黨小東/DANG Xiaodong，柴瑤琳/CHAI Yaolin，穆琙博/MU Yubo

（中國信息通信研究院，中國 北京 100191）

伴隨著中國各垂直行業(yè)數(shù)字化轉(zhuǎn)型的工作推進(jìn)，信息通信網(wǎng)絡(luò)的數(shù)字化、算力化、智能化將成為產(chǎn)業(yè)高質(zhì)量發(fā)展的必然選擇。近年來，軟件定義廣域網(wǎng)絡(luò)（SD-WAN）已經(jīng)成為云網(wǎng)融合實(shí)踐應(yīng)用的新熱點(diǎn)。IDC最新產(chǎn)業(yè)調(diào)研數(shù)據(jù)顯示[1]，2021年中國SD-WAN市場規(guī)模達(dá)1.9億美元，增速近90%；預(yù)計(jì)未來5年以每年55.3%的年復(fù)合增長率增長，到2026年市場規(guī)模將達(dá)到17.2億美元。SD-WAN應(yīng)用已經(jīng)覆蓋電信、金融、能源、零售、醫(yī)療、教育、工業(yè)、政務(wù)、移動互聯(lián)網(wǎng)、交通等10多個垂直方向，已經(jīng)形成廣泛而深刻的行業(yè)影響。

隨著5G、人工智能、物聯(lián)網(wǎng)等新業(yè)務(wù)的加速部署[2-4]，廣域網(wǎng)應(yīng)用又迎來諸多新型挑戰(zhàn)：基礎(chǔ)網(wǎng)絡(luò)架構(gòu)封閉、無邊界安全隱患、多終端移動性管理復(fù)雜、算力靈活調(diào)度困難等。局限于Overlay網(wǎng)絡(luò)互聯(lián)的SD-WAN基本功能特性已經(jīng)無法適配企業(yè)新業(yè)務(wù)需求，SD-WAN逐漸向融合內(nèi)生安全、IPv6+Underlay確定性體驗(yàn)保證、多云訪問的2.0階段發(fā)展演進(jìn)。

系統(tǒng)規(guī)范的測試方法是技術(shù)發(fā)展的必要因素。當(dāng)前全球?qū)D-WAN 2.0的測試方法還沒有形成規(guī)范化體系。本文將從設(shè)備、方案、服務(wù)3個維度對SD-WAN 2.0測試方法進(jìn)行研究，為SD-WAN 2.0技術(shù)發(fā)展提供可靠、可用的測試依據(jù)。

1 測試方法體系的總體設(shè)計(jì)

1.1 三大測試維度

隨著軟件定義技術(shù)的不斷成熟，SD-WAN 2.0逐漸發(fā)展為融合多種信息技術(shù)（主要包括軟件定義網(wǎng)絡(luò)、網(wǎng)絡(luò)功能虛擬化、網(wǎng)絡(luò)編排與探測等）的新型廣域網(wǎng)架構(gòu)（如圖1所示），能夠以平臺或托管方式提供基礎(chǔ)網(wǎng)絡(luò)連接、廣域網(wǎng)加速、安全防御、智能運(yùn)維等多種網(wǎng)絡(luò)服務(wù)。面對以業(yè)務(wù)與應(yīng)用為導(dǎo)向的SD-WAN 2.0新型架構(gòu)，傳統(tǒng)單一的網(wǎng)絡(luò)能力測試方法已經(jīng)難以滿足系統(tǒng)評估和分析的需要。開展SDWAN 2.0的測試工作急需建立新的系統(tǒng)級測試方法。

圖1 SD-WAN 2.0整體架構(gòu)圖

當(dāng)前SD-WAN市場交付形態(tài)分為3種：設(shè)備交付方式、方案交付方式、服務(wù)交付方式。針對這3種交付方式，本文研究設(shè)備、方案以及服務(wù)3個維度的測試方法。設(shè)備維度的研究對象主要是基于設(shè)備（包含SD-WAN終端設(shè)備、SDWAN控制器和SD-WAN編排器）層面的功能、安全、可靠以及性能方面的測試；方案維度的研究對象主要基于SDWAN編排器、SD-WAN控制器、SD-WAN終端設(shè)備一套可整體部署的網(wǎng)絡(luò)解決方案，但不包括網(wǎng)絡(luò)資源；服務(wù)維度的研究對象主要基于在傳統(tǒng)網(wǎng)絡(luò)運(yùn)營商提供的Underlay連接服務(wù)（包括以太網(wǎng)服務(wù)、IP服務(wù)、L1連接服務(wù)、互聯(lián)網(wǎng)接入服務(wù)等）基礎(chǔ)上集成SD-WAN能力，為用戶提供可直接使用的基礎(chǔ)通信服務(wù)和增值服務(wù)。

1.2 測試視角與測試思路

目前，已有多個標(biāo)準(zhǔn)化組織和開源社區(qū)陸續(xù)開展了SDWAN 2.0的測試方法探究。開放網(wǎng)絡(luò)用戶組織 （ONUG）定義了面向企業(yè)多云集成應(yīng)用場景SD-WAN 2.0架構(gòu)，并總結(jié)了4個典型用例：PCI Comliance、Guest Access、Direct Cloud Access、Direct Internet Access?；ヂ?lián)網(wǎng)工程任務(wù)組（IETF）定義了SD-WAN服務(wù)數(shù)據(jù)模型以及開放式軟件定義廣域網(wǎng)交換（OSE）數(shù)據(jù)模型草案。城域以太網(wǎng)論壇（MEF）定義了兩個典型用例Hybrid WAN（SD-WAN Service over Internet and MPLS WANs）和Dual Internet WAN（SD-WAN Service over Multiple ISPs），并開展了SD-WAN服務(wù)質(zhì)量評測工作。針對SDWAN相關(guān)的測試方法主要集中在服務(wù)質(zhì)量方面，缺乏對網(wǎng)元層面和組網(wǎng)層面的考慮，存在測試片面的問題。

從測試視角出發(fā)[5]，本測試方法體系由設(shè)備、方案、服務(wù)三級構(gòu)成，設(shè)備和方案測試秉承SDN的“轉(zhuǎn)控分離”原則，可分為控制面測試和轉(zhuǎn)發(fā)面測試兩部分。其中，控制面測試致力于策略管理和網(wǎng)絡(luò)控制，向下通過南向接口協(xié)議對接SD-WAN終端設(shè)備，以實(shí)現(xiàn)協(xié)議/功能的集中控制和定制，向上則通過北向接口為上層業(yè)務(wù)應(yīng)用以及資源管理系統(tǒng)提供靈活的網(wǎng)絡(luò)資源抽象，并開放多個層次的可編程能力。轉(zhuǎn)發(fā)面測試專注于系統(tǒng)接口能力和整體功能/性能指標(biāo)，靈活定義網(wǎng)絡(luò)策略和行為，便捷地實(shí)現(xiàn)任何新業(yè)務(wù)和新功能。

按照從局部到全局的測試思路[6]，應(yīng)當(dāng)建立設(shè)備級別、方案級別和服務(wù)級別的三級評測方法體系。設(shè)備維度首先應(yīng)當(dāng)從轉(zhuǎn)發(fā)網(wǎng)元入手，這是因?yàn)檗D(zhuǎn)發(fā)網(wǎng)元的功能/性能參數(shù)是評測網(wǎng)絡(luò)能力最基本的技術(shù)指標(biāo)；然后在此基礎(chǔ)上擴(kuò)展測試范圍，此時應(yīng)當(dāng)圍繞與轉(zhuǎn)發(fā)網(wǎng)元連接的控制網(wǎng)元和編排網(wǎng)元實(shí)體展開測試。這些網(wǎng)元實(shí)體是完整實(shí)現(xiàn)具體網(wǎng)絡(luò)能力的最小單元。考慮到不同應(yīng)用場景下SD-WAN技術(shù)體系存在的差異化特點(diǎn)，我們需要深入研究結(jié)合場景部署的技術(shù)要求，形成方案級別的評測方法；針對上層服務(wù)，結(jié)合應(yīng)用場景部署的技術(shù)要求，形成服務(wù)級別的測評方法。有針對性地開展測試評估工作。設(shè)備、方案以及服務(wù)測試的結(jié)合，更容易形成系統(tǒng)的測試方法體系。這對指導(dǎo)產(chǎn)業(yè)發(fā)展、推動SDWAN創(chuàng)新技術(shù)商業(yè)化進(jìn)程具有重大意義。

2 設(shè)備維度的測試方法分析

中國傳統(tǒng)測試方法基于網(wǎng)元本身的功能和性能，主要針對2-3層的普通流量進(jìn)行測試，系統(tǒng)模塊化、標(biāo)準(zhǔn)化基礎(chǔ)較差，較少考慮開放性、通用性、綜合能力，在可測試性方面缺乏系統(tǒng)考慮和規(guī)范化要求。與傳統(tǒng)測試方法不同，SDWAN 2.0測試方法注重自上而下成體系的測試，依托標(biāo)準(zhǔn)具備完善的頂層設(shè)計(jì)規(guī)范采用全球?qū)I(yè)儀表做流量仿真，真實(shí)模擬視頻、語音、OA等4-7層的應(yīng)用流量，具有一致性和可重復(fù)性，且能夠控制網(wǎng)元，更適合做兼容性測試。

當(dāng)前SD-WAN設(shè)備維度技術(shù)架構(gòu)大體上可以抽象為3個功能層級：基礎(chǔ)設(shè)施層、業(yè)務(wù)控制層和管理編排層?；A(chǔ)設(shè)施層要求轉(zhuǎn)發(fā)面網(wǎng)元具備網(wǎng)絡(luò)可編程能力，通過業(yè)務(wù)控制層的南向接口開放網(wǎng)絡(luò)設(shè)備的控制功能；業(yè)務(wù)控制層要求能夠管控基礎(chǔ)設(shè)施，形成全局視角，借助業(yè)務(wù)控制層的北向接口向管理編配層提供網(wǎng)絡(luò)服務(wù)能力；編排管理層是對SDWAN業(yè)務(wù)的抽象和管理，對業(yè)務(wù)中各個網(wǎng)元和網(wǎng)元行為特征的抽象在技術(shù)后臺的管理功能層中實(shí)現(xiàn)。

2.1 基礎(chǔ)設(shè)施層能力測試

基礎(chǔ)設(shè)施層是SD-WAN技術(shù)架構(gòu)的最底層。作為重要的轉(zhuǎn)發(fā)單元，基礎(chǔ)設(shè)施層測試主要圍繞功能測試、安全測試、可靠測試三大類，從協(xié)議、功能、策略各個方面展開系統(tǒng)的評測。

1）功能測試

· 自動化部署：邊緣設(shè)備通過動態(tài)主機(jī)配置協(xié)議（DHCP）、U盤、郵件、短信等方式，進(jìn)行自動化部署、遠(yuǎn)程部署、虛擬化部署、版本檢測與升級。

· 動態(tài)選路：根據(jù)鏈路服務(wù)等級協(xié)議（SLA）、應(yīng)用帶寬、優(yōu)先級、權(quán)重動態(tài)選擇鏈路，根據(jù)動態(tài)路由協(xié)議支撐Overlay組網(wǎng)策略和規(guī)則。

· 應(yīng)用識別[7]：基于端口協(xié)議（POP3-110、SMTP-25、NetBIOS-138、HTTP-443）、負(fù)載協(xié)議（ECMP協(xié)議）、特征庫識別、首包識別、深度包檢測（DPI協(xié)議）等識別機(jī)制。

· WAN優(yōu)化：自適應(yīng)前向糾錯（FEC）以及包令校正（POC）等技術(shù)，應(yīng)用壓縮和重復(fù)數(shù)據(jù)消除。

· 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）穿越：測試設(shè)備支持NAT-D負(fù)載、NAT會話穿越應(yīng)用程序（STUN）技術(shù)，邊緣設(shè)備支持與控制面、管理面進(jìn)行NAT穿越互通。

2）安全測試

· URL過濾：自定義設(shè)置統(tǒng)一資源定位符（URL）黑名單和白名單，進(jìn)行網(wǎng)頁過濾，提供超文本傳輸協(xié)議（HTTP）和超文本傳輸安全協(xié)議（HTTPS）URL過濾，進(jìn)行惡意URL防護(hù)。

· 防火墻策略：包括基于IPv4源/目的地址、IPv6源/目的地址、目的端口、源端口、媒體訪問控制（MAC）地址訪問控制策略以及靜態(tài)NAT策略。

· 隧道加密：使用IP網(wǎng)絡(luò)安全協(xié)議（IPSec）/傳輸層安全協(xié)議（TLS）/數(shù)據(jù)包傳輸層安全協(xié)議（DTLS）等加密技術(shù)來保護(hù)傳輸中的數(shù)據(jù)，借助相關(guān)國密算法SM2/SM3/SM4/SM9或業(yè)界公認(rèn)算法AES256等構(gòu)建數(shù)據(jù)傳輸隧道。

3）可靠測試

· 主備切換：邊緣設(shè)備主備切換，切換期間業(yè)務(wù)流量轉(zhuǎn)發(fā)無中斷。

2.2 業(yè)務(wù)控制層能力測試

控制器層測試向上承接編排器層傳遞的業(yè)務(wù)邏輯測試（主要為南向接口和北向接口測試），向下對轉(zhuǎn)發(fā)網(wǎng)元實(shí)現(xiàn)管理測試，包含設(shè)備管理（SD-WAN終端設(shè)備、SD-WAN安全設(shè)備）、網(wǎng)絡(luò)管理（Underlay網(wǎng)絡(luò)、Overlay網(wǎng)絡(luò)）、日志管理。

· 設(shè)備管理：部署設(shè)備接收控制器策略的下發(fā)，并和控制器進(jìn)行實(shí)時信息共享。

· 網(wǎng)絡(luò)管理：Overlay網(wǎng)絡(luò)拓?fù)涔芾砗途W(wǎng)絡(luò)路由的集中控制。

· 日志管理：控制器管理設(shè)備的信息采集和流量信息的采集與分析。

· 北向接口：控制器提供給上層應(yīng)用的調(diào)用接口以及協(xié)議一致性測試。

· 南向接口：功能一致性和互操作性。

2.3 編排管理層能力測試

編排器層上接應(yīng)用層接收用戶的操作命令，并對網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行抽象和建模，下接控制器層在實(shí)際的網(wǎng)絡(luò)中實(shí)現(xiàn)業(yè)務(wù)的需求。編排管理層測試主要圍繞網(wǎng)絡(luò)服務(wù)生命周期管理、資源調(diào)度、跨域編排展開。

· 網(wǎng)絡(luò)服務(wù)生命周期管理：對部署過程、網(wǎng)絡(luò)服務(wù)的執(zhí)行和終止全部生命周期的管理。

· 資源調(diào)度：網(wǎng)絡(luò)資源模型映射、虛擬化網(wǎng)元管理等。

· 跨域編排：跨域統(tǒng)一策略下發(fā)和執(zhí)行、跨域資源共享等。

3 方案維度的測試方法分析

方案維度的測試是SD-WAN獨(dú)特的測試方法。該方法將SD-WAN的眾多組件進(jìn)行連接組網(wǎng)，集編排、控制、轉(zhuǎn)發(fā)于一體，不對單一網(wǎng)元展開測試，而是從網(wǎng)元的功能、鏈路的負(fù)載、SD-WAN控制器的聯(lián)動多個方面展開整體組網(wǎng)方案的系統(tǒng)評測。這種測試主要從基本方案功能、管理運(yùn)維功能、安全防護(hù)功能3個方面展開測試方法的研究。

1）基本方案功能測試

· 負(fù)載均衡：根據(jù)目標(biāo)地址、源地址、服務(wù)、時間等要素的鏈路負(fù)載均衡，基于自動探測鏈路質(zhì)量的主動鏈路均衡算法，基于應(yīng)用的負(fù)載均衡等。

· 按需組網(wǎng)：支持full-mesh拓?fù)?、hub-spoke拓?fù)涞?，支持full-mesh拓?fù)渥兏鼮閔ub-spoke拓?fù)?，支持hub-spoke拓?fù)渥兏鼮閒ull-mesh拓?fù)洹?/p>

· 流量調(diào)度：將不同類型（地址、端口、協(xié)議）的應(yīng)用在不同的WAN口隧道上進(jìn)行調(diào)度，根據(jù)時延、抖動、丟包率設(shè)置相應(yīng)的切換閥值進(jìn)行流量調(diào)度。

· 路由交換[6]：測試通過靜態(tài)路由協(xié)議和動態(tài)路由協(xié)議，例如開放最短路徑優(yōu)先（OSPF）、外部邊界網(wǎng)關(guān)協(xié)議（EBGP）、內(nèi)部邊界網(wǎng)關(guān)協(xié)議（IBGP）等，在網(wǎng)絡(luò)拓?fù)渲羞M(jìn)行數(shù)據(jù)包的交換轉(zhuǎn)發(fā)。

· 服務(wù)質(zhì)量功能：根據(jù)優(yōu)先級隊(duì)列、低時延隊(duì)列等隊(duì)列調(diào)度，流量整形等流量優(yōu)先級進(jìn)行網(wǎng)絡(luò)流量調(diào)度，以確保業(yè)務(wù)轉(zhuǎn)發(fā)可以高效運(yùn)行。

2）管理運(yùn)維功能測試

· 管理運(yùn)維：通過可視化界面來集中管理實(shí)時網(wǎng)絡(luò)資源監(jiān)控、日志搜集和告警上送、版本升級等，保障網(wǎng)絡(luò)業(yè)務(wù)基本運(yùn)維。通過圖形界面來實(shí)現(xiàn)下發(fā)設(shè)備跨大版本的平滑升級，提供日志文件一鍵收集功能、控制器管理整個設(shè)備組網(wǎng)情況和日志。

3）安全防護(hù)功能測試

· 安全防護(hù)[6]：通過設(shè)置安全策略、訪問安全策略等，來保障數(shù)據(jù)穩(wěn)定轉(zhuǎn)發(fā)。

4 服務(wù)維度的測試方法分析

服務(wù)維度的測試同樣也是SD-WAN獨(dú)特的測試方法。與方案維度和設(shè)備維度不同，服務(wù)維度將底層資源抽象為上層服務(wù)，主要作用于用戶層和應(yīng)用層，需要從用戶條款、約束條款、服務(wù)商免責(zé)條款以及服務(wù)賠償條款方面，對SDWAN服務(wù)進(jìn)行服務(wù)管理規(guī)定測評和技術(shù)服務(wù)能力測評。

1）服務(wù)管理規(guī)定

· 用戶條款：用戶需要提供的相關(guān)用戶信息應(yīng)真實(shí)、準(zhǔn)確、完整，變更服務(wù)時需要及時提供、更新相應(yīng)的身份資料及信息等。

· 約束條款：針對服務(wù)資質(zhì)審查、服務(wù)類型、服務(wù)范圍、服務(wù)產(chǎn)品管理等。

· 服務(wù)商免責(zé)條款：SD-WAN服務(wù)提供商應(yīng)告知用戶自身免責(zé)的條款，并將其以網(wǎng)站等方式對外正式公布，做到充分透明。SD-WAN服務(wù)提供商免責(zé)條款應(yīng)包括免責(zé)的范圍和解釋、免責(zé)的情景等信息。

· 服務(wù)賠償條款：SD-WAN服務(wù)提供商應(yīng)承諾，在某項(xiàng)服務(wù)指標(biāo)沒有達(dá)到服務(wù)協(xié)議中的要求時，提供相應(yīng)的賠償，同時明確可獲得賠償?shù)闹笜?biāo)項(xiàng)、賠償?shù)木唧w方式、賠償額度的計(jì)算方式、最低賠償、最高賠償?shù)?。SD-WAN服務(wù)提供商應(yīng)明確服務(wù)方不承擔(dān)責(zé)任的賠償，例如由于用戶自身操作不當(dāng)導(dǎo)致的可用性不達(dá)標(biāo)，可不承擔(dān)賠償責(zé)任。

2）技術(shù)服務(wù)能力

· 服務(wù)業(yè)務(wù)彈性：用戶可按需選擇基礎(chǔ)網(wǎng)絡(luò)連接拓?fù)?、增值服?wù)訂購等業(yè)務(wù)能力。

· 服務(wù)可管理性：全生命周期的服務(wù)管理，包括服務(wù)的創(chuàng)建、刪除、暫停、恢復(fù)、停止等操作。

· 服務(wù)安全性：通信安全、數(shù)據(jù)安全、用戶安全。

· 服務(wù)質(zhì)量保障：網(wǎng)關(guān)節(jié)點(diǎn)骨干網(wǎng)絡(luò)的端到端可用率、不同客戶場景的標(biāo)準(zhǔn)化服務(wù)、完整成熟的服務(wù)流程，保障用戶業(yè)務(wù)數(shù)據(jù)正常傳輸?shù)馁|(zhì)量指標(biāo)。

· 故障快速響應(yīng)：對于系統(tǒng)故障，服務(wù)提供商應(yīng)在一定時間內(nèi)對故障進(jìn)行處理，并將故障處理結(jié)果反饋給客戶。

· 服務(wù)計(jì)量準(zhǔn)確性：根據(jù)選擇的服務(wù)類型，按照所列明的要求保證所出具的計(jì)量校準(zhǔn)結(jié)果的準(zhǔn)確性和溯源性。

5 測試實(shí)踐與問題分析

5.1 相關(guān)SD-WAN 2.0測試實(shí)踐

當(dāng)前，基于SD-WAN 2.0測試方法體系，中國SD-WAN廠商做了相關(guān)的測試實(shí)踐。在一些功能上，各廠商實(shí)現(xiàn)方式不同，且測試重點(diǎn)不同，例如：服務(wù)提供商更側(cè)重于服務(wù)質(zhì)量及服務(wù)時效性，整體解決方案提供商更側(cè)重于整體組網(wǎng)的健壯性和靈活性，設(shè)備提供商更側(cè)重于設(shè)備的轉(zhuǎn)發(fā)能力和與控制器的兼容性。本文中我們選取國際組織MEF和IETF開展的一些測試工作進(jìn)行對比，如表1所示。從對比結(jié)果來看，相較于SD-WAN 2.0測試方法，這些測試工作都或多或少地存在測試維度片面問題，導(dǎo)致測試不完整性，不能完全反映SD-WAN的技術(shù)完備性。

▼表1 全球研究機(jī)構(gòu)的SD-WAN 2.0測試對比

5.2 測試工作中的問題探討

1）測試思路局限性

目前已經(jīng)開展的測試工作仍然聚焦于，以SD-WAN設(shè)備為代表的轉(zhuǎn)發(fā)單元能力和以SD-WAN控制器為代表的控制單元能力。SD-WAN 2.0融合多種技術(shù)的方案級測試工作，目前尚處于初級階段。

2）測試標(biāo)準(zhǔn)滯后性

針對系統(tǒng)性和規(guī)范性的測試方法標(biāo)準(zhǔn)體系的缺失，已成為制約測試工作進(jìn)一步發(fā)展的重要瓶頸。標(biāo)準(zhǔn)化組織相對滯后，與技術(shù)要求配套的測試方法體系標(biāo)準(zhǔn)成為當(dāng)前亟須完善的重點(diǎn)。

3）測試工具制約性

當(dāng)前傳統(tǒng)的商業(yè)儀表及開源項(xiàng)目難以滿足系統(tǒng)級的方案測試。開源項(xiàng)目自身在可靠性和穩(wěn)定性方面存在缺陷。開源社區(qū)在技術(shù)支持等服務(wù)質(zhì)量方面存在重大短板。整體上看，缺少可靠的測試工具已成為制約測試工作進(jìn)一步開展的另一個重要因素。

6 結(jié)束語

當(dāng)前，SD-WAN 2.0相關(guān)的測試工作已處于相對成熟的發(fā)展階段。未來，伴隨著商業(yè)化進(jìn)程的不斷深入，SDWAN 2.0相關(guān)的測試工作也將逐步得到業(yè)界的重視，吸引越來越多的技術(shù)專家參與其中，以完善測試方法，研發(fā)系統(tǒng)級評測工具，全面提升SD-WAN 2.0技術(shù)評測水平。

致謝

感謝中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所畢立波、韓淑君工程師對本論文做出的貢獻(xiàn)！