早期的SD-WAN产品为企业提供了一种代替MPLS链路,将分支机构直接连接到云并优化WAN流量的方法。但是,许多最初的SD-WAN产品都缺少集成防火墙、应用程序感知路由和高级数据分析之类的功能。
随着时间的流逝,SD-WAN供应商通过添加一些强大的附加功能来增强产品性能。然而,许多企业并没有充分利用最新SD-WAN产品和托管服务选项的全部功能。
那么,为什么IT高管们还没瞄准这些新功能呢?因为在某些情况下,供应商在向IT领导者推荐这些先进功能的好处和易用性方面缺乏培训。
很多时候,公司部门之间的沟通障碍(例如网络和安全团队之间)阻碍了企业网络的发展(例如,SD-WAN设备可能附带的下一代防火墙或入侵防御系统,但IT领导者并不清楚)。一般情况下,网络专业人员都遵循了多年的标准方法和程序,并且可以很好地完成工作。当涉及一种新的工作方式(例如零接触配置)时,可能不愿冒险,担心如果出现问题,结果可能适得其反。但是,企业应该考虑文中列出的未充分利用的SD-WAN功能。毕竟,不管怎样,你是在为SD-WAN设备或托管服务付费,为什么不让你的钱物有所值呢?
1. 零接触配置
部署分支机构网络设备的传统方法是将物理设备带到暂存区域,对其进行配置、测试,然后再运送到分支机构,由网络专业人员进行设置。对于在广泛的地理区域中部署数十个或数百个SD-WAN设备的公司而言,这是一个耗时耗力的过程。
零接触配置是大多数SD-WAN设备的标准配置,可自动配置现成的设备。Apcela网络工程主管Kunal Thakkar表示,所有设备只需Internet连接就可以回拨电话,然后可以根据预定义的模板以快速,高效,标准化的方式对其进行完全配置。
2. 加密密钥轮换
对于与联邦政府有业务往来的企业(例如航空航天和国防公司)或承担PCI合规性责任的企业(几乎包括其他所有人),加密密钥需要定期(通常每90天)更换一次。这可能是一个繁琐的手动过程,需要复杂的变更控制策略,并且在变更期间需要计划好所需的停机时间。
SD-WAN平台可以用自动化系统代替传统的基于VPN的密钥轮换,该系统可以通过编程实现每分钟进行一次密钥轮换,而且在轮换期间也不会中断数据平面流量。相比于传统的方法,SD-WAN更安全,无需停机,也无需人工干预。
3. 多路复用VPN
在许多情况下,公司需要将不同类型的流量彼此隔离。例如,在合并或收购的情况下,出于业务、合规性或安全性的原因,每个业务部门仍将继续独立运作。如果企业决定升级到SD-WAN,则可能会考虑购买两套物理设备。
但是SD-WAN技术允许多个虚拟路由和转发(VRF)和VPN链接通过一个覆盖层进行多路复用,这在以前的VPN技术中是不可行的。对于具有多个业务部门的庞大、复杂的组织而言,只需设置策略即可实现流量隔离。Thakkar说,SD-WAN技术能够创建多达16个虚拟VPN,它们都运行在相同的物理WAN链路上。
4. 应用程序感知路由
SD-WAN产品能够检查第7层的流量,以便为特定的应用程序应用精细路由策略。实际上,某些设备可以识别3,000多个不同的应用程序,并了解每个应用程序的性能要求。此功能可以帮助企业实时监视敏感应用程序的延迟、抖动和其他特征,并将应用程序转移到满足性能阈值的最经济高效的传输方法,从而在细粒度上优化电信成本。
据Aryaka Networks的首席技术官Ashwath Nagaraj称,应用程序感知路由并没有得到广泛的部署。因为第7层流量检查会有一定程度的性能开销,而且它要求公司花时间和精力来每个应用程序定义策略。但是Nagaraj认为应用程序感知路由可以提供显著的性能和成本优势。
5. 编程API
思科Meraki产品管理高级总监Raviv Levi表示,API的使用可以帮助公司在整个SD-WAN生命周期中编排和自动化功能。Levi表示,虽然目前这个功能还未被充分利用,但人们对它的兴趣正在增长,因为IT高管们开始认识到,有了API,大型企业可以以前所未有的方式拥有和控制网络。
API使企业可以自定义和自动化SD-WAN设备的初始配置,可以随时大规模更改配置,自动化故障单流程,并获取有关WAN性能的数据,以进行实时流量优化和基础架构的长期监控和管理。例如,公司可以使用API对设备进行编程,以执行比默认设置所要求的更频繁的轮询。
通过API,公司可以设置其SD-WAN基础结构以自动收集数据,这些数据可以用于管理用户组、查看审核日志、收集设备清单、进行实时监视以及对网络设备进行故障排除等。
6. 优化的云连接
Cloud breakout能够将分支机构的流量直接连接到云上,而不必返回到数据中心,是SD-WAN的主要优点之一。但在许多情况下,网络管理员对最终用户和云计算SaaS应用程序之间的网络性能特征的了解有限,甚至完全不了解。然而,供应商现在提供了一项特性,在Cisco Viptela的示例中称为Cloud OnRamp,该功能使用编程API来衡量SaaS应用程序的性能,或者来自Amazon Web 服务和Microsoft Azure的IaaS服务的性能。
在IaaS场景中,云服务提供商SD-WAN路由器的虚拟实例会持续测量应用程序的性能。在SaaS场景中,SD-WAN设备会连接到最近的SaaS存在点,并实时选择最佳性能路径。思科产品管理SD-WAN和企业路由高级总监Rohan Grover表示,通过SD-WAN,终端用户在使用Office 365等应用时性能提高了40%。
7. 数据分析
数据分析也是SD-WAN未被充分利用的功能之一。SD-WAN能够使用数据分析来排除网络性能问题并执行远程网络容量规划,无论用户是用托管服务还是自己DIY,都可以从中获得大量覆盖端到端WAN连接的流量数据。有了数据分析功能,可以在一定程度上减少企业客户、云服务提供商、IPS、最后一英里提供商等之间互相推卸责任的现象。
8. 端到端微分段
通过基于策略的工作负载隔离,微分段已经成为保护在数据中心和云环境中运行的应用程序安全的一种日益流行的方法。微分段使公司能够更好地控制东西向的流量,如果出现漏洞,微分段将限制黑客的潜在横向活动。
SDN和NFV等软件overlay的兴起为微分段铺平了道路,因此,微分段很自然地成为了SD-WAN overlay的一部分。Nuage Networks首席执行官Sunil Khandekar认为,微分段的好处在于,如果某个分支节点受到攻击,中央策略服务器可以自动采取措施将分支与网络的其他部分隔离开来。
9. 服务链
在通过MPLS链路将分支机构的业务路由回数据中心时,分支机构中不需要额外的网络和安全功能。但是,由于现在分支机构直接连接到全球互联网,企业可能拥有多个分支机构设备,例如防火墙、NAT盒和入侵防御系统。Khandekar表示,利用服务链可以减少企业分支机构的混乱。组织可以创建连接的网络服务链,并根据安全、延迟或QoS等领域的流量需求自动处理不同流量。
10. 固定无线连接
企业在设置分支机构链路时应考虑使用固定无线,特别是在考虑到部署速度的情况下。对于那些规模不太大的企业来说,从现有的ISP订购WAN链接相对比较容易。但是对于那些在乡村地区没有传统宽带服务的组织,或者是需要快速向新的分支机构提供SD-WAN的公司而言,固定无线连接可能是一个更好的选择。
早期的SD-WAN部署主要关注于基本的连接和节省成本。但是,如今,SD-WAN已被视为支持数字转换的网络自动化平台。企业应该及时发现和了解这些未被充分利用的功能,让SD-WAN的优势得到充分的发挥。