十個沒有充分利用的SD-WAN功能
SD-WAN不僅僅是多協議標簽交換(MPLS)的替代方案。零接觸配置、應用程序感知路由、微分段也是SD-WAN產品和服務可以提供的一些功能。
早期的SD-WAN產品為組織提供了一種停用MPLS鏈接,將分支機構直接連接到云平臺,并優化WAN流量的方法。但許多最初的SD-WAN產品缺乏集成防火墻、應用程序感知路由、高級數據分析等功能。
隨著時間的推移,SD-WAN供應商已經加強了他們的產品以包含一組強大的附加功能。然而,許多組織并沒有充分利用最新SD-WAN產品和托管服務選項的全部功能。
那么,為什么IT管理人員沒有充分采用這些新功能?在某些情況下,供應商在向IT領導者提供這些先進功能的好處和易用性方面缺乏適當的培訓。
在其他情況下,組織之間的孤島(例如網絡和安全團隊之間的障礙)阻止了組織激活下一代防火墻或入侵防御系統(例如SD-WAN設備附帶的)。
在很多情況下,網絡專業人員多年來都遵循了一套標準的方法和程序,并且可以很好地完成工作。當涉及一種新的工作方式(例如零接觸配置)時,可能會不愿冒險,如果出現問題,可能會適得其反。但是,組織應該考慮以下列出的未充分利用的SD-WAN功能可以提供的好處。畢竟,組織還是要為SD-WAN設備或托管服務支付費用,所以為什么不充分利用以下這些功能呢?
1.零接觸配置
部署分支機構網絡設備的傳統方法是將物理設備帶到暫存區域,對其進行配置和測試,然后將其運送到分支機構,由網絡專業人員進行設置。對于在廣泛的地理區域中部署數十個或數百個SD-WAN設備的組織而言,這是一個人工密集且耗時的過程。
零接觸配置是大多數SD-WAN設備的標準配置,可自動配置現成的設備。據Apcela公司網絡工程主管Kunal Thakkar介紹,該設備所需的全部是全球互聯網連接,根據預定義的模板以快速、高效、標準化的方式對其進行全面配置。
2.加密密鑰輪換
對于與政府部門有業務往來的組織或承擔PCI合規性責任的組織,加密密鑰需要定期輪換(通常是90天)。這可能是一個繁瑣的人工過程,需要復雜的變更控制策略,并且可能需要計劃內的停機時間。
SD-WAN平臺可以用自動化系統代替傳統的基于VPN的密鑰輪換,該系統可以編程為每分鐘進行一次輪換,而不會中斷數據平臺流量。其結果是更好的安全性,無需停機,也無需人工干預。
3.多路VPN
在許多情況下,組織需要保持不同類型的流量彼此分離。例如,在組織合并或收購的情況下,出于業務、合規性或安全性的原因,其每個業務部門仍將繼續獨立運作。如果組織隨后決定升級到SD-WAN,則可能考慮購買物理設備。
但是SD-WAN技術允許將多個虛擬路由和轉發(VRF)和VPN鏈接與單個覆蓋層復用。這對于以前的VPN技術是不可行的。對于具有多個業務部門的龐大復雜的組織而言,只需設置策略即可實現流量隔離。 Thakkar說,SD-WAN技術能夠創建多達16個虛擬VPN,它們都在相同的物理WAN鏈路上運行。
4.應用程序感知路由
SD-WAN產品具有檢查第7層流量的能力,以便為特定應用程序應用精細的路由策略。實際上,某些設備可以識別3,000多個不同的應用程序,并了解每個應用程序的性能要求。通過持續實時監視敏感應用程序的延遲、抖動和其他特征,并將應用程序轉移到滿足性能閾值的最具成本效益的傳輸方法,此功能可幫助組織優化成本。
Aryaka Networks公司首席技術官Ashwath Nagaraj稱,應用程序感知路由沒有得到廣泛的部署。這可能是,第7層流量檢查確實會帶來一定程度的性能開銷,并且確實需要組織花費時間和精力來為每個應用程序定義策略。但是他認為應用程序感知路由可以提供顯著的性能和成本優勢。
5. 編程API
思科公司Meraki產品管理高級總監Raviv Levi說,API的使用可以幫助組織在SD-WAN整個生命周期中協調和自動化功能。Levi表示,雖然目前的功能尚未得到充分利用,但人們的興趣正在增長,因為IT主管開始了解使用API,大型組織能夠以前所未有的方式獲得對網絡的所有權和控制權。
API使組織可以自定義和自動化SD-WAN設備的初始配置,可以隨時大規模更改配置,自動化故障單流程并收集有關WAN性能的數據,以進行實時流量優化和長期監控和基礎設施的管理。例如,組織可以使用API對設備進行編程,以執行比默認設置所要求的更頻繁的輪詢。
通過API,組織可以設置其SD-WAN基礎設施,以自動收集有助于管理用戶組、查看審核日志、收集設備清單、進行實時監控和排除網絡設備故障等功能的數據。
6.優化的云計算連接
云計算突破或將分支機構流量直接連接到云平臺而不是遣返回數據中心的能力,是SD-WAN的主要優點之一。但在許多情況下,網絡管理員對最終用戶和云計算SaaS應用程序之間的網絡性能特征的可見性有限或根本不了解。然而,供應商現在提供了一個特性,在Cisco Viptela的例子中稱為Cloud OnRamp,它使用編程API來測量SaaS應用程序的性能,或者來自AWS公司和微軟Azure的IaaS服務。
在IaaS場景中,云計算服務提供商域內的SD-WAN路由器的虛擬實例會持續衡量應用程序的性能,從而使網絡管理員以前所未有的方式查看應用程序性能。在SaaS場景中,SD-WAN設備連接到最近的SaaS存在點,并實時做出選擇優秀性能路徑的決策。思科公司產品管理、SD-WAN和企業路由產品高級總監Rohan Grover表示,對于Office 365等流行的生產力應用程序,最終用戶的性能提高了40%。
7.數據分析
SD-WAN系統的另一個未充分利用的功能是能夠使用數據分析來解決網絡性能問題,并執行遠程網絡容量規劃。無論組織采用托管服務還是自己分析,都可以使用大量的流量數據來覆蓋端到端WAN連接。分析的使用消除了客戶、云計算服務提供商、網絡服務提供商之間發生的典型指責。
8.端到端的微分段
通過基于策略隔離工作負載,微分段已經成為保護數據中心和云計算環境中運行的應用程序的一種越來越流行的方法。微分段使組織能夠更好地控制東西向的流量,如果出現漏洞,微分段將限制黑客的潛在橫向移動。
SDN和NFV等軟件疊加層的興起為微分段鋪平了道路,因此,微分段成為SD-WAN疊層的功能是很自然的。Nuage Networks公司首席執行官Sunil Khandekar認為,微分段的好處在于,如果分支節點受到攻擊,中央策略服務器可以自動采取措施將分支與網絡的其他部分隔離開來。
9.服務鏈
通過安全的多協議標簽交換(MPLS)鏈路將分支機構的業務路由回數據中心時,分支機構中不需要額外的網絡和安全功能。但是現在分支機構直接連接到全球互聯網,組織可能會發現自己有多個分支機構設備,如防火墻、NAT設備和入侵預防系統。正如Khandekar所說,服務鏈使組織能夠減少分支機構的混亂。組織可以創建連接的網絡服務鏈,并根據安全、延遲或QoS等領域的流量要求自動處理不同的流量。
10.固定無線連接
專家表示,雖然不是專門提供SD-WAN功能,但組織建立分支機構鏈路時應考慮使用固定無線連接,尤其是在將部署速度放在首位的情況下。對于一些組織來說,從現有的網絡服務提供商(ISP)訂購WAN鏈接可能相對容易。但對于那些沒有傳統寬帶服務的農村地區的組織,或者需要快速向新的零售店或其他彈出式商業場所提供SD-WAN的組織,固定無線電路可能是一個更好的方法。
Khandekar表示,早期的SD-WAN部署主要集中在基本連接和節省成本方面。但是,如今,SD-WAN被視為支持數字化轉型的網絡自動化平臺。部署這些未被充分利用的功能可以幫助IT組織使WAN與業務需求保持一致。
