YD-T 4460-2023軟件定義廣域網(wǎng)絡(luò)（SD-WAN）關(guān)鍵技術(shù)指標(biāo)體系

ICS01.040.35YD

CCSL78

中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)

XX/TXXXXX—XXXX

軟件定義廣域網(wǎng)絡(luò)（SD-WAN）關(guān)鍵技術(shù)指

標(biāo)體系

KeyIndicatorSystemofSoftwire-DefinedWideAreaNetwork（SD-WAN）

（報(bào)批稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

中華人民共和國(guó)工業(yè)和信息化部發(fā)布

XX/TXXXXX—XXXX

前??言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

內(nèi)容起草。

本文件是軟件定義廣域網(wǎng)絡(luò)SD-WAN技術(shù)系列標(biāo)準(zhǔn)之一，該系列標(biāo)準(zhǔn)的結(jié)構(gòu)和名稱如下：

——2019-1277T-YD軟件定義廣域網(wǎng)（SD-WAN）總體技術(shù)要求

——2020-0171T-YD軟件定義廣域網(wǎng)絡(luò)（SD-WAN）關(guān)鍵技術(shù)指標(biāo)體系

——2020-0172T-YD軟件定義廣域網(wǎng)絡(luò)（SD-WAN）測(cè)試方法

——2020-0175T-YD軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求敏捷運(yùn)維

——2020-0173T-YD軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求安全服務(wù)

——2020-0174T-YD軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求廣域網(wǎng)加速

——2020-0572T-YD軟件定義廣域網(wǎng)絡(luò)（SD-WAN）控制器北向接口技術(shù)要求

——2020-0573T-YD軟件定義廣域網(wǎng)絡(luò)（SD-WAN）控制器南向接口數(shù)據(jù)模型規(guī)范

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。

本文件由中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)提出并歸口。

本文件起草單位：中國(guó)信息通信研究院深圳信息通信研究院中國(guó)電信股份有限公司中國(guó)移動(dòng)通

信集團(tuán)有限公司中訊郵電咨詢?cè)O(shè)計(jì)院有限公司華為技術(shù)有限公司奇安信科技集團(tuán)股份有限公司深

圳市賽柏特通信技術(shù)有限公司北京輕網(wǎng)科技有限公司上海締安科技股份有限公司安徽繼遠(yuǎn)軟件有限

公司安徽電信規(guī)劃設(shè)計(jì)有限責(zé)任公司

本文件主要起草人：穆琙博柴瑤琳畢立波宋平黨小東韓淑君徐洪磊王巍史凡楊鑫白雪

鄭毅程偉強(qiáng)楊鋒韓瑞波王瑞雪童博楊洋樊俊誠(chéng)劉菁王茜張慧石建坤岳力強(qiáng)王文星陳炬

婁懷東葉志遠(yuǎn)孫樂(lè)高孟軍王超馮志芳

III

XX/TXXXXX—XXXX

軟件定義廣域網(wǎng)絡(luò)（SD-WAN）關(guān)鍵技術(shù)指標(biāo)體系

1范圍

本文件規(guī)定了軟件定義廣域網(wǎng)絡(luò)（SD-WAN）的關(guān)鍵技術(shù)指標(biāo)體系，包括SD-WAN服務(wù)的關(guān)鍵指標(biāo)

定義及基本要求、SD-WAN整體解決方案的關(guān)鍵指標(biāo)定義及基本要求、SD-WAN設(shè)備的關(guān)鍵指標(biāo)定義及

基本要求。

本文件適用于SD-WAN服務(wù)提供商、SD-WAN解決方案提供商、SD-WAN基礎(chǔ)設(shè)施生產(chǎn)企業(yè)等，規(guī)

范了SD-WAN服務(wù)、SD-WAN整體解決方案、SD-WAN基礎(chǔ)設(shè)施的行業(yè)標(biāo)準(zhǔn)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

YD/T1466-2006IP安全協(xié)議（IPSec）技術(shù)要求

IETFRFC7426軟件定義網(wǎng)絡(luò)：層次和體系架構(gòu)術(shù)語(yǔ)（Software-DefinedNetworking(SDN):

LayersandArchitectureTerminology）

MEF70SD-WAN服務(wù)屬性和服務(wù)定義（SD-WANServiceAttritubesandServices）

3術(shù)語(yǔ)、定義和縮略語(yǔ)

3.1術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1.1

軟件定義廣域網(wǎng)softwaredefinedwideareanetwork

通過(guò)軟件編程實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理，實(shí)現(xiàn)廣域網(wǎng)組網(wǎng)。

3.1.2

軟件定義廣域網(wǎng)服務(wù)softwaredefinedwideareanetworkservice

是軟件定義網(wǎng)絡(luò)（SDN）技術(shù)應(yīng)用到廣域網(wǎng)（WAN）場(chǎng)景中的一種通信服務(wù)，提供SD-WAN服務(wù)

的服務(wù)商在通過(guò)自己的網(wǎng)絡(luò)或其他網(wǎng)絡(luò)運(yùn)營(yíng)商提供的Underlay連接服務(wù)（包括以太網(wǎng)服務(wù)、IP服務(wù)、L1

連接服務(wù)、互聯(lián)網(wǎng)接入服務(wù)等）基礎(chǔ)上集成SD-WAN整體解決方案能力為用戶提供可直接使用的基礎(chǔ)通

信服務(wù)和增值服務(wù)。

3.1.3

軟件定義廣域網(wǎng)解決方案softwaredefinedwideareanetworksolutions

1

是指包括SD-WAN編排器、SD-WAN控制器、SD-WAN設(shè)備一套可整體部署的網(wǎng)絡(luò)解決方案，不包

括網(wǎng)絡(luò)資源。

3.1.4

客戶端設(shè)備customerpremisesequipment

是IPoverlay隧道的端點(diǎn)，SD-WANEdge的設(shè)備形態(tài)可以是物理硬件CPE或者NFV化的軟件形態(tài)CPE。

3.1.5

零接觸部署zerotouchprovisioning

無(wú)需用戶干預(yù)或服務(wù)提供商現(xiàn)場(chǎng)操作，可自行完成用戶端設(shè)備（(EDGE)）的上線、配置、維護(hù)。

3.2縮略語(yǔ)

下列縮略語(yǔ)適用于本文件：

AAA高級(jí)應(yīng)用程序體系結(jié)構(gòu)AdvancedApplicationArchitecture

ACL訪問(wèn)控制列表AccessControlLists

APP應(yīng)用程序Application

AV應(yīng)用程序漏洞ApplicationVulnerability

BGP邊界網(wǎng)關(guān)協(xié)議BorderGatewayProtocol

DDOS分布式拒絕服務(wù)攻擊Distributeddenialofserviceattack

DynamicHostConfiguration

DHCP動(dòng)態(tài)主機(jī)配置協(xié)議

Protocol

DTLS數(shù)據(jù)包傳輸層安全性協(xié)議DatagramTransportLayerSecurity

EBGP外部邊界網(wǎng)關(guān)協(xié)議ExternalBorderGatewayProtocol

Email電子郵件ElectronicMail

FTP文件傳輸協(xié)議FileTransferProtocol

full-mesh全網(wǎng)狀full-mesh

GRE通用路由封裝GenericRoutingEncapsulation

HTTP超文本傳輸協(xié)議HyperTextTransferProtocol

HyperTextTransferProtocolover

HTTPs超文本傳輸安全協(xié)議

SecureSocketLayer

hub-spoke星形拓?fù)鋒ub-spoke

2

XX/TXXXXX—XXXX

IBGP內(nèi)部邊界網(wǎng)關(guān)協(xié)議InternalBorderGatewayProtocol

InternetControlMessageProtocol

ICMPFlood控制報(bào)文協(xié)議洪水攻擊

Flood

IDS入侵檢測(cè)系統(tǒng)IntrusionDetectionSystems

IM即時(shí)信息InstantMessaging

Internet互聯(lián)網(wǎng)Internet

IP網(wǎng)際互聯(lián)協(xié)議InternetProtocol

IPS網(wǎng)際網(wǎng)絡(luò)安全協(xié)議InternetProtocolSecurity

IPSec互聯(lián)網(wǎng)安全協(xié)議InternetProtocolSecurity

IPv4網(wǎng)際協(xié)議第4版InternetProtocolVersion4

IPv6網(wǎng)際協(xié)議第6版InternetProtocolVersion6

KVM內(nèi)核虛擬機(jī)KernelVirtualMachine

KVM內(nèi)核內(nèi)建的虛擬機(jī)Kernel-basedVirtualMachine

L2TP第二層隧道協(xié)議Layer2TunnelingProtocol

L2VPN2層虛擬專用網(wǎng)絡(luò)Layer2VirtualPrivateNetwork

L3VPN3層虛擬專用網(wǎng)絡(luò)Layer3VirtualPrivateNetwork

MAC媒體介入控制層MediaAccessControl

MPLS多協(xié)議標(biāo)簽交換Multi-ProtocolLabelSwitching

NAT網(wǎng)絡(luò)地址轉(zhuǎn)換NetworkAddressTranslation

TheNetworkConfiguration

NETCONF配置管理協(xié)議

Protocol

NGFW下一代防火墻Next-GenerationFirewall

OA辦公自動(dòng)化OfficeAutomatio

OSPF開放式最短路徑優(yōu)先OpenShortestPathFirs

3

Overlay用戶層Overlay

P2P對(duì)等計(jì)算機(jī)網(wǎng)絡(luò)Peer-to-peernetworking

Payload有效負(fù)載Payload

PEC向前糾錯(cuò)編碼技術(shù)Forwarderrorcorrection

PingofDeath拒絕服務(wù)攻擊PingofDeath

POC包令校正ProofofConcept

POP3郵件協(xié)議版本3PostOfficeProtocol-Version3

QoS服務(wù)質(zhì)量QualityofService

RestfulAPI表現(xiàn)層狀態(tài)轉(zhuǎn)化RepresentationalStateTransfer

RTSP實(shí)時(shí)流傳輸協(xié)議RealTimeStreamingProtocol

SIP會(huì)話初始化協(xié)議SessionInitiationProtocol

SLA服務(wù)級(jí)別協(xié)議ServiceLevelAgreement

SM2/SM4/SM9國(guó)密算法SM2/SM4/SM9

SMB服務(wù)器信息塊ServerMessageBlock

SMTP簡(jiǎn)單郵件傳輸協(xié)議SimpleMailTransferProtocol

SimpleNetworkManagement

SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

Protocol

SSL安全套接層SecureSocketsLayer

SynchronizeSequenceNumbers

SYNFlood同步序列編號(hào)洪水攻擊

Flood

TCP傳輸控制協(xié)議TransmissionControlProtocol

Telnet遠(yuǎn)程終端協(xié)議TelecommunicationsNetwork

TLS傳輸層安全性協(xié)議TransportLayerSecurity

UDP用戶數(shù)據(jù)報(bào)協(xié)議UserDatagramProtocol

Underlay基礎(chǔ)架構(gòu)層Underlay

URL統(tǒng)一資源定位系統(tǒng)uniformresourcelocator

4

XX/TXXXXX—XXXX

UTW最終測(cè)試網(wǎng)站UltimateTestWebsite

VLAN虛擬局域網(wǎng)VLAN

虛擬化網(wǎng)絡(luò)功能

VNFVirtualNetworkFunction

VOIP基于IP的語(yǔ)音傳輸VoiceOverInternetProtocol

VPN虛擬專用網(wǎng)絡(luò)VirtualPrivateNetwork

VirtualExtensibleLocalArea

Vxlan虛擬擴(kuò)展局域網(wǎng)

Network

WAN廣域網(wǎng)WideAreaNetwork

ExtensibleMessagingandPresence

XMPP可擴(kuò)展消息與存在協(xié)議

Protocol

YANG數(shù)據(jù)建模語(yǔ)言YetAnotherNextGeneration

4SD-WAN關(guān)鍵技術(shù)指標(biāo)體系說(shuō)明

結(jié)合軟件定義廣域網(wǎng)絡(luò)（SD-WAN）的關(guān)鍵技術(shù)特征，SD-WAN關(guān)鍵技術(shù)指標(biāo)體系從服務(wù)、整體解決方

案、設(shè)備三個(gè)維度切分出一級(jí)指標(biāo)和二級(jí)指標(biāo)，總體關(guān)鍵技術(shù)指標(biāo)體系框架表述如下：

如圖1所示，SD-WAN服務(wù)的一級(jí)指標(biāo)從基本功能、可靠性、安全監(jiān)測(cè)與防護(hù)、服務(wù)質(zhì)量保障、

故障快速響應(yīng)、計(jì)量準(zhǔn)確性設(shè)計(jì)，用于評(píng)價(jià)SD-WAN服務(wù)能力和服務(wù)質(zhì)量。

圖1服務(wù)關(guān)鍵技術(shù)指標(biāo)

如圖2所示，SD-WAN整體解決方案的一級(jí)指標(biāo)從基本功能、管理運(yùn)維、安全防護(hù)、可靠性設(shè)計(jì)，

5

用于評(píng)價(jià)SD-WAN方案技術(shù)功能。二級(jí)指標(biāo)依據(jù)一級(jí)指標(biāo)的關(guān)鍵技術(shù)特征進(jìn)行分解和設(shè)計(jì)。

圖2整體解決方案關(guān)鍵技術(shù)指標(biāo)

如圖3所示，SD-WAN設(shè)備的一級(jí)指標(biāo)為4個(gè)關(guān)鍵設(shè)備包括邊緣設(shè)備、網(wǎng)關(guān)設(shè)備、控制器、編排

器，下設(shè)3項(xiàng)二級(jí)指標(biāo)，分別為基本功能、安全性、可靠性。

圖3設(shè)備技術(shù)關(guān)鍵指標(biāo)

5服務(wù)技術(shù)指標(biāo)

5.1基本服務(wù)功能

5.1.1服務(wù)快速開通

服務(wù)快速開通主要指在資源具備情況下，支持開通ISP、VPN、網(wǎng)絡(luò)接入服務(wù)。

5.1.2服務(wù)業(yè)務(wù)彈性

服務(wù)業(yè)務(wù)彈性主要指用戶可按需選擇基礎(chǔ)網(wǎng)絡(luò)連接拓?fù)洹⒃鲋捣?wù)訂購(gòu)等業(yè)務(wù)能力。

6

XX/TXXXXX—XXXX

5.1.3服務(wù)可管理性

服務(wù)可管理性主要指支持全生命周期的服務(wù)管理，包括服務(wù)的創(chuàng)建，刪除，暫停，恢復(fù)，停止等操

作。

5.2可靠性

可靠性指標(biāo)主要包括網(wǎng)絡(luò)高可用情況、關(guān)鍵組網(wǎng)設(shè)備高可用。

主要考慮關(guān)鍵傳輸鏈路可靠性、網(wǎng)關(guān)設(shè)備故障不影響服務(wù)質(zhì)量、控制器具備主備用模式等。

5.3安全監(jiān)測(cè)與防護(hù)

5.3.1通信安全性

通信安全性指標(biāo)主要指保護(hù)廣域網(wǎng)的通信安全以免受網(wǎng)絡(luò)攻擊情況。

主要考慮CPE與控制平臺(tái)之間的控制層面通信安全要求：CPE與控制平臺(tái)通信前的身份鑒別、CPE

與控制平臺(tái)控制通信的加密傳輸，和CPE與CPE之間的傳輸層面通信安全要求：CPE加入網(wǎng)絡(luò)前的身

份鑒別、CPE間相互通信前的身份鑒別、CPE的基本防火墻能力和抗DDoS能力。

5.3.2數(shù)據(jù)安全性

數(shù)據(jù)安全性指標(biāo)主要指保護(hù)網(wǎng)絡(luò)數(shù)據(jù)不被破壞或泄露。

主要考慮關(guān)鍵數(shù)據(jù)實(shí)時(shí)多副本備份機(jī)制、數(shù)據(jù)加密算法應(yīng)支持國(guó)密算法SM2/SM4/SM9或業(yè)界公認(rèn)

算法AES256。

5.3.3用戶安全性

用戶安全性指標(biāo)主要包括用戶的訪問(wèn)控制權(quán)限和行為管理。

主要考慮多重用戶身份認(rèn)證機(jī)制和用戶權(quán)限集中管控、對(duì)用戶Telnet行為管理和痕跡可追溯。

5.4服務(wù)質(zhì)量保障

網(wǎng)絡(luò)質(zhì)量保障指標(biāo)主要指保障用戶業(yè)務(wù)數(shù)據(jù)正常傳輸?shù)馁|(zhì)量指標(biāo)。

主要考慮網(wǎng)關(guān)節(jié)點(diǎn)骨干網(wǎng)絡(luò)的端到端可用率、不同客戶場(chǎng)景的標(biāo)準(zhǔn)化服務(wù)、完整成熟的服務(wù)流程。

5.5故障快速響應(yīng)

故障快速響應(yīng)指標(biāo)主要指對(duì)于系統(tǒng)故障，服務(wù)提供商應(yīng)在一定時(shí)間內(nèi)對(duì)故障進(jìn)行處理，并將故障處

理結(jié)果反饋給客戶。

5.6服務(wù)計(jì)量準(zhǔn)確性

服務(wù)計(jì)量準(zhǔn)確性指標(biāo)主要指根據(jù)選擇的服務(wù)類型按照所列明的要求保證所出具的計(jì)量校準(zhǔn)結(jié)果的

準(zhǔn)確性和溯源性。

主要考慮服務(wù)規(guī)格和使用時(shí)長(zhǎng)的計(jì)量。

6解決方案技術(shù)指標(biāo)

6.1基本方案功能

6.1.1自動(dòng)化部署指標(biāo)

7

自動(dòng)化部署主要指自動(dòng)化部署各個(gè)分支結(jié)構(gòu)的網(wǎng)關(guān)設(shè)備和邊緣設(shè)備，支持開通端到端的互通業(yè)務(wù)。

主要考慮設(shè)備到控制器的注冊(cè)與安全認(rèn)證、在網(wǎng)絡(luò)側(cè)接口通過(guò)DHCP、郵件等多種自動(dòng)化部署方式

等。

6.1.2負(fù)載均衡指標(biāo)

負(fù)載均衡主要指在多條廣域網(wǎng)流量的動(dòng)態(tài)選擇鏈路傳輸達(dá)到網(wǎng)絡(luò)資源的均衡利用。

主要考慮根據(jù)目標(biāo)地址、源地址、服務(wù)、時(shí)間等要素的鏈路負(fù)載均衡、基于自動(dòng)探測(cè)鏈路質(zhì)量的主

動(dòng)鏈路均衡算法、基于應(yīng)用的負(fù)載均衡等。

6.1.3鏈路質(zhì)量監(jiān)測(cè)指標(biāo)

鏈路質(zhì)量檢測(cè)指標(biāo)主要指實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)的多鏈路傳輸質(zhì)量。

主要考慮對(duì)網(wǎng)絡(luò)的多個(gè)傳輸線路的傳輸帶寬、時(shí)延、丟包率等參數(shù)進(jìn)行檢測(cè)。

6.1.4按需組網(wǎng)指標(biāo)

按需組網(wǎng)指標(biāo)主要指能夠根據(jù)實(shí)際用戶需求來(lái)實(shí)現(xiàn)對(duì)應(yīng)的Overlay組網(wǎng)方案。

主要考慮支持full-mesh拓?fù)洹ub-spoke拓?fù)涞?、支持full-mesh拓?fù)渥兏鼮閔ub-spoke拓?fù)洹?/p>

hub-spoke拓?fù)渥兏鼮閒ull-mesh拓?fù)涞取?/p>

6.1.5流量調(diào)度

智能流量調(diào)度指標(biāo)主要指根據(jù)實(shí)時(shí)業(yè)務(wù)流量情況進(jìn)行應(yīng)用識(shí)別和動(dòng)態(tài)調(diào)度。

流量調(diào)度支持將不同類型（地址、端口、協(xié)議）的應(yīng)用在不同的WAN口隧道上進(jìn)行調(diào)度、支持根

據(jù)時(shí)延、抖動(dòng)、丟包率設(shè)置相應(yīng)的切換閥值進(jìn)行流量調(diào)度。

6.1.6路由交換

路由交換主要指支持靜態(tài)路由協(xié)議和動(dòng)態(tài)路由協(xié)議，在網(wǎng)絡(luò)拓?fù)渲羞M(jìn)行數(shù)據(jù)包的交換轉(zhuǎn)發(fā)。

主要考慮常見的靜態(tài)路由協(xié)議和動(dòng)態(tài)路由協(xié)議，包括OSPF,EBGP,IBGP等。

6.1.7QoS功能

QoS功能主要指根據(jù)流量?jī)?yōu)先級(jí)進(jìn)行網(wǎng)絡(luò)流量調(diào)度確保業(yè)務(wù)轉(zhuǎn)發(fā)可以高效運(yùn)行。

主要考慮支持優(yōu)先級(jí)隊(duì)列、低時(shí)延隊(duì)列等隊(duì)列調(diào)度、流量整形等。

6.2管理運(yùn)維功能

管理運(yùn)維主要指通過(guò)可視化界面來(lái)集中管理實(shí)時(shí)網(wǎng)絡(luò)資源監(jiān)控、日志搜集和告警上送、版本升級(jí)等

保障網(wǎng)絡(luò)業(yè)務(wù)基本運(yùn)維。

主要考慮支持通過(guò)圖形界面來(lái)實(shí)現(xiàn)下發(fā)設(shè)備跨大版本的平滑升級(jí)、支持提供日志文件一鍵收集功能、

支持控制器管理整個(gè)設(shè)備組網(wǎng)情況和日志等。

6.3安全防護(hù)能力

安全防護(hù)能力主要指設(shè)置安全策略、訪問(wèn)安全等。

主要考慮支持設(shè)置防火墻安全策略、支持多重認(rèn)證訪問(wèn)機(jī)制等。

6.4可靠性（高可用性）

可靠性（高可用性）主要指整體網(wǎng)絡(luò)方案具備容錯(cuò)性、高可靠性。

主要考慮控制器高可用（包括控制器關(guān)鍵數(shù)據(jù)的冗余備份等）、傳輸鏈路高可用（包括傳輸鏈路主

備模式進(jìn)行數(shù)據(jù)備份等）。

7設(shè)備技術(shù)指標(biāo)

8

XX/TXXXXX—XXXX

7.1邊緣設(shè)備

7.1.1基本功能技術(shù)指標(biāo)

自動(dòng)化部署

自動(dòng)化部署主要指支持控制器將網(wǎng)絡(luò)配置自動(dòng)下發(fā)到邊緣設(shè)備。

主要考慮邊緣設(shè)備通過(guò)DHCP、U盤、郵件、短信等方式自動(dòng)化部署、遠(yuǎn)程部署、虛擬化部署、版

本檢測(cè)與升級(jí)。

動(dòng)態(tài)選路

動(dòng)態(tài)選路主要指應(yīng)用流量根據(jù)選錄策略和鏈路質(zhì)量動(dòng)態(tài)切換線路。

主要考慮根據(jù)鏈路SLA、應(yīng)用帶寬、優(yōu)先級(jí)、權(quán)重動(dòng)態(tài)選擇鏈路，根據(jù)動(dòng)態(tài)路由協(xié)議支撐Overlay

組網(wǎng)策略和規(guī)則。

應(yīng)用識(shí)別

應(yīng)用識(shí)別主要指對(duì)應(yīng)用層協(xié)議流量的識(shí)別。

主要考慮基于端口協(xié)議（POP3-110、SMTP-25、NetBIOS-138、HTTP-443）、負(fù)載協(xié)議（ECMP

協(xié)議）、特征庫(kù)識(shí)別、首包識(shí)別、深度包檢測(cè)（DPI協(xié)議）等識(shí)別機(jī)制。

WAN優(yōu)化

WAN優(yōu)化主要指改善丟包嚴(yán)重的鏈路傳輸數(shù)據(jù)包的效率。主要考慮自適應(yīng)前向糾錯(cuò)（FEC）以及

包令校正（POC）等技術(shù)、應(yīng)用壓縮和重復(fù)數(shù)據(jù)消除。

NAT穿越

NAT穿越主要指地址轉(zhuǎn)換穿越功能，主要考慮設(shè)備支持NAT-T，NAT-D負(fù)載、STUN技術(shù)，邊緣設(shè)

備支持與控制面、管理面進(jìn)行NAT穿越互通。

7.1.2安全性

URL過(guò)濾

URL過(guò)濾主要指邊緣設(shè)備支持控制器下發(fā)的URL策略。

主要考慮自定義設(shè)置URL黑名單和白名單，網(wǎng)頁(yè)過(guò)濾，提供HTTP和HTTPSURL過(guò)濾，惡意URL

防護(hù)。

防火墻策略

防火墻策略主要指邊緣設(shè)備支持控制器下發(fā)的防火墻策略。

主要考慮設(shè)置基于IPv4源/目的地址、IPv6源/目的地址、目的端口、源端口、MAC地址訪問(wèn)控制

策略以及靜態(tài)NAT地址策略。

隧道加密

隧道加密主要指通過(guò)加密技術(shù)來(lái)加密數(shù)據(jù)，以確保數(shù)據(jù)安全。

主要考慮IPsec/TLS/DTLS等加密技術(shù)來(lái)保護(hù)傳輸中的數(shù)據(jù)、應(yīng)支持相關(guān)國(guó)密算法SM2/SM4或業(yè)

界公認(rèn)算法AES256等構(gòu)建數(shù)據(jù)傳輸隧道。

7.1.3可靠性

可靠性主要指邊緣設(shè)備的高可用性，應(yīng)對(duì)無(wú)法預(yù)知的故障應(yīng)對(duì)力。

主要考慮邊緣設(shè)備主備切換，切換期間業(yè)務(wù)流量轉(zhuǎn)發(fā)無(wú)中斷。

9

7.2網(wǎng)關(guān)設(shè)備

7.2.1基本功能技術(shù)指標(biāo)

路由管理

網(wǎng)關(guān)設(shè)備應(yīng)支持IPv4/IPv6下的多種路由協(xié)議。

主要考慮支持OSPF、BGP等。

訪問(wèn)控制

網(wǎng)關(guān)設(shè)備支持基于包過(guò)濾的訪問(wèn)控制功能。

主要考慮根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、指定協(xié)議、端口和標(biāo)志，來(lái)允許或拒絕數(shù)據(jù)包的轉(zhuǎn)

發(fā)，同時(shí)對(duì)于出入端口進(jìn)行安全規(guī)則配置。

流量管理

.1流量識(shí)別

流量監(jiān)管功能主要考慮根據(jù)報(bào)文的傳輸協(xié)議、源地址、源端口號(hào)、目的地址和目的端口號(hào)五元組識(shí)

別不同的業(yè)務(wù)流并進(jìn)行分類。

.2QoS功能

QoS功能主要考慮按照端口、VLAN、IP地址（包括IP地址段）進(jìn)行業(yè)務(wù)流的識(shí)別和QoS匹配。

負(fù)載均衡

負(fù)載均衡主要根據(jù)網(wǎng)絡(luò)狀態(tài)對(duì)流量負(fù)載到不同鏈路傳輸。

主要考慮加權(quán)、輪轉(zhuǎn)、隨機(jī)等不同負(fù)載算法的應(yīng)用。

VPN隔離

VPN隔離主要對(duì)網(wǎng)關(guān)設(shè)備進(jìn)行多租戶管理。

主要考慮在多租戶的的情況下，對(duì)每個(gè)租戶進(jìn)行VPN隔離和統(tǒng)一管理。

多租戶管理

多租戶管理主要對(duì)多個(gè)租戶統(tǒng)一管理。

主要考慮運(yùn)營(yíng)商組網(wǎng)的多重租賃，應(yīng)支持?jǐn)?shù)據(jù)切割、數(shù)據(jù)隔離等。

7.2.2安全性

安全性主要考慮防攻擊能力，包括防DDoS攻擊能力、防端口掃描能力等。

主要考慮支持防止PingofDeath、SYNFlood等DDoS攻擊、提供防端口掃描功能，支持防其他設(shè)備

或者應(yīng)用的惡意端口掃描。

7.2.3可靠性

可靠性主要指網(wǎng)關(guān)設(shè)備的高可用性，應(yīng)對(duì)無(wú)法預(yù)知的故障應(yīng)對(duì)力。

主要考慮網(wǎng)關(guān)設(shè)備集群HA、雙主熱備、主備切換，切換期間業(yè)務(wù)流量轉(zhuǎn)發(fā)無(wú)中斷。

7.3控制器

7.3.1主要技術(shù)指標(biāo)

設(shè)備管理

設(shè)備管理主要指控制器對(duì)部署設(shè)備進(jìn)行統(tǒng)一管理。

主要考慮部署設(shè)備接收控制器策略的下發(fā)，并實(shí)時(shí)的和控制器進(jìn)行信息共享。

網(wǎng)絡(luò)管理

10

XX/TXXXXX—XXXX

網(wǎng)絡(luò)管理主要指控制器對(duì)所部署的組網(wǎng)設(shè)備進(jìn)行路由策略分發(fā)和網(wǎng)絡(luò)拓?fù)涔芾怼?/p>

主要考慮Overlay網(wǎng)絡(luò)拓?fù)涔芾砗途W(wǎng)絡(luò)路由的集中控制。

日志管理

日志管理主要指控制器日志分析管理功能。

主要考慮控制器管理設(shè)備的信息采集和流量信息的采集與分析。

可視化

可視化主要指控制器對(duì)部署環(huán)境關(guān)鍵信息可視化功能。

主要考慮可視化運(yùn)維、流量監(jiān)控、網(wǎng)絡(luò)設(shè)備配置管理、業(yè)務(wù)和網(wǎng)絡(luò)設(shè)備的性能統(tǒng)計(jì)等。

北向接口

北向接口主要指控制器提供給上層應(yīng)用的調(diào)用接口。

運(yùn)營(yíng)商組網(wǎng)要求支持RESTCONF、JAVA嵌入式AP或者嵌入式的API提供給上層應(yīng)用調(diào)用；

企業(yè)組網(wǎng)要求支持RestfulAPI、HTTP以及所有功能提供Web頁(yè)面；

主要通用考慮應(yīng)支持YANG類型消息格式支持網(wǎng)絡(luò)隔離與虛擬化業(yè)務(wù)，包括L3VPN、L2VPN、網(wǎng)絡(luò)資源抽象

等。支持保證接口安全和認(rèn)證和授權(quán)功能，并對(duì)通信信息進(jìn)行機(jī)密性保護(hù)、完整性保護(hù)和抗重放攻擊的

保護(hù)。

7.3.2安全性

安全性主要指控制器安全防護(hù)能力。

主要考慮管理信道安全、防DDoS攻擊安全、防惡意數(shù)據(jù)流安全、權(quán)限管理等。

7.3.3可靠性

可靠性主要指控制器高可用能力。

主要考慮控制器故障轉(zhuǎn)移時(shí)間、網(wǎng)絡(luò)重新配置時(shí)間以及控制器的水平擴(kuò)展和異地容災(zāi)能力。

7.4編排器

7.4.1主要技術(shù)指標(biāo)

網(wǎng)絡(luò)服務(wù)生命周期管理

網(wǎng)絡(luò)服務(wù)生命周期包含所有部署過(guò)程，網(wǎng)絡(luò)服務(wù)的執(zhí)行和終止。

資源調(diào)度

動(dòng)態(tài)資源調(diào)度主要實(shí)現(xiàn)網(wǎng)絡(luò)資源模型映射、虛擬化網(wǎng)元管理等功能。

跨域編排

跨域編排主要考慮跨域統(tǒng)一策略下發(fā)和執(zhí)行、跨域資源共享等。

7.4.2安全性

安全性主要指編排器安全防護(hù)能力。

主要考慮資源訪問(wèn)控制、策略沖突消除等。

7.4.3可靠性

可靠性主要指編排器的高可用能力。

主要考慮編排器策略更改時(shí)可進(jìn)行風(fēng)險(xiǎn)評(píng)估、管理系統(tǒng)可靠性等。

11

_________________________________

12

XX/TXXXXX—XXXX

目次

前言................................................................................III

1范圍................................................................................1

2規(guī)范性引用文件......................................................................1

3術(shù)語(yǔ)、定義和縮略語(yǔ)..................................................................1

3.1術(shù)語(yǔ)和定義......................................................................1

3.2縮略語(yǔ)..........................................................................2

4SD-WAN關(guān)鍵技術(shù)指標(biāo)體系說(shuō)明........................................................5

5服務(wù)技術(shù)指標(biāo)........................................................................6

5.1基本服務(wù)功能....................................................................6

5.1.1服務(wù)快速開通................................................................6

5.1.2服務(wù)業(yè)務(wù)彈性................................................................6

5.1.3服務(wù)可管理性................................................................7

5.2可靠性..........................................................................7

5.3安全監(jiān)測(cè)與防護(hù)..................................................................7

5.3.1通信安全性..................................................................7

5.3.2數(shù)據(jù)安全性..................................................................7

5.3.3用戶安全性..................................................................7

5.4服務(wù)質(zhì)量保障....................................................................7

5.5故障快速響應(yīng)....................................................................7

5.6服務(wù)計(jì)量準(zhǔn)確性..................................................................7

6解決方案技術(shù)指標(biāo)....................................................................7

6.1基本方案功能....................................................................7

6.1.1自動(dòng)化部署指標(biāo)..............................................................7

6.1.2負(fù)載均衡指標(biāo)................................................................8

6.1.3鏈路質(zhì)量監(jiān)測(cè)指標(biāo)............................................................8

6.1.4按需組網(wǎng)指標(biāo)................................................................8

6.1.5流量調(diào)度....................................................................8

6.1.6路由交換....................................................................8

6.1.7QoS功能....................................................................8

6.2管理運(yùn)維功能....................................................................8

6.3安全防護(hù)能力....................................................................8

6.4可靠性（高可用性）..............................................................8

7設(shè)備技術(shù)指標(biāo)........................................................................8

7.1邊緣設(shè)備........................................................................9

7.1.1基本功能技術(shù)指標(biāo)............................................................9

7.1.2安全性......................................................................9

7.1.3可靠性......................................................................9

7.2網(wǎng)關(guān)設(shè)備.......................................................................10

7.2.1基本功能技術(shù)指標(biāo)...........................................................10

I

7.2.2安全性.....................................................................10

7.2.3可靠性.....................................................................10

7.3控制器.........................................................................10

7.3.1主要技術(shù)指標(biāo)...............................................................10

7.3.2安全性.....................................................................11

7.3.3可靠性.....................................................................11

7.4編排器.........................................................................11

7.4.1主要技術(shù)指標(biāo)...............................................................11

7.4.2安全性.....................................................................11

7.4.3可靠性.....................................................................11

XX/TXXXXX—XXXX

軟件定義廣域網(wǎng)絡(luò)（SD-WAN）關(guān)鍵技術(shù)指標(biāo)體系

1范圍

本文件規(guī)定了軟件定義廣域網(wǎng)絡(luò)（SD-WAN）的關(guān)鍵技術(shù)指標(biāo)體系，包括SD-WAN服務(wù)的關(guān)鍵指標(biāo)

定義及基本要求、SD-WAN整體解決方案的關(guān)鍵指標(biāo)定義及基本要求、SD-WAN設(shè)備的關(guān)鍵指標(biāo)定義及

基本要求。

本文件適用于SD-WAN服務(wù)提供商、SD-WAN解決方案提供商、SD-WAN基礎(chǔ)設(shè)施生產(chǎn)企業(yè)等，規(guī)

范了SD-WAN服務(wù)、SD-WAN整體解決方案、SD-WAN基礎(chǔ)設(shè)施的行業(yè)標(biāo)準(zhǔn)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

YD/T1466-2006IP安全協(xié)議（IPSec）技術(shù)要求

IETFRFC7426軟件定義網(wǎng)絡(luò)：層次和體系架構(gòu)術(shù)語(yǔ)（Software-DefinedNetworking(SDN):

LayersandArchitectureTerminology）

MEF70SD-WAN服務(wù)屬性和服務(wù)定義（SD-WANServiceAttritubesandServices）

3術(shù)語(yǔ)、定義和縮略語(yǔ)

3.1術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1.1

軟件定義廣域網(wǎng)softwaredefinedwideareanetwork

通過(guò)軟件編程實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理，實(shí)現(xiàn)廣域網(wǎng)組網(wǎng)。

3.1.2

軟件定義廣域網(wǎng)服務(wù)softwaredefinedwideareanetworkservice

是軟件定義網(wǎng)絡(luò)（SDN）技術(shù)應(yīng)用到廣域網(wǎng)（WAN）場(chǎng)景中的一種通信服務(wù)，提供SD-WAN服務(wù)

的服務(wù)商在通過(guò)自己的網(wǎng)絡(luò)或其他網(wǎng)絡(luò)運(yùn)營(yíng)商提供的Underlay連接服務(wù)（包括以太網(wǎng)服務(wù)、IP服務(wù)、L1

連接服務(wù)、互聯(lián)網(wǎng)接入服務(wù)等）基礎(chǔ)上集成SD-WAN整體解決方案能力為用戶提供可直接使用的基礎(chǔ)通

信服務(wù)和增值服務(wù)。

3.1.3

軟件定義廣域網(wǎng)解決方案softwaredefinedwideareanetworksolutions

1

是指包括SD-WAN編排器、SD-WAN控制器、SD-WAN設(shè)備一套可整體部署的網(wǎng)絡(luò)解決方案，不包

括網(wǎng)絡(luò)資源。

3.1.4

客戶端設(shè)備customerpremisesequipment

是IPoverlay隧道的端點(diǎn)，SD-WANEdge的設(shè)備形態(tài)可以是物理硬件CPE或者NFV化的軟件形態(tài)CPE。

3.1.5

零接觸部署zerotouchprovisioning

無(wú)需用戶干預(yù)或服務(wù)提供商現(xiàn)場(chǎng)操作，可自行完成用戶端設(shè)備（(EDGE)）的上線、配置、維護(hù)。

3.2縮略語(yǔ)

下列縮略語(yǔ)適用于本文件：

AAA高級(jí)應(yīng)用程序體系結(jié)構(gòu)AdvancedApplicationArchitecture

ACL訪問(wèn)控制列表AccessControlLists

APP應(yīng)用程序Application

AV應(yīng)用程序漏洞ApplicationVulnerability

BGP邊界網(wǎng)關(guān)協(xié)議BorderGatewayProtocol

DDOS分布式拒絕服務(wù)攻擊Distributeddenialofserviceattack

DynamicHostConfiguration

DHCP動(dòng)態(tài)主機(jī)配置協(xié)議

Protocol

DTLS數(shù)據(jù)包傳輸層安全性協(xié)議DatagramTransportLayerSecurity

EBGP外部邊界網(wǎng)關(guān)協(xié)議ExternalBorderGatewayProtocol

Email電子郵件ElectronicMail

FTP文件傳輸協(xié)議FileTransferProtocol

full-mesh全網(wǎng)狀full-mesh

GRE通用路由封裝GenericRoutingEncapsulation

HTTP超文本傳輸協(xié)議HyperTextTransferProtocol

HyperTextTransferProtocolover

HTTPs超文本傳輸安全協(xié)議

SecureSocketLayer

hub-spoke星形拓?fù)鋒ub-spoke

2

XX/TXXXXX—XXXX

IBGP內(nèi)部邊界網(wǎng)關(guān)協(xié)議InternalBorderGatewayProtocol

InternetControlMessageProtocol

ICMPFlood控制報(bào)文協(xié)議洪水攻擊

Flood

IDS入侵檢測(cè)系統(tǒng)IntrusionDetectionSystems

IM即時(shí)信息InstantMessaging

Internet互聯(lián)網(wǎng)Internet

IP網(wǎng)際互聯(lián)協(xié)議InternetProtocol

IPS網(wǎng)際網(wǎng)絡(luò)安全協(xié)議InternetProtocolSecurity

IPSec互聯(lián)網(wǎng)安全協(xié)議InternetProtocolSecurity

IPv4網(wǎng)際協(xié)議第4版InternetProtocolVersion4

IPv6網(wǎng)際協(xié)議第6版InternetProtocolVersion6

KVM內(nèi)核虛擬機(jī)KernelVirtualMachine

KVM內(nèi)核內(nèi)建的虛擬機(jī)Kernel-basedVirtualMachine

L2TP第二層隧道協(xié)議Layer2TunnelingProtocol

L2VPN2層虛擬專用網(wǎng)絡(luò)Layer2VirtualPrivateNetwork

L3VPN3層虛擬專用網(wǎng)絡(luò)Layer3VirtualPrivateNetwork

MAC媒體介入控制層MediaAccessControl

MPLS多協(xié)議標(biāo)簽交換Multi-ProtocolLabelSwitching

NAT網(wǎng)絡(luò)地址轉(zhuǎn)換NetworkAddressTranslation

TheNetworkConfiguration

NETCONF配置管理協(xié)議

Protocol

NGFW下一代防火墻Next-GenerationFirewall

OA辦公自動(dòng)化OfficeAutomatio

OSPF開放式最短路徑優(yōu)先OpenShortestPathFirs

3

Overlay用戶層Overlay

P2P對(duì)等計(jì)算機(jī)網(wǎng)絡(luò)Peer-to-peernetworking

Payload有效負(fù)載Payload

PEC向前糾錯(cuò)編碼技術(shù)Forwarderrorcorrection

PingofDeath拒絕服務(wù)攻擊PingofDeath

POC包令校正ProofofConcept

POP3郵件協(xié)議版本3PostOfficeProtocol-Version