SDN自出現以來，最為活躍的領域首推數據中心：開放式API、統一運維、Overlay SDN……各種概念層出不窮，各廠商也紛紛推出各具特色的設備和方案，百舸爭流。在廣域網領域，以Google為首率先應用SDN進行廣域帶寬優化，緊跟著各大型互聯網廠商紛紛受到鼓舞而摩拳擦掌，準備試水。園區領域雖然目前表面波瀾不驚，但實質上已暗流涌動，客戶訴求已經比較迫切和聚焦，只是苦于傳統關鍵技術方案仍存在瓶頸。一旦有所突破，這個現網每年100多億美元的市場將發生翻天覆地的變化，必將成為未來SDN變化最為劇烈的市場。

園區網的兩大難題

隨著園區在傳統辦公網絡上不斷地疊加視頻智真、網絡存儲、VDI等越來越多的新業務，客戶也越來越多地開始面對共同的兩類最大的園區業務困惑：

(1)如何避免為了嚴格保障抖動、延時等高可靠性要求的各種新業務，被迫建設多張分離的煙囪型物理業務網絡?是否可以在同一張網中保障所有業務正常運行并能做到業務隔離?如何建設一張可平滑兼容任何未來新業務的園區網絡，而避免不斷進行網絡的非平滑升級?

(2)隨著BYOD等無線辦公應用的普及，面對大量無線和有線用戶的融合網絡，定義用戶的要素已經不再僅僅是用戶名和密碼，而是將融入終端信息、位置信息、時間信息等更多維度，企業如何能夠將如此復雜維度的固定業務和移動業務進行統一策略管理和部署?隨著802.11ac時代的即將來臨，以及現有的固定網絡由百兆升級到千兆接入，如何能夠在保證無線有線的統一大流量線速轉發的同時，進行必要的業務識別和統一策略控制?

業界目前普遍認為SDN將是比較好的解決上述園區業務難題的最終答案，但是由于現有的基于ASIC的園區SDN方案存在種種技術限制，園區SDN一直只是存在小范圍科研市場，沒能實現突破性地規模商用部署。華為公司企業網絡根據多年網絡部署經驗，和對未來園區多業務虛擬網絡承載和有線無線網絡的發展趨勢的判斷，基于可編程的第4代園區交換機，在可編程網絡和統一策略控制Campus Controller兩大核心技術的基礎上，推出了“可編程Hybrid SDN”和“無線有線融合統一策略控制”兩大園區SDN方案，突破了園區SDN的發展瓶頸，為企業平滑地向下一代園區網演進提供全面支持。

“可編程”Hybrid SDN園區網方案

普通的Hybrid SDN概念在園區網市場已經提出了一段時間，主要是希望采用OpenFlow和傳統路由的雙平面來進行不同的轉發控制，但是卻一直局限在教育和科研領域而遲遲不能規模商用，究其原因主要有兩大缺陷：(1)基于商業或自研的ASIC芯片的OpenFlow流表資源還在K級別，而真正在園區物理網絡上實現多個可靠隔離的虛擬業務網絡的規模商用部署則需要M級別的OpenFlow流表資源才能得以保障實現。(2)基于ASIC的Hybrid SDN只能實現ASIC固化支持的已知類型流的轉發，而無法通過靈活編程在已有的OpenFlow管道上疊加更多的業務識別、安全加密等增值功能，更不用說識別和支持未來未知流的轉發和虛擬業務網絡部署了。

基于第4代可編程交換機的華為新一代Hybrid SDN園區解決方案則聚焦在“可規模商業部署的可編程園區網絡”上，主要具備3大特點：

在一張物理園區網上同時支持幾百~幾千個大型虛擬業務網絡的能力

基于可編程交換機的新型Hybrid SDN網絡可以提供最大16M的OpenFlow流表資源，可以在保證大路由轉發的同時，任意構建幾百或幾千個大型虛擬的安全隔離的業務網絡，并可虛擬網絡中建立大量的虛擬備份路徑實現負載均衡或是高可靠路徑保障。

可編程POF協議無關轉發，適應任何新業務部署，保障用戶的網絡長期投資

基于華為獨有的可編程交換機POF(Protocol Oblivious Forwarding，協議無關轉發)技術，網絡行為完全由控制面負責定義，企業可以自定義靈活策略實現新業務報文識別，針對新興業務適配不需改動已經建設好的物理網絡，更好地保護企業用戶的已有網絡投資。

業務流的可編程隨流故障檢測模式，提供全網視角網絡故障檢測和定位能力

依賴交換機內置的可編程能力，針對全網的業務流插入故障檢測標識，可以隨任意或全網業務流進行故障檢測和定位，檢測全網業務劣化以及實現全網的故障監察能力。

“可編程”Hybrid SDN園區網方案應用

智真和視頻高質量園區虛擬網絡

智真和視頻業務是企業的核心業務之一，由于使用場景都是企業重要會議，業務質量直接受到領導層關注。目前由于企業廣域網一般租用運營商鏈路，都會簽署SLA保證，恰恰是園區網的收斂較大，節點擁塞、設備能力不足等問題導致突發丟包而使視頻體驗變差，如華為IT為了保障智真和視頻業務的質量，只能單獨建一張物理網絡，智真終端接入交換機不經過園區辦公網直拉到企業出口以解決視頻丟包問題。

基于可編程交換機的Hybrid SDN園區方案，可以根據智真和視頻的業務需要選擇帶寬和可靠性高的園區鏈路，并調整低優先級業務到其它路徑，構建一張高可靠的視頻虛擬網絡，同時由于所有路徑可知，結合SDN按照指定路徑并提供硬件級的NQA故障檢測能力，可以根據檢測的故障結果立即調整業務路徑，優化視頻體驗。

自動適應部門組織變化的虛擬化園區網

企業基于安全需要，通常會考慮按照部門或業務劃分隔離區，對于大型園區每一次的業務重新隔離和網絡調整都涉及到數以萬計的配置策略調整，非常難以維護并容易出錯。以東軟研發基地為例，東軟客戶希望其研發網絡能夠靈活地按照開發項目來劃分網絡隔離區，但大量軟件項目的成立和完成都是IT無法事先統一規劃和控制的，辦公小組可能今天屬于A項目，明天屬于B項目，導致網絡的配置(VLAN、ACL)頻繁變動，維護工作量巨大。華為的可編程Hybrid SDN園區方案通過Campus Controller控制器和可編程交換機提供大規模虛擬網絡能力，可以靈活批量對大量的虛擬網絡進行增加、刪除和修改，極大地提高運維效率，快速滿足客戶靈活業務隔離部署訴求。

全網業務級故障檢測和統計的iPCM方案

在網絡IP化時代，企業園區網需要承載視頻、語音、數據、VPN等多種業務，隨著客戶體驗要求和實時性業務的增多，對于網絡丟包、時延、抖動的故障檢測要求越來越高。傳統的檢測方法比如Y.1731等都是間接測量方式，通過插入測試報文來間接模擬業務，不是真實業務測量，既影響現有業務，測試結果誤差又大，無法在園區網真正部署。華為公司可編程Hybrid SDN園區方案基于可編程網絡架構推出實時業務性能測量方案iPCM(Packet Conservation Monitoring for Internet)，即對實時業務報文直接進行標識和檢測測量，直接針對不同的業務流插入檢測標識，設備分布式測量點，統一匯總進行性能計算。方案具備3大優勢：(1)即時測量，不需要模擬報文，不影響現有業務;(2)分布式架構，測量和統計解耦;(3)借助網絡同步協議，周期性精確統計丟包和時延等網絡指標。

有線無線融合的策略集中控制SDN方案

有線無線深度融合的高速轉發網絡

大中型園區的無線部署方案普遍采用瘦AP方案，AP到AC之間的流量采用CAPWAP隧道匯集到AC，集中轉發的網絡架構，使得AC成為無線網絡的關鍵瓶頸。隨著WLAN技術從802.11a/b發展到802.11n以及802.11ac，無線接入帶寬也從幾十M提高到1G，再加上有線接入也提升到千兆，以及部分的業務識別能力要求，流量轉發瓶頸問題更加嚴重。

華為有線無線融合的SDN方案依賴具有可編程能力的新4代交換機，通過轉發面編程，在傳統有線轉發的基礎上融合了包括CAPWAP隧道終結在內的無線AC轉發功能，AP成為現有交換機接入端口的延伸，流量瓶頸不復存在。有線和無線業務都在同一個路徑上進行策略的統一處理和轉發，實現了有線和無線業務真正的深度融合。

基于Campus Controller策略集中控制，自動部署和運維

移動辦公大規模部署首要解決的前提是安全問題，包括訪客身份識別和權限控制、智能終端的類型識別和權限控制、用戶之間的互訪控制等，網絡之上的安全策略控制是網絡更好地支撐企業信息安全的關鍵點。

首先，多點分布的策略控制點導致策略管理和配置復雜，無線的融入使得該問題更加突出。有線網絡中的接入/匯聚交換機都是潛在的策略控制點，運維人員需要花費大量工作對其進行配置，包括用戶組策略建立、認證參數配置等。部署無線后，由于AC單獨作為無線用戶策略控制點，新增加了額外配置工作量。目前很多企業鑒于配置管理方便的需求，會考慮把匯聚或者核心層設備作為統一策略控制點，這導致下層網絡對用戶完全開放，非法用戶也可以與正常用戶互訪，很容易發生潛在的信息泄露和惡意攻擊，員工的移動性及智能終端的網絡接入，將使上述安全問題更加突出。移動辦公時代，網絡的策略控制務必延伸到接入邊界，那么數量眾多的接入設備將使原本復雜的策略管理和網絡配置雪上加霜。

其次，策略由單一屬性演變為多屬性。目前大多數企業的策略控制都是根據用戶身份這一單一屬性，如：市場、研發、財務員工等。移動性使得策略屬性多樣化，如：同一用戶，使用PC或者PAD時，權限不同;采用筆記本電腦應用有線或者無線接入時，權限不同;訪客在既有身份權限的基礎上，需要加入時間限制。安全策略的控制需要考慮用戶的多種接入屬性。

華為有線無線融合的策略集中控制SDN方案，通過統一的策略控制器Campus Controller，自動感知用戶多種維度的屬性，在用戶接入網絡后自動下發精細化控制策略，同時依賴可編程交換機實現有線無線一體化接入方案，原本零散分布在現有交換機和AC上的策略控制點也將實現融合，同時借鑒無線AP/AC的集中管理模式，融合的策略控制點可以與邊緣接入交換機進行聯動控制，本來需要直接下發到邊緣設備上的策略可以統一下發，策略控制點數量大幅縮減，極大簡化了運維工作量。

園區SDN愿景

基于第4代可編程交換機的華為園區SDN方案，使網絡資源變得空前靈活，從容應對新業務部署帶來的諸多問題。隨著可編程Hybrid SDN園區方案與企業業務的深入結合，包括企業生產在內的核心業務都將融入到傳統園區中統一承載，結束企業網絡多網并存的局面，而基于Campus Controller的統一策略控制能力，也將成為網絡更好地進行業務精細化控制的核心能力。