了解SD-WAN优点和局限性

2019-12-30 16:11:39 云杰通信 114

SD-WAN是广域网中的重大发展,并且是首个获得广泛部署的SDN技术。但是,人们过度期望他们可以为企业IT通信的各个方面提供全视角和全控制能力,这使它们的实用性变得模糊不清。这不是真的,重要的是要了解SD-WAN的功能,以便可以有效地规划WAN现代化。让我们看看SD-WAN可以看到和控制哪些域,它们看不到,为什么重要,以及网络智能如何帮助您的混合WAN,SD-WAN和直接Internet访问演进。

了解SD-WAN优点和局限性

什么是WAN?

在过去,所有用户都在办公室里,所有应用程序都驻留在本地数据中心中。WAN非常简单,它将所有这些连接在一起,并包括SLA随附的本地路由器和运营商服务。如今,随着SaaS的采用,几乎所有在IaaS云中构建的新企业应用程序,向直接Internet访问(DIA)的转变以及几乎无处不在地使用基于云的API端点作为甚至本地应用程序的组成部分,“ WAN”的范围越来越广。如今,Internet直接且排他地承载着所有企业流量中的大部分(如果不是大多数)。

整个Internet本质上与传统WAN根本不同,它不是一项契约服务,而是一个由成千上万个网络组成的共享公共域,这些网络通过脆弱的隐含信任链保持在一起,最明显的是通过全球BGP生存路由表和域名服务。对于企业而言,有许多服务依赖项仅存在于Internet上,例如CDN,安全提供程序(DDOS,SWG)以及上述的IaaS,SaaS和云API。使企业流量通过Internet到达或通过这些服务依赖关系中的任何一个,都涉及到联系的ISP以及企业无法与之进行合同访问的许多其他传输ISP。

因此,我们可以将企业通信视为包含两个不同的管理域。第一个是本地网络设备和站点间链接的内部WAN域,它们是MPLS或IP-VPN隧道。请注意,尽管IP-VPN隧道可能会跨越Internet的广阔区域,但它们充当企业运营的路由器之间的单路由邻接关系。另一个是基于Internet的外部域,如上所述,其中的实时网络,基础结构,服务和应用程序既不由IT团队拥有也不直接由IT团队控制。

SD-WAN实际上可以看到和控制什么?

SD-WAN通过为路由策略带来更高程度的集中式协调和控制来解决WAN的内部管理域。这是通过将支持物理或虚拟SD-WAN的路由器放置在IT团队控制的环境中来实现的,例如数据中心,分支机构和云VPC。SD-WAN将单个分支/ WAN边缘路由器上的路由策略的所有手动配置拉入可在全球范围内设置策略的集中式SD-WAN控制器中。SD-WAN允许您为各种应用程序配置首选路径。例如,可以通过MPLS电路控制VoIP流,而可以通过IP-VPN隧道控制不太敏感的应用程序。

许多SD-WAN解决方案都包含一些基本的应用程序性能评估,以便它们可以响应相关的网络性能问题。例如,如果Webex通过分支DIA管道运行不佳,则SD-WAN解决方案可以将流量从DIA管道引开,并通过IP-VPN回程隧道将其带到数据中心的集中式Internet分支。

SD-WAN管理性能的好处之一是,它们可以帮助您增加Internet带宽的按比例使用,至少在某些地区可以节省金钱。Gartner分析师Ted Corbett,Andrew Lerner和Mike Toussaint撰写了一份有用的研究报告,称为《事实或虚构:SD-WAN是否真的为您省钱?阐明了影响SD-WAN节省的一些变量。值得一看的是您是否订阅了Gartner。

SD-WAN无法看到和控制的内容

当涉及现代企业通信的外部部分时,SD-WAN使该域的绝大部分未被发现。例如,让我们以加密IP-VPN隧道为例,在分支机构和数据中心之间,或在数据中心和IaaS VPC之间传输Internet。尽管从SD-WAN路由器的角度来看,该隧道似乎只是一个跃点,但实际上,隧道流量可能正在传递十几个或更多的路由器和多个独立的网络组织(以BGP的自治系统来说)。如果通过隧道的性能不及标准,仅知道二进制的好/坏状态对于网络操作人员来说是不够的,他们必须解决问题。SD-WAN不会收集有关Internet路由表,自治系统,跨Internet路径的逐跳指标的任何信息,以及SD-WAN控制器权限范围之外的所有网络基础架构。没有这种智能,SD-WAN将无法帮助解决该领域的问题。没有详细的见解,您甚至无法确定问题所在是Internet中的哪个网络组织,更不用说特定的路由器和错误指标了。

这是另一种情况:分支机构的DIA,用于将用户连接到SaaS提供商。该流量首先通过GRE隧道从分支路由器(传输多个ISP和路由器)到安全Web网关(SWG)提供程序的数据中心。在安全代理服务器检查了流量之后,流量将退出SWG数据中心,并采用Internet规定的多个SaaS提供商中的任何一条路径。每个SaaS提供商都具有不同的交付体系结构,可能是专有的或多个商业CDN中的一个在前端,或者可能是前门数据中心在没有CDN的情况下交付给另一大洲的指定数据中心实例。同样,SD-WAN无法提供对交付链中这些组件的任何可见性或任何控制权。

为什么外部域如此重要?

列举SD-WAN无法管理的现代企业IT通信的所有部分,并不是要减少SD-WAN的优势。而是要突出外部域的增长和重要性。您的数字业务,品牌声誉,员工生产力和收入都完全取决于外部提供商,网络和服务。您(也不是SD-WAN)都无法控制这些资源这一事实并不能使您摆脱业务成果的束缚。

在缺乏控制的情况下,可见性是关键。对于SD-WAN,我们看到越来越多的企业拥护云就绪生命周期,并提前部署SD-WAN可见性,以了解Internet的行为方式以及云资源如何在其分布式位置运行。