早期的SD-WAN產(chǎn)品為企業(yè)提供了一種代替MPLS鏈路，將分支機(jī)構(gòu)直接連接到云并優(yōu)化WAN流量的方法。但是，許多最初的SD-WAN產(chǎn)品都缺少集成防火墻、應(yīng)用程序感知路由和高級數(shù)據(jù)分析之類的功能。

[[319658]]

隨著時間的流逝，SD-WAN供應(yīng)商通過添加一些強(qiáng)大的附加功能來增強(qiáng)產(chǎn)品性能。然而，許多企業(yè)并沒有充分利用最新SD-WAN產(chǎn)品和托管服務(wù)選項(xiàng)的全部功能。

那么，為什么IT高管們還沒瞄準(zhǔn)這些新功能呢?因?yàn)樵谀承┣闆r下，供應(yīng)商在向IT領(lǐng)導(dǎo)者推薦這些先進(jìn)功能的好處和易用性方面缺乏培訓(xùn)。

很多時候，公司部門之間的溝通障礙(例如網(wǎng)絡(luò)和安全團(tuán)隊(duì)之間)阻礙了企業(yè)網(wǎng)絡(luò)的發(fā)展(例如，SD-WAN設(shè)備可能附帶的下一代防火墻或入侵防御系統(tǒng)，但I(xiàn)T領(lǐng)導(dǎo)者并不清楚)。一般情況下，網(wǎng)絡(luò)專業(yè)人員都遵循了多年的標(biāo)準(zhǔn)方法和程序，并且可以很好地完成工作。當(dāng)涉及一種新的工作方式(例如零接觸配置)時，可能不愿冒險，擔(dān)心如果出現(xiàn)問題，結(jié)果可能適得其反。但是，企業(yè)應(yīng)該考慮文中列出的未充分利用的SD-WAN功能。畢竟，不管怎樣，你是在為SD-WAN設(shè)備或托管服務(wù)付費(fèi)，為什么不讓你的錢物有所值呢?

1. 零接觸配置

部署分支機(jī)構(gòu)網(wǎng)絡(luò)設(shè)備的傳統(tǒng)方法是將物理設(shè)備帶到暫存區(qū)域，對其進(jìn)行配置、測試，然后再運(yùn)送到分支機(jī)構(gòu)，由網(wǎng)絡(luò)專業(yè)人員進(jìn)行設(shè)置。對于在廣泛的地理區(qū)域中部署數(shù)十個或數(shù)百個SD-WAN設(shè)備的公司而言，這是一個耗時耗力的過程。

零接觸配置是大多數(shù)SD-WAN設(shè)備的標(biāo)準(zhǔn)配置，可自動配置現(xiàn)成的設(shè)備。Apcela網(wǎng)絡(luò)工程主管Kunal Thakkar表示，所有設(shè)備只需Internet連接就可以回?fù)茈娫?，然后可以根?jù)預(yù)定義的模板以快速，高效，標(biāo)準(zhǔn)化的方式對其進(jìn)行完全配置。

2. 加密密鑰輪換

對于與聯(lián)邦政府有業(yè)務(wù)往來的企業(yè)(例如航空航天和國防公司)或承擔(dān)PCI合規(guī)性責(zé)任的企業(yè)(幾乎包括其他所有人)，加密密鑰需要定期(通常每90天)更換一次。這可能是一個繁瑣的手動過程，需要復(fù)雜的變更控制策略，并且在變更期間需要計劃好所需的停機(jī)時間。

SD-WAN平臺可以用自動化系統(tǒng)代替?zhèn)鹘y(tǒng)的基于VPN的密鑰輪換，該系統(tǒng)可以通過編程實(shí)現(xiàn)每分鐘進(jìn)行一次密鑰輪換，而且在輪換期間也不會中斷數(shù)據(jù)平面流量。相比于傳統(tǒng)的方法，SD-WAN更安全，無需停機(jī)，也無需人工干預(yù)。

3. 多路復(fù)用VPN

在許多情況下，公司需要將不同類型的流量彼此隔離。例如，在合并或收購的情況下，出于業(yè)務(wù)、合規(guī)性或安全性的原因，每個業(yè)務(wù)部門仍將繼續(xù)獨(dú)立運(yùn)作。如果企業(yè)決定升級到SD-WAN，則可能會考慮購買兩套物理設(shè)備。

但是SD-WAN技術(shù)允許多個虛擬路由和轉(zhuǎn)發(fā)(VRF)和VPN鏈接通過一個覆蓋層進(jìn)行多路復(fù)用，這在以前的VPN技術(shù)中是不可行的。對于具有多個業(yè)務(wù)部門的龐大、復(fù)雜的組織而言，只需設(shè)置策略即可實(shí)現(xiàn)流量隔離。Thakkar說，SD-WAN技術(shù)能夠創(chuàng)建多達(dá)16個虛擬VPN，它們都運(yùn)行在相同的物理WAN鏈路上。

4. 應(yīng)用程序感知路由

SD-WAN產(chǎn)品能夠檢查第7層的流量，以便為特定的應(yīng)用程序應(yīng)用精細(xì)路由策略。實(shí)際上，某些設(shè)備可以識別3,000多個不同的應(yīng)用程序，并了解每個應(yīng)用程序的性能要求。此功能可以幫助企業(yè)實(shí)時監(jiān)視敏感應(yīng)用程序的延遲、抖動和其他特征，并將應(yīng)用程序轉(zhuǎn)移到滿足性能閾值的最經(jīng)濟(jì)高效的傳輸方法，從而在細(xì)粒度上優(yōu)化電信成本。

據(jù)Aryaka Networks的首席技術(shù)官Ashwath Nagaraj稱，應(yīng)用程序感知路由并沒有得到廣泛的部署。因?yàn)榈?層流量檢查會有一定程度的性能開銷，而且它要求公司花時間和精力來每個應(yīng)用程序定義策略。但是Nagaraj認(rèn)為應(yīng)用程序感知路由可以提供顯著的性能和成本優(yōu)勢。

5. 編程API

思科Meraki產(chǎn)品管理高級總監(jiān)Raviv Levi表示，API的使用可以幫助公司在整個SD-WAN生命周期中編排和自動化功能。Levi表示，雖然目前這個功能還未被充分利用，但人們對它的興趣正在增長，因?yàn)镮T高管們開始認(rèn)識到，有了API，大型企業(yè)可以以前所未有的方式擁有和控制網(wǎng)絡(luò)。

API使企業(yè)可以自定義和自動化SD-WAN設(shè)備的初始配置，可以隨時大規(guī)模更改配置，自動化故障單流程，并獲取有關(guān)WAN性能的數(shù)據(jù)，以進(jìn)行實(shí)時流量優(yōu)化和基礎(chǔ)架構(gòu)的長期監(jiān)控和管理。例如，公司可以使用API對設(shè)備進(jìn)行編程，以執(zhí)行比默認(rèn)設(shè)置所要求的更頻繁的輪詢。

通過API，公司可以設(shè)置其SD-WAN基礎(chǔ)結(jié)構(gòu)以自動收集數(shù)據(jù)，這些數(shù)據(jù)可以用于管理用戶組、查看審核日志、收集設(shè)備清單、進(jìn)行實(shí)時監(jiān)視以及對網(wǎng)絡(luò)設(shè)備進(jìn)行故障排除等。

6. 優(yōu)化的云連接

Cloud breakout能夠?qū)⒎种C(jī)構(gòu)的流量直接連接到云上，而不必返回到數(shù)據(jù)中心，是SD-WAN的主要優(yōu)點(diǎn)之一。但在許多情況下，網(wǎng)絡(luò)管理員對最終用戶和云計算SaaS應(yīng)用程序之間的網(wǎng)絡(luò)性能特征的了解有限，甚至完全不了解。然而，供應(yīng)商現(xiàn)在提供了一項(xiàng)特性，在Cisco Viptela的示例中稱為Cloud OnRamp，該功能使用編程API來衡量SaaS應(yīng)用程序的性能，或者來自Amazon Web 服務(wù)和Microsoft Azure的IaaS服務(wù)的性能。

在IaaS場景中，云服務(wù)提供商SD-WAN路由器的虛擬實(shí)例會持續(xù)測量應(yīng)用程序的性能。在SaaS場景中，SD-WAN設(shè)備會連接到最近的SaaS存在點(diǎn)，并實(shí)時選擇最佳性能路徑。思科產(chǎn)品管理SD-WAN和企業(yè)路由高級總監(jiān)Rohan Grover表示，通過SD-WAN，終端用戶在使用Office 365等應(yīng)用時性能提高了40%。

7. 數(shù)據(jù)分析

數(shù)據(jù)分析也是SD-WAN未被充分利用的功能之一。SD-WAN能夠使用數(shù)據(jù)分析來排除網(wǎng)絡(luò)性能問題并執(zhí)行遠(yuǎn)程網(wǎng)絡(luò)容量規(guī)劃，無論用戶是用托管服務(wù)還是自己DIY，都可以從中獲得大量覆蓋端到端WAN連接的流量數(shù)據(jù)。有了數(shù)據(jù)分析功能，可以在一定程度上減少企業(yè)客戶、云服務(wù)提供商、IPS、最后一英里提供商等之間互相推卸責(zé)任的現(xiàn)象。

8. 端到端微分段

通過基于策略的工作負(fù)載隔離，微分段已經(jīng)成為保護(hù)在數(shù)據(jù)中心和云環(huán)境中運(yùn)行的應(yīng)用程序安全的一種日益流行的方法。微分段使公司能夠更好地控制東西向的流量，如果出現(xiàn)漏洞，微分段將限制黑客的潛在橫向活動。

SDN和NFV等軟件overlay的興起為微分段鋪平了道路，因此，微分段很自然地成為了SD-WAN overlay的一部分。Nuage Networks首席執(zhí)行官Sunil Khandekar認(rèn)為，微分段的好處在于，如果某個分支節(jié)點(diǎn)受到攻擊，中央策略服務(wù)器可以自動采取措施將分支與網(wǎng)絡(luò)的其他部分隔離開來。

9. 服務(wù)鏈

在通過MPLS鏈路將分支機(jī)構(gòu)的業(yè)務(wù)路由回數(shù)據(jù)中心時，分支機(jī)構(gòu)中不需要額外的網(wǎng)絡(luò)和安全功能。但是，由于現(xiàn)在分支機(jī)構(gòu)直接連接到全球互聯(lián)網(wǎng)，企業(yè)可能擁有多個分支機(jī)構(gòu)設(shè)備，例如防火墻、NAT盒和入侵防御系統(tǒng)。Khandekar表示，利用服務(wù)鏈可以減少企業(yè)分支機(jī)構(gòu)的混亂。組織可以創(chuàng)建連接的網(wǎng)絡(luò)服務(wù)鏈，并根據(jù)安全、延遲或QoS等領(lǐng)域的流量需求自動處理不同流量。

10. 固定無線連接

企業(yè)在設(shè)置分支機(jī)構(gòu)鏈路時應(yīng)考慮使用固定無線，特別是在考慮到部署速度的情況下。對于那些規(guī)模不太大的企業(yè)來說，從現(xiàn)有的ISP訂購WAN鏈接相對比較容易。但是對于那些在鄉(xiāng)村地區(qū)沒有傳統(tǒng)寬帶服務(wù)的組織，或者是需要快速向新的分支機(jī)構(gòu)提供SD-WAN的公司而言，固定無線連接可能是一個更好的選擇。

早期的SD-WAN部署主要關(guān)注于基本的連接和節(jié)省成本。但是，如今，SD-WAN已被視為支持?jǐn)?shù)字轉(zhuǎn)換的網(wǎng)絡(luò)自動化平臺。企業(yè)應(yīng)該及時發(fā)現(xiàn)和了解這些未被充分利用的功能，讓SD-WAN的優(yōu)勢得到充分的發(fā)揮。