十大未充分使用的SD-WAN功能
早期的SD-WAN產品為企業提供了一種代替MPLS鏈路,將分支機構直接連接到云并優化WAN流量的方法。但是,許多最初的SD-WAN產品都缺少集成防火墻、應用程序感知路由和高級數據分析之類的功能。
隨著時間的流逝,SD-WAN供應商通過添加一些強大的附加功能來增強產品性能。然而,許多企業并沒有充分利用最新SD-WAN產品和托管服務選項的全部功能。
那么,為什么IT高管們還沒瞄準這些新功能呢?因為在某些情況下,供應商在向IT領導者推薦這些先進功能的好處和易用性方面缺乏培訓。
很多時候,公司部門之間的溝通障礙(例如網絡和安全團隊之間)阻礙了企業網絡的發展(例如,SD-WAN設備可能附帶的下一代防火墻或入侵防御系統,但IT領導者并不清楚)。一般情況下,網絡專業人員都遵循了多年的標準方法和程序,并且可以很好地完成工作。當涉及一種新的工作方式(例如零接觸配置)時,可能不愿冒險,擔心如果出現問題,結果可能適得其反。但是,企業應該考慮文中列出的未充分利用的SD-WAN功能。畢竟,不管怎樣,你是在為SD-WAN設備或托管服務付費,為什么不讓你的錢物有所值呢?
1. 零接觸配置
部署分支機構網絡設備的傳統方法是將物理設備帶到暫存區域,對其進行配置、測試,然后再運送到分支機構,由網絡專業人員進行設置。對于在廣泛的地理區域中部署數十個或數百個SD-WAN設備的公司而言,這是一個耗時耗力的過程。
零接觸配置是大多數SD-WAN設備的標準配置,可自動配置現成的設備。Apcela網絡工程主管Kunal Thakkar表示,所有設備只需Internet連接就可以回撥電話,然后可以根據預定義的模板以快速,高效,標準化的方式對其進行完全配置。
2. 加密密鑰輪換
對于與聯邦政府有業務往來的企業(例如航空航天和國防公司)或承擔PCI合規性責任的企業(幾乎包括其他所有人),加密密鑰需要定期(通常每90天)更換一次。這可能是一個繁瑣的手動過程,需要復雜的變更控制策略,并且在變更期間需要計劃好所需的停機時間。
SD-WAN平臺可以用自動化系統代替傳統的基于VPN的密鑰輪換,該系統可以通過編程實現每分鐘進行一次密鑰輪換,而且在輪換期間也不會中斷數據平面流量。相比于傳統的方法,SD-WAN更安全,無需停機,也無需人工干預。
3. 多路復用VPN
在許多情況下,公司需要將不同類型的流量彼此隔離。例如,在合并或收購的情況下,出于業務、合規性或安全性的原因,每個業務部門仍將繼續獨立運作。如果企業決定升級到SD-WAN,則可能會考慮購買兩套物理設備。
但是SD-WAN技術允許多個虛擬路由和轉發(VRF)和VPN鏈接通過一個覆蓋層進行多路復用,這在以前的VPN技術中是不可行的。對于具有多個業務部門的龐大、復雜的組織而言,只需設置策略即可實現流量隔離。Thakkar說,SD-WAN技術能夠創建多達16個虛擬VPN,它們都運行在相同的物理WAN鏈路上。
4. 應用程序感知路由
SD-WAN產品能夠檢查第7層的流量,以便為特定的應用程序應用精細路由策略。實際上,某些設備可以識別3,000多個不同的應用程序,并了解每個應用程序的性能要求。此功能可以幫助企業實時監視敏感應用程序的延遲、抖動和其他特征,并將應用程序轉移到滿足性能閾值的最經濟高效的傳輸方法,從而在細粒度上優化電信成本。
據Aryaka Networks的首席技術官Ashwath Nagaraj稱,應用程序感知路由并沒有得到廣泛的部署。因為第7層流量檢查會有一定程度的性能開銷,而且它要求公司花時間和精力來每個應用程序定義策略。但是Nagaraj認為應用程序感知路由可以提供顯著的性能和成本優勢。
5. 編程API
思科Meraki產品管理高級總監Raviv Levi表示,API的使用可以幫助公司在整個SD-WAN生命周期中編排和自動化功能。Levi表示,雖然目前這個功能還未被充分利用,但人們對它的興趣正在增長,因為IT高管們開始認識到,有了API,大型企業可以以前所未有的方式擁有和控制網絡。
API使企業可以自定義和自動化SD-WAN設備的初始配置,可以隨時大規模更改配置,自動化故障單流程,并獲取有關WAN性能的數據,以進行實時流量優化和基礎架構的長期監控和管理。例如,公司可以使用API對設備進行編程,以執行比默認設置所要求的更頻繁的輪詢。
通過API,公司可以設置其SD-WAN基礎結構以自動收集數據,這些數據可以用于管理用戶組、查看審核日志、收集設備清單、進行實時監視以及對網絡設備進行故障排除等。
6. 優化的云連接
Cloud breakout能夠將分支機構的流量直接連接到云上,而不必返回到數據中心,是SD-WAN的主要優點之一。但在許多情況下,網絡管理員對最終用戶和云計算SaaS應用程序之間的網絡性能特征的了解有限,甚至完全不了解。然而,供應商現在提供了一項特性,在Cisco Viptela的示例中稱為Cloud OnRamp,該功能使用編程API來衡量SaaS應用程序的性能,或者來自Amazon Web 服務和Microsoft Azure的IaaS服務的性能。
在IaaS場景中,云服務提供商SD-WAN路由器的虛擬實例會持續測量應用程序的性能。在SaaS場景中,SD-WAN設備會連接到最近的SaaS存在點,并實時選擇最佳性能路徑。思科產品管理SD-WAN和企業路由高級總監Rohan Grover表示,通過SD-WAN,終端用戶在使用Office 365等應用時性能提高了40%。
7. 數據分析
數據分析也是SD-WAN未被充分利用的功能之一。SD-WAN能夠使用數據分析來排除網絡性能問題并執行遠程網絡容量規劃,無論用戶是用托管服務還是自己DIY,都可以從中獲得大量覆蓋端到端WAN連接的流量數據。有了數據分析功能,可以在一定程度上減少企業客戶、云服務提供商、IPS、最后一英里提供商等之間互相推卸責任的現象。
8. 端到端微分段
通過基于策略的工作負載隔離,微分段已經成為保護在數據中心和云環境中運行的應用程序安全的一種日益流行的方法。微分段使公司能夠更好地控制東西向的流量,如果出現漏洞,微分段將限制黑客的潛在橫向活動。
SDN和NFV等軟件overlay的興起為微分段鋪平了道路,因此,微分段很自然地成為了SD-WAN overlay的一部分。Nuage Networks首席執行官Sunil Khandekar認為,微分段的好處在于,如果某個分支節點受到攻擊,中央策略服務器可以自動采取措施將分支與網絡的其他部分隔離開來。
9. 服務鏈
在通過MPLS鏈路將分支機構的業務路由回數據中心時,分支機構中不需要額外的網絡和安全功能。但是,由于現在分支機構直接連接到全球互聯網,企業可能擁有多個分支機構設備,例如防火墻、NAT盒和入侵防御系統。Khandekar表示,利用服務鏈可以減少企業分支機構的混亂。組織可以創建連接的網絡服務鏈,并根據安全、延遲或QoS等領域的流量需求自動處理不同流量。
10. 固定無線連接
企業在設置分支機構鏈路時應考慮使用固定無線,特別是在考慮到部署速度的情況下。對于那些規模不太大的企業來說,從現有的ISP訂購WAN鏈接相對比較容易。但是對于那些在鄉村地區沒有傳統寬帶服務的組織,或者是需要快速向新的分支機構提供SD-WAN的公司而言,固定無線連接可能是一個更好的選擇。
早期的SD-WAN部署主要關注于基本的連接和節省成本。但是,如今,SD-WAN已被視為支持數字轉換的網絡自動化平臺。企業應該及時發現和了解這些未被充分利用的功能,讓SD-WAN的優勢得到充分的發揮。
