機(jī)。

SD-WAN 場(chǎng)景：基本上SD-WAN大多基于Linux開發(fā)或部署，SD-WAN的系統(tǒng)安全極為重要，經(jīng)常會(huì)遇到各種各樣的補(bǔ)丁風(fēng)險(xiǎn)和漏斗。沒有軟件是完美無缺的，通常軟件補(bǔ)丁更新有個(gè)滯后期，但有時(shí)不需要頻繁修改，熟練使用iptables在風(fēng)險(xiǎn)或漏洞告警的時(shí)候?qū)ο到y(tǒng)進(jìn)行加固和訪問策略調(diào)整也是SD-WAN網(wǎng)工的基本技能。

nc命令端口探測(cè)：推薦指數(shù) 3星

簡(jiǎn)述：Linux中可以使用命令行工具nc，判斷指定端口的TCP和UDP連接是否通暢 。通常SD-WAN的系統(tǒng)基于Linux開發(fā)，nc命令使用起來相對(duì)簡(jiǎn)單。本人使用Mac電腦，Mac也可以使用nc命令作為客戶端工具進(jìn)行端口探測(cè)，但是感覺MACBOOK NC端口探測(cè)有時(shí)不準(zhǔn)確，更喜歡用Zenmap。

網(wǎng)絡(luò)技能和畫象能力

基礎(chǔ)網(wǎng)絡(luò)技術(shù)：推薦指數(shù) 5星

簡(jiǎn)述：SD-WAN是基于網(wǎng)絡(luò)技術(shù)的發(fā)展，基礎(chǔ)網(wǎng)絡(luò)技術(shù)尤其是WAN路由器和VPN技術(shù)是SD-WAN運(yùn)維人員基礎(chǔ)技能。

SD-WAN 技術(shù)的自動(dòng)ZTP、自動(dòng)探測(cè)、自動(dòng)組網(wǎng)，從使用者看來只是一個(gè)簡(jiǎn)單配置，但是由于SD-WAN內(nèi)部設(shè)計(jì)依賴復(fù)雜和健壯的BGP或IGP協(xié)議以及很多網(wǎng)絡(luò)和VPN技術(shù)， SD-WAN的運(yùn)維排障人員還需要對(duì)WAN路由技術(shù)和VPN安全技術(shù)有豐厚的底蘊(yùn)，包括各種路由技術(shù)、GRE/VXLAN、DNS、MPLS SR（集成MPLS網(wǎng)絡(luò)）、IP QOS、負(fù)載分擔(dān)加速、FEC/BBR、VPN加密技術(shù)，DPI、SASE、安全/NAT、SDN等網(wǎng)絡(luò)協(xié)議或技術(shù)全面理解，同時(shí)在大型多域云網(wǎng)環(huán)境還需要對(duì)云網(wǎng)融合有一定理解，通常懂網(wǎng)絡(luò)技術(shù)尤其是動(dòng)手經(jīng)驗(yàn)的人，如CCIE/CCNP技術(shù)人員在支撐SD-WAN會(huì)更加得心應(yīng)手。這個(gè)相信搞網(wǎng)絡(luò)的都懂得，就不再贅述。

邏輯思維和畫象能力：推薦指數(shù) 5星

確定問題關(guān)鍵：善于運(yùn)用以上的技術(shù)經(jīng)驗(yàn)、開源工具，對(duì)產(chǎn)品由有深入了解的基礎(chǔ)下，還需要有排障的邏輯思維能力，要能夠根據(jù)合作伙伴或客戶提供的片段信息，第一時(shí)間組織一個(gè)假象的若干可能和最可能的線索。如客戶抱怨CPE隧道問題，是CPE和控制器的通訊問題，還是CPE到POP出現(xiàn)問題，還是CPE本身互聯(lián)網(wǎng)的問題；是加密隧道端口問題、NAT防火墻或者M(jìn)TU問題？這考驗(yàn)著工程師的經(jīng)驗(yàn)和邏輯思維能力，能夠根據(jù)問題快速邏輯畫象，同時(shí)會(huì)根據(jù)初步判斷結(jié)合Log進(jìn)一步分析。除了邏輯思維能力，還可以建立研發(fā)、售前和售后的共享知識(shí)庫，運(yùn)維同事可以從研發(fā)獲取第一手的產(chǎn)品設(shè)計(jì)原理資料和知識(shí)經(jīng)驗(yàn)，快速解決客戶的問題 。

結(jié)束語

作為一名老網(wǎng)工，經(jīng)歷網(wǎng)絡(luò)發(fā)展30年來的起起伏伏，從X.25、IPX、SNA、ATM/MPoA，GE/IP，MPLS，VXLAN/EVPN，SRv6，SDN 到今天多云時(shí)代互聯(lián)時(shí)代的 SD-WAN。SD-WAN作為在云網(wǎng)融合時(shí)代下一顆冉冉升起的新星，盡管沒有帶來劃時(shí)代的新標(biāo)準(zhǔn)和協(xié)議，但SD-WAN融入了各種網(wǎng)絡(luò)技術(shù)并打磨成組網(wǎng)極簡(jiǎn)新服務(wù)模式，使用者僅需點(diǎn)點(diǎn)鼠標(biāo)就可實(shí)現(xiàn)自動(dòng)上線、云接入、企業(yè)組網(wǎng)等一站式上云和組網(wǎng)的業(yè)務(wù)，他們不再擔(dān)心復(fù)雜的路由協(xié)議配置、網(wǎng)絡(luò)和路由環(huán)路、VPN加密策略、備份切換等，就可輕松實(shí)現(xiàn)全球分支機(jī)構(gòu)的組網(wǎng)和上線（有時(shí)候我喜歡拿SD-WAN比作網(wǎng)絡(luò)領(lǐng)域的“微信”） 。

但這背后要求SD-WAN后臺(tái)網(wǎng)工具備更扎實(shí)的網(wǎng)絡(luò)基礎(chǔ)知識(shí)、多樣性的開源技能和邏輯分析經(jīng)驗(yàn)， 同時(shí)還需要具備一定的編程能力和腳本技能。本文提到的開源技術(shù)或網(wǎng)絡(luò)工具也僅僅是我們?nèi)粘＿\(yùn)維中用到的冰山一角，篇幅有限很多細(xì)節(jié)無法展開。最后談點(diǎn)對(duì)SD-WAN 技術(shù)未來發(fā)展的個(gè)人看法：

1）SD-WAN通用的協(xié)議或標(biāo)準(zhǔn)規(guī)范：實(shí)現(xiàn)多廠商控制器和POP/CPE分層解耦和多廠商互操作能力（目前基本上是廠商各管各的設(shè)備，這個(gè)估計(jì)短期很難實(shí)現(xiàn)）；

2）E2E端到端的智能探測(cè)和算法，如將機(jī)器學(xué)習(xí)和E2E的探測(cè)和算法深度結(jié)合， 將SD-WAN服務(wù)質(zhì)量探測(cè)和確定性網(wǎng)絡(luò)技術(shù)相結(jié)合，將E2E隧道延展到云內(nèi)、SRv6流量工程，實(shí)現(xiàn)端到端的多域云網(wǎng)協(xié)同編排和服務(wù)能力；

3）基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)算法和模型、分析工具簡(jiǎn)化后臺(tái)運(yùn)維排障、風(fēng)險(xiǎn)監(jiān)控和預(yù)警分析，解放SD-WAN運(yùn)維網(wǎng)工，讓支撐更加簡(jiǎn)單。

IT在發(fā)展，我們一直在努力。

審核編輯 ：李倩