众所周知，思科提供两套SD-WAN解决方案。一是为电信运营商和大中型企业量身定制的Viptela SD-WAN专业解决方案。另一个是专为一般企业客户设计的 Meraki SD-WAN 解决方案。然而，仍有一部分用户需要 SD-WAN 解决方案，该解决方案既可以在 WAN 边界提供高级安全功能，又可以提供 SD-WAN 路由策略，并且所有这些都可以在本地部署和管理。这也正是本文所要探讨的内容。

　　SD-WAN基于构建覆盖通道的自动化，由控制器集中管理通过不同覆盖通道的业务流量的按需转发。这样可以实现监控，确保广域网解决方案中的业务可靠性、安全性和服务质量。因此，SD-WAN解决方案从根本上来说有三个关键要素：覆盖通道的建设、路由和业务备份策略、全局统一管控。当然，这些只是广域网的三个基本要素。作为边缘设备，还需要具备优秀的安全能力。

　　下一代防火墙(NGFW)通过FMC(Firepower管理中心)统一管理，支持使用VTI接口构建叠加拓扑，支持P2P、Hub-Spoke、Full Mesh等多种拓扑形式，满足多样化的业务需求。这些Overlay隧道可以形成多条可选的转发路径，而Overlay隧道的底层可以是互联网、专线或者两者的组合，导致不同路径的带宽、时延、抖动等属性存在差异。隧道内传输的数据始终加密，无论使用何种底层物理线路，都能确保整体通信安全。

　　NGFW(下一代防火墙)支持基于路径检测的策略路由。此功能允许用户根据特定路由原则转发自定义流量的数据。除了我们标准的五元组流量和应用程序信息之外，此自定义流量还可以基于用户和 SGT(安全组标签)标签。路由原则可以基于接口优先级、链路RTT(往返时间)、抖动、丢包统计，也可以手动定义首选和备份路径。值得注意的是，这种基于路径监控的策略路由不仅可以用于覆盖路径选择，还可以用于物理路径。对于依赖专线构建广域网的用户来说，直接基于物理路径设计路由原则可能更可取。

　　FMC(Firepower管理中心)不仅服务于整个NGFW网络的统一配置和部署，还提供监控、管理和故障排除功能。FMC的图形界面提供了直观的链路和覆盖状态显示以及相关统计数据。它还包括用于调试和故障排除的嵌入式工具。

　　在SD-WAN组网环境下，NGFW保留了各种专业的安全特性和HA(高可用性)部署能力。应用程序识别和控制、IPS(入侵防御系统)、AMP(高级恶意软件防护)、DNS 甚至 SASE(安全访问服务边缘)等关键安全功能对于优先考虑边界安全、云安全和数据安全的用户仍然至关重要。

　　当然，与思科专门的Viptela SD-WAN解决方案相比，基于NGFW的SD-WAN部署在高级链路保障和控制管理方面可能存在一定差距。不过，对于很多环境相对简单、需要通过专业防火墙实现边界安全、又不想额外购买一套路由器来实现SD-WAN功能的广域网用户来说，这种方式仍然具有实际意义。