乍一看这个标题大家一定很震惊,就在去年,这个标题还被用来形容SDN,而SD-WAN则作为SDN理念延续的佐证之一。
曾几何时,我们还在歌颂SD-WAN技术的带来,期待这个网络新宠能够帮助我们摆脱传统 MPLS 服务的束缚,但就在我们开始试着部署 SD-WAN 时,另一个更新、更安全、更快部署的技术出现了——SASE。SD-WAN是作为在SASE 世界中被抛弃和遗忘的网络技术存在,还是能够继续发挥重要作用?让我们来了解一下。
SD-WAN:诞生初期
SD-WAN 的诞生教会了企业如何从 MPLS 的时代进入一个新的网络世界。MPLS的时代是用户在办公室工作,资源在数据中心,然而随着时间的推移,MPLS逐渐与这个需要快速发展的互联网世界不再合拍。
SD-WAN 解决了这些问题,企业可以利用互联网连接来克服 MPLS 的限制。更具体地说,这意味着:
- 更多的容量,能够提高应用程序性能
- 更低的成本,通过使用Internet 访问而不是昂贵的 MPLS,降低了网络成本
- 更高的灵活性,通过聚合互联网最后一公里连接来提高带宽灵活性
- 更高的可用性,提高了最后一公里的可用性
- 更快的部署,可以在几天内就实现部署连接
SD-WAN:部署早期
但后来,网络世界再次发生了变化,资源转移到云端,疫情的出现让办公室不再是工作的重点,解决现场对现场的通信挑战已经不够了。企业需要一种方法能够让资源所在的任何地方(云端或私有数据中心),以及用户工作的任何地方(办公室、家中或路上),都能获得高级安全性,并且在不影响性能的情况下做到这一切。但所有这些功能都不涵盖在 SD-WAN 的范围中,这使得很多场景变得具有挑战性:
远程工作
SD-WAN 缺乏对远程访问的支持。但由于疫情的影响,安全的远程访问是保证业务连续性的重要支柱。
云就绪
SD-WAN 在云就绪方面能力有限。作为一种基于设备的架构,SD-WAN 需要管理和集成专有设备才能与云连接。
全球性能
SD-WAN 在区域内的性能表现可能还不错,但全球互联网对于企业来说太不可预测了。这就是为什么所有 SD-WAN 参与者都鼓励企业使用第三方骨干网进行全球连接的原因。但是这种方法会增加部署的复杂性和成本,并且无法提供性能优化。
高级安全
SD-WAN 缺乏保护分支机构所需的安全性——下一代防火墙 (NGFW)、入侵防护系统 (IPS)、安全 Web 网关 (SWG)、反恶意软件等等,SD-WAN 都不提供这些组件。如果额外提供这些功能所需的设备和服务会增加 SD-WAN 部署的成本和复杂性。
SD-WAN:进阶中期
所以,SD-WAN 并不完美,不过大家可能会有这样的疑惑,我另外部署SWG 或安全服务边缘 (SSE)解决方案不就行了吗,但这样做的结果是网络很难对其进行统一管理,从而衍生出更多其他问题。
没有真正做到零接触
SD-WAN声称提供零接触配置,但现实却大相径庭。如果没有必要的安全功能,SD-WAN 的部署将变得更加复杂,需要额外评估、购买、交付、安装和集成安全设备。
难以实现高可用性
由于 SD-WAN 依赖于互联网连接,高可用性是其必备条件之一,但如果同时管理多个服务就很难实现高可用性。设备或服务之间没有自动配置弹性连接,也没有相关的动态故障转移,这需要企业安装备份设备,并且需要额外的运行时间测试故障转移方案。
可见性有限
跨多个网络和安全系统分割数据意味着用户无法全面了解自己的网络,难以发现新的网络威胁。数据隐藏在多个设备日志中,故障排除也变得更加困难。
依靠 SSE 产品或云安全服务并不能完全解决问题。部署仍然是一个问题,因为 SD-WAN 设备和云安全 PoP 之间没有自动流量路由和隧道创建。安全基础设施也无法在 SD-WAN 和云安全供应商之间使用和共享安全策略。在操作上,SD-WAN 设备和云服务仍然不同,这使得故障排除更具挑战性。
SD-WAN:它并没有死,只是一个更大的家庭的一部分
那么,SD-WAN 死了吗?答案当然是没有。SD-WAN仍然是构建企业网络的重要工具,但它也有需要解决的局限性,例如安全性和部署限制。
SD-WAN 使用虚拟化的网络overlay来连接和远程管理分支机构。虽然 SD-WAN 可以连接到云,但它不是以云为中心构建的,重点是将这些分支机构连接回中央专用网络。
SASE 则是将云置于中心,专注于将各个端点(无论是分支机构、个人用户还是单个设备)连接到集中式云。通过一个网络保护和连接整个企业,让部署变得更加容易,可见性提高,安全性变得更加一致。
SASE 只是广域网转型之旅的第一步。SD-WAN 和 SASE 的不同之处在于基础设施。SASE 的基础设施有边缘数据中心、PoP点或充当端点的云,这也是所有网络、优化和安全功能运行和控制的地方。而SD-WAN 中的这些功能在分支机构和总部的盒子中运行。对于SD-WAN来说,SASE让SD-WAN更安全可控,对SASE来说,SD-WAN让SASE的连接更可靠,两者互相补充,互相结合才能发挥出最佳性能。