SD-WAN
SD-WAN使用集中控制功能安全、智能地引导整个WAN的流量,并直接将流量引导到受信任的SaaS和IaaS提供商。这将提高应用程序性能并提供高质量的用户体验,从而提高业务生产率和灵活性并降低IT成本。
SD-WAN架构
基于传统路由器的传统广域网从来都不是为云设计的。它们通常需要将所有流量(包括云目的地流量)从分支机构回溯到可以应用高级安全检查服务的集线器或总部数据中心。由回程引起的延迟会影响应用程序的性能,导致用户体验不佳和生产率降低。
与传统的以路由器为中心的广域网架构不同,SD-WAN模型旨在完全支持本地数据中心、公共或私有云以及Salesforce.com、Workday、Dropbox、Microsoft 365等SaaS服务中的应用程序,同时提供最高水平的应用程序性能。
SD-WAN是如何工作的?
与SD-WAN不同,传统的以路由器为中心的模型将控制功能分布在网络中的所有设备上,并简单地基于TCP/IP地址和ACL路由流量。这种传统模式僵化、复杂、效率低下,不利于云计算,导致用户体验不佳。
一SD-WAN使云优先企业能够为用户提供卓越的应用程序质量体验(QoEx)。通过识别应用程序,SD-WAN提供跨广域网的智能应用程序感知路由。每一类应用程序都接受适当的QoS和安全策略实施,所有这些都符合业务需求。分支机构的IaaS和SaaS应用流量的安全本地互联网突破提供最高水平的云性能,同时保护企业免受威胁。
为什么是SD-WAN?
时代变了,企业开始使用云计算并订阅软件即服务(SaaS)。虽然用户传统上连接回企业数据中心以访问业务应用程序,但现在通过访问云中的许多相同的应用程序,他们得到了更好的服务。
因此,传统的广域网不再适用,主要是因为将所有流量(包括发往云端的流量)从分支机构回送到总部会带来延迟并损害应用程序性能。SD-WAN提供了广域网简化、更低的成本、带宽效率和无缝的云端接入,具有显著的应用程序性能,特别是对于关键应用程序,而不会牺牲安全性和数据隐私。更好的应用程序性能可以提高业务生产率、客户满意度,并最终提高盈利能力。一致的安全性降低了业务风险。
基本SD-WAN与业务驱动的SD-WAN
- 并非所有SD WAN的创建都相同.许多SD-WAN解决方案都是基本的SD-WAN解决方案或“刚刚好”的解决方案。这些解决方案缺乏确保卓越网络体验所需的智能、可靠性、性能和规模。请记住,如果没有一个快速、安全、高性能的网络,企业数字转型计划可能会停滞不前,因为它们所依赖的应用程序依赖于服务,而服务又依赖于网络。SD-WAN是一个关键的数字转换推动者,正在推动整个企业的战略决策。那么,什么是业务驱动的SD-WAN,为什么Basic SD-WAN不够好?
- 生命周期编排和自动化。大多数基本的SD-WAN产品都提供一定程度的零接触资源调配。但是,基本SD-WAN解决方案并不总是提供所有WAN边缘功能的完整端到端编排,如路由、安全服务,包括与高级第三方安全服务和WAN优化的服务链接。当企业部署新的应用程序或需要更改QoS或安全策略时,业务驱动的SD-WAN支持集中配置,使所需的更改能够在几分钟内部署,而不是几周或几个月。集中式编排极大地减少了可能影响性能或安全性的人为错误。
- 持续的自我学习。基本SD-WAN解决方案根据预定义的规则(通常通过模板编程)控制流量。业务驱动的SD-WAN可在任何网络条件或变化(包括拥塞)以及出现损害时提供最佳应用程序性能。通过持续监控和自学习,业务驱动的SD-WAN能够自动实时响应网络状态的任何变化。业务驱动的SD-WAN不断适应网络中的变化,自动实时适应可能影响应用程序性能的任何变化,包括网络拥塞、限电和传输中断情况,允许用户始终连接到应用程序,而无需手动IT干预。例如,如果WAN传输服务或云安全服务遇到性能损害,网络会自动进行调整,以保持流量流动,同时保持对业务策略的遵从性。
- 一致的体验质量(QoEx)。高级SD-WAN解决方案的一个关键好处是能够同时主动使用多种形式的WAN传输。一个基本的解决方案可以在应用程序的基础上沿着一条路径引导流量,如果该路径失败或性能不佳,它可以动态地重定向到性能更好的链路。但是,对于许多基本解决方案,停机前后的故障切换时间以数十秒或更长的时间来衡量,通常会导致恼人的应用程序中断。业务驱动的SD-WAN智能监控和管理所有底层传输服务。它可以克服数据包丢失、延迟和抖动等挑战,为用户提供最高级别的应用程序性能和QoEx,即使WAN传输服务受损。与基本SD-WAN不同,业务驱动的SD-WAN可以无缝地处理整个传输中断,并提供亚秒级的故障切换,从而避免中断语音和视频通信等业务关键型应用程序。
- 端到端微分割。基本SD-WAN提供相当于VPN服务的服务,而业务驱动的SD-WAN提供更全面的端到端安全功能。除了支持基于区域的有状态防火墙之外,SD-WAN平台还应该协调和实施跨lan - wan -数据中心和lan - wan -云的端到端微分割。由于较少的人为错误,集中式配置的安全策略要比以设备为中心的WAN模型或基本SD-WAN模型更加一致,后者通常需要在逐设备的基础上配置策略。如果策略需要更改,它将与业务驱动的SD-WAN集中编程,并将其推到整个网络的10、100或1000个节点,在降低总体攻击面和避免任何安全漏洞的同时,显著提高操作效率。
- 针对云应用程序的安全本地互联网突破。许多基本sd - wan提供了基于固定定义和手动脚本化acl的应用程序分类功能,以直接在internet上引导SaaS和IaaS流量。然而,云应用程序是不断变化的。业务驱动的SD-WAN不断适应变化,并提供自动化的每日应用程序定义和IP地址更新。这消除了应用程序中断和用户生产力问题。
理想情况下,企业客户需要转移到业务驱动的SD-WAN平台它将SD-WAN、防火墙、分段、路由、WAN优化以及可见性和控制功能统一到一个单一的集中管理平台中。
针对SASE的高级SD-WAN功能
最终,SASE的目标是在不损害安全性的情况下为云托管应用程序提供最佳的最终用户体验。在与许多设计和部署了SASE体系结构的企业合作后,我们了解到基本的SD-WAN功能存在不足。要完全启用SASE,需要具有高级网络功能的SD-WAN:
- 在第一个包上标识应用程序流量,并对其进行粒度引导,以执行业务意图定义的QoS和安全策略
- 每天自动更新云应用程序定义和TCP/IP地址范围
- 从单个控制台自动化SD-WAN和云交付的安全服务之间的协调,使之更容易
- 自动故障切换到辅助云安全实施点,以避免任何应用程序中断
- 如果新的、更靠近分支的位置可用,则自动重新配置到云安全实施点的安全连接
- 使客户能够按照自己的节奏采用云安全服务及其SASE实现
- 最重要的是,在任何供应商提供新的安全创新时,都可以自由选择部署新的安全创新,以轻松应对未知的未来威胁
相关资源
