传统的 WAN 是由实体路由器组成的网络，用于在以太网或 Wi-Fi 网络等多个局域网 (LAN) 内的设备之间传输数据。WAN 可以在多种协议中任选其一来传输数据，例如多协议标签交换 (MPLS)。MPLS 是一种使用最短实体路径路由 WAN 流量的协议。

虽然单个 LAN 仅限于一栋办公楼等实体位置，但 WAN 可以包括多个 LAN，这些 LAN 既可以位于同一办公室，也可以位于相隔数英里的不同大楼。

然而，WAN 仅限于其所在地区的电信电路和互联网供应商传输服务的服务级别协议 (SLA)。例如，通过该地区互联网供应商提供的电缆或宽带互联网传输信息的 WAN 无法扩展到该实体基础架构之外。因此，WAN 网络可以覆盖两个办事处所有 20 个 LAN，仅因它们共享相同的传输服务。如果企业拥有第三座办公楼，而该办公楼所在区域使用其他传输服务，则需要一个单独的 WAN 来管理那里所有的 LAN 连接。此外，WAN 内各办事处的互联网接入带宽也受到限制。与传统 WAN 相比，SD-WAN 在这方面具备多种优势。

通过充当一系列基于路由器的 WAN 之上的软件层，SD-WAN 突破了这些 WAN 所面临的有形限制，并允许所有授权用户从任何地方通过单一应用程序，对涵盖不同地区、基础架构类型和传输服务供应商的所有网络流量进行监控、控制和优化。相反，如果没有一系列 WAN 网络之上的 SD-WAN，每个单独 WAN 的控制和配置将仅限于硬件层面。

安全访问服务边缘 (SASE) 架构是 SD-WAN 的替代方案。这两种架构类型都是 WAN 的优化形式，属于更广泛的软件定义网络 (SDN) 范畴。然而，与 SD-WAN 在抽象软件层中集中管理一系列 WAN 的方式非常相似，SASE 架构将网络的管理和安全服务抽象为云端部署，该部署更靠近网络或位于网络边缘。

SD-WAN 架构强调位置之间的连接，而 SASE 部署则关注网络端点和使用相关网络的设备。

SD-WAN 架构建立了一个基于软件的控制器，可整合和集中每个底层 WAN 网络的独特配置设置，将数据调配、网络安全协议和策略设置同时编排到多个 WAN 端点和边缘设备。

该集中式软件层是通过 SD-WAN 设备在其与所管理的 WAN 网络之间建立加密隧道（也称为“覆盖层”）而形成的。每个 WAN 位置均配备一个 SD-WAN 设备，作为实体 WAN 和 SD-WAN 软件层之间的通信枢纽。该设备接收并执行来自其上方集中式 SD-WAN 层的自定义配置和流量策略。可以对这些实体 SD-WAN 设备进行远程管理，使 SD-WAN 层能够在 WAN 有形边界之外运行。

• 云和边缘计算模型：SD-WAN 可配置为完整数据网格架构的一环，以实现在边缘处理大量数据的分布式计算环境。此举减轻了 WAN 网络产生的数据回传负担。 这是因为 WAN 内的所有数据传输都要经过企业的数据中心。当 WAN 网络被大量使用时，数据中心的数据便会出现瓶颈。想象一下五条车道的车辆被迫通过一个收费站的场景。SD-WAN 可用于分配和管理更靠近边缘或边缘设备以及云环境中的处理能力，无需通过数据中心路由数据和应用程序流量

• 全网络端到端安全整合：由于 SD-WAN 架构会创建虚拟化网络，因此可以在实体或云端基础架构的任何位置整合 SD-WAN 安全解决方案。此外，SD-WAN 还能为由多个 WAN 组成的整个网络提供单点可见性。因此，可以集中并扩展安全监控和管理。可以为整个网络定义安全策略，或通过加密隧道为网络的特定部分定制安全策略

• 集中式管理：SD-WAN 为一系列复杂的 WAN 网络提供单点控制，并使授权用户可随时随地进行控制。例如，如果两家金融公司合并，SD-WAN 可以将两家公司不同 WAN 网络的管理提升到抽象的软件层。在这种集中式管理中，IT 人员可以执行网络分段，将整个网络划分为较小的网段，然后可以在其中设置和实施本地化策略。这使 IT 人员能够对网络进行一定程度的精细控制，同时保持整个网络的总体可见性和管理

• 确保满足特定应用程序的 SLA：网络管理员可以借助 SD-WAN，定义和调整任务关键型应用程序的优先级，确保它们始终拥有满足要求所需的网络资源和路径。想象一下在繁忙的高速公路上，为任务关键型数据预留了一条开放的拼车车道，让它们尽快到达所需目的地。这条“拼车车道”可能是网络的 5G 带宽，而慢速车道则可能是网络的 4G LTE 带宽。 IT 人员可以通过 SD-WAN 接口，指定哪些应用程序有权使用此通道尽快到达目的地
  

SD-WAN 并非虚拟专用网络 (VPN)。 SD-WAN 架构是一个或多个 WAN 网络底层系列上所有设备的中央网关。相比之下，VPN 是在互联网等公共网络上建立点对点的专用连接。在 VPN 互联网连接中，网络流量通过由 VPN 供应商的专用服务器网络管理的加密隧道传输。

由于 SD-WAN 将多个 WAN 的底层网络服务结合在一起，因此可以利用其中任何一种服务来优化每个应用程序的性能。这些服务包括实体基础架构（例如传输服务）、带宽容量以及安全功能（例如防火墙设置）。 每个应用程序的优化设置由应用程序性能监控确定，并通过策略设置进行配置。

与传统 WAN 相比，SD-WAN 作为虚拟化层，具有多种优势，包括：

• 非常适合管理混合网络：SD-WAN 使 IT 人员有能力管理由专用数据中心、公共云和边缘设备组成的复杂混合网络连接。这种对混合环境的集中控制对于需要采用虚拟化和公共云的数字化转型计划至关重要

• 敏捷性：SD-WAN 简化了网络管理，使 IT 人员能够高效地实时监控和调整流量，从而更快地响应业务需求。此外，这种简化的管理还可以通过零接触配置 (ZTP) 更快地调配网络资源，这是一种用于自动配置网络设备的 SD-WAN 功能

• 提高效率并节省成本：SD-WAN 技术无需执行许多实体任务，例如必须拜访或派遣 IT 人员到其控件所在的 WAN 地理位置，从而降低网络管理成本并提高效率。 SD-WAN 还能更好地利用现有资源。 例如，一位 IT 人员可以使用 SD-WAN 软件层，将非关键流量转移到经济高效的传输服务，或通过安全的 MPLS 连接传输任务关键型／敏感流量

• 高性能应用程序和更佳的用户体验：IT 人员可以通过在 SD-WAN 层进行性能监控，确定每个应用程序的最佳网络设置。然后，IT 人员可以将流量重新定向到适当的传输服务，并调整网络设置，以减少应用程序延迟，提高最终用户的可用性。例如，如果任务关键型应用程序正在使用的资源突然无法可用，可将网络资源配置为故障转移选项。如果发生中断，应用程序会立即重定向到故障转移资源，以防止或尽量减少服务中断

• 与基于 MPLS 的传统 WAN 相比，部署速度更快：由于 SD-WAN 是管理实体资源的虚拟抽象，因此其部署速度比基于 MPLS 的 WAN 更快，后者需要配置硬件。这可能会导致漫长的部署时间，包括购买、安装和部署实体组件。SD-WAN 可以是本地部署、云端部署或混合部署

• 减少丢包率和抖动：当传统 WAN 的电信电路出现技术问题时，可能会导致数据包丢失和抖动。 数据包丢失是指索取的数据没有全部到达预定目的地，而抖动则是指数据包从发送至到达之间的时间延迟过长。 例如，当视频电话会议的图像和音频失真时，用户会感到抖动

SD-WAN 可以通过重定向流量来克服其中一个底层 WAN 的电路问题。另外，IT 人员还可以自动运行 SD-WAN，以使用下列其中一种服务质量 (QoS) 技术，从而减少丢包率和抖动：

• 前向纠错 (FEC)：该技术通过发送同一数据包的多个副本来帮助减少丢包率
• 抖动缓冲区：该技术涉及保存数据包，并以一定间隔加以释放，以补偿高网络延迟。想象一下汽车在红灯处等待，每隔 30 秒便可以分批向前行驶
• 否定应答 (NACK)：在丢包的情况下，该技术会检测丢失的特定数据，并迅速重新发送丢失的信息

是的，三种常见的 SD-WAN 架构包括：

1. 基于互联网的 SD-WAN
2. 电信或 MSP 服务 SD-WAN
3. 托管 SD-WAN 即服务

基于互联网的 SD-WAN 也称为“自助式”SD-WAN，是指企业利用内部资源部署 SD-WAN。公司的 IT 人员负责安装必要的 SD-WAN 设备、部署 SD-WAN 软件以及 SD-WAN 的持续维护和管理。

电信或 MSP 服务 SD-WAN 是指企业向服务供应商付费，由其在企业 WAN 位置安装和提供 SD-WAN 连接。供应商提供设备和人工，并确保提供必要的网络和传输服务。

托管 SD-WAN 即服务让企业可以通过软件协调访问供应商现有的 SD-WAN 架构。这种 SD-WAN 位于供应商的专用网络上，通常作为软件即服务 (SaaS) 提供给客户。