现在分支互联才是企业客户目前对SD-WAN最大的需求所在，也是最大的市场所在。那适用于分支互联的SD-WAN方案到底是什么呢？SD-WAN用到的技术很多，交付形态很多，能解决的问题也很多。但正是这种不确定，给企业客户带来了额外的困扰。

四个关键点必须满足。首先是性价比导向，能在满足需求的前提下有效降低成本，才有存在的意义；第二，需要保障的是关键业务的品质和可用性，钱不能花到非关键业务上；第三，要达到保障关键业务品质和可用性的目的，除了需要借助设备实现一些功能，也可能还需要线路资源或云资源做补充；最后，交付形态可能是传统的购买设备部署，也可能是纯服务形态的交付，尤其带着线路或者云资源的方案更是如此。

我把市场常见的所有类型的SD-WAN方案涉及到的产品功能特性和资源做了个整理，大概就是图里这些。一般来说，SD-WAN方案组成中一定会有一台实现主要技术功能的CPE，再按需搭配资源、管理平台、控制器等元素。对于不同场景的解决方案，只要针对需求选择图中元素的合理搭配即可。

大部分SD-WAN供应商的方案和营销方向都是围绕自身优势制定，比如做广域网加速起家的会强调广域网加速技术的重要性，安全起家的会强调安全的重要性，自有线路或者云资源的一定会强调资源的重要性……其实这些都不重要，明确场景、明确需求、明确关键业务才是最重要的。这些明确了，你才知道到底需要什么样的SD-WAN方案。

就以分支互联为例，可以认为关键业务就是需要进隧道的流量，那项。其它元素依需求而定，比如分支数量非常多或存在分支间流量，那大概率需要零配置上线和网络统一编排能力；假如关键业务里有商业SaaS，那就又得用上应用路由……你只要能把企业业务需求清晰地拉出单子，需要的技术和资源也就能列出来了，这就是你的分支互联SD-WAN方案选型评估标准。

需要提醒的是，很多SD-WAN供应商会宣称自己的方案具备流量调度、网络统一编排在内的完整能力，如果选择部署其整体方案并将运维全部外包，企业就能共享这些能力。但现实情况是，大部分SD-WAN供应商的CPE设备在功能、性能、可靠性方面较传统大厂产品还有相当大的距离（尤其4-7层功能），很多企业IT部门不能接受将CPE串接入网乃至直接做为网关带来的额外风险，所以将其视作光猫一样的角色，将SD-WAN服务和传统的线路资源划等号。在这种情况下，供应商的SD-WAN能力就不再是企业的能力，企业依然需要自行建设维护分支互联SD-WAN产品技术方案。

个人感觉这种情况在几年内不会有根本改变。企业在进行网络建设时，建议还是多评估评估传统数通、安全产品方案的SD-WAN技术能力。顺便说一句，我一直以来比较看好安全背景的企业涉足SD-WAN，也认同安全是SD-WAN方案的必要属性，就是因为企业网络边缘既是安全功能的决策点，又是SD-WAN功能的决策点。理论上是可以通过串接两台设备（防火墙+CPE）的方式解决问题，但单台设备的建设成本和运维成本明显更低，当前这种经济环境下，你觉得企业会选择哪种方案？

用SD-WAN做分支互联比传统VPN组网好在哪

答案很简单，SD-WAN做分支互联就是VPN组网的升级。二者绝非泾渭分明，实际上，VPN恰恰是SD-WAN的底层实现。从上文图中就能看出，传统VPN组网方案实际就是基础网络、隧道协议再加一部分管理和安全功能；SD-WAN只是在此基础上，融入更多不同维度的技术与资源，更好地应对新业务带来的功能需求与挑战，同时靠自动化手段降低运维成本。
如果说VPN解决了有无问题，SD-WAN就进一步解决了好不好的问题——不仅是体验的提升，还包括OPEX的大幅降低。
在诸多新技术中，拨测选路是最最重要的一个特性，广泛应用于所有场景，可谓是SD-WAN方案的核心能力。换句话说，缺少这个能力，就不是SD-WAN方案。
传统VPN组网方案中，流量的调度靠策略路由实现，从而做到关键业务流量走隧道访问私有化部署的业务平台。这个机制平时毫无问题，但在链路品质劣化的时候，就会暴露出过于简单粗暴的弊端。
通常来说，基于传统VPN组网的情况下，如果承载隧道的线路出现异常，只要隧道协商不中断，策略路由还是会不停地把流量往隧道送，完全无视应用体验方面的下降。而拨测选路的意义就在于，它多了一个定期主动探测机制，可以在指定接口进行持续的质量探测。一旦拨测结果超出设定的阈值（而不是等待隧道中断），设备或控制器就会动态触发路由调整。
举个例子，当你承载隧道的线路从50ms延迟/0丢包/5ms抖动跳变到200ms延迟/5%丢包/30ms抖动时，传统VPN组网一般不为所动，但SD-WAN方案可能就已经自动把流量切到其它品质更好的线路去了，尽量保证了关键业务的使用体验。

这里又引出一个很多人关心的问题：控制器是不是必须的？

答案是要根据你的组网规模而定。假如你的分支数量不多，需求也不复杂，设备级的拨测选路就是你最好的选择。咱先不提建设成本，对成长型企业的IT运维人员来说，玩转控制器的技术门槛太高了，就算白送也很难用好，或者根本用不起来。
但在大规模组网环境下，由控制器基于拨测结果进行网络流量的全局统一编排，带来的效果是传统VPN组网难以实现的。更何况当VPN组网大到一定规模时，靠人肉也根本运维不过来。这两年我关注过几个连锁零售企业整体门店的升级改造，无不因此选择了带有控制器的SD-WAN组网方案。对他们来说，IT运维成本中人的成本已然是最大成本，需求和预算间的矛盾已经不可调和，控制器在这解决的已经不是好不好的问题，还真是能不能的问题。

但在大规模组网环境下，由控制器基于拨测结果进行网络流量的全局统一编排，带来的效果是传统VPN组网难以实现的。更何况当VPN组网大到一定规模时，靠人肉也根本运维不过来。这两年我关注过几个连锁零售企业整体门店的升级改造，无不因此选择了带有控制器的SD-WAN组网方案。对他们来说，IT运维成本中人的成本已然是最大成本，需求和预算间的矛盾已经不可调和，控制器在这解决的已经不是好不好的问题，还真是能不能的问题。
最后一个被普遍关心的问题：分支互联SD-WAN方案中，线路和云资源是不是必须的？

答案是根据关键业务的品质要求而定。当你能获取的接入资源都无法满足要求时，外部资源就是必须的。比如互联需求涉及企业境外分支，那SD-WAN方案确实需要包含优质资源。或者企业业务非常关键，有明确的SLA要求，那么只有外部资源可以承诺，一切不包括资源的SD-WAN方案都只能做到尽力而为。
但如果你的分支数量不多，又都分布在互联网接入资源较为充裕的国内一二线城市，并且互联带宽需求不是很大，那外部资源也许就不是必须的。
能够省下资源这部分费用主要有两方面原因。首先，国内运营商的互联网接入品质已经足够优秀，尤其在一二线城市，就算定位较低的企业宽带/专线，链路品质也是有保障的，何况每年还提供着提速降费的福利。并且跨运营商互联互通的品质也较头些年有了显著提升，至少很多性能监测服务商在做非跨境线路监测时，已经普遍将丢包的合格率设定为小于3‰。
另一方面，应用对接入线路的品质要求在下降。尤其是比较新的互联网应用，往往在设计阶段就针对互联网乃至4G/5G而非专线品质做了考虑，用上了主动纠错等技术，具有更好的容忍度，降低了企业客户的使用门槛。这一点，ZOOM、腾讯会议、钉钉会议等都是很好的范例。
廉价线路的品质和带宽在提升，业务对线路品质的要求在降低，再通过SD-WAN方案中诸多新技术加持，大部分成长型企业的分支互联需求就是可以满足的。至少我深入参与过的这类项目，最终落地方案基本都是如此。

回想一下，这一年多找我咨询分支互联SD-WAN的基本就是两类诉求，第一是想砍专线降成本，第二是想提升传统VPN组网的品质。这两类诉求间原本是没有更好选择的，现在有了SD-WAN，把原本大颗粒的资源和产品技术敲打得足够碎，让企业能够更好“量体裁衣”的同时又提供了更好的性价比，才快速点燃了这个市场。所以，忘了VPN，拥抱SD-WAN吧。