SD-WAN是什么?
SD-WAN使用集中控制功能安全地、智能地将流量通过WAN直接引导到受信任的SaaS和IaaS提供商。这将提高应用程序的性能并交付高质量的用户体验,从而提高业务生产力和敏捷性,并降低IT成本。
SD-WAN架构
基于传统路由器的传统广域网从来都不是为云设计的。它们通常需要将所有流量(包括云端的流量)从分支机构回退到可以应用高级安全检查服务的中心或总部数据中心。回程导致的延迟会损害应用程序的性能,从而导致糟糕的用户体验和生产力的损失。
与传统的以路由器为中心的WAN架构不同,SD-WAN模型被设计为完全支持驻留在本地数据中心、公共或私有云以及SaaS服务(如Salesforce.com、Workday、Dropbox、Microsoft 365等)中的应用程序,同时提供最高水平的应用程序性能。
SD-WAN是如何工作的?
与SD-WAN不同,传统的以路由器为中心的模型将控制功能分散到网络中的所有设备上,简单地根据TCP/IP地址和acl进行流量路由。这种传统模型死板、复杂、低效,而且对云不友好,导致用户体验很差。
一个SD-WAN使云优先企业能够为用户提供卓越的应用质量体验(QoEx)。通过识别应用程序,SD-WAN提供了跨WAN的智能应用程序感知路由。每一类应用程序都会收到适当的QoS和安全策略实施,这一切都与业务需求相一致。分支机构的IaaS和SaaS应用程序流量的安全本地internet突破提供了最高级别的云性能,同时保护企业免受威胁。
为什么SD-WAN ?
时代已经改变,企业正在使用云计算并订阅软件即服务(SaaS)。传统上,用户通过连接回公司数据中心来访问业务应用程序,但现在通过访问云中的许多相同应用程序可以更好地为他们提供服务。
因此,传统的广域网不再适用,主要原因是从分支机构到总部的所有流量(包括命中云端的流量)会带来延迟并降低应用程序的性能。SD-WAN简化了广域网,降低了成本,提高了带宽效率,并提供了无缝的云入口,具有显著的应用程序性能,特别是对于关键应用程序而言,而不会牺牲安全性和数据隐私性。更好的应用程序性能可以提高业务生产力、客户满意度,并最终提高盈利能力。一致的安全性降低了业务风险。
基本SD-WAN vs业务驱动的SD-WAN
- 并不是所有的sd - wan都是相同的.许多SD-WAN解决方案都是基本的SD-WAN解决方案或“刚刚好”的解决方案。这些解决方案缺乏确保优越网络体验所需的智能、可靠性、性能和规模。记住,如果没有快速、安全、高性能的网络,企业数字化转型计划可能会停滞,因为它们依赖于应用程序,而应用程序又依赖于服务,而服务又依赖于网络。SD-WAN是一个关键的数字转型推动者,正在推动整个企业的战略决策。那么,什么是业务驱动的SD-WAN ?为什么基本SD-WAN不够好?
- 生命周期编制和自动化。大多数基本的SD-WAN产品都提供某种程度的零接触供应。然而,基本的SD-WAN解决方案并不总是提供完整的端到端编排所有广域网边缘功能,如路由、安全服务(包括服务链到高级第三方安全服务)和广域网优化。当企业部署新的应用程序或需要更改QoS或安全策略时,业务驱动的SD-WAN支持集中配置,允许在几分钟内部署所需的更改,而不是几周或几个月。集中式编排极大地减少了可能损害性能或安全性的人为错误。
- 持续的学习。一个基本的SD-WAN解决方案根据预定义的规则(通常通过模板编程)来引导流量。业务驱动的SD-WAN,在任何网络条件或变化(包括拥塞和损害发生时)下提供最佳的应用程序性能。通过持续的监视和自学习,业务驱动的SD-WAN自动地、实时地响应网络状态的任何变化。业务驱动的SD-WAN不断适应网络中的变化,自动实时地适应可能影响应用程序性能的任何变化,包括网络拥塞、电力中断和传输中断条件,允许用户始终连接到应用程序,而无需手动IT干预。例如,如果WAN传输服务或云安全服务遇到性能下降,网络会自动调整以保持流量流动,同时保持符合业务策略。
- 持续的体验质量(QoEx)。高级SD-WAN解决方案的一个关键优点是能够同时积极地使用多种形式的WAN传输。基本的解决方案可以将应用程序上的流量引导到单一路径,如果该路径失败或性能不佳,则可以动态地重定向到性能更好的链接。然而,在许多基本解决方案中,围绕中断的故障转移时间测量为几十秒或更长的时间,通常会导致烦人的应用程序中断。业务驱动的SD-WAN智能地监视和管理所有底层传输服务。它可以克服数据包丢失、延迟和抖动的挑战,为用户提供最高水平的应用程序性能和QoEx,即使在广域网传输服务受损的情况下。与基本的SD-WAN不同,业务驱动的SD-WAN无缝地处理整个传输中断,并提供亚秒级故障转移,避免中断语音和视频通信等业务关键应用程序。
- 端到端微营销。虽然基本的SD-WAN提供了相当于VPN服务的功能,但业务驱动的SD-WAN提供了更全面的端到端安全功能。除了支持基于状态区域的防火墙外,SD-WAN平台还应该编排和执行跨lan - wan -数据中心和LAN-WAN-Cloud的端到端微分割。集中式配置的安全策略比以设备为中心的WAN模型或基本的SD-WAN模型(通常需要在逐个设备的基础上配置策略)更一致,因为人为错误更少。如果策略需要更改,则使用业务驱动的SD-WAN对其进行集中编程,并将其推到网络上10个、100个或1000个节点上,从而显著提高操作效率,同时减少总体攻击面并避免任何安全漏洞。
- 为云应用程序提供安全的本地internet突破。许多基本的sd - wan提供了一些基于固定定义和手动脚本的acl的应用程序分类功能,以直接在internet上指挥SaaS和IaaS流量。然而,云应用程序不断变化。业务驱动的SD-WAN不断适应更改,并每天自动提供应用程序定义和IP地址更新。这消除了应用程序中断和用户生产力问题。
理想情况下,企业客户需要转移到业务驱动SD-WAN平台将SD-WAN、防火墙、分割、路由、WAN优化以及可见性和控制功能统一在一个单一的集中管理平台中。
SASE的高级SD-WAN功能
最终,SASE的目标是在不影响安全性的情况下,为云托管应用程序提供最佳的终端用户体验。在与许多设计和部署了SASE架构的企业合作后,我们了解到基本的SD-WAN功能还不够。完全启用SASE需要具备高级组网能力的SD-WAN:
- 识别第一个包上的应用程序流量,并根据业务意图对其进行粒度控制,以强制执行QoS和安全策略
- 每天自动更新云应用程序定义和TCP/IP地址范围
- 通过单个控制台自动化SD-WAN和云交付的安全服务之间的编排,从而简化编排工作
- 自动故障转移到次要云安全实施点,以避免任何应用程序中断
- 如果到分支的更新、更近的位置可用,则自动重新配置到云安全实施点的安全连接
- 允许客户按照自己的节奏采用云安全服务及其SASE实现
- 最重要的是,提供部署新的安全创新的自由选择,因为它们可以从任何供应商轻松地解决未知的未来威胁
相关资源
