YD-T 4462-2023軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求 敏捷運(yùn)維

ICS01.040.35YD

CCSM11

中華人民共和國行業(yè)標(biāo)準(zhǔn)

/T—XXXX

軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)

要求敏捷運(yùn)維

TechnicalRequirementsoftheValueAddedServicesofSoftware-Defined

WideAreaNetwork（SD-WAN）：AgileOperations

（報批稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

中華人民共和國工業(yè)和信息化部發(fā)布

XX/TXXXXX—X

前言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

內(nèi)容起草。

本文件是軟件定義廣域網(wǎng)絡(luò)SD-WAN技術(shù)系列標(biāo)準(zhǔn)之一，該系列標(biāo)準(zhǔn)的結(jié)構(gòu)和名稱如下：

——2019-1277T-YD《軟件定義廣域網(wǎng)（SD-WAN）總體技術(shù)要求》

——2020-0171T-YD《軟件定義廣域網(wǎng)絡(luò)（SD-WAN）關(guān)鍵技術(shù)指標(biāo)體系》

——2020-0172T-YD《軟件定義廣域網(wǎng)絡(luò)（SD-WAN）測試方法》

——2020-0175T-YD《軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求敏捷運(yùn)維》

——2020-0173T-YD《軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求安全服務(wù)》

——2020-0174T-YD《軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求廣域網(wǎng)加速》

——2020-0572T-YD《軟件定義廣域網(wǎng)絡(luò)（SD-WAN）控制器北向接口技術(shù)要求》

——2020-0573T-YD《軟件定義廣域網(wǎng)絡(luò)（SD-WAN）控制器南向接口數(shù)據(jù)模型規(guī)范》

——2020-0569T-YD《軟件定義廣域網(wǎng)絡(luò)（SD-WAN）POP網(wǎng)關(guān)增強(qiáng)技術(shù)要求》

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。

本文件由中國通信標(biāo)準(zhǔn)化協(xié)會提出并歸口。

本文件起草單位：中國電信股份有限公司，中國信息通信研究院，華為技術(shù)有限公司，中國移動

通信集團(tuán)有限公司，上海諾基亞貝爾股份有限公司，中國信息通信科技集團(tuán)有限公司，賽特斯信息科技

股份有限公司，阿里云計算有限公司，中訊郵電咨詢設(shè)計院有限公司，奇安信科技集團(tuán)股份有限公司，

南凌科技有限公司，中移（杭研）信息技術(shù)有限公司，深圳信息通信研究院，北京高升數(shù)據(jù)系統(tǒng)有限公

司，北京華麒通信科技有限公司，安徽電信規(guī)劃設(shè)計有限責(zé)任公司

本文件主要起草人：田輝，徐洪磊，柴瑤琳，王巍，聶世忠，史凡，穆琙博，畢立波，黨小東，宋

平，張鑫，韓淑君，楊洋，程偉強(qiáng)，楊鋒，韓瑞波，王瑞雪，童博，劉飛，胡海波，樊俊誠，劉菁，王

茜，陳超，安曉芳，劉齊，陳建偉，何曉萌，李晟，張旭,李威，廖繼勇，章小兵，王超，任懷影，李

紅陽，楊莉，吳波，盛成

XXX

PAGE\*MERGEFORMIIIT

軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求

敏捷運(yùn)維

1范圍

本文件規(guī)定了軟件定義廣域網(wǎng)絡(luò)（SD-WAN）的增值業(yè)務(wù)——敏捷運(yùn)維的技術(shù)要求。

本文件適用于SD-WAN服務(wù)提供商、SD-WAN解決方案提供商、SD-WAN基礎(chǔ)設(shè)施生產(chǎn)企業(yè)等，規(guī)范了

SD-WAN服務(wù)、SD-WAN整體解決方案、SD-WAN基礎(chǔ)設(shè)施的行業(yè)標(biāo)準(zhǔn)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

IETFRFC7426軟件定義網(wǎng)絡(luò)（SoftwareDefinedNetwork）

RFC6101安全套接字層（SSL）協(xié)議3.0版(TheSecureSocketsLayer(SSL)ProtocolVersio

n3.0)

RFC7348虛擬可擴(kuò)展局域網(wǎng)(VirtualeXtensibleLocalAreaNetwork(VXLAN))

SP800-153無線局域網(wǎng)絡(luò)安全指南(GuidelinesforSecuringWirelessLocalAreaNetworks

(WLANs))

MEF70軟件定義廣域網(wǎng)服務(wù)屬性和服務(wù)（SD-WANServiceAttributesandServices）

3術(shù)語、定義和縮略語

3.1術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1.1

軟件定義廣域網(wǎng)softwaredefinedwideareanetwork

通過軟件編程實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，實(shí)現(xiàn)廣域網(wǎng)組網(wǎng)。

3.1.2

軟件定義廣域網(wǎng)服務(wù)softwaredefinedwideareanetworkservice

是軟件定義網(wǎng)絡(luò)（SDN）技術(shù)應(yīng)用到廣域網(wǎng)（WAN）場景中的一種通信服務(wù)，提供SD-WAN服務(wù)的服務(wù)

商在通過自己的網(wǎng)絡(luò)或其他網(wǎng)絡(luò)運(yùn)營商提供的Underlay連接服務(wù)（包括以太網(wǎng)服務(wù)、IP服務(wù)、L1連接服

務(wù)、互聯(lián)網(wǎng)接入服務(wù)等）基礎(chǔ)上集成SD-WAN整體解決方案能力為用戶提供可直接使用的基礎(chǔ)通信服務(wù)和

增值服務(wù)。

3.1.3

軟件定義廣域網(wǎng)解決方案softwaredefinedwideareanetworksolutions

是指包括SD-WAN編排器、SD-WAN控制器、SD-WAN設(shè)備一套可整體部署的網(wǎng)絡(luò)解決方案，不包括網(wǎng)絡(luò)

資源。

3.1.4

客戶端設(shè)備customerpremisesequipment

置于用戶側(cè)，幫助用戶接入到SD-WAN網(wǎng)絡(luò)中的設(shè)備，可以是物理設(shè)備或虛擬設(shè)備。

3.1.5

零接觸部署zerotouchprovisioning

無需用戶干預(yù)或服務(wù)提供商現(xiàn)場操作，可自行完成用戶端設(shè)備（(EDGE)）的上線、配置、維護(hù)

3.1.6

服務(wù)等級協(xié)議servicelevelagreement

雙方協(xié)商就一方向另一方提供的服務(wù)以及表征服務(wù)級別的可測量目標(biāo)值（例如可用性，性能，服務(wù)

連續(xù)性，對異常的響應(yīng)性，安全性，可用性等）達(dá)成的共識。

3.2縮略語

下列縮略語適用于本文件：

APP：應(yīng)用（Application）

API：應(yīng)用編程接口（ApplicationProgrammingInterface）

IPS：網(wǎng)際網(wǎng)絡(luò)安全協(xié)議（InternetProtocolSecurity）

QoS：服務(wù)質(zhì)量（QualityofService）

SSL：安全套接層（SecureSocketsLayer）

Underlay：基礎(chǔ)架構(gòu)層

VPN：虛擬專用網(wǎng)（VirtualPrivateNetwork）

WAN：廣域網(wǎng)（WideAreaNetwork）

YANG：數(shù)據(jù)建模語言（YetAnotherNextGeneration）

4概述

在《軟件定義廣域網(wǎng)（SD-WAN）總體技術(shù)要求》中提到的基礎(chǔ)運(yùn)維業(yè)務(wù)包括：零接觸部署和管理、

網(wǎng)絡(luò)業(yè)務(wù)的配置和編排、應(yīng)用識別、應(yīng)用選路、網(wǎng)絡(luò)監(jiān)控、故障診斷、可靠性支持、大規(guī)模網(wǎng)絡(luò)管理、

多租戶管理等。

隨著SDN技術(shù)的發(fā)展，為了適應(yīng)用戶的網(wǎng)絡(luò)需求，網(wǎng)絡(luò)功能越發(fā)智能化和多樣化，復(fù)雜的網(wǎng)絡(luò)功能

對網(wǎng)絡(luò)運(yùn)維提出了新的需求和挑戰(zhàn)。因此，SD-WAN有必要在基礎(chǔ)運(yùn)維以外，提供更多的敏捷運(yùn)維能力，

來快速、敏捷地響應(yīng)用戶多元化的服務(wù)需求。

敏捷運(yùn)維是服務(wù)導(dǎo)向的，每個功能都會被打包成一個開放性的服務(wù)模塊，用戶可根據(jù)自身需求訂購

不同的服務(wù)功能?？刂葡到y(tǒng)根據(jù)用戶的訂購結(jié)果，調(diào)用所需的服務(wù)模塊來完成相應(yīng)的運(yùn)維功能，為用戶

提供個性化、定制化的網(wǎng)絡(luò)體驗(yàn)。

敏捷運(yùn)維應(yīng)具備如下特性：

——差異化：敏捷運(yùn)維的功能由用戶自主訂購，能夠從用戶、站點(diǎn)、服務(wù)等多個維度提供差異化服

務(wù)；

5

——智能化：敏捷運(yùn)維基于大數(shù)據(jù)、人工智能等技術(shù)，能夠代替?zhèn)鹘y(tǒng)的人工運(yùn)維方式，更加快速、

細(xì)致地對網(wǎng)絡(luò)進(jìn)行管理和維護(hù)；

——模塊化：敏捷運(yùn)維中的功能會被打包成不同的服務(wù)模塊，模塊之間不存在功能耦合關(guān)系；

——開放性：敏捷運(yùn)維中的服務(wù)模塊可通過開放標(biāo)準(zhǔn)化接口供管理系統(tǒng)調(diào)用。

5敏捷運(yùn)維技術(shù)要求

5.1總體說明

敏捷運(yùn)維技術(shù)要求分為個性化運(yùn)維、開放化服務(wù)和安全管理三大類，其中：

——個性化運(yùn)維，包括可視化運(yùn)維、故障預(yù)測、網(wǎng)絡(luò)仿真等；

——開放化服務(wù)，包括網(wǎng)絡(luò)訪問策略定制、VPN定制、帶寬定制等；

——安全管理，包括應(yīng)用安全管理和安全策略智能推薦。

敏捷運(yùn)維應(yīng)同時支持對廣域網(wǎng)加速和安全服務(wù)的敏捷運(yùn)維能力，相關(guān)敏捷運(yùn)維能力已在《軟件定義

廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求安全服務(wù)》和《軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要

求廣域網(wǎng)加速》中進(jìn)行相關(guān)描述，此處不再贅述。

5.2個性化運(yùn)維

5.2.1可視化運(yùn)維

可視化運(yùn)維應(yīng)滿足技術(shù)要求如下：

——運(yùn)維操作可視化應(yīng)記錄人工對設(shè)備或者網(wǎng)絡(luò)的配置情況，保證操作的可追溯性；

——用戶可通過SD-WAN業(yè)務(wù)呈現(xiàn)層查看運(yùn)維狀態(tài)，如由用戶上報的故障所處的處理環(huán)節(jié)；

——應(yīng)設(shè)置分級管理機(jī)制，為不同的用戶設(shè)置不同的訪問權(quán)限。

5.2.2故障預(yù)測

故障預(yù)測應(yīng)滿足技術(shù)要求如下：

——運(yùn)營系統(tǒng)能夠根據(jù)采集到的網(wǎng)絡(luò)實(shí)時數(shù)據(jù)，基于大數(shù)據(jù)、人工智能等技術(shù)，預(yù)測未來一小時/

天/周內(nèi)的流量變化情況；

——運(yùn)營系統(tǒng)能夠根據(jù)現(xiàn)網(wǎng)中流量的分析結(jié)果，預(yù)測可能發(fā)生擁塞的線路，生成相應(yīng)告警信息并上

報；

——運(yùn)營系統(tǒng)可以根據(jù)故障預(yù)測的結(jié)果，經(jīng)用戶確認(rèn)后，可通過帶寬自動擴(kuò)容、鏈路倒換等措施避

免故障的發(fā)生。

5.2.3網(wǎng)絡(luò)仿真

網(wǎng)絡(luò)仿真應(yīng)滿足技術(shù)要求如下：

——運(yùn)營系統(tǒng)能夠利用人工智能、數(shù)字孿生等技術(shù)，在引入新技術(shù)或下發(fā)新配置前模擬可能的結(jié)果，

將其對網(wǎng)絡(luò)的負(fù)面影響降到最低；

——網(wǎng)絡(luò)仿真可以進(jìn)行故障模擬、網(wǎng)絡(luò)擴(kuò)容仿真、吞吐量仿真等；

——網(wǎng)絡(luò)仿真支持在線進(jìn)行或離線進(jìn)行。

5.2.4故障預(yù)處理

對于常見的網(wǎng)絡(luò)故障，運(yùn)營系統(tǒng)中應(yīng)預(yù)先做好相關(guān)的處理流程配置。當(dāng)監(jiān)測到故障發(fā)生時，運(yùn)營系

統(tǒng)能夠自動采取相應(yīng)措施，保障用戶體驗(yàn)。

故障預(yù)處理應(yīng)包括以下事件：

——鏈路故障：包括網(wǎng)絡(luò)擁塞、連接中斷等；

——設(shè)備故障：包括端口故障、設(shè)備意外停止運(yùn)行等。

5.3開放化服務(wù)

5.3.1網(wǎng)絡(luò)訪問策略定制

支持用戶通過SD-WAN呈現(xiàn)層對網(wǎng)絡(luò)訪問策略進(jìn)行定制，包括：

——用戶可以根據(jù)自己的需求設(shè)置私網(wǎng)IP地址；

——若有訪問公網(wǎng)的需求，用戶可以選擇地址類型（IPv4/IPv6）、NAT功能等。

5.3.2VPN定制

支持用戶通過SD-WAN呈現(xiàn)層對VPN服務(wù)進(jìn)行定制，包括：

——用戶可自主設(shè)計VPN拓?fù)?，例如增加、刪除、修改VPN實(shí)例；

——用戶可自主對VPN實(shí)例進(jìn)行配置，例如端口、帶寬等。

5.3.3QoS定制

支持用戶通過SD-WAN呈現(xiàn)層對QoS進(jìn)行定制，包括：

——用戶可自主定義上下行網(wǎng)絡(luò)帶寬上限和下限；

——用戶可自主選擇是否訂購帶寬自動擴(kuò)容服務(wù)等；

——用戶可同時制定多條QoS策略，并設(shè)置策略優(yōu)先級。

5.3.4網(wǎng)絡(luò)擴(kuò)縮容策略定制

支持用戶通過SD-WAN呈現(xiàn)層對網(wǎng)絡(luò)擴(kuò)縮容策略進(jìn)行定制，包括：

——當(dāng)網(wǎng)絡(luò)帶寬達(dá)到某一閾值時，可自動完成對帶寬的擴(kuò)容/縮容；

——當(dāng)云內(nèi)主機(jī)的資源（CPU、內(nèi)存等）達(dá)到某一閾值時，可在用戶無感知的情況下按照預(yù)先設(shè)定

的策略進(jìn)行主機(jī)數(shù)量的擴(kuò)容/縮容。

5.3.5故障倒換策略定制

支持用戶通過SD-WAN呈現(xiàn)層對故障倒換策略進(jìn)行定制，包括：

——當(dāng)原傳輸鏈路的網(wǎng)絡(luò)時延達(dá)到某一閾值時，自動將其上的數(shù)據(jù)切換至其他鏈路；

——當(dāng)原傳輸鏈路的帶寬利用率達(dá)到某一閾值時，自動將其上的數(shù)據(jù)切換至其他鏈路；

——當(dāng)原傳輸鏈路的丟包率達(dá)到某一閾值時，自動將其上的數(shù)據(jù)切換至其他鏈路；

——當(dāng)原傳輸鏈路的抖動達(dá)到某一閾值時，自動將其上的數(shù)據(jù)切換至其他鏈路。

5.3.6服務(wù)級別協(xié)議（SLA）定制

支持用戶通過SD-WAN呈現(xiàn)層對服務(wù)級別協(xié)議進(jìn)行定制，包括：

——用戶可定義對網(wǎng)絡(luò)指標(biāo)的要求，包括時延、丟包率、抖動等；

——用戶可為不同的服務(wù)制定不同的SLA；

——用戶可對網(wǎng)絡(luò)進(jìn)行分段SLA制定。

5.3.7安全服務(wù)定制

用戶可以通過SD-WAN呈現(xiàn)層對安全服務(wù)進(jìn)行定制，包括：

——用戶可根據(jù)需求對防火墻功能進(jìn)行自定義，包括入侵防御系統(tǒng)（IPS）、內(nèi)容過濾等功能的開

啟、配置等；

——用戶可自行設(shè)定防火墻中的訪問控制列表，屏蔽某些應(yīng)用的流量。

5

5.3.8能力開放

能力開放支持用戶通過應(yīng)用程序接口（API）來支持面向第三方的網(wǎng)絡(luò)能力開放，具體技術(shù)要求如

下：

——用戶可利用開放性接口（應(yīng)支持黑白名單防護(hù)功能，防止SD-WAN網(wǎng)絡(luò)遭受惡意攻擊）完成業(yè)務(wù)

平臺與運(yùn)營商業(yè)務(wù)平臺、第三方業(yè)務(wù)平臺的便捷集成；

——用戶可與不同的運(yùn)營商網(wǎng)絡(luò)服務(wù)接口對接。

5.4安全管理

5.4.1應(yīng)用安全管理

應(yīng)用安全管理應(yīng)滿足技術(shù)要求如下：

——支持對網(wǎng)站應(yīng)用的分類和自動更新等管理，支持設(shè)置網(wǎng)站應(yīng)用黑白名單，檢測出的惡意網(wǎng)站將

自動加入黑名單等；

——支持在沙箱掃描文件安全情況，進(jìn)行智能化分析并自動化采取安全防護(hù)措施；

——支持對云應(yīng)用安全防護(hù)網(wǎng)絡(luò)服務(wù)和網(wǎng)元的管理和運(yùn)維，包括增加、刪除等操作，防止云邊界安

全問題擴(kuò)展。

5.4.2安全策略智能推薦

安全策略智能推薦應(yīng)滿足技術(shù)要求如下：

——根據(jù)用戶業(yè)務(wù)類型、被攻擊次數(shù)等，為用戶智能推薦合適的安全策略，包括調(diào)用不同的安全網(wǎng)

元和具體應(yīng)用功能設(shè)置等；

——推薦的安全策略可根據(jù)用戶網(wǎng)絡(luò)的安全現(xiàn)狀進(jìn)行更改。

6應(yīng)用場景示例

6.1概述

典型的SD-WAN組網(wǎng)場景如圖1所示：

圖1SD-WAN組網(wǎng)場景示意圖

用戶站點(diǎn)的SD-WANEdge通過SD-WAN隧道跨越Internet接入到POPGW，云資源池的SD-WANEdge通過

SD-WAN隧道直接上聯(lián)至POPGW，POPGW之間通過IP/MPLSVPN骨干網(wǎng)實(shí)現(xiàn)互通。

6.2個性化運(yùn)維能力應(yīng)用流程

6.2.1可視化運(yùn)維

可視化運(yùn)維流程如下：

a）用戶通過SD-WAN業(yè)務(wù)呈現(xiàn)層（例如Portal/手機(jī)APP等）查看網(wǎng)絡(luò)的運(yùn)行情況，當(dāng)網(wǎng)絡(luò)發(fā)生故障

時，用戶可以手動上報故障；

b）SD-WAN業(yè)務(wù)呈現(xiàn)層將用戶上報的信息傳遞給對應(yīng)的網(wǎng)絡(luò)運(yùn)維人員，并記錄下運(yùn)維人員對設(shè)備、

網(wǎng)絡(luò)配置的修改操作；

c）用戶可通過SD-WAN呈現(xiàn)層查看上報故障的處理進(jìn)度；網(wǎng)絡(luò)運(yùn)維人員還可以額外查看已經(jīng)對用戶

上報的故障進(jìn)行了哪些操作。

6.2.2故障預(yù)測及預(yù)處理

故障預(yù)測及預(yù)處理流程如下：

a）SD-WAN控制器對網(wǎng)絡(luò)情況進(jìn)行實(shí)時采集，并將采集的數(shù)據(jù)上報給SD-WAN業(yè)務(wù)呈現(xiàn)層；

b）SD-WAN業(yè)務(wù)呈現(xiàn)層對數(shù)據(jù)進(jìn)行分析計算，檢查網(wǎng)絡(luò)中是否有故障風(fēng)險；若網(wǎng)絡(luò)故障屬于常見故

障（鏈路、設(shè)備故障），且系統(tǒng)中已有相應(yīng)的處理流程配置，則由系統(tǒng)向控制器下發(fā)對應(yīng)的配置；

c）控制器接收到配置后，將其下發(fā)給對應(yīng)的設(shè)備，完成故障的預(yù)處理；

d）用戶可通過SD-WAN呈現(xiàn)層查看到網(wǎng)絡(luò)中潛在的故障風(fēng)險，并采取對應(yīng)措施。

6.2.3網(wǎng)絡(luò)仿真

網(wǎng)絡(luò)仿真流程如下：

a）用戶/網(wǎng)絡(luò)運(yùn)維人員可通過SD-WAN呈現(xiàn)層選擇網(wǎng)絡(luò)仿真功能，輸入計劃向網(wǎng)絡(luò)下發(fā)的新配置；

b）SD-WAN業(yè)務(wù)呈現(xiàn)層根據(jù)接收到的參數(shù)和網(wǎng)絡(luò)實(shí)時數(shù)據(jù)，對配置下發(fā)后一段時間內(nèi)的網(wǎng)絡(luò)運(yùn)行情

況進(jìn)行模擬計算；

c）用戶/網(wǎng)絡(luò)運(yùn)維人員可通過SD-WAN呈現(xiàn)層查看仿真結(jié)果，并采取對應(yīng)措施。

6.3開放化服務(wù)應(yīng)用流程

6.3.1服務(wù)定制

服務(wù)定制流程如下：

a）在業(yè)務(wù)開通/變更時，用戶可以通過SD-WAN呈現(xiàn)層對訂購的業(yè)務(wù)進(jìn)行個性化定制，包括：網(wǎng)絡(luò)訪

問策略、VPN相關(guān)、QoS、網(wǎng)絡(luò)擴(kuò)縮容策略、故障倒換策略、SLA、安全服務(wù)等；

b）SD-WAN呈現(xiàn)層將根據(jù)用戶提交的訂單信息生成相應(yīng)的策略和配置信息，并將配置信息下發(fā)給

SD-WAN控制器；

c）SD-WAN控制器在接收到配置信息后，將其下發(fā)給對應(yīng)設(shè)備（POPGW/Edge）。

6.3.2能力開放

能力開放流程如下：

a）SD-WAN業(yè)務(wù)呈現(xiàn)層應(yīng)預(yù)先設(shè)置好開放性接口（API），該接口需要具備黑白名單防護(hù)功能，防止

SD-WAN網(wǎng)絡(luò)遭受惡意攻擊；

b）用戶可通過SD-WAN服務(wù)提供商提供的開放性接口與第三方平臺進(jìn)行對接，并在SD-WAN呈現(xiàn)層上

進(jìn)行對應(yīng)的配置操作。

6.4安全管理能力應(yīng)用流程

6.4.1應(yīng)用安全管理

5

應(yīng)用安全管理流程如下：

a）用戶/網(wǎng)絡(luò)運(yùn)維人員可通過SD-WAN呈現(xiàn)層設(shè)置網(wǎng)站應(yīng)用的黑白名單，生成對應(yīng)的配置信息，并下

發(fā)給SD-WAN控制器；SD-WAN業(yè)務(wù)呈現(xiàn)層在分析網(wǎng)絡(luò)實(shí)時數(shù)據(jù)時，若發(fā)現(xiàn)可疑的網(wǎng)站應(yīng)用，會將該應(yīng)用放

入沙箱中進(jìn)行掃描，若掃描發(fā)現(xiàn)該應(yīng)用有惡意攻擊行為，則會生成能夠?qū)⒃摼W(wǎng)站加入黑名單的對應(yīng)配置

信息，并下發(fā)給SD-WAN控制器；

b）SD-WAN控制器將接收到的配置信息下發(fā)給對應(yīng)設(shè)備。

6.4.2安全策略智能推薦

安全策略智能推薦流程如下：

a）SD-WAN業(yè)務(wù)呈現(xiàn)層從控制器采集到的網(wǎng)絡(luò)實(shí)時數(shù)據(jù)中，提取出與用戶遭到的網(wǎng)絡(luò)攻擊相關(guān)的數(shù)

據(jù)，并計算出最適合用戶的安全策略；

b）用戶可通過SD-WAN呈現(xiàn)層查看到系統(tǒng)推薦的安全策略，并采取相應(yīng)的措施。

參考文獻(xiàn)

[1][ITU-TM.3041]RecommendationITU-TM.3041(2020),Frameworkofsmartoperation,management

andmaintenance.

[2]張園.面向中小企業(yè)的隨選網(wǎng)絡(luò)架構(gòu)及關(guān)鍵技術(shù)[J].電信科學(xué),2018,

034(007):7-14.

5

XX/TXXXXX—X

目次

前言III

軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求敏捷運(yùn)維1

1范圍1

2規(guī)范性引用文件1

3術(shù)語、定義和縮略語1

3.1術(shù)語和定義1

3.2縮略語2

4概述2

5敏捷運(yùn)維技術(shù)要求3

5.1總體說明3

5.2個性化運(yùn)維3

5.2.1可視化運(yùn)維3

5.2.2故障預(yù)測3

5.2.3網(wǎng)絡(luò)仿真3

5.2.4故障預(yù)處理3

5.3開放化服務(wù)4

5.3.1網(wǎng)絡(luò)訪問策略定制4

5.3.2VPN定制4

5.3.3QoS定制4

5.3.4網(wǎng)絡(luò)擴(kuò)縮容策略定制4

5.3.5故障倒換策略定制4

5.3.6服務(wù)級別協(xié)議（SLA）定制4

5.3.7安全服務(wù)定制4

5.3.8能力開放5

5.4安全管理5

5.4.1應(yīng)用安全管理5

5.4.2安全策略智能推薦5

6應(yīng)用場景示例5

6.1概述5

6.2個性化運(yùn)維能力應(yīng)用流程5

6.2.1可視化運(yùn)維6

6.2.2故障預(yù)測及預(yù)處理6

6.2.3網(wǎng)絡(luò)仿真6

XXX

PAGE\*MERGEFORMIIIT

6.3開放化服務(wù)應(yīng)用流程6

6.3.1服務(wù)定制6

6.3.2能力開放6

6.4安全管理能力應(yīng)用流程6

6.4.1應(yīng)用安全管理6

6.4.2安全策略智能推薦7

參考文獻(xiàn)8

軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求

敏捷運(yùn)維

1范圍

本文件規(guī)定了軟件定義廣域網(wǎng)絡(luò)（SD-WAN）的增值業(yè)務(wù)——敏捷運(yùn)維的技術(shù)要求。

本文件適用于SD-WAN服務(wù)提供商、SD-WAN解決方案提供商、SD-WAN基礎(chǔ)設(shè)施生產(chǎn)企業(yè)等，規(guī)范了

SD-WAN服務(wù)、SD-WAN整體解決方案、SD-WAN基礎(chǔ)設(shè)施的行業(yè)標(biāo)準(zhǔn)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

IETFRFC7426軟件定義網(wǎng)絡(luò)（SoftwareDefinedNetwork）

RFC6101安全套接字層（SSL）協(xié)議3.0版(TheSecureSocketsLayer(SSL)ProtocolVersio

n3.0)

RFC7348虛擬可擴(kuò)展局域網(wǎng)(VirtualeXtensibleLocalAreaNetwork(VXLAN))

SP800-153無線局域網(wǎng)絡(luò)安全指南(GuidelinesforSecuringWirelessLocalAreaNetworks

(WLANs))

MEF70軟件定義廣域網(wǎng)服務(wù)屬性和服務(wù)（SD-WANServiceAttributesandServices）

3術(shù)語、定義和縮略語

3.1術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1.1

軟件定義廣域網(wǎng)softwaredefinedwideareanetwork

通過軟件編程實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，實(shí)現(xiàn)廣域網(wǎng)組網(wǎng)。

3.1.2

軟件定義廣域網(wǎng)服務(wù)softwaredefinedwideareanetworkservice

是軟件定義網(wǎng)絡(luò)（SDN）技術(shù)應(yīng)用到廣域網(wǎng)（WAN）場景中的一種通信服務(wù)，提供SD-WAN服務(wù)的服務(wù)

商在通過自己的網(wǎng)絡(luò)或其他網(wǎng)絡(luò)運(yùn)營商提供的Underlay連接服務(wù)（包括以太網(wǎng)服務(wù)、IP服務(wù)、L1連接服

務(wù)、互聯(lián)網(wǎng)接入服務(wù)等）基礎(chǔ)上集成SD-WAN整體解決方案能力為用戶提供可直接使用的基礎(chǔ)通信服務(wù)和

增值服務(wù)。

3.1.3

軟件定義廣域網(wǎng)解決方案softwaredefinedwideareanetworksolutions

是指包括SD-WAN編排器、SD-WAN控制器、SD-WAN設(shè)備一套可整體部署的網(wǎng)絡(luò)解決方案，不包括網(wǎng)絡(luò)

資源。

3.1.4

客戶端設(shè)備customerpremisesequipment

置于用戶側(cè)，幫助用戶接入到SD-WAN網(wǎng)絡(luò)中的設(shè)備，可以是物理設(shè)備或虛擬設(shè)備。

3.1.5

零接觸部署zerotouchprovisioning

無需用戶干預(yù)或服務(wù)提供商現(xiàn)場操作，可自行完成用戶端設(shè)備（(EDGE)）的上線、配置、維護(hù)

3.1.6

服務(wù)等級協(xié)議servicelevelagreement

雙方協(xié)商就一方向另一方提供的服務(wù)以及表征服務(wù)級別的可測量目標(biāo)值（例如可用性，性能，服務(wù)

連續(xù)性，對異常的響應(yīng)性，安全性，可用性等）達(dá)成的共識。

3.2縮略語

下列縮略語適用于本文件：

APP：應(yīng)用（Application）

API：應(yīng)用編程接口（ApplicationProgrammingInterface）

IPS：網(wǎng)際網(wǎng)絡(luò)安全協(xié)議（InternetProtocolSecurity）

QoS：服務(wù)質(zhì)量（QualityofService）

SSL：安全套接層（SecureSocketsLayer）

Underlay：基礎(chǔ)架構(gòu)層

VPN：虛擬專用網(wǎng)（VirtualPrivateNetwork）

WAN：廣域網(wǎng)（WideAreaNetwork）

YANG：數(shù)據(jù)建模語言（YetAnotherNextGeneration）

4概述

在《軟件定義廣域網(wǎng)（SD-WAN）總體技術(shù)要求》中提到的基礎(chǔ)運(yùn)維業(yè)務(wù)包括：零接觸部署和管理、

網(wǎng)絡(luò)業(yè)務(wù)的配置和編排、應(yīng)用識別、應(yīng)用選路、網(wǎng)絡(luò)監(jiān)控、故障診斷、可靠性支持、大規(guī)模網(wǎng)絡(luò)管理、

多租戶管理等。

隨著SDN技術(shù)的發(fā)展，為了適應(yīng)用戶的網(wǎng)絡(luò)需求，網(wǎng)絡(luò)功能越發(fā)智能化和多樣化，復(fù)雜的網(wǎng)絡(luò)功能

對網(wǎng)絡(luò)運(yùn)維提出了新的需求和挑戰(zhàn)。因此，SD-WAN有必要在基礎(chǔ)運(yùn)維以外，提供更多的敏捷運(yùn)維能力，

來快速、敏捷地響應(yīng)用戶多元化的服務(wù)需求。

敏捷運(yùn)維是服務(wù)導(dǎo)向的，每個功能都會被打包成一個開放性的服務(wù)模塊，用戶可根據(jù)自身需求訂購

不同的服務(wù)功能?？刂葡到y(tǒng)根據(jù)用戶的訂購結(jié)果，調(diào)用所需的服務(wù)模塊來完成相應(yīng)的運(yùn)維功能，為用戶

提供個性化、定制化的網(wǎng)絡(luò)體驗(yàn)。

敏捷運(yùn)維應(yīng)具備如下特性：

——差異化：敏捷運(yùn)維的功能由用戶自主訂購，能夠從用戶、站點(diǎn)、服務(wù)等多個維度提供差異化服

務(wù)；

5

——智能化：敏捷運(yùn)維基于大數(shù)據(jù)、人工智能等技術(shù)，能夠代替?zhèn)鹘y(tǒng)的人工運(yùn)維方式，更加快速、

細(xì)致地對網(wǎng)絡(luò)進(jìn)行管理和維護(hù)；

——模塊化：敏捷運(yùn)維中的功能會被打包成不同的服務(wù)模塊，模塊之間不存在功能耦合關(guān)系；

——開放性：敏捷運(yùn)維中的服務(wù)模塊可通過開放標(biāo)準(zhǔn)化接口供管理系統(tǒng)調(diào)用。

5敏捷運(yùn)維技術(shù)要求

5.1總體說明

敏捷運(yùn)維技術(shù)要求分為個性化運(yùn)維、開放化服務(wù)和安全管理三大類，其中：

——個性化運(yùn)維，包括可視化運(yùn)維、故障預(yù)測、網(wǎng)絡(luò)仿真等；

——開放化服務(wù)，包括網(wǎng)絡(luò)訪問策略定制、VPN定制、帶寬定制等；

——安全管理，包括應(yīng)用安全管理和安全策略智能推薦。

敏捷運(yùn)維應(yīng)同時支持對廣域網(wǎng)加速和安全服務(wù)的敏捷運(yùn)維能力，相關(guān)敏捷運(yùn)維能力已在《軟件定義

廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求安全服務(wù)》和《軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要

求廣域網(wǎng)加速》中進(jìn)行相關(guān)描述，此處不再贅述。

5.2個性化運(yùn)維

5.2.1可視化運(yùn)維

可視化運(yùn)維應(yīng)滿足技術(shù)要求如下：

——運(yùn)維操作可視化應(yīng)記錄人工對設(shè)備或者網(wǎng)絡(luò)的配置情況，保證操作的可追溯性；

——用戶可通過SD-WAN業(yè)務(wù)呈現(xiàn)層查看運(yùn)維狀態(tài)，如由用戶上報的故障所處的處理環(huán)節(jié)；

——應(yīng)設(shè)置分級管理機(jī)制，為不同的用戶設(shè)置不同的訪問權(quán)限。

5.2.2故障預(yù)測

故障預(yù)測應(yīng)滿足技術(shù)要求如下：

——運(yùn)營系統(tǒng)能夠根據(jù)采集到的網(wǎng)絡(luò)實(shí)時數(shù)據(jù)，基于大數(shù)據(jù)、人工智能等技術(shù)，預(yù)測未來一小時/

天/周內(nèi)的流量變化情況；

——運(yùn)營系統(tǒng)能夠根據(jù)現(xiàn)網(wǎng)中流量的分析結(jié)果，預(yù)測可能發(fā)生擁塞的線路，生成相應(yīng)告警信息并上

報；

——運(yùn)營系統(tǒng)可以根據(jù)故障預(yù)