摘要:軟件定義的WAN可以幫助您企業(yè)節(jié)省成本開銷的同時(shí),大大提高網(wǎng)絡(luò)性能。企業(yè)廣域網(wǎng)(WAN)已從采用幀中繼( Frame Relay)和ATM的專用的TDM電路,過渡到POS(Packet-over-SONET)和MPLS,而現(xiàn)在又到了以太網(wǎng)接入服務(wù)了。然而,在這期間,兩大要素卻一直未有發(fā)生改變,即廣域網(wǎng)帶寬的成本仍然是相當(dāng)昂貴的,而且配置廣域網(wǎng)服務(wù)需要花費(fèi)很長(zhǎng)的時(shí)間。
企業(yè)廣域網(wǎng)(WAN)已從采用幀中繼( Frame Relay)和ATM的專用的TDM電路,過渡到POS(Packet-over-SONET)和MPLS,而現(xiàn)在又到了以太網(wǎng)接入服務(wù)了。然而,在這期間,兩大要素卻一直未有發(fā)生改變,即廣域網(wǎng)帶寬的成本仍然是相當(dāng)昂貴的,而且配置廣域網(wǎng)服務(wù)需要花費(fèi)很長(zhǎng)的時(shí)間。
此外,廣域網(wǎng)為備份鏈路利用率的、遠(yuǎn)程站點(diǎn)的安全、流量工程、服務(wù)質(zhì)量(QoS)、非接觸式配置和流量可見性帶來了挑戰(zhàn)。而正是在這些問題以及其他諸多業(yè)務(wù)的驅(qū)動(dòng)下,使得企業(yè)組織開始重新評(píng)估他們的廣域網(wǎng)的設(shè)計(jì)和部署,并尋求改進(jìn)的機(jī)會(huì)。
軟件定義的廣域網(wǎng)(SD-WAN)提供了諸多的優(yōu)勢(shì),使得其逐漸成為企業(yè)組織用戶關(guān)注的一大熱門焦點(diǎn)。
什么是SD-WAN?
軟件定義已經(jīng)成為一個(gè)被濫用的專業(yè)術(shù)語(yǔ)了,但其主要是指軟件可幫助自動(dòng)化手動(dòng)任務(wù)。遺憾的是,網(wǎng)絡(luò)設(shè)備通常都是采用SSH一個(gè)一次的手工配置的。我們往往傾向于第一時(shí)間就想到軟件定義的網(wǎng)絡(luò)(SDN),因?yàn)槠淠軌驑?gòu)建一個(gè)數(shù)據(jù)中心架構(gòu),并提供非常細(xì)微的劃分。
SDN的集中于對(duì)于全球網(wǎng)絡(luò)可見性的一個(gè)集中控制器的概念可以被應(yīng)用到SD-WAN。網(wǎng)絡(luò)管理員使用一個(gè)控制器架構(gòu)來創(chuàng)建管理策略,并允許系統(tǒng)采取行動(dòng),而不需要顯式的手動(dòng)更改控制??刂破髌脚_(tái)根據(jù)廣域網(wǎng)當(dāng)前的情況和企業(yè)組織的應(yīng)用偏好進(jìn)行基于完全信息的策略轉(zhuǎn)發(fā)。全球性的變化可以立即和同時(shí)進(jìn)行,而無需手動(dòng)登錄到每個(gè)路由器。
如下是SD-WAN的五大優(yōu)勢(shì)分析:
1、傳輸?shù)莫?dú)立性
想象一下,能夠使用汽油、柴油、電力、天然氣、氫氣、甚至是廢棄的炸薯?xiàng)l的油來運(yùn)行的混合動(dòng)力汽車是多么贊啊。SD-WAN便具有相似的特征,及其所謂的獨(dú)立的傳輸。這意味著,廣域網(wǎng)可以包括3G/4G LTE、MPLS、因特網(wǎng)、以太網(wǎng)、串行或WiFi服務(wù)的任意組合。具有一個(gè)廣域網(wǎng),可以使用任何類型的服務(wù),以便能夠?qū)崿F(xiàn)更快的安裝和更多的帶寬的選項(xiàng)。
在過去十年中,企業(yè)級(jí)互聯(lián)網(wǎng)的可靠性和服務(wù)性能增加了,而且相比于使用基于距離專用長(zhǎng)途專用WAN鏈接的定價(jià),互聯(lián)網(wǎng)帶寬的成本很低。高帶寬的網(wǎng)絡(luò)服務(wù)可以在幾天內(nèi)安裝完畢,而無需為一個(gè)MPLS電路花費(fèi)數(shù)周的時(shí)間。
2、安全
在過去,企業(yè)組織假設(shè)認(rèn)為他們的廣域網(wǎng)是安全的,因?yàn)樗麄儧]有辦法將管理策略應(yīng)用于運(yùn)營(yíng)商的鏈接。而該假設(shè)的前提是,承運(yùn)商不會(huì)檢查客戶的流量,他們的行為與郵遞員一樣,具備同樣的誠(chéng)信。而企業(yè)組織信任他們的廣域網(wǎng),因?yàn)樗麄儫o法采取任何措施來確保它的安全。
從歷史上看,企業(yè)組織需要為每個(gè)分支機(jī)構(gòu)購(gòu)買多款安全設(shè)備。舊型號(hào)的路由器缺乏空閑的CPU功能來執(zhí)行這種類型的防火墻、IPS和惡意軟件保護(hù)功能。相反,企業(yè)組織只需強(qiáng)制所有的分支機(jī)構(gòu)的流量必須通過主數(shù)據(jù)中心,以便讓安裝在此的應(yīng)用程序進(jìn)行安全防御。
但是,SD-WAN解決方案帶來了許多這些相關(guān)的安全功能,從而進(jìn)一步降低了廣域網(wǎng)的總成本。 SD-WAN系統(tǒng)可以與云的Web內(nèi)容過濾服務(wù)整合,以便使得每個(gè)分支路由器的功能就像一個(gè)Web代理服務(wù)器。 SD-WAN系統(tǒng)可以為每一個(gè)分支和遠(yuǎn)程設(shè)備提供惡意軟件防御和僵尸網(wǎng)絡(luò)的命令的控制和干預(yù)。
SD-WAN系統(tǒng)可以通過使用IPsec或TLS/DTLS,通過在傳輸過程中的加密為機(jī)密數(shù)據(jù)提供安全保護(hù)。 SD-WAN設(shè)備有足夠的計(jì)算資源能夠輕松地執(zhí)行利用多點(diǎn)GRE(MGRE)和下一跳解析協(xié)議(NHRP)進(jìn) 行高速加密,以便易于配置全網(wǎng)狀連接。
安全性也意味著保持可用性,以及SD-WAN系統(tǒng)通過獨(dú)立的廣域網(wǎng)服務(wù)實(shí)現(xiàn)動(dòng)態(tài)故障轉(zhuǎn)移。安全性也意味著完整性。當(dāng)手動(dòng)配置每個(gè)分支機(jī)構(gòu)的設(shè)備時(shí),可能會(huì)出現(xiàn)配置不一致的情況。而借助SD-WAN,每個(gè)分支可以實(shí)現(xiàn)相同的安全策略和配置以及企業(yè)之外的合規(guī)性配置可以很容易地進(jìn)行修復(fù)。 SD-WAN系統(tǒng)通過推出完整的配置管理和自動(dòng)回滾的變化來保持每個(gè)遠(yuǎn)程站點(diǎn)的配置的完整性。
3、智能路徑控制
企業(yè)組織在網(wǎng)絡(luò)的可用性方面承擔(dān)著巨大的責(zé)任。如果網(wǎng)絡(luò)出現(xiàn)故障,員工們就回家一整天啥事也不用干了。維護(hù)冗余網(wǎng)絡(luò)的成本可能是昂貴的,特別是當(dāng)大部分時(shí)間處于一個(gè)空閑狀態(tài)的網(wǎng)絡(luò)。而SD-WAN的一個(gè)重要的特點(diǎn)便是智能路徑控制。SD-WAN系統(tǒng)可以使用基于應(yīng)用程序的流量在任何一個(gè)傳輸選項(xiàng)導(dǎo)向直接連接
這些流量轉(zhuǎn)發(fā)策略可以在一個(gè)集中控制器系統(tǒng)中創(chuàng)建,并推送到所有的SD-WAN設(shè)備。策略可以根據(jù)IP地址、應(yīng)用程序配置文件或端口號(hào)、一天中的時(shí)間點(diǎn)、QoS標(biāo)記,IP SLA的測(cè)量和近實(shí)時(shí)電流鏈路利用率、延遲性、丟包和性能閾值等來制定。
SD-WAN解決方案可以測(cè)量廣域網(wǎng)服務(wù)及其特性的類型,然后相應(yīng)地調(diào)整流量轉(zhuǎn)發(fā)。 SD-WAN解決方案可以利用高性能路由(PfRv3)或?qū)S兴惴▉泶_定轉(zhuǎn)發(fā)的偏好,來引導(dǎo)該流量應(yīng)該被轉(zhuǎn)發(fā)到總部所在地,備用數(shù)據(jù)中心或是云服務(wù)供應(yīng)商。
4、改善終端用戶體驗(yàn)
因?yàn)橄喈?dāng)高百分比的商業(yè)價(jià)值都是由企業(yè)分支機(jī)構(gòu)/遠(yuǎn)程辦公的員工們所創(chuàng)造的,因此,使得他們能夠快速上網(wǎng)和保持他們的生產(chǎn)力是最為重要的。SD-WAN的除傳輸獨(dú)立和智能路徑控制之外的另一大優(yōu)勢(shì)便是能夠讓分支機(jī)構(gòu)的員工們努力工作的同時(shí),確保他們獲得最佳的應(yīng)用程序性能。SD-WAN可以幫助自動(dòng)執(zhí)行全部或部分網(wǎng)狀拓?fù)浣Y(jié)構(gòu)來幫助緩解延遲的影響和提高應(yīng)用程序的響應(yīng)時(shí)間。如果一名最終用戶正在訪問一個(gè)公共云應(yīng)用程序,那么他們就可以使用互聯(lián)網(wǎng)連接和安全通道,以直接訪問該應(yīng)用程序,而不是通過總部樞紐的企業(yè)廣域網(wǎng)。
通過手動(dòng)設(shè)置以便能夠在許多分支機(jī)構(gòu)保持服務(wù)質(zhì)量(QoS)無疑是一項(xiàng)不小的負(fù)擔(dān),其會(huì)造成許多企業(yè)組織直接撒手不實(shí)施任何有用的確保QoS的措施了。廣域網(wǎng)服務(wù)提供商缺乏對(duì)于通過他們的網(wǎng)絡(luò)的客戶的應(yīng)用流量的了解,而廣域網(wǎng)服務(wù)商只能通過分組的QoS標(biāo)記來進(jìn)行標(biāo)記(如DSCP)。而SD-WAN解決方案則可以通過技術(shù)知道應(yīng)用程序遍歷網(wǎng)絡(luò),如基于網(wǎng)絡(luò)的應(yīng)用程序識(shí)別技術(shù)(NBAR)和應(yīng)用指紋技術(shù)。例如,一款SD-WAN裝置則能理解其中所采用的是哪款視頻編解碼器,并將為該款應(yīng)用程序選擇最佳流量路徑。
SD-WAN系統(tǒng)可以擁有復(fù)雜的集中定義,但全球分布式的QoS策略。較之傳統(tǒng)的路由器手工配置的靜態(tài)QoS策略,SD-WAN QoS策略可以是動(dòng)態(tài)的,容易改變。 SD-WAN系統(tǒng)也可以整合本地緩存、存儲(chǔ)復(fù)制、廣域網(wǎng)優(yōu)化和加速、壓縮和流量整形。流量避免技術(shù)可以阻止不需要的應(yīng)用程序和限制某些應(yīng)用類型的速率。
5、自動(dòng)配置和管理
企業(yè)遠(yuǎn)程維護(hù)他們的廣域網(wǎng),并盡量減少其IT人員對(duì)于其分支機(jī)構(gòu)的來訪,除了新的分支機(jī)構(gòu)必要的設(shè)備安裝。無人值守管理聽起來成本效益,但企業(yè)組織需要對(duì)WAN流量模式有更好的可視性。 SD-WAN解決方案提供零接觸自動(dòng)化的配置,便于運(yùn)輸設(shè)備到現(xiàn)場(chǎng),并讓現(xiàn)場(chǎng)順利運(yùn)行,而無需專門派員工預(yù)訂飛機(jī)票親臨現(xiàn)場(chǎng)。
SD-WAN設(shè)備被發(fā)送到未配置的網(wǎng)站。該設(shè)備被連接,然后使用DHCP或者PXE或ONIE來啟動(dòng),獲取IP地址,執(zhí)行DNS查詢,然后試圖達(dá)到集中式/虛擬化控制器。該裝置就會(huì)自動(dòng)下載相應(yīng)的管理政策,加密證書和密鑰,然后形成鄰接,并開始學(xué)習(xí)流量模式。 SD-WAN的產(chǎn)品也可以在互聯(lián)網(wǎng)上使用基于云的控制器系統(tǒng),便于配置。這些方法可以通過從硬件解耦配置和使設(shè)備的無痛更換,改善故障。
企業(yè)組織往往缺乏對(duì)于廣域網(wǎng)應(yīng)用程序流量的可見性。即使有一個(gè)SLA和一定級(jí)別的服務(wù),WAN運(yùn)營(yíng)商不提供有關(guān)其服務(wù)的好統(tǒng)計(jì)。而有效的監(jiān)測(cè)優(yōu)先順序應(yīng)包括:上/下監(jiān)控,時(shí)間戳集中記錄,容量規(guī)劃統(tǒng)計(jì),應(yīng)用性能指標(biāo)。
這些數(shù)據(jù)可以借助Netflow/IPFIX / sFlow或SNMP進(jìn)行收集。SD-WAN系統(tǒng)可以提供詳細(xì)的應(yīng)用程序統(tǒng)計(jì),并顯示他們的綜合測(cè)試流量的測(cè)量結(jié)果。一些SD-WAN系統(tǒng)甚至具有應(yīng)用性能管理(APM)功能。
傳統(tǒng)的路由器是專用于計(jì)算機(jī)的,其具有很專業(yè)的CPU和操作系統(tǒng)。 SD-WAN設(shè)備不一定要專業(yè)設(shè)備。他們可以是簡(jiǎn)單計(jì)算資源的x86服務(wù)器的利用政策和幾個(gè)1GE網(wǎng)卡。然而,x86硬件和標(biāo)準(zhǔn)的操作系統(tǒng)可能無法連接基于TDM的同步接口,需要一個(gè)實(shí)時(shí)操作系統(tǒng)。例如,CloudGenix公司的SD-WAN設(shè)備只支持以太網(wǎng)接口,因?yàn)橐蕴W(wǎng)已成為主導(dǎo)的廣域網(wǎng)接口類型。
傳統(tǒng)的基于路由器的解決方案已經(jīng)發(fā)展,并獲得了更多的SD-WAN功能。最值得注意的是,思科的智能廣域網(wǎng)(IWAN)有他們所有的路由器的基本SD-WAN功能。然而,IWAN需要更快的路由器,如ISR G2 2900/3900、ISR 4000或ASR1000路由器以便能夠執(zhí)行一些更多CPU密集型的功能。
一些SD-WAN 解決方案使用商用服務(wù)器來要么替換現(xiàn)有的路由器要么可結(jié)合當(dāng)前被使用的設(shè)備。諸如Pluribus Networks和Talari等公司使用超微的x86硬件。而諸如Viptela、CloudGenix和Sonus Networks等公司則使用自己定制的硬件。
諸如供應(yīng)商VeloCloud公司,提供直接將云流量傳輸?shù)教囟ǖ脑品?wù)的功能,從而提高了公共云應(yīng)用程序的最終用戶體驗(yàn)。一些SD-WAN供應(yīng)商,像FatPipe,已從傳統(tǒng)的提供廣域網(wǎng)連接和廣域網(wǎng)鏈路聚合解決方案轉(zhuǎn)型為廣域網(wǎng)開發(fā)。
一些傳統(tǒng)的廣域網(wǎng)優(yōu)化供應(yīng)廠商都將他們傳統(tǒng)上提供的產(chǎn)品進(jìn)行了SD-WAN產(chǎn)品標(biāo)注。而一些廣域網(wǎng)優(yōu)化的公司,現(xiàn)在有SD-WAN功能包括:Riverbed、Citrix CloudBridge、和SilverPeak。
根據(jù)他們的許可授權(quán)模式的不同,SD-WAN廠商也各不相同。思科為IWAN路由器提供思科ONE許可選項(xiàng)。其他SD-WAN的供應(yīng)商可每年獲得許可授權(quán),基于站點(diǎn)數(shù)量,接口帶寬量,甚至提供進(jìn)行一臺(tái)設(shè)備的租賃經(jīng)營(yíng)。
也有幾款SD-WAN管理系統(tǒng)可以作為集中控制器、策略存儲(chǔ),執(zhí)行許多傳統(tǒng)的網(wǎng)管系統(tǒng)的功能。思科IWAN解決方案可以使用思科Prime基礎(chǔ)設(shè)施(CPI)3.0版系統(tǒng),或使用應(yīng)用程序策略基礎(chǔ)架構(gòu)控制器(APIC)企業(yè)模塊(APIC-EM)。其他受歡迎的SD-WAN管理平臺(tái)包括LiveAction和Glue Networks。
遷移到SD-WAN可以是漸進(jìn)的,也可以是快速和積極一致的。即使是最不差錢的企業(yè)可以立即更換所有的廣域硬件,也是極不可能的。更可能的情況則是升級(jí)將在一時(shí)間成為舊的硬件或老化了的幾個(gè)網(wǎng)站。這些SD-WAN 解決方案中的一些可與當(dāng)前路由器共存。有些SD-WAN供應(yīng)廠商將當(dāng)前的IP網(wǎng)絡(luò)作為底,并可能在混合部署工作。有些SD-WAN解決方案可以在企業(yè)組織只進(jìn)行監(jiān)視模式(像IDS),然后,在企業(yè)組織適應(yīng)了解決方案的部署之后,被放入一個(gè)活動(dòng)模式(像IPS)。
總結(jié)
隨著企業(yè)組織不斷需要用更少的資源來做更多的工作,勉強(qiáng)維持其IT效率,他們將很難看出其廣域網(wǎng)成本和鏈路利用率的統(tǒng)計(jì)數(shù)據(jù)。在當(dāng)前的SD-WAN市場(chǎng),供應(yīng)廠商都積極的定價(jià)并開發(fā)新的功能,以保持競(jìng)爭(zhēng)力。
2016年將是大多數(shù)企業(yè)尋求采取一定的措施來朝著SDN的WAN邁進(jìn)的一年。企業(yè)組織可以獲益于獨(dú)立的傳輸和智能路徑控制、安全性、自動(dòng)配置,并增加了流量可視性,同時(shí)還能從財(cái)務(wù)和運(yùn)營(yíng)上獲益。最終用戶將體會(huì)到應(yīng)用程序性能的提高,智能化的QoS和流量?jī)?yōu)化。而下一步將是確定哪些SD-WAN產(chǎn)品最為適合您的企業(yè)組織和如何進(jìn)行部署。