一、概述

您是否还在为每年几十万甚至是几百万的专线和 MPLS 的高额链路租金所困扰？神行者的 SD-WAN技术可以帮您利用价格低廉的Internet链路建立更灵活、更快速、更安全、更可靠、更高性能、低成本的企业专用的虚拟专用网络。神行者独有的 QoS技术更能保证您的远程文件传输和远程视频会议等应用性能和效果。

二、优势

• 更快速！
• 10分钟快速部署，即插即用
• 智能路由优选、协议转换加速、协议栈加速，实测可提升 10 倍数据传输速度
• 安全可靠
• 全链路数据加密传输，具备专网一样的安全和可靠性
• 多节点共享链路资源，快速实现切换，确保业务连续性
• 基于链路健康检测，DNS方式切换，对用户透明
• 按需灵活扩容
• 灵活的扩展和模块化升级，根据业务需求随时将更多的分支机构和合作伙伴加入到网络中，甚至把业务扩展到全球
• 数据流向自主控制，自助组网
• 低成本
• 企业无需承担昂贵的专线租用成本，利用大型骨干网或高速IP网络平台实现专线一样的体验
• 云管理中心统一管理，客户无需大量投入运维人员
• 基于 SLA 的用户体验
• 每一个用户可以实时看到自己的 SLA 状况和指标变化，全面了解服务品质，一改过去传统服务黑盒子的情况
• 为客户提供灵活多样的 SLA 选择，客户可以根据自身业务的情况，自助调高或调低服务级别，从而达到按需保障服务质量，控制服务成本
• 移动 办公
• 对移动互联网用户而言，可以根据移动用户的位置，就近提供SDWAN接入点，实现按需使用，动态组网。
• 满足移动互联网BYOD的发展趋势，实现个性化组网

三、工作原理

当下，移动互联网、智能终端、云计算及虚拟化等新生技术不断推动着互联网的进一步发展，而其内部流量与网络架构已经发生了深刻的变化。互联网企业、政府机构、运营商等不仅需要网络能够实现互联互通，更需要下一代网络能够更加高效、敏捷和开放。SDN的方式提供了更好的解决方案。

3.1   整体架构

神行者SD-WAN基于云 SDN技术根据路由xspeeder的XWAN模块衍生而来，满足 OpenFlow 标准的虚拟链路管理与服务平台，通过 VPE组网模式，提供虚拟化网络设备2-7层协议管理；基于协议优化、路由优选以及协议栈站加速技术提供Qos控制以及服务质量保证，对云平台系统透明；同时提供实时 SLA 保证、展示与监控。

通过部署在全国的节点，为客户提供最近的POP接入点，同时通过独有的路由优选技术，选择最优的路线，使数据传输速度大大提升。同时在此基础上，使用独有的协议优化和协议栈加速技术，从而使整体数据传输可提升10倍以上。

3.2   XWAN技术简介

XWAN是专门为SD-WAN设计的隧道协议，全面替代通用开源VPN的新一代隧道协议。它的传输效率高，重连速度快，不受IP变化影响，抗沿途干扰能力强。可快速实现企业用户在数据中心、云环境、分支机构和其他远程位置之间端到端数据连通，可统一管理、降低交付成本，快速实现业务上线。

• 重连速度快

优于传统VPN十倍以上的重连速度，可穿透内网二级路由，连通与毫秒之间

• 传输效率高

低于传统VPN数据包头大小，仅有8字节，通过XWAN独有加密压缩技术实现高速的传输效率；

• 接近MPLS/互联网专线的传输速率

XWAN高于传统VPN传输速率，独有带宽抢占模式，最高可达G级别；

• 支持应用级QOS

可按L2-L7层DPI协议，针对特殊应用对XWAN通道QOS保障，最大程度保障关键应用的稳定与低延迟需求；

3.3   国密SM4加密

神行者SDWAN加密方式首选采用国密SM4，国密是国家密码局认定的国产密码算法。SM4算法是一种分组密码算法。其分组长度为128bit，密钥长度也为128bit。加密算法与密钥扩展算法均采用32轮非线性迭代结构，以字（32位）为单位进行加密运算，每一次迭代运算均为一轮变换函数F。SM4算法加/解密算法的结构相同，只是使用轮密钥相反，其中解密轮密钥是加密轮密钥的逆序。

ECB模式基本加解密流程：

• CPE与POP或CPE与CPE协商是否数据加密
• CPE与POP或CPE与CPE协商两份分别用于发送加密与接收解密的密钥
• 根据协商的两份密钥分别初始化加解密SM4 KEY

3.4   路由优选

通过部署在全国各地的云数据中心里的探测节点探测各链路的性能，经过智能分析，计算出当前网络质量状况的整体评估，通过标签的方式，管理业务网内的路由，快捷有序的进行流量调度，为客户优选出最合适的路由来构建虚拟专用链路。

探测模块

各节点根据用户目标，建立探测模型，探测模块以主动探测的方式(ICMP协议)获取本节点与相邻节点之间的 RTT 时间，并将结果传给“数据收集模块”。

数据搜集模块

数据收集模块获得与所有相邻节点的RTT时间后，与上一周期的RTT进行加权运算，更新当前RTT时间。

???当前 = (1 − ?) ∙ ???上一周期 + ? ∙ ???

 ?= 1/8 （按照标准TCP传输协议中的?值）

数据收集模块将本节点与所有相邻节点的当前 RTT 值传给“数据交换模块” 和“分布式路径优选算法模块”。

数据交换模块

数据交换模块负责将本节点的探测数据传给相邻节点，同时，获得相邻节点的探测数据。收到的其它节点的探测数据也会传给“路径优选算法模块”。若干个时间周期后，每个节点都会获得全网所有节点的探测信息。

全息式路径优选算法模块

分布式路径优选算法是整个动态路由选择技术的核心。

节点间的当前 RTT 时间等价于节点间的路径长度，RTT时间越短，等价于路程越短。节点和节点间的路程长度组成了一个矢量图，应用图论中的最短路程算法，可以很快的求解出最短路径。

我们使用Bellman-Ford(贝尔曼-福特算法)算法，结合SPFA（Shortest-Path Faster Algoithm，更快的最短路径算法）进行优化，最终每个节点以本节点为根起点，绘出到任意节点的最短矢量图。

Bellman-Ford 算法能解决单源点最短路径问题。对于给定的带权（有向或无向）图 G=(V,E)，其源点为 S，加权函数 W 是 边集 E 的映射。对图 G 运行Bellman-Ford 算法，算法将给出从源点S 到 图G 的任意顶点v 的最短路径d[v]。

算法流程分为三个阶段：

初始化：将除源点外的所有顶点的最短距离估计值d[v]→+∞；d[]→0;

迭代求解：反复对边集 E 中的每条边进行操作，使得顶点集 V 中的每个顶点v的最短距离估计值逐步逼近其最短距离；

运行|v|-1 次，从源点可达的顶点 v 的最短距离保存在中d[v]。

路由控制模块

经过路径优选算法处理后，得到以本节点为根节点，到用户目标的最短矢量图。该路径信息传给路由控制模块。

路由控制模块根据该路径信息比对与上一周期的路径信息是否相同？如果相同意味着用户使用的当前路由仍是最好的。否则，根据路径信息按照MPLS协议生成该用户的路由标签。

业务数据转发模块

业务数据转发模块负责经过本节点的每个数据包的转发。

从其他节点（非用户端）传来的数据包，按照其携带的XWAN标签进行相应的端口（对应着某条路由）转发。

用户从本节点接入SDN网络，也就是从用户端传来的数据包，业务数据转发模块会为每个数据包打上从“路由控制模块”传过来的路由标签，并按照路由标签进行端口转发。

接口层

接口层是路由控制模块与业务数据转发模块的中间层。是为了路由控制模块能够支持更多类型的业务数据转发设备。

虚拟化层

业务数据转发设备是利用虚拟化技术的虚拟路由器，每个节点都由若干个虚拟化的业务数据转发设备，可以有效的降低等待转发的队列长度。

3.5   协议转换

业务数据在进入神行者的SDN网络后，将进行特殊的UDP加密封装，来提高广域网中那些低效率协议的性能，例如TCP、CIFS、HTTP、HTTPS、MAPI以及大多数视频流和IM协议。

尽管协议转换并不降低应用消耗的带宽多少，但是它可以大幅加快应用的提供，并降低这个过程中的延迟。

3.6   协议栈优化

针对标准 TCP 协议在广域网链路上传输的低效，通过神行者SDWAN的协议栈优化技术，使 TCP传输过程中初始化一个大的滑动窗口，快速实现 TCP 协议的传输最大化，并持续保持稳定的吞吐量。

• 通过计算 RTT 时间，以确定最佳的下一个数据包的传输速率
  • 防止丢包，延迟增加减小窗口
  • 迅速恢复无序丢包，由时延度量
  • 提供稳定的吞吐量

四、隧道数据包转发原理

4.1   uCPE盒子数据包处理结构图

盒子（uCPE）上会运行一个进程处理数据转发到隧道节点。

4.2   uCPE盒子数据处理流程

1. 隧道进程在初始化时创建虚拟接口,让虚接口和物理接口桥接。虚拟接口的作用是当CPE将数据包从虚拟接口发送时，实际这个数据包到达了隧道进程。

• 在桥接的情况下，CPE根据数据包的目的IP地址进行转发。当物理接口收到数据包时，CPE会按照控制器下发的XWAN Header和原始数据包从新封装成新的UDP数据包转发至隧道。（XWAN Header为每个企业的唯一标签，最大支持65535）

• 虚拟接口上的数据会发送到隧道进程。

• 进程将原始数据包封装成隧道数据包发送到节点隧道。隧道头需要处理加密、大包分片和组装，保活等问题。

五、平台简介

5.1   CSP平台模式图

• CloudPort-云专线，专线对接阿里云、Uloud、腾讯云、犀思云等
• CloudLink-云互联，合作商MPLS线路高速传输

5.2   SDWAN平台运营模式图