11月28日，在2020中国SD-WAN峰会上，南京华智达CTO汪军为我们带来了主题演讲《华智达ANP SD-WAN解决方案设计理念和实践》。

SD-WAN对于用户来说，只有稳定和简单易用的需求，在真正购买的时候，还需要考虑现网的价格、业务访问的质量优化、安全统一管控、大二层互访等这样的需求。超大规模的网络管理和资源的调度、多租户架构，以及支持第三方应用的开放架构，这不只是过去云的成功要素，也是未来SD-WAN成功的要素。

华智达对于SD-WAN的总体愿景是网络的云化，构建一个无边界的企业专网，企业专网是多租户的，云是集中的，网必然是分布的。还有跨企业的VPN互通，支持企业合作网络、供应链拉通。在这些基础上，华智达还构建了相应安全的优化服务。

华智达ANP SD-WAN诞生之初就是一个完全面向SD-WAN场景化设计、优化的产品，采用了大量的创新技术来保证SD-WAN的客户体验，而不仅仅是已有产品、开源组件的拼凑。

上图是华智达ANP SD-WAN的解决方案网络架构，从下面的接入层能够接入连锁门店、企业总部以及移动办公，到上层的SD-WAN控制器，大的架构都类似，不同的是创新的基础设计理念，由此带来的使用体验以及后续演进路径迥然不同，如下图。

华智达最大的特色是借鉴3GPP网络的架构，它的设计理念首先是设备标识和运营标识的分离，打个比方，把CPE作为手机，硬件指纹就相当于手机IMEI号，证书派生的DeviceId相当于IMIS号。控制器相当于MME/AMF对CPE进行认证，并进行服务节点动态指派、同时充当类似于HSS的功能存储签约数据，CPE认证入网相当于手机插SIM卡，无论是移动端接入还是CPE接入，一定要通过控制器认证，根据路径质量来进行相应的服务节点指派。这里华智达有两个目标：资源池化和路径优化。

华智达CPE出厂时即分配唯一的序列号(SN)，并灌装唯一的证书(以证书的公钥的Hash值作为DeviceId，用于认证时识别身份)，这些信息通过生产文件提供给硬件工厂生产和灌装软件，同时录入官网注册服务器anp.huastart.com。当客户开通时，在官网登记客户的实际控制器地址。CPE发货到客户处上电，只要DHCP可以获得地址，其自动查询华智达官网的DNS，并向官网查询本CPE的实际归属控制器，官网返回结果，CPE再和实际的ANP SD-WAN控制器联系，认证通过后进行配置数据的下载。下载完成后即可以正常运行。

这些设计保证了在Underlay可以访问Internet的情况下，ANP SD-WAN是真正的ZTP免配置部署，在分支端，装维人员唯一要做的事情就是连接正确的网线、将CPE上电。

对于大规模的网络来说，原来从一个集中的点做版本升级和校验，随着网络的扩展，集中点很容易成为瓶颈，华智达做了两个改变，第一是控制器把这个版本推到POP点上，CPE就近进行升级。第二是像iPhone检查更新一样，这里可能有成千上万的节点，什么时间开始更新，带宽如何满足要求？这里都做了调度，这是版本升级方面的考虑。版本升级方式多样化简单易用，始终保持控制器-ANPOS、ANPOS-硬件的版本兼容性。

华智达的理念是做轻量级的平衡功能的产品，轻量级系统，Mini-Service架构，路由器、VPN、安全及优化功能都集成在一起，即使在数百元的CPE上也可以达到同样的功能，用容量规格控制资源消耗。华智达并非要替代专业的防火墙、WAN加速设备，而是针对末端客户，以20%的代价实现80%使用频次的常用功能：足够好用、降低复杂度。

另外，为提升员工远程办公质量，采用了统一管控分支和终端接入，远程通过手机就可以接入。华智达是唯一的一家实现SD-WAN和PC远程拨号统一架构支持的SD-WAN厂商。统一CPE和VPN客户端管理，VPN客户端同样接入到POP点或汇聚设备。VPN客户端接入也支持多租户，POP公网IP/带宽共享，真正面向运营架构。在安全方面，终端设备与用户证书绑定，恶意第三方盗取密码也无法访问内网。

分布式系统中数据的一致性是个难题，尤其是对于SD-WAN这样的管理通道不稳定的广域网系统，问题更加突出。传统领先厂商的SDN系统均实现了较为简单的配置对账功能，也就是周期性把配置数据全部读取到控制器上进行对比，这个方式极其消耗时间和带宽，对于成千上万的SD-WAN系统以及CPU较弱的CPE系统而言，这个方法难以实际实施。华智达通过引入将类似于Merkle树的对账机制引入到系统中来，对每个数据记录原生设计携带UUID和更新的时间戳，对这两个字段的Hash构建完整的Merkle树。最终可以支持无论多少条记录，纠正错误的配置数据可以在秒级完成。

华智达ASG1200-A系列CPE支持国密加密算法以及量子密钥冲注功能，并支持和EQC量子密管通信进行量子密钥的分发，以替代IKE的密钥分发机制，从而支持量子密钥加密的安全VPN通道。其中EQC是华智达子公司易科腾研发的量子密管系统。

在最后，汪军简单介绍了华智达ANP的实践，一年多华智达已经支持了累计超过100个客户，DevOps一体化，控制器每月升级，CPE版本每一到两个月升级一次，始终保证在网运行的最新版本。山鹰国际是一个典型的大型分支组网客户，虽然它的分支不多，但是要求高，在总部和部分分支需要通过动态路由协议接入SD-WAN网络，并且CPE全部采用HA方式部署，通过控制器统一分发路由实现了全球范围内的工厂以及数据中心总部的互联。

以上就是汪军的全部分享内容。