運營商具備直接在Underlay網絡上提供SD-WAN服務的條件，基于傳統路由實現面向策略和業務的路由，但出于意愿和部署難度的原因，這個想法有可能僅僅是個想法。SD-WAN功能特性較多，針對混合WAN場景，提供軟件定義功能的分支CPE需要滿足如下業務需求:

1. 主動回連控制器獲取配置和策略

傳統組網的CPE設備高度自治，無論是命令行、網管界面還是廠商實現的所謂零部署等功能，從思維上依然面向孤立網元，依然是配置驅動，業務模型發生變化意味著分支站點需要修改配置。SD-WAN約定了轉控分離，業務配置和策略均由控制器下發，通過功能分層使用戶界面從面向配置轉為面向應用，并且做到了真正的即插即用。

Netconf是SD-WAN中很典型的南向協議，這是一個C/S模型的協議,采用SSH或TLS作為安全通道，YANG作為元數據完成命令描述的定義，控制器作為Client將上層的REST調用依據YANG定義轉化為承載在NetConf中的XML-RPC，被配置設備作為Server根據YIN校驗RPC合法后轉成最終設備配置。

2. 應用的深度識別

面向應用的前提是能夠識別應用。傳統基于5元組的流分類和路由策略過于剛性，且需要大量配置逐一匹配應用，界面不友好。SD-WAN場景下需要設備能夠進行深度檢測，通過本地識別或是云端識別歸類應用，依據控制器策略進行流量的動態調度和關鍵業務保障。

3. 鏈路的質量檢測

傳統基于路由的流量調度是靜態的，網絡環境卻是實時變化的，無法依據鏈路質量的變化動態調整，SD-WAN場景下要求設備能夠針對多條專線或互聯網鏈路進行質量檢測，按照業務分類和控制器下發策略對流量進行動態選路。

4. 防火墻功能

分支接入互聯網，分流了專線流量，就近接入公有云獲得了更好的使用體驗，但同時安全問題也被引入進來。分支CPE需要提供安全網關功能，劃分安全邊界，清洗非法流量，防范黑客入侵。防火墻功能可在本地完成，也可在云端通過虛擬化實現。

5. 加密VPN連接

企業數據在Internet上傳輸時為了防止泄密需要采用安全通道傳輸，CPE需要能夠與公有云、總部或其它分支VPN網關建立端到端IPSEC隧道，流量通過IPSEC隧道加密傳輸。

6. NAT功能

對于無需加密的Internet流量，進入互聯網時需要做NAT轉換，解決了公網地址資源有限，同時也實現了內部地址的隱藏。

7. 鑒權和審計

傳統組網出口全部在總部，鑒權和審計功能可以在總部單點部署，SD-WAN場景下的鑒權審計也變成了分布式，要求每臺分支的CPE設備具有相應的功能，且能將數據日志定期回傳同步。

云杰通信&網絡綜合解決方案提供商，助力企業信息化建設、數字化轉型、以及全球化互聯。SD-WAN方案可實現全球訪問加速、SaaS訪問加速、海外視頻加速、海外分支組網，有效提升國際間溝通效率，助力中國企業開拓國際市場。服務熱線：13631779516，歡迎來電咨詢。