何为 SD-WAN?

软件定义的广域网 (SD-WAN) 是一种虚拟 WAN 架构,允许企业利用任意组合的传输服务(包括 MPLS、LTE 和宽带互联网服务)来安全地将用户连接到应用程序。

讲解过的 SD-WAN

将流量从分支机构回传到数据中心以进行强大安全检查的传统模式不再是最佳选择,因为这种方法会浪费带宽并增加延迟,最终损害应用程序性能。确实需要一种更好的方法,通过互联网将流量从分支机构直接发送到受信任的 SaaS 和基于云的应用程序,同时保持符合企业的安全要求。

SD-WAN 可确保一致的应用程序性能和弹性,根据业务意图,以应用程序驱动的方式自动引导流量,提高网络安全性并简化 WAN 架构。SD-WAN 可使用集中控制功能来安全、智能地引导流量跨越 WAN 并直接流向受信任的 SaaS 和 IaaS 提供商。这样可以提高应用程序性能并提供高质量的用户体验,从而提高企业的工作效率和敏捷性并降低 IT 成本。

SD-WAN 架构

基于传统路由器的传统 WAN 在设计时根本没有考虑云。他们通常需要将所有流量(包括以云为目标地址的流量)从分支机构回程到可以应用高级安全检查服务的中心位置或总部数据中心。回程造成的延迟会影响应用程序性能,从而导致用户体验不佳和生产效率下降。

与传统的以路由器为中心的 WAN 架构不同,SD-WAN 模型旨在完全支持托管在本地数据中心、公共或私有云中的应用程序,以及 Salesforce.com、Workday、Dropbox、Microsoft 365 等 SaaS 服务,同时提供最高水平的应用程序性能。

讲解过的 SD-WAN 架构

SD-WAN 的工作原理是什么?

与 SD-WAN 不同,传统的以路由器为中心的模型可以将控制功能分发到网络中的所有设备,并根据 TCP/IP 地址和 ACL 简单地路由流量。这种传统模式僵化、复杂、效率低下、不支持云环境,进而导致用户体验不佳。

云优先企业可以通过 SD-WAN 为用户提供卓越的应用体验质量 (QoEx)。通过识别应用程序,SD-WAN 可提供跨 WAN 的智能应用程序感知路由。每一类应用程序都会根据业务需求获得适当的 QoS 和安全策略实施。来自分支机构的 IaaS 和 SaaS 应用程序流量的安全本地互联网突破可提供最高级别的云性能,同时防止企业受到各种威胁。

观看视频

为何选择 SD-WAN?

现在的时代已经今非昔比,企业正在使用各种云方案并订阅软件即服务 (SaaS)。虽然一直以来,用户都会连接回企业数据中心,以访问业务应用程序,但现在通过访问云端的许多相同应用程序可以更好地为他们服务。

因此,传统 WAN 不再适用,主要是因为将所有流量(包括发送至云端的流量)从分支机构回传到总部会造成延迟并影响应用程序性能。SD-WAN 可在不牺牲安全性和数据隐私的同时通过显著的应用程序性能提供 WAN 简化、成本节省、带宽效率和无缝云接入,特别是对于关键应用程序。更好的应用程序性能可提高企业生产效率、客户满意度,并最终提高盈利能力。一致的安全性可降低业务风险。

观看视频

基本 SD-WAN 与业务驱动的 SD-WAN

  • 并非所有 SD-WAN 都是一样的。许多 SD-WAN 解决方案是基本的 SD-WAN 解决方案或“比较好”的解决方案。这些解决方案缺乏确保卓越网络体验所需的智能性、可靠性、性能和规模。请记住,如果没有快速、安全和高性能网络,企业数字化转型计划可能会停滞不前,因为它们要依靠依赖某些服务的应用程序,而这些服务又依赖于网络。SD-WAN 是关键的数字化转型推动因素,它正在推动整个企业的战略决策。那么,什么是业务驱动的 SD-WAN,为什么基本 SD-WAN 还不够好呢?
  • 生命周期编排和自动化。大多数基本的 SD-WAN 产品都可以提供某种程度的零接触预配置。然而,基本的 SD-WAN 解决方案并不总是可以提供所有 WAN 边缘功能的完整端到端编排,例如路由、安全服务,包括服务链到高级第三方安全服务和 WAN 优化。当企业部署新应用程序或需要更改 QoS 或安全策略时,业务驱动的 SD-WAN 支持集中配置,使所需的更改能够在几分钟内即可完成部署,而无需数周或数月。集中编排可以极大地减少可能影响性能或安全性的人为错误。
  • 持续自学。基本 SD-WAN 解决方案根据预定义的规则引导流量,通常通过模板确定引导模式。业务驱动的 SD-WAN 则可在任何网络条件或变化(包括拥堵和出现性能下降时)下提供最佳应用程序性能。通过持续监控和自我学习,业务驱动的 SD-WAN 可以对网络状态的任何变化进行自动实时响应。业务驱动的 SD-WAN 可持续适应网络变化,实时自动适应可能影响应用程序性能的任何变化,包括网络拥堵、电压不稳和传输中断情况,无需人工 IT 干预,即可保证用户始终连接到应用程序。例如,如果 WAN 传输服务或云安全服务出现性能下降,网络会自动适应,以保持流量畅通,同时通过业务策略保持合规性。
  • 一致的体验质量 (QoEx)。高级 SD-WAN 解决方案的一个主要优势是能够同时主动使用多种形式的 WAN 传输。基本解决方案可以将基于应用程序的流量定向至单个路径,如果该路径出现故障或性能不佳,它可以将流量动态重定向至性能更好的路径。但是,在许多基本解决方案中,中断前后的故障转移时间会长达数十秒或更长的时间,这通常会导致恼人的应用程序中断。业务驱动的 SD-WAN 方案则可以智能地监控和管理所有底层传输服务。它可以克服数据包丢失、延迟和抖动的问题,为用户提供最高水平的应用程序性能和 QoEx,即使在 WAN 传输服务受到影响时也是如此。与基本的 SD-WAN 不同,业务驱动的 SD-WAN 可以无缝处理整个传输中断过程,并提供亚秒级故障转移,以避免中断语音和视频通信等关键业务应用程序。
  • 端到端分段。虽然基本 SD-WAN 提供相当于 VPN 服务,但业务驱动的 SD-WAN 提供更全面的端到端安全功能。除了支持下一代防火墙外,SD-WAN 平台还应编排和实施跨越 LAN-WAN-数据中心和 LAN-WAN-云的端到端分段。与通常需要逐个设备配置策略的以设备为中心的 WAN 模型或基本 SD-WAN 模型相比,集中配置的安全策略由于人为错误更少而更加一致。如果需要更改策略,则使用业务驱动的 SD-WAN 对其进行集中编程,并推送到整个网络的 10 个、100 或 1000 个节点,从而显著提高运维效率,同时减少整体攻击面并避免任何安全漏洞。
  • 为云应用程序保护本地互联网突破。许多基本的 SD-WAN 可提供一些基于固定定义和手动编写脚本 ACL 的应用程序分类功能,以直接通过互联网定向 SaaS 和 IaaS 流量。但是,云应用程序会不断变化。业务驱动的 SD-WAN 可以不断适应变化并提供自动化的日常应用程序定义和 IP 地址更新。这就可以克服应用程序中断和用户生产效率的问题。

理想情况下,企业客户需要转向业务驱动的 SD-WAN 平台,该平台可以将 SD-WAN、防火墙、分段、路由、WAN 优化以及可见性和管理功能统一在一个单个的集中管理的平台中。

适用于 SASE 的高级 SD-WAN 功能

2019 年,Gartner 创造了安全访问服务边缘 (SASE) 这个词汇,这一概念引入了一种更安全、更灵活的方式来直接在云中执行高级安全检查,而不是先将应用程序流量回传到数据中心,再将其转发到云端。

SASE 可以将 SD-WAN 与必要的云交付安全功能相结合,这种方式也被称为安全服务边缘 (SSE)。SSE 可以定义有助于实现 SASE 安全愿景的成套安全服务。

从根本上讲,SASE 的目标是在不影响安全性的情况下为云托管应用程序提供最佳的最终用户体验质量。与许多设计和部署 SASE 架构的企业合作后,我们了解到基本 SD-WAN 功能存在不足。完全启用 SASE 需要具有如下高级网络功能的 SD-WAN:

  • 识别第一个数据包上的应用程序流量并对其进行精细控制,以实施业务意图定义的 QoS 和安全策略
  • 每天自动更新云应用程序定义和 TCP/IP 地址范围
  • 通过单个控制台在 SD-WAN 和云交付的安全服务之间自动编排,让编排变得得容易
  • 自动将故障转移到辅助云安全实施点,以避免任何应用程序中断的情况
  • 如果有更新、更靠近分支机构的位置可用,则自动重新配置到云安全实施点的安全连接
  • 使客户能够按照自己的节奏采用云安全服务及其 SASE 实施
  • 最重要的是,可以自由选择部署创新安全服务的方式,因为它们可以从任何供应商处获得,以轻松应对未来未知的威胁

观看视频

准备好开始了吗?