软件定义广域网络（SD-WAN） 2.0测试方法

2024-01-11党小东DANGXiaodong柴瑶琳CHAIYaolin穆琙博MUYubo

中兴通讯技术 2023年6期

党小东/DANG Xiaodong，柴瑶琳/CHAI Yaolin，穆琙博/MU Yubo

（中国信息通信研究院，中国北京 100191）

伴随着中国各垂直行业数字化转型的工作推进，信息通信网络的数字化、算力化、智能化将成为产业高质量发展的必然选择。近年来，软件定义广域网络（SD-WAN）已经成为云网融合实践应用的新热点。IDC最新产业调研数据显示[1]，2021年中国SD-WAN市场规模达1.9亿美元，增速近90%；预计未来5年以每年55.3%的年复合增长率增长，到2026年市场规模将达到17.2亿美元。SD-WAN应用已经覆盖电信、金融、能源、零售、医疗、教育、工业、政务、移动互联网、交通等10多个垂直方向，已经形成广泛而深刻的行业影响。

随着5G、人工智能、物联网等新业务的加速部署[2-4]，广域网应用又迎来诸多新型挑战：基础网络架构封闭、无边界安全隐患、多终端移动性管理复杂、算力灵活调度困难等。局限于Overlay网络互联的SD-WAN基本功能特性已经无法适配企业新业务需求，SD-WAN逐渐向融合内生安全、IPv6+Underlay确定性体验保证、多云访问的2.0阶段发展演进。

系统规范的测试方法是技术发展的必要因素。当前全球对SD-WAN 2.0的测试方法还没有形成规范化体系。本文将从设备、方案、服务3个维度对SD-WAN 2.0测试方法进行研究，为SD-WAN 2.0技术发展提供可靠、可用的测试依据。

1 测试方法体系的总体设计

1.1 三大测试维度

随着软件定义技术的不断成熟，SD-WAN 2.0逐渐发展为融合多种信息技术（主要包括软件定义网络、网络功能虚拟化、网络编排与探测等）的新型广域网架构（如图1所示），能够以平台或托管方式提供基础网络连接、广域网加速、安全防御、智能运维等多种网络服务。面对以业务与应用为导向的SD-WAN 2.0新型架构，传统单一的网络能力测试方法已经难以满足系统评估和分析的需要。开展SDWAN 2.0的测试工作急需建立新的系统级测试方法。

图1 SD-WAN 2.0整体架构图

当前SD-WAN市场交付形态分为3种：设备交付方式、方案交付方式、服务交付方式。针对这3种交付方式，本文研究设备、方案以及服务3个维度的测试方法。设备维度的研究对象主要是基于设备（包含SD-WAN终端设备、SDWAN控制器和SD-WAN编排器）层面的功能、安全、可靠以及性能方面的测试；方案维度的研究对象主要基于SDWAN编排器、SD-WAN控制器、SD-WAN终端设备一套可整体部署的网络解决方案，但不包括网络资源；服务维度的研究对象主要基于在传统网络运营商提供的Underlay连接服务（包括以太网服务、IP服务、L1连接服务、互联网接入服务等）基础上集成SD-WAN能力，为用户提供可直接使用的基础通信服务和增值服务。

1.2 测试视角与测试思路

目前，已有多个标准化组织和开源社区陆续开展了SDWAN 2.0的测试方法探究。开放网络用户组织（ONUG）定义了面向企业多云集成应用场景SD-WAN 2.0架构，并总结了4个典型用例：PCI Comliance、Guest Access、Direct Cloud Access、Direct Internet Access。互联网工程任务组（IETF）定义了SD-WAN服务数据模型以及开放式软件定义广域网交换（OSE）数据模型草案。城域以太网论坛（MEF）定义了两个典型用例Hybrid WAN（SD-WAN Service over Internet and MPLS WANs）和Dual Internet WAN（SD-WAN Service over Multiple ISPs），并开展了SD-WAN服务质量评测工作。针对SDWAN相关的测试方法主要集中在服务质量方面，缺乏对网元层面和组网层面的考虑，存在测试片面的问题。

从测试视角出发[5]，本测试方法体系由设备、方案、服务三级构成，设备和方案测试秉承SDN的“转控分离”原则，可分为控制面测试和转发面测试两部分。其中，控制面测试致力于策略管理和网络控制，向下通过南向接口协议对接SD-WAN终端设备，以实现协议/功能的集中控制和定制，向上则通过北向接口为上层业务应用以及资源管理系统提供灵活的网络资源抽象，并开放多个层次的可编程能力。转发面测试专注于系统接口能力和整体功能/性能指标，灵活定义网络策略和行为，便捷地实现任何新业务和新功能。

按照从局部到全局的测试思路[6]，应当建立设备级别、方案级别和服务级别的三级评测方法体系。设备维度首先应当从转发网元入手，这是因为转发网元的功能/性能参数是评测网络能力最基本的技术指标；然后在此基础上扩展测试范围，此时应当围绕与转发网元连接的控制网元和编排网元实体展开测试。这些网元实体是完整实现具体网络能力的最小单元。考虑到不同应用场景下SD-WAN技术体系存在的差异化特点，我们需要深入研究结合场景部署的技术要求，形成方案级别的评测方法；针对上层服务，结合应用场景部署的技术要求，形成服务级别的测评方法。有针对性地开展测试评估工作。设备、方案以及服务测试的结合，更容易形成系统的测试方法体系。这对指导产业发展、推动SDWAN创新技术商业化进程具有重大意义。

2 设备维度的测试方法分析

中国传统测试方法基于网元本身的功能和性能，主要针对2-3层的普通流量进行测试，系统模块化、标准化基础较差，较少考虑开放性、通用性、综合能力，在可测试性方面缺乏系统考虑和规范化要求。与传统测试方法不同，SDWAN 2.0测试方法注重自上而下成体系的测试，依托标准具备完善的顶层设计规范采用全球专业仪表做流量仿真，真实模拟视频、语音、OA等4-7层的应用流量，具有一致性和可重复性，且能够控制网元，更适合做兼容性测试。

当前SD-WAN设备维度技术架构大体上可以抽象为3个功能层级：基础设施层、业务控制层和管理编排层。基础设施层要求转发面网元具备网络可编程能力，通过业务控制层的南向接口开放网络设备的控制功能；业务控制层要求能够管控基础设施，形成全局视角，借助业务控制层的北向接口向管理编配层提供网络服务能力；编排管理层是对SDWAN业务的抽象和管理，对业务中各个网元和网元行为特征的抽象在技术后台的管理功能层中实现。

2.1 基础设施层能力测试

基础设施层是SD-WAN技术架构的最底层。作为重要的转发单元，基础设施层测试主要围绕功能测试、安全测试、可靠测试三大类，从协议、功能、策略各个方面展开系统的评测。

1）功能测试

· 自动化部署：边缘设备通过动态主机配置协议（DHCP）、U盘、邮件、短信等方式，进行自动化部署、远程部署、虚拟化部署、版本检测与升级。

· 动态选路：根据链路服务等级协议（SLA）、应用带宽、优先级、权重动态选择链路，根据动态路由协议支撑Overlay组网策略和规则。

· 应用识别[7]：基于端口协议（POP3-110、SMTP-25、NetBIOS-138、HTTP-443）、负载协议（ECMP协议）、特征库识别、首包识别、深度包检测（DPI协议）等识别机制。

· WAN优化：自适应前向纠错（FEC）以及包令校正（POC）等技术，应用压缩和重复数据消除。

· 网络地址转换（NAT）穿越：测试设备支持NAT-D负载、NAT会话穿越应用程序（STUN）技术，边缘设备支持与控制面、管理面进行NAT穿越互通。

2）安全测试

· URL过滤：自定义设置统一资源定位符（URL）黑名单和白名单，进行网页过滤，提供超文本传输协议（HTTP）和超文本传输安全协议（HTTPS）URL过滤，进行恶意URL防护。

· 防火墙策略：包括基于IPv4源/目的地址、IPv6源/目的地址、目的端口、源端口、媒体访问控制（MAC）地址访问控制策略以及静态NAT策略。

· 隧道加密：使用IP网络安全协议（IPSec）/传输层安全协议（TLS）/数据包传输层安全协议（DTLS）等加密技术来保护传输中的数据，借助相关国密算法SM2/SM3/SM4/SM9或业界公认算法AES256等构建数据传输隧道。

3）可靠测试

· 主备切换：边缘设备主备切换，切换期间业务流量转发无中断。

2.2 业务控制层能力测试

控制器层测试向上承接编排器层传递的业务逻辑测试（主要为南向接口和北向接口测试），向下对转发网元实现管理测试，包含设备管理（SD-WAN终端设备、SD-WAN安全设备）、网络管理（Underlay网络、Overlay网络）、日志管理。

· 设备管理：部署设备接收控制器策略的下发，并和控制器进行实时信息共享。

· 网络管理：Overlay网络拓扑管理和网络路由的集中控制。

· 日志管理：控制器管理设备的信息采集和流量信息的采集与分析。

· 北向接口：控制器提供给上层应用的调用接口以及协议一致性测试。

· 南向接口：功能一致性和互操作性。

2.3 编排管理层能力测试

编排器层上接应用层接收用户的操作命令，并对网络业务进行抽象和建模，下接控制器层在实际的网络中实现业务的需求。编排管理层测试主要围绕网络服务生命周期管理、资源调度、跨域编排展开。

· 网络服务生命周期管理：对部署过程、网络服务的执行和终止全部生命周期的管理。

· 资源调度：网络资源模型映射、虚拟化网元管理等。

· 跨域编排：跨域统一策略下发和执行、跨域资源共享等。

3 方案维度的测试方法分析

方案维度的测试是SD-WAN独特的测试方法。该方法将SD-WAN的众多组件进行连接组网，集编排、控制、转发于一体，不对单一网元展开测试，而是从网元的功能、链路的负载、SD-WAN控制器的联动多个方面展开整体组网方案的系统评测。这种测试主要从基本方案功能、管理运维功能、安全防护功能3个方面展开测试方法的研究。

1）基本方案功能测试

· 负载均衡：根据目标地址、源地址、服务、时间等要素的链路负载均衡，基于自动探测链路质量的主动链路均衡算法，基于应用的负载均衡等。

· 按需组网：支持full-mesh拓扑、hub-spoke拓扑等，支持full-mesh拓扑变更为hub-spoke拓扑，支持hub-spoke拓扑变更为full-mesh拓扑。

· 流量调度：将不同类型（地址、端口、协议）的应用在不同的WAN口隧道上进行调度，根据时延、抖动、丢包率设置相应的切换阀值进行流量调度。

· 路由交换[6]：测试通过静态路由协议和动态路由协议，例如开放最短路径优先（OSPF）、外部边界网关协议（EBGP）、内部边界网关协议（IBGP）等，在网络拓扑中进行数据包的交换转发。

· 服务质量功能：根据优先级队列、低时延队列等队列调度，流量整形等流量优先级进行网络流量调度，以确保业务转发可以高效运行。

2）管理运维功能测试

· 管理运维：通过可视化界面来集中管理实时网络资源监控、日志搜集和告警上送、版本升级等，保障网络业务基本运维。通过图形界面来实现下发设备跨大版本的平滑升级，提供日志文件一键收集功能、控制器管理整个设备组网情况和日志。

3）安全防护功能测试

· 安全防护[6]：通过设置安全策略、访问安全策略等，来保障数据稳定转发。

4 服务维度的测试方法分析

服务维度的测试同样也是SD-WAN独特的测试方法。与方案维度和设备维度不同，服务维度将底层资源抽象为上层服务，主要作用于用户层和应用层，需要从用户条款、约束条款、服务商免责条款以及服务赔偿条款方面，对SDWAN服务进行服务管理规定测评和技术服务能力测评。

1）服务管理规定

· 用户条款：用户需要提供的相关用户信息应真实、准确、完整，变更服务时需要及时提供、更新相应的身份资料及信息等。

· 约束条款：针对服务资质审查、服务类型、服务范围、服务产品管理等。

· 服务商免责条款：SD-WAN服务提供商应告知用户自身免责的条款，并将其以网站等方式对外正式公布，做到充分透明。SD-WAN服务提供商免责条款应包括免责的范围和解释、免责的情景等信息。

· 服务赔偿条款：SD-WAN服务提供商应承诺，在某项服务指标没有达到服务协议中的要求时，提供相应的赔偿，同时明确可获得赔偿的指标项、赔偿的具体方式、赔偿额度的计算方式、最低赔偿、最高赔偿等。SD-WAN服务提供商应明确服务方不承担责任的赔偿，例如由于用户自身操作不当导致的可用性不达标，可不承担赔偿责任。

2）技术服务能力

· 服务业务弹性：用户可按需选择基础网络连接拓扑、增值服务订购等业务能力。

· 服务可管理性：全生命周期的服务管理，包括服务的创建、删除、暂停、恢复、停止等操作。

· 服务安全性：通信安全、数据安全、用户安全。

· 服务质量保障：网关节点骨干网络的端到端可用率、不同客户场景的标准化服务、完整成熟的服务流程，保障用户业务数据正常传输的质量指标。

· 故障快速响应：对于系统故障，服务提供商应在一定时间内对故障进行处理，并将故障处理结果反馈给客户。

· 服务计量准确性：根据选择的服务类型，按照所列明的要求保证所出具的计量校准结果的准确性和溯源性。

5 测试实践与问题分析

5.1 相关SD-WAN 2.0测试实践

当前，基于SD-WAN 2.0测试方法体系，中国SD-WAN厂商做了相关的测试实践。在一些功能上，各厂商实现方式不同，且测试重点不同，例如：服务提供商更侧重于服务质量及服务时效性，整体解决方案提供商更侧重于整体组网的健壮性和灵活性，设备提供商更侧重于设备的转发能力和与控制器的兼容性。本文中我们选取国际组织MEF和IETF开展的一些测试工作进行对比，如表1所示。从对比结果来看，相较于SD-WAN 2.0测试方法，这些测试工作都或多或少地存在测试维度片面问题，导致测试不完整性，不能完全反映SD-WAN的技术完备性。