詳解 SD-WAN 架構終極指南

2021.07.07

近年來,軟體定義廣域網 (SD-WAN) 被企業廣泛採用,是分支機構連接到數據中心以及其他雲應用的一種經濟高效的方式。 本文將圍繞SD-WAN基礎知識、工作原理、優秀實踐和故障排除等多方面展開介紹,並對SD-WAN架構未來的發展進行分析。

SD-WAN簡介

對於跨國企業或者在多個城市設有分支機構的大型企業來說,快速可靠的應用性能需求、專用網路電路的高成本以及配置、監控和管理等日常任務的複雜性都在廣域網中被放大了,雖然廣域網優化和流量整形等手段確實有一定的助力,但它們並不能解決網路邊緣的所有問題,專用電路的成本仍然很高,可能需要幾個月的時間來部署, 還可能需要額外的員工來管理分支機構和遠端位置的設備。
SD-WAN產品和服務通常具有WAN連接虛擬化、集中策略監督、編排以及動態管理流量的能力。 有些供應商聲稱自己提供SD-WAN產品,但實際上他們僅提供了該技術典型功能的一小部分,這樣的產品並不是真正的SD-WAN。 SD-WAN在廣域網連接之間提供冗餘,如果主路徑出現故障或不可用,它會自動將故障轉移到另一條路徑。 SD-WAN還可以使用跨多個連接的負載平衡來提高應用和網路性能。 SD-WAN具有許多優勢,可以解決管理和維護廣域網配置的問題。


SD-WAN 與傳統廣域網

SD-WAN內置了許多傳統廣域網的功能,例如負載平衡和災難恢復功能。 然而,在傳統的廣域網中,添加這些功能可能既耗時又複雜。 SD-WAN支援即時、自動化和標準化的配置更改,大大減少了傳統廣域網手動配置所帶來的人為錯誤。

SD-WAN架構依賴虛擬化overlay,這使得在分散式邊緣設備之間轉移和複製策略變得更容易。 例如,隨著組織的發展,它可以使用一個位置現有的WAN連接到SD-WAN設備,通過集中控制器遠端管理網站策略。 虛擬化提供的這種敏捷性對於滿足業務需求至關重要。 當將SD-WAN與虛擬專用網放在一起時,差異是顯而易見的。 例如,典型的虛擬專用網非常適用於具有單一 IP 骨幹網的企業,但當引入語音和視頻或網路阻塞時,這種架構就會崩潰。 與基本的互聯網虛擬專用網相比,SD-WAN 的細粒度支援使其在服務品質 (QoS) 方面更具優勢。 同樣,虛擬專用網也無法始終為互聯網連接提供基於雲的服務所需的優化和高級安全性。 SD-WAN還能夠自動檢測網路狀況並提供網路可見性。

SD-WAN 与 MPLS

幾十年來,MPLS一直是組織值得信賴的首選連接選擇,但它也很昂貴,而且靈活度方面有些不足。 SD-WAN架構使組織能夠繼續使用 MPLS,同時透過添加替代的、成本較低的鏈路(例如寬頻或無線)來提高效率並節省成本。 MPLS仍然具有作為提供端到端QoS的專用連接的優勢。 MPLS供應商可以提供相對更全面的SLA。


雖然SD-WAN的優點很多,但其缺點也必須綜合考慮。 例如,雖然從長遠來看 SD-WAN 應該會降低連接成本,但往往從短期來看對於成本的節約微乎其微。 向廣域網添加一層可能會帶來新的漏洞,必須對這些漏洞進行密切監視和管理。 SD-WAN可能會出現從多個供應商處獲得連接的情況,這可能會增加管理的難度。 組織不能忽視部署和管理SD-WAN技術所需的專業知識,當供應商試圖簡化圍繞SD-WAN的大多數流程時,企業自身仍然需要仔細考慮他們想要推出的每個特性的需求,以及整體安全性的計劃。

據 IDC 稱,SD-WAN 市場正在快速增長,預計到 2023 年將達到 52.5 億美元。 儘管如此,要確切地辨別每個供應商或服務提供者的產品中具體包含了哪些內容還是很困難的。 企業首先要做的就是確定哪些產品或服務最適合其網路和業務需求。

部署 SD-WAN

一旦組織確定了供應商並準備將 SD-WAN 引入網路,就需要檢查他們現有的網路並確定他們的硬體是否可以支援 SD-WAN,或者是否需要升級或購買新設備。 一些企業可能需要購買基於硬體的設備或虛擬伺服器軟體。 準備工作可能涉及到深入的細節,比如哪種路由協定在哪個位置最有效。 並非所有協定都適用於任何地方,因此企業必須仔細考慮選擇。 在部署SD-WAN之前,用戶應該進行概念驗證測試,以衡量重要指標——例如從一個故障連結到一個操作路徑的故障轉移速度、不同連結的流量類型的隔離以及通過使用多個並行連結如何提高輸送量等。 除此之外,制定穩定的故障排除和監控策略也同樣重要。 網路團隊需要考慮事件處理、活動路徑測試、物理狀態和拓撲,所有這些對於故障排除都是必不可少的。


SD-WAN 安全

雖然安全並不是採用SD-WAN的主要原因,但供應商和供應商已經通過支援IP安全標準並與頂級安全供應商合作等方式將保護集成到他們的產品和服務中來解決安全問題。 組織希望在SD-WAN產品或服務中看到的一個基本能力是將新設備安全地集成到SD-WAN中以防止惡意設備訪問其WAN流量。 其他功能還包括數據平面加密和控制平面加密。 組織應充分瞭解SD-WAN供應商或提供者的安全策略的細節,並確保它符合業務需求。 例如,評估 SD-WAN 軟體是否記錄無效的連接嘗試或警告管理員未經授權的訪問或惡意軟體,這種類型的日誌可以檢測和防止DoS攻擊。

SD-WAN的未來

SD-WAN是一種可以與5G以及物聯網 (IoT) 完美搭配的技術。 目前企業5G服務和設備尚未廣泛使用,但5G的潛力不容小覷。 與4G相比,5G具有更低的延遲,將創建更快更好的連接。 SD-WAN有望智慧地簡化從物聯網邊緣設備到集中式數據中心的通信,特別是匹配5G的低延遲時。 隨著SASE等新技術的出現,SD-WAN 的未來將蓬勃發展。 企業的首要任務是權衡SD-WAN在其公司環境中是否有意義。