SD-WAN不仅仅是多协议标签交换(MPLS)的替代方案。零接触配置、应用程序感知路由、微分段也是SD-WAN产品和服务可以提供的一些功能。
早期的SD-WAN产品为组织提供了一种停用MPLS链接,将分支机构直接连接到云平台,并优化WAN流量的方法。但许多最初的SD-WAN产品缺乏集成防火墙、应用程序感知路由、高级数据分析等功能。
随着时间的推移,SD-WAN供应商已经加强了他们的产品以包含一组强大的附加功能。然而,许多组织并没有充分利用最新SD-WAN产品和托管服务选项的全部功能。
那么,为什么IT管理人员没有充分采用这些新功能?在某些情况下,供应商在向IT领导者提供这些先进功能的好处和易用性方面缺乏适当的培训。
在其他情况下,组织之间的孤岛(例如网络和安全团队之间的障碍)阻止了组织激活下一代防火墙或入侵防御系统(例如SD-WAN设备附带的)。
在很多情况下,网络专业人员多年来都遵循了一套标准的方法和程序,并且可以很好地完成工作。当涉及一种新的工作方式(例如零接触配置)时,可能会不愿冒险,如果出现问题,可能会适得其反。但是,组织应该考虑以下列出的未充分利用的SD-WAN功能可以提供的好处。毕竟,组织还是要为SD-WAN设备或托管服务支付费用,所以为什么不充分利用以下这些功能呢?
1.零接触配置
部署分支机构网络设备的传统方法是将物理设备带到暂存区域,对其进行配置和测试,然后将其运送到分支机构,由网络专业人员进行设置。对于在广泛的地理区域中部署数十个或数百个SD-WAN设备的组织而言,这是一个人工密集且耗时的过程。
零接触配置是大多数SD-WAN设备的标准配置,可自动配置现成的设备。据Apcela公司网络工程主管Kunal Thakkar介绍,该设备所需的全部是全球互联网连接,根据预定义的模板以快速、高效、标准化的方式对其进行全面配置。
2.加密密钥轮换
对于与政府部门有业务往来的组织或承担PCI合规性责任的组织,加密密钥需要定期轮换(通常是90天)。这可能是一个繁琐的人工过程,需要复杂的变更控制策略,并且可能需要计划内的停机时间。
SD-WAN平台可以用自动化系统代替传统的基于VPN的密钥轮换,该系统可以编程为每分钟进行一次轮换,而不会中断数据平台流量。其结果是更好的安全性,无需停机,也无需人工干预。
3.多路VPN
在许多情况下,组织需要保持不同类型的流量彼此分离。例如,在组织合并或收购的情况下,出于业务、合规性或安全性的原因,其每个业务部门仍将继续独立运作。如果组织随后决定升级到SD-WAN,则可能考虑购买物理设备。
但是SD-WAN技术允许将多个虚拟路由和转发(VRF)和VPN链接与单个覆盖层复用。这对于以前的VPN技术是不可行的。对于具有多个业务部门的庞大复杂的组织而言,只需设置策略即可实现流量隔离。 Thakkar说,SD-WAN技术能够创建多达16个虚拟VPN,它们都在相同的物理WAN链路上运行。
4.应用程序感知路由
SD-WAN产品具有检查第7层流量的能力,以便为特定应用程序应用精细的路由策略。实际上,某些设备可以识别3,000多个不同的应用程序,并了解每个应用程序的性能要求。通过持续实时监视敏感应用程序的延迟、抖动和其他特征,并将应用程序转移到满足性能阈值的最具成本效益的传输方法,此功能可帮助组织优化成本。
Aryaka Networks公司首席技术官Ashwath Nagaraj称,应用程序感知路由没有得到广泛的部署。这可能是,第7层流量检查确实会带来一定程度的性能开销,并且确实需要组织花费时间和精力来为每个应用程序定义策略。但是他认为应用程序感知路由可以提供显著的性能和成本优势。
5. 编程API
思科公司Meraki产品管理高级总监Raviv Levi说,API的使用可以帮助组织在SD-WAN整个生命周期中协调和自动化功能。Levi表示,虽然目前的功能尚未得到充分利用,但人们的兴趣正在增长,因为IT主管开始了解使用API,大型组织能够以前所未有的方式获得对网络的所有权和控制权。
API使组织可以自定义和自动化SD-WAN设备的初始配置,可以随时大规模更改配置,自动化故障单流程并收集有关WAN性能的数据,以进行实时流量优化和长期监控和基础设施的管理。例如,组织可以使用API对设备进行编程,以执行比默认设置所要求的更频繁的轮询。
通过API,组织可以设置其SD-WAN基础设施,以自动收集有助于管理用户组、查看审核日志、收集设备清单、进行实时监控和排除网络设备故障等功能的数据。
6.优化的云计算连接
云计算突破或将分支机构流量直接连接到云平台而不是遣返回数据中心的能力,是SD-WAN的主要优点之一。但在许多情况下,网络管理员对最终用户和云计算SaaS应用程序之间的网络性能特征的可见性有限或根本不了解。然而,供应商现在提供了一个特性,在Cisco Viptela的例子中称为Cloud OnRamp,它使用编程API来测量SaaS应用程序的性能,或者来自AWS公司和微软Azure的IaaS服务。
在IaaS场景中,云计算服务提供商域内的SD-WAN路由器的虚拟实例会持续衡量应用程序的性能,从而使网络管理员以前所未有的方式查看应用程序性能。在SaaS场景中,SD-WAN设备连接到最近的SaaS存在点,并实时做出选择优秀性能路径的决策。思科公司产品管理、SD-WAN和企业路由产品高级总监Rohan Grover表示,对于Office 365等流行的生产力应用程序,最终用户的性能提高了40%。
7.数据分析
SD-WAN系统的另一个未充分利用的功能是能够使用数据分析来解决网络性能问题,并执行远程网络容量规划。无论组织采用托管服务还是自己分析,都可以使用大量的流量数据来覆盖端到端WAN连接。分析的使用消除了客户、云计算服务提供商、网络服务提供商之间发生的典型指责。
8.端到端的微分段
通过基于策略隔离工作负载,微分段已经成为保护数据中心和云计算环境中运行的应用程序的一种越来越流行的方法。微分段使组织能够更好地控制东西向的流量,如果出现漏洞,微分段将限制黑客的潜在横向移动。
SDN和NFV等软件叠加层的兴起为微分段铺平了道路,因此,微分段成为SD-WAN叠层的功能是很自然的。Nuage Networks公司首席执行官Sunil Khandekar认为,微分段的好处在于,如果分支节点受到攻击,中央策略服务器可以自动采取措施将分支与网络的其他部分隔离开来。
9.服务链
通过安全的多协议标签交换(MPLS)链路将分支机构的业务路由回数据中心时,分支机构中不需要额外的网络和安全功能。但是现在分支机构直接连接到全球互联网,组织可能会发现自己有多个分支机构设备,如防火墙、NAT设备和入侵预防系统。正如Khandekar所说,服务链使组织能够减少分支机构的混乱。组织可以创建连接的网络服务链,并根据安全、延迟或QoS等领域的流量要求自动处理不同的流量。
10.固定无线连接
专家表示,虽然不是专门提供SD-WAN功能,但组织建立分支机构链路时应考虑使用固定无线连接,尤其是在将部署速度放在首位的情况下。对于一些组织来说,从现有的网络服务提供商(ISP)订购WAN链接可能相对容易。但对于那些没有传统宽带服务的农村地区的组织,或者需要快速向新的零售店或其他弹出式商业场所提供SD-WAN的组织,固定无线电路可能是一个更好的方法。
Khandekar表示,早期的SD-WAN部署主要集中在基本连接和节省成本方面。但是,如今,SD-WAN被视为支持数字化转型的网络自动化平台。部署这些未被充分利用的功能可以帮助IT组织使WAN与业务需求保持一致。