那些让人怦然心动的SD-WAN功能（中）

回顾上一篇文章，笔者挑选了主流SD-WAN方案中最具代表性、也是最能打动客户的4个功能：

1.Application-Aware Routing (基于应用的路由选择)

2.Zero-Touch Provisioning (全自动服务开通)

3.Security, Monitoring, and Analytics (安全，监控，和数据分析)

4.All-in-One uCPE Package (通用白盒CPE， VNF百宝箱)

并着重介绍了笔者认为的最重要的SD-WAN功能： Application-Aware Routing（参见：那些让人怦然心动的SD-WAN功能（上） ）。今天我们来聊一聊第二个功能：全自动服务开通。信息量不小，请您坐稳扶好。

Zero-Touch Provisioning (全自动服务开通)

首先Zero-Touch Provisioning (以下简称ZTP) 这个名字足够威武霸气，笔者的翻译不够传神，请读者自行体会。言简意赅，“Zero-Touch”反映了网络运维人员对于自动化配置网络、零接触开通服务的一个美好愿景。通常不同SD-WAN厂商的ZTP功能实现都不太一样；即使同一厂商的ZTP功能内也往往涵盖好几个子场景来满足不同客户的需求。严格说来这些场景都不能算是“Zero-Touch”，至多只能是在哪个场所进行Touch、和Touch了多少的区别。但在我们详细展开ZTP的各个场景和技术细节之前，让我们像往常一样先聊一聊Why? 为什么ZTP会是一个吸引客户的SD-WAN功能？

首先ZTP这个技术最早被提出可以追溯到数据中心内对交换机进行自动配置这个应用场景。试想在构建一个大型数据中心的网络基础设施时，对其成百上千台的交换机如果都使用传统的手工命令行键入的方式来逐一进行初始化配置，镜像升级，不仅费时费力，而且还容易出错。所以交换机厂商们就率先提出了ZTP这个技术: 将初始化配置和镜像升级文件的位置等信息在交换机第一次上电后，以响应其DHCP请求的方式发送给交换机，从而让交换机能够自动去指定位置 (即ZTP Server) 获取初始化配置，下载和升级镜像文件。从而大大加快了数据中心网络的构建速度，同时减小了人为出错的机率。

这一功能一经推出立刻大受好评，也随之推广到数据中心以外的各种网络自动化部署的应用场景。对于SD-WAN的 CPE设备的自动化部署和服务开通自然也不例外。而针对SD-WAN 这一场景，除了之前提到提升设备配置效率、减少人为出错这两个优点以外，还有一个很重要的原因就是可以避免专业网络运维人员逐一访问各个企业站点 (俗称：Truck Roll) 去配置CPE设备和开通SD-WAN服务。这能帮助网络运营商和企业用户省下不少运维成本。这也正是ZTP 如此受到客户青睐的原因。

那么下面我们就通过一个比较有代表性的SD-WAN 的ZTP方案来讨论一下ZTP的典型流程和实现方式。

图1：SD-WAN ZTP的典型流程

ZTP的整个过程通常分为两个阶段：

第一阶段 (Phase 1) 是对CPE设备入网前进行一些准备工作（也即所谓的CPE On-Boarding）。此时CPE设备还处在设备厂商或运营商的网管中心，或企业用户自己的数据中心，在这里关于这个CPE设备的一系列具体信息 (比如: 软/硬件序列号，端口数量和类型，IP地址和其配置方式，以及即将被部署的站点位置信息，等等) 都会由网络运维人员手动录入SD-WAN网管系统。人工录入的过程通常以填写模板的方式来进行，从而提升效率、减少人为出错机率。填写好的配置模板会自动生成配置文件存放在系统里，用于之后对CPE设备的自动化配置。

第二阶段 (Phase 2) 是CPE设备被邮寄到企业用户站点之后的一系列操作。按图中标号细分为如下几步：

(2) CPE设备开机上电 (在此之前要确保CPE设备的WAN端口已连上可用的WAN网络)。

(3) CPE设备通过WAN端口以DHCP的方式自动获取WAN IP地址 。

(4) CPE 设备通过DNS Server 查询并获得 ZTP Server 的IP 地址。ZTP Server 的Domain Name 是在Phase 1 On-Boarding时存入CPE设备的。 取决于企业客户选择的商业模式，ZTP Server 可以由 SD-WAN 供应商，或运营商，或企业客户自己，来提供和维护。

(5) ZTP Server 通过比对CPE设备的软/硬件序列号等信息，查找出这个CPE设备属于哪个企业用户，从而导向相应的验证服务器 (Auth. Server) 对CPE设备进行安全验证。

(6) 安全验证的方式可以有很多种，包括使用邮件或短信验证的方式来确保CPE设备是在正确的客户站点入网。验证通过后，Auth. Server 会将 SD-WAN Controller 的IP 地址发送给 CPE设备，从而在Controller 和 CPE 设备之间建立起安全的控制信道。

(7) Controller 将之前生成的初始化的配置信息发送给CPE设备，从而完成设备的初始化配置和升级。之后Controller和CPE设备会交换本站点和其他站点的路由及安全密钥等信息，用于建立跨站点之间的数据层IPSec链路（具体细节参见前文：https://www.sdnlab.com/20466.html ）。

至此，这个CPE设备算是彻底加入了SD-WAN网络, 这个新的企业站点可以与其它的站点利用SD-WAN的各种炫酷的功能开始愉快地通信（比如上次讲到的 Application-Aware Routing）。

那么回顾整个ZTP的流程，我们从两个视角再分析一下ZTP的价值所在：(1) 从客户的角度来看：从企业客户收到CPE设备的邮递包裹，到站点SD-WAN 业务上线，客户只需要插上相应的网线和电源线，通过短信或邮件进行简单的身份认证，剩下的事情都会自动完成，无需客户操心。(2) 从运营商的角度来看：只需在On-Boarding的阶段，在中心化的网管中心内，对CPE设备进行一些初始化的配置操作（而且可以借助模板来快速实现），无需派遣网络运维人员到客户站点进行繁琐的手动配置。这不仅大大加快了开通服务的速度，减少了手动配置出错的概率，同时也节省了派遣Truck Roll的成本。所以说ZTP绝对是一个皆大欢喜的好功能。

篇幅有限，SD-WAN 四大吸晴功能中的最后两个，我们留待下一篇文章再作分解。欢迎您的留言。