SD-WAN ZTP的价值

Zero-Touch Provisioning（全自动服务开通）

（一）为什么ZTP会是一个吸引客户的SD-WAN功能？

首先ZTP这个技术最早被提出可以追溯到数据中心内对交换机进行自动配置这个应用场景。

试想在构建一个大型数据中心的网络基础设施时，对其成百上千台的交换机如果都使用传统的手工命令行键入的方式来逐一进行初始化配置，镜像升级，不仅费时费力，而且还容易出错。

所以交换机厂商们就率先提出了ZTP这个技术:

将初始化配置和镜像升级文件的位置等信息在交换机第一次上电后，以响应其DHCP请求的方式发送给交换机，从而让交换机能够自动去指定位置 (即ZTP Server) 获取初始化配置，下载和升级镜像文件。

从而大大加快了数据中心网络的构建速度，同时减小了人为出错的机率。

这一功能一经推出立刻大受好评，也随之推广到数据中心以外的各种网络自动化部署的应用场景。

对于SD-WAN的 CPE设备的自动化部署和服务开通自然也不例外。

而针对SD-WAN 这一场景，除了之前提到提升设备配置效率、减少人为出错这两个优点以外，还有一个很重要的原因就是可以避免专业网络运维人员逐一访问各个企业站点 (俗称：Truck Roll) 去配置CPE设备和开通SD-WAN服务。

这能帮助网络运营商和企业用户省下不少运维成本。这也正是ZTP 如此受到客户青睐的原因。

（二）ZTP的典型流程和实现方式--两个阶段

第一阶段(Phase 1)： 是对CPE设备入网前进行一些准备工作（也即所谓的CPE On-Boarding）

此时CPE设备还处在设备厂商或运营商的网管中心，或企业用户自己的数据中心，在这里关于这个CPE设备的一系列具体信息 (比如: 软/硬件序列号，端口数量和类型，IP地址和其配置方式，以及即将被部署的站点位置信息，等等) 都会由网络运维人员手动录入SD-WAN网管系统。

人工录入的过程通常以填写模板的方式来进行，从而提升效率、减少人为出错机率。填写好的配置模板会自动生成配置文件存放在系统里，用于之后对CPE设备的自动化配置。

第二阶段(Phase 2)： 是CPE设备被邮寄到企业用户站点之后的一系列操作

(1) CPE设备开机上电 (在此之前要确保CPE设备的WAN端口已连上可用的WAN网络)。

(2) CPE设备通过WAN端口以DHCP的方式自动获取WAN IP地址 。

(3) CPE 设备通过DNS Server 查询并获得 ZTP Server 的IP 地址。ZTP Server 的Domain Name 是在Phase 1 On-Boarding时存入CPE设备的。 取决于企业客户选择的商业模式，ZTP Server 可以由 SD-WAN 供应商，或运营商，或企业客户自己，来提供和维护。

(4) ZTP Server 通过比对CPE设备的软/硬件序列号等信息，查找出这个CPE设备属于哪个企业用户，从而导向相应的验证服务器 (Auth. Server) 对CPE设备进行安全验证。

(5) 安全验证的方式可以有很多种，包括使用邮件或短信验证的方式来确保CPE设备是在正确的客户站点入网。验证通过后，Auth. Server 会将 SD-WAN Controller 的IP 地址发送给 CPE设备，从而在Controller 和 CPE 设备之间建立起安全的控制信道。

(6) Controller 将之前生成的初始化的配置信息发送给CPE设备，从而完成设备的初始化配置和升级。之后Controller和CPE设备会交换本站点和其他站点的路由及安全密钥等信息，用于建立跨站点之间的数据层IPSec链路

至此，这个CPE设备算是彻底加入了SD-WAN网络, 这个新的企业站点可以与其它的站点利用SD-WAN的各种炫酷的功能开始愉快地通信（比如上次讲到的 Application-Aware Routing）。

（三）ZTP价值

(1) 从客户的角度来看：

从企业客户收到CPE设备的邮递包裹，到站点SD-WAN 业务上线，客户只需要插上相应的网线和电源线，通过短信或邮件进行简单的身份认证，

剩下的事情都会自动完成，无需客户操心。

疫情期间，只需要邮递即可，无需上门服务，减少公司外来人员。

(2) 从运营商的角度来看：

只需在On-Boarding的阶段，在中心化的网管中心内，对CPE设备进行一些初始化的配置操作（而且可以借助模板来快速实现），无需派遣网络运维人员到客户站点进行繁琐的手动配置。这不仅大大加快了开通服务的速度，减少了手动配置出错的概率，同时也节省了派遣Truck Roll的成本。所以说ZTP绝对是一个皆大欢喜的好功能。