近年來，軟件定義廣域網(wǎng) (SD-WAN) 被企業(yè)廣泛采用，是分支機構(gòu)連接到數(shù)據(jù)中心以及其他云應(yīng)用的一種經(jīng)濟高效的方式。本文將圍繞SD-WAN基礎(chǔ)知識、工作原理、優(yōu)秀實踐和故障排除等多方面展開介紹，并對SD-WAN架構(gòu)未來的發(fā)展進行分析。

[[409657]]

SD-WAN簡介

對于跨國企業(yè)或者在多個城市設(shè)有分支機構(gòu)的大型企業(yè)來說，快速可靠的應(yīng)用性能需求、專用網(wǎng)絡(luò)電路的高成本以及配置、監(jiān)控和管理等日常任務(wù)的復(fù)雜性都在廣域網(wǎng)中被放大了，雖然廣域網(wǎng)優(yōu)化和流量整形等手段確實有一定的助力，但它們并不能解決網(wǎng)絡(luò)邊緣的所有問題，專用電路的成本仍然很高，可能需要幾個月的時間來部署，還可能需要額外的員工來管理分支機構(gòu)和遠程位置的設(shè)備。

SD-WAN產(chǎn)品和服務(wù)通常具有WAN連接虛擬化、集中策略監(jiān)督、編排以及動態(tài)管理流量的能力。有些供應(yīng)商聲稱自己提供SD-WAN產(chǎn)品，但實際上他們僅提供了該技術(shù)典型功能的一小部分，這樣的產(chǎn)品并不是真正的SD-WAN。SD-WAN在廣域網(wǎng)連接之間提供冗余，如果主路徑出現(xiàn)故障或不可用，它會自動將故障轉(zhuǎn)移到另一條路徑。SD-WAN還可以使用跨多個連接的負載平衡來提高應(yīng)用和網(wǎng)絡(luò)性能。SD-WAN具有許多優(yōu)勢，可以解決管理和維護廣域網(wǎng)配置的問題。

SD-WAN 與傳統(tǒng)廣域網(wǎng)

SD-WAN內(nèi)置了許多傳統(tǒng)廣域網(wǎng)的功能，例如負載平衡和災(zāi)難恢復(fù)功能。然而，在傳統(tǒng)的廣域網(wǎng)中，添加這些功能可能既耗時又復(fù)雜。SD-WAN支持實時、自動化和標(biāo)準(zhǔn)化的配置更改，大大減少了傳統(tǒng)廣域網(wǎng)手動配置所帶來的人為錯誤。

SD-WAN架構(gòu)依賴虛擬化overlay，這使得在分布式邊緣設(shè)備之間轉(zhuǎn)移和復(fù)制策略變得更容易。例如，隨著組織的發(fā)展，它可以使用一個位置現(xiàn)有的WAN連接到SD-WAN設(shè)備，通過集中控制器遠程管理站點策略。虛擬化提供的這種敏捷性對于滿足業(yè)務(wù)需求至關(guān)重要。

當(dāng)將SD-WAN與虛擬專用網(wǎng)放在一起時，差異是顯而易見的。例如，典型的虛擬專用網(wǎng)非常適用于具有單一 IP 骨干網(wǎng)的企業(yè)，但當(dāng)引入語音和視頻或網(wǎng)絡(luò)阻塞時，這種架構(gòu)就會崩潰。與基本的互聯(lián)網(wǎng)虛擬專用網(wǎng)相比，SD-WAN 的細粒度支持使其在服務(wù)質(zhì)量 (QoS) 方面更具優(yōu)勢。同樣，虛擬專用網(wǎng)也無法始終為互聯(lián)網(wǎng)連接提供基于云的服務(wù)所需的優(yōu)化和高級安全性。SD-WAN還能夠自動檢測網(wǎng)絡(luò)狀況并提供網(wǎng)絡(luò)可見性。

SD-WAN 與 MPLS

幾十年來，MPLS一直是組織值得信賴的首選連接選擇，但它也很昂貴，而且靈活度方面有些不足。SD-WAN架構(gòu)使組織能夠繼續(xù)使用 MPLS，同時通過添加替代的、成本較低的鏈路(例如寬帶或無線)來提高效率并節(jié)省成本。MPLS仍然具有作為提供端到端QoS的專用連接的優(yōu)勢。MPLS提供商可以提供相對更全面的SLA。

SD-WAN 挑戰(zhàn)

雖然SD-WAN的優(yōu)點很多，但其缺點也必須綜合考慮。例如，雖然從長遠來看 SD-WAN 應(yīng)該會降低連接成本，但往往從短期來看對于成本的節(jié)約微乎其微。

向廣域網(wǎng)添加一層可能會帶來新的漏洞，必須對這些漏洞進行密切監(jiān)視和管理。SD-WAN可能會出現(xiàn)從多個供應(yīng)商處獲得連接的情況，這可能會增加管理的難度。組織不能忽視部署和管理SD-WAN技術(shù)所需的專業(yè)知識，當(dāng)供應(yīng)商試圖簡化圍繞SD-WAN的大多數(shù)流程時，企業(yè)自身仍然需要仔細考慮他們想要推出的每個特性的需求，以及整體安全性的計劃。

據(jù) IDC 稱，SD-WAN 市場正在快速增長，預(yù)計到 2023 年將達到 52.5 億美元。盡管如此，要確切地辨別每個供應(yīng)商或服務(wù)提供商的產(chǎn)品中具體包含了哪些內(nèi)容還是很困難的。企業(yè)首先要做的就是確定哪些產(chǎn)品或服務(wù)最適合其網(wǎng)絡(luò)和業(yè)務(wù)需求。

部署 SD-WAN

一旦組織確定了供應(yīng)商并準(zhǔn)備將 SD-WAN 引入網(wǎng)絡(luò)，就需要檢查他們現(xiàn)有的網(wǎng)絡(luò)并確定他們的硬件是否可以支持 SD-WAN，或者是否需要升級或購買新設(shè)備。一些企業(yè)可能需要購買基于硬件的設(shè)備或虛擬服務(wù)器軟件。

準(zhǔn)備工作可能涉及到深入的細節(jié)，比如哪種路由協(xié)議在哪個位置最有效。并非所有協(xié)議都適用于任何地方，因此企業(yè)必須仔細考慮選擇。

在部署SD-WAN之前，用戶應(yīng)該進行概念驗證測試，以衡量重要指標(biāo)——例如從一個故障鏈接到一個操作路徑的故障轉(zhuǎn)移速度、不同鏈接的流量類型的隔離以及通過使用多個并行鏈接如何提高吞吐量等。

除此之外，制定穩(wěn)定的故障排除和監(jiān)控策略也同樣重要。網(wǎng)絡(luò)團隊需要考慮事件處理、活動路徑測試、物理狀態(tài)和拓撲，所有這些對于故障排除都是必不可少的。

SD-WAN 安全

雖然安全并不是采用SD-WAN的主要原因，但供應(yīng)商和提供商已經(jīng)通過支持IP安全標(biāo)準(zhǔn)并與頂級安全供應(yīng)商合作等方式將保護集成到他們的產(chǎn)品和服務(wù)中來解決安全問題。

組織希望在SD-WAN產(chǎn)品或服務(wù)中看到的一個基本能力是將新設(shè)備安全地集成到SD-WAN中以防止惡意設(shè)備訪問其WAN流量。其他功能還包括數(shù)據(jù)平面加密和控制平面加密。

組織應(yīng)充分了解SD-WAN供應(yīng)商或提供商的安全策略的細節(jié)，并確保它符合業(yè)務(wù)需求。例如，評估 SD-WAN 軟件是否記錄無效的連接嘗試或警告管理員未經(jīng)授權(quán)的訪問或惡意軟件，這種類型的日志可以檢測和防止DoS攻擊。

SD-WAN的未來

SD-WAN是一種可以與5G以及物聯(lián)網(wǎng) (IoT) 完美搭配的技術(shù)。目前企業(yè)5G服務(wù)和設(shè)備尚未廣泛使用，但5G的潛力不容小覷。與4G相比，5G具有更低的延遲，將創(chuàng)建更快更好的連接。SD-WAN有望智能地簡化從物聯(lián)網(wǎng)邊緣設(shè)備到集中式數(shù)據(jù)中心的通信，特別是匹配5G的低延遲時。

隨著SASE等新技術(shù)的出現(xiàn)，SD-WAN 的未來將蓬勃發(fā)展。企業(yè)的首要任務(wù)是權(quán)衡SD-WAN在其公司環(huán)境中是否有意義。