SD-WAN 详细介绍

WAN 简史

WAN(广域网)的概念和实施最初是作为促进远程终端访问主机和微型计算机的手段而提出的。从上世纪 70 年代和 80 年代第一批有据可查的云(使用 X.25),到 1990 年代初的帧中继,WAN 得到了一定的发展。但直到 90 年代末的 Psec VPN 和 MPLS VPN,才使得 WAN 的主导地位更加稳固。

正如互联网的兴起催生了很多大规模创新,市场也一直希望降低每比特带宽的成本,尤其是价格昂贵的 WAN 成本。随着宽带连接变得越来越普遍,各大组织开始将宽带连接用作适用于不同场景之多种流量类型的低成本路径。

在本世纪 10 年代初,SDN(软件定义网络)开始成为公认的重新点燃数据网络创新之火的方式。其目标是进一步抽象化网络,以实现一系列功能、运营和性能的提升。早期的目标旨在分解网络硬件和软件,实现控制平面的标准化,并提高网络开放性。SDN 的另一个目标是加快创新周期。正如计算和存储历经了重大演变并降低了复杂程度,SDN 也开始重塑网络的“构建方式”,而不仅仅是“内容”。

SD-WAN(软件定义的广域网)源于 SDN 学派。SD-WAN 技术并非某种具体的 WAN 架构,而是一种旨在解决传统 WAN 存在的诸多限制和缺点的概念和抽象层。

WAN 挑战

即便借助动态路由协议,WAN 路径也很少针对最基本的可访问性以外的元素进行优化。CSP(电信服务提供商)可以利用最广泛的路由指标(如延迟、抖动和数据包丢失)以及基于策略的技术,来应用其业务做法,并优化 WAN 的部署故障转移链路及其他客户体验增强功能的成本。但是,对于很多组织而言,此类任务复杂、耗时且成本高昂。

另一方面,WAN 极少产生利润的企业通常会受影响生产力的问题的困扰,导致用户对企业的信任度下降。这种下降可以归咎于不理想的 WAN 性能、中断或维护任务,从而影响关键业务工作流程和通信。

尽管采用动态路由,但由于缺乏与个人用户会话及其服务的足迹范围相关的态势感知能力,传统的 WAN 编排和运营依然负荷较重。现代多媒体应用(如语音、视频会议、游戏和大量其他延迟敏感型应用)需要不断提高峰值性能。这些应用也需要免受拥塞或数据包丢失的影响。

那么,SD-WAN 旨在解决哪些问题或挑战?

  • 成本高昂的 WAN 连接
  • 运营复杂性
  • 控制力有限,指标不清晰
  • 服务容易遭受破坏
  • 缺乏应用和会话感知能力
  • 性能不够理想、拥塞且列队复杂
  • 可扩展性和弹性有限
  • 无默认的防御安全态势
  • 应用或嵌入业务策略

 

SD-WAN 保证

如上所述,SD-WAN 是一种概念和抽象层。这是一种具有不同架构、实施和目标的联网方法,但专注于改进 WAN 服务交付的所有方面。SD-WAN 是 SDN 的一个自然分支,可赋予 WAN 更高的延展性、可编程性和智能性。这种方法有助于开发新的功能、改善服务交付并降低成本。此外,SD-WAN 还能在不断演变的基础架构管理、监控和安全模式中发挥作用。

SD-WAN 的含义:“软件定义”究竟是什么意思?

无论是简化 WAN 的编排,增加其可编程性,还是交付新的叠加层虚拟网络,SD-WAN 对不同群体的含义不尽相同(因此该术语的性质有些模糊)。软件定义相对于 WAN 意味着什么?

SD-WAN 不是由传统的网络操作系统和静态配置来定义 WAN 的整体性和运营,而是提供一种能够影响或提供 WAN 功能/特性的新接口或平台。从编排、运营到低级别的数据包控制,所有功能都可由这一全新(且通常集中化)的软件平台驱动。

SD-WAN 不仅仅是对 NMS(网络管理系统)的重新诠释,更代表着一种范式转变,即重塑并控制低级与高级 WAN 功能的范式。通过采用 SDN(常见于现代数据中心)的方法和优势,WAN 服务可以更快地发展和适应组织不断变化的需求和要求。

 

SD-WAN 解决方案:定义和重新定义 WAN

尽管采用动态路由协议的网络本身就是一种分布式系统,但 SD-WAN 的本质是使用智能逻辑提供全新的服务叠加层或接口,来实时驱动、加速和优化 WAN。增强的逻辑、更多的自动化和全新的功能都将通过此平台进行编排和控制。某些 SD-WAN 还可以直接与现有底层基础架构连接(通过传统路由协议),并提供全新的虚拟叠加层来进行数据包控制、引导和转发。

SD-WAN 具有多种架构。SD-WAN 通常需要一个集中式的物理、虚拟或基于云的控制器。部分解决方案可通过新的物理或虚拟节点扩充底层 WAN。大多数组织会利用市场现有的 SD-WAN 解决方案,部分组织则根据适当的内部专业知识和意愿构建自己的解决方案平台。

借助新的系统接口和叠加层,SD-WAN 可以重新定义和转变传统的 WAN 服务交付和运营。可访问性和可靠性是现有底层基础架构的传统构建基块,而 SD-WAN 则能满足企业对更具感知能力、更加智能且更具弹性的网络的需求。

SD-WAN:一种新方法

SD-WAN 的目标

尽管组织在部署 SD-WAN 方面可能拥有不同的目标,但他们通常会寻求将共同的业务和技术要求融合在一起:

  • 借助更高的网络弹性简化运营
  • 更智能的路径探索、编排和灵活性
  • 能够将业务逻辑和策略深度嵌入到网络
  • 降低传输成本并优化资源利用率
  • 更好的可观察性和应用分析
  • 应用加速(越来越多地适用于对延迟、丢包和抖动敏感的 SaaS 应用)
  • 借助精细化策略控制提高安全性
  • 改善用户体验,提高服务质量
  • 可编程性、更广泛的自动化和更多的现代 API

 

SD-WAN 的优势和驱动因素

随着技术的演进和变化,网络流量模式也在随之改变。各大组织都在寻求更好地管理网络复杂性,同时控制成本并为客户和员工提供最优质的服务。由于基于云的服务对 WAN 连接提出了更高的要求,因此访问的服务可能会导致流量沿受信任或不受信任的路径流动。根据所采用的传输方式,这些路径可能会利用共享(而非专用)链路,并且可能不提供多种服务等级。

为了简化、统一和保护多种访问类型,无论是分支机构、园区、数据中心,还是其他类型,SD-WAN 解决方案都能保证以各种规格尺寸和业务模式提供更高的弹性、灵活性和安全性。在评估 SD-WAN 解决方案时,组织必须明确其动机、要求和预期的结果,这不仅包括第 0 天(设计),而且包括第 1 天(部署)、第 2 天(运维)以及之后的运营。
 

谁可以从 SD-WAN 获益?

SD-WAN 可让大型网络运营商、小型公司以及介于两者之间的所有组织获益。SD-WAN 不仅是要强化编排、运营和安全,更要强化服务交付并改善用户体验的质量。网络运营商、公司的盈亏和 WAN 用户(包括人和机器代理),都将从中受益。

对于 NSP(网络服务提供商),实施 SD-WAN 可以让他们提供更稳健和更完善的 WAN 服务。SD-WAN 正逐渐发展成为一种 IaaS(基础设施即服务),可在内部应用或作为网络边缘的 MNS(管理网络服务)。随着由 SD-WAN 驱动的托管 WAN 服务越来越受企业、大型园区和零售商的欢迎,SD-WAN 服务提供商将继续创新产品和服务。许多提供商已提供 ZTP(全自动部署)和 ZTC(全自动配置)等功能来减少摩擦、扩展运营并缩短交付和价值转换的时间。

在所有组织中,采用 SD-WAN 的网络和安全团队能够改进服务、减少响应时间;最重要的是,能够摆脱繁重的日常工作。IT 团队花在维护工作上的时间越少,就越能将更多精力投入到有助于推进业务发展的项目上。任何依赖 WAN 的业务工作流程、网络流程或工作负载都有可能从 SD-WAN 的特性或功能获益,从而提高组织的绩效、弹性和安全性。
 

SD-WAN 架构

SD-WAN 最初的目标之一是分离数据和控制平面,以促成更高阶的逻辑和智能。但是,仍然没有一个统一的 SD-WAN 网络架构。市场上的方法和形式多种多样,有些人可能认为自动化编排和运营也可以构成 SD-WAN。

然而,确实存在通用构建基块和边界可以构成 SD-WAN,作为概念交付模式。可以将其视作一个平台,通过集成或更换数据和控制平面中的网络功能,与 WAN 及其运营的元素进行互动、增强或替换。

此外,SD-WAN 设计和解决方案通常会在网络配置、编排、管理和监控中发挥重要作用,部分设计和解决方案还能提供更加动态和精细化的功能,以满足性能、策略和安全要求。

即使在不同的业务模式和用例下,SD-WAN 通常也会包含集中式控制器以及完整网格或部分网格(与传统的轴辐式拓扑相比)。尽管 SD-WAN 可能会利用基本的传统或混合 WAN 来构建新的传输叠加层,但它是一种 OTT(基于开放互联网)模型,可实现最快速的部署和生命周期管理,从而避免成本高昂的“推到重来”式升级。
 

基于隧道或无隧道的设计

隧道会产生数据包开销并增加分段存储。额外的数据和增加的处理开销会对吞吐量和性能产生负面影响。基于隧道的方法还会使扩展变得复杂并阻碍扩展,同时会导致跨备用路径的会话故障转移变慢。此外,即使通过隧道,也无法在传输过程中应用安全策略,直至后续的解封装允许从隧道端点后方进行检查、识别和分析。

较新的无隧道方法可减少 SD-WAN 数据包开销,并维持最佳吞吐量,而无需使用成本高昂的封装。该方法还支持快速扩展,虽然不是无限扩展,但需要的资源和配置更少,以提供不断增长的任意点对点拓扑。无隧道还有助于更好地感知态势和会话,从而能够更早地引导流量并应用安全策略。
 

SD-WAN 部署

如上所述,SD-WAN 可能有多种形式(和规格尺寸),而最受欢迎的形式涉及最少的现实环境摩擦。有些场景会使用本地设备或白盒,但大多数 SD-WAN 架构和解决方案提供虚拟机和虚拟化网路功能,可以在现有服务器和路由器上完全通过软件配置。

正如传统的 WAN 在站点、资产和服务之间提供连接和传输一样,SD-WAN 可以将智能边缘或网格扩展到任何有托管实体或代理的地方(即使采用非托管的底层基础架构):

  • 分支机构和远程办公室到企业
  • 分布式园区
  • 数据中心到数据中心
  • 远程访问
  • 企业到公共云或私有云
  • CSP 或 ISP 核心/边缘

由于 SD-WAN 不是一项明确的协议或技术,许多 SD-WAN 叠加层的实施都会利用不同的底层有线和无线传输或技术,包括但不限于基于 MPLS VPN、DSL 和 5G/LTE(或其他无线回程)的 SD-WAN。
 

SD-WAN 与MPLS 的比较

SD-WAN 不会直接替换 MPLS VPN,而是在与其他传输结合时提供替代方案。SD-WAN 能够跨不同的架构与一整套 WAN 技术集成。不同用途的 SD-WAN 可以轻松利用现有 MPLS 服务,并新建自己的拓扑或叠加层,有些还是无隧道的。通过显著降低数据封装开销,这些无隧道的 SD-WAN 解决方案可立即解决各种链路上的成本优化问题,同时保持安全性和相关机密性。

在某些场景中,SD-WAN 实施可以通过使用更具成本效益的连接方案,减少对 MPLS VPN 的需求,同时保持较昂贵传输方案的诸多特性。

SD-WAN 的关键

以用户体验为中心

我们通常会假设,组织清楚了解使用 WAN 的人员和设备。但是,只有在对流量和会话进行分析后,组织才能真正了解实际用户是谁及其用例真正包括哪些内容。

久而久之,网络使用会在基于机器的代理和用户发起的流量之间产生振荡和交替。WAN 本身是一种有限的资源,随着流量模式的变化,某些会话和流量会遭遇拥塞状况。这些会话可以而且应该立即通过替代路径进行优先计划分或引导,但情况并非总是如此。

拥塞的路径无法满足实时通信的需求,这一直是 WAN 服务交付的难点。前几代 SD-WAN 解决方案主要提供使用 QoS(服务质量)标记和列队策略的静态实施,但很少能通过动态影响及引导个别会话来实时改进用户标记的体验。某些 SD-WAN 解决方案甚至可以提供对称的会话路径来优化性能和策略遵从性。

会话感知是现代 SD-WAN 解决方案的重要组成部分。它从用户的角度提供了针对网络的最真实观点。会话是暂时的且涉及特定的应用流量,这些流量的质量可能有很大差异(原因包括容量、延迟、拥塞和间歇性中断等因素)。会话感知比标准应用识别更进一步,智能交换矩阵可使用会话感知为每个用户或代理逐一引导个别会话。通过采用更加整体和统一的观点,结合路由流量的精细化功能,某些 SD-WAN 解决方案可以根据服务级别目标等标准,自动提升、降级或选择性地引导这些会话。个别会话已成为网络运营商提供卓越用户体验的终极标准。
 

WAN 保证

保证是提供信心的一种手段。WAN 至关重要,不仅适用于连接站点,还适用于访问服务和资源,以及加快工作流程。信心可以让人高枕无忧。无论是配置新位置、扩展容量,还是帮助确保安全和运营团队获得正确的工具和支持,网络运营商都需要拥有合适的能力。运营不止是运行良好,更重要的是,有效进行故障转移并最大限度减少损害。中断和拥塞可能会发生,但通过智能叠加,就可以减少担心 MTBF(平均故障间隔时间)MTTR(平均维修时间)的时间。

过去,IT 团队受传统路由协议的指标或折衷的限制;现在,他们可以选择虚拟化 WAN 本身,同时添加新的智能层和更优的功能速度。SD-WAN 承诺对数据包及其流量进行更精细的控制,并为如何实现从更优的安全策略到更完善的成本控制提供了无限可能,同时改进了用户体验。
 

Connected Security 和 SASE

安全关乎风险。在无边界和数字化威胁不断加速的环境中,各大组织都在努力保护其资产、服务和员工。越来越多的数字安全问题日益影响安全。与蓄意攻击相关的风险也已开始影响其他运营要素。数字连接和控制越多,需要保护的数字攻击面就越大。

长期以来,安全架构一直试图限制和分离故障域,以防止故障的传播,但如何做到这一点又不会对工作流和流程的流畅运行产生不利影响,确实是个难题。SASE(安全接入服务边缘)提供在可信边界交付的各种安全功能,可限制与远程访问解决方案相关的传统开销。

如果将 SD-WAN 理解为服务的概念交付模型,即可将其理解为很多最佳安全实践的基础。这不是 SD-WAN 与SASE 的问题,而是 SD-WAN 提供 SASE 基础构建基块知识的问题。网络仍是很多安全控制的最佳场所之一。WAN 边缘可创建高效且有效的策略实施点,而且提供观测和控制区域边界的更好方式以及相关的安全要求。借助 ZTNA(零信任网络访问),与不太安全的“默认许可”相比,访问稳稳地落在“默认拒绝”状态,这是最有利和最稳健的状态。

其余的挑战是帮助确保复杂性得到控制和管理。当微分段和微许可受精细化 IAM(身份访问管理)的约束时,手动分配许可、访问和角色就变得过于繁琐。组织越来越多地转向自动化和基于软件的解决方案来处理 IAM。

SD-WAN 随时准备兑现承诺:通过尽可能强化最强大的策略实施点(网络)来提高安全性、增强信心并减少繁琐的工作。
 

运营商体验

为降低 TCO(总拥有成本),在给定的时限或周期内,OpEx(运营支出)通常会超过 CapEx(资本支出)。复杂的系统意味着运营的复杂性,但情况并非总是如此。正如抽象化能让网络运营商事半功倍,SD-WAN 也可以简化管理和运营,让 IT 团队的表现超出预期。。

采用可以智能消除或减少工作量的工具和方式的团队,可以获得更高的满意度,从而降低员工流失,提高工作效率(2020 SoNAR – 网络自动化状态报告)。

到头来,一家组织的技术健康状况是由运营团队来决定的,因此 IT 可能会对组织的成功或失败产生巨大的影响。广泛的故障不仅对用户可见,而且对客户乃至整个市场都可见。尽管成本节约和安全性是 SD-WAN 的关键领域,但它们不是唯一可以利用的 SD-WAN ROI(投资回报率)。
 

AIOps 的优势

AI(人工智能)及其衍生技术之一的 ML(机器学习)可以在整个网域中提供巨大的价值。具有众所周知的功能和协议(如数据网络)的问题领域已经成熟,可在多种场景中使用机器学习。在这些定义明确的问题领域中,除了实现更优的网络连接和安全性,还可以轻松消除 AI 偏差,进而带来实打实的成果。搭配使用混合和更快速的学习方法(如迁移学习)训练机器学习,然后使用生产数据增强 AI,即可快速建立信任。准确的洞察和建议的补救措施将随即出现,而且可以快速加以验证。

数据网络是一个运营数据和遥测的数量和速度不断超越传统方式、与时俱进的领域。网络即图形。AI 和 ML 可提供对图形及其相依关系的切实可行且快速的洞察,包括从识别复杂的根本原因到提供更好的接口来定位并管理不断增加的网络复杂性的所有内容。

AIOps(适用于 IT 运维的人工智能)是一种技术实践,旨在通过将诸多繁重的日常重复性工作和低价值工作自动化,来减轻网络运营商的负担。正如普及理解我们周围不断增长的网络和复杂性的能力,为更具战略性的挑战释放人才也是开展创新的关键一步。

SD-WAN 常见问题解答

SD-WAN 的含义:“软件定义”究竟是什么意思?

无论是简化 WAN 的编排,增加其可编程性,还是交付新的叠加层虚拟网络,SD-WAN 对不同群体的含义不尽相同(因此该术语的性质有些模糊)。

谁可以从 SD-WAN 获益?

SD-WAN 可让大型网络运营商、小型公司以及介于两者之间的所有组织获益。SD-WAN 不仅是要强化编排、运营和安全,更要强化服务交付并改善用户体验的质量。