詳解 SD-WAN 架構終極指南
近年來,軟件定義廣域網 (SD-WAN) 被企業廣泛采用,是分支機構連接到數據中心以及其他云應用的一種經濟高效的方式。本文將圍繞SD-WAN基礎知識、工作原理、優秀實踐和故障排除等多方面展開介紹,并對SD-WAN架構未來的發展進行分析。
SD-WAN簡介
對于跨國企業或者在多個城市設有分支機構的大型企業來說,快速可靠的應用性能需求、專用網絡電路的高成本以及配置、監控和管理等日常任務的復雜性都在廣域網中被放大了,雖然廣域網優化和流量整形等手段確實有一定的助力,但它們并不能解決網絡邊緣的所有問題,專用電路的成本仍然很高,可能需要幾個月的時間來部署,還可能需要額外的員工來管理分支機構和遠程位置的設備。
SD-WAN產品和服務通常具有WAN連接虛擬化、集中策略監督、編排以及動態管理流量的能力。有些供應商聲稱自己提供SD-WAN產品,但實際上他們僅提供了該技術典型功能的一小部分,這樣的產品并不是真正的SD-WAN。SD-WAN在廣域網連接之間提供冗余,如果主路徑出現故障或不可用,它會自動將故障轉移到另一條路徑。SD-WAN還可以使用跨多個連接的負載平衡來提高應用和網絡性能。SD-WAN具有許多優勢,可以解決管理和維護廣域網配置的問題。
SD-WAN 與傳統廣域網
SD-WAN內置了許多傳統廣域網的功能,例如負載平衡和災難恢復功能。然而,在傳統的廣域網中,添加這些功能可能既耗時又復雜。SD-WAN支持實時、自動化和標準化的配置更改,大大減少了傳統廣域網手動配置所帶來的人為錯誤。
SD-WAN架構依賴虛擬化overlay,這使得在分布式邊緣設備之間轉移和復制策略變得更容易。例如,隨著組織的發展,它可以使用一個位置現有的WAN連接到SD-WAN設備,通過集中控制器遠程管理站點策略。虛擬化提供的這種敏捷性對于滿足業務需求至關重要。
當將SD-WAN與虛擬專用網放在一起時,差異是顯而易見的。例如,典型的虛擬專用網非常適用于具有單一 IP 骨干網的企業,但當引入語音和視頻或網絡阻塞時,這種架構就會崩潰。與基本的互聯網虛擬專用網相比,SD-WAN 的細粒度支持使其在服務質量 (QoS) 方面更具優勢。同樣,虛擬專用網也無法始終為互聯網連接提供基于云的服務所需的優化和高級安全性。SD-WAN還能夠自動檢測網絡狀況并提供網絡可見性。
SD-WAN 與 MPLS
幾十年來,MPLS一直是組織值得信賴的首選連接選擇,但它也很昂貴,而且靈活度方面有些不足。SD-WAN架構使組織能夠繼續使用 MPLS,同時通過添加替代的、成本較低的鏈路(例如寬帶或無線)來提高效率并節省成本。MPLS仍然具有作為提供端到端QoS的專用連接的優勢。MPLS提供商可以提供相對更全面的SLA。
SD-WAN 挑戰
雖然SD-WAN的優點很多,但其缺點也必須綜合考慮。例如,雖然從長遠來看 SD-WAN 應該會降低連接成本,但往往從短期來看對于成本的節約微乎其微。
向廣域網添加一層可能會帶來新的漏洞,必須對這些漏洞進行密切監視和管理。SD-WAN可能會出現從多個供應商處獲得連接的情況,這可能會增加管理的難度。組織不能忽視部署和管理SD-WAN技術所需的專業知識,當供應商試圖簡化圍繞SD-WAN的大多數流程時,企業自身仍然需要仔細考慮他們想要推出的每個特性的需求,以及整體安全性的計劃。
據 IDC 稱,SD-WAN 市場正在快速增長,預計到 2023 年將達到 52.5 億美元。盡管如此,要確切地辨別每個供應商或服務提供商的產品中具體包含了哪些內容還是很困難的。企業首先要做的就是確定哪些產品或服務最適合其網絡和業務需求。
部署 SD-WAN
一旦組織確定了供應商并準備將 SD-WAN 引入網絡,就需要檢查他們現有的網絡并確定他們的硬件是否可以支持 SD-WAN,或者是否需要升級或購買新設備。一些企業可能需要購買基于硬件的設備或虛擬服務器軟件。
準備工作可能涉及到深入的細節,比如哪種路由協議在哪個位置最有效。并非所有協議都適用于任何地方,因此企業必須仔細考慮選擇。
在部署SD-WAN之前,用戶應該進行概念驗證測試,以衡量重要指標——例如從一個故障鏈接到一個操作路徑的故障轉移速度、不同鏈接的流量類型的隔離以及通過使用多個并行鏈接如何提高吞吐量等。
除此之外,制定穩定的故障排除和監控策略也同樣重要。網絡團隊需要考慮事件處理、活動路徑測試、物理狀態和拓撲,所有這些對于故障排除都是必不可少的。
SD-WAN 安全
雖然安全并不是采用SD-WAN的主要原因,但供應商和提供商已經通過支持IP安全標準并與頂級安全供應商合作等方式將保護集成到他們的產品和服務中來解決安全問題。
組織希望在SD-WAN產品或服務中看到的一個基本能力是將新設備安全地集成到SD-WAN中以防止惡意設備訪問其WAN流量。其他功能還包括數據平面加密和控制平面加密。
組織應充分了解SD-WAN供應商或提供商的安全策略的細節,并確保它符合業務需求。例如,評估 SD-WAN 軟件是否記錄無效的連接嘗試或警告管理員未經授權的訪問或惡意軟件,這種類型的日志可以檢測和防止DoS攻擊。
SD-WAN的未來
SD-WAN是一種可以與5G以及物聯網 (IoT) 完美搭配的技術。目前企業5G服務和設備尚未廣泛使用,但5G的潛力不容小覷。與4G相比,5G具有更低的延遲,將創建更快更好的連接。SD-WAN有望智能地簡化從物聯網邊緣設備到集中式數據中心的通信,特別是匹配5G的低延遲時。
隨著SASE等新技術的出現,SD-WAN 的未來將蓬勃發展。企業的首要任務是權衡SD-WAN在其公司環境中是否有意義。
