阅读时长:9 分 14 秒 | 更新日期:2025 年 10 月 22 日
SD-WAN 什么是 SD-WAN?
软件定义广域网 (SD-WAN) 是“安全接入服务边缘”(SASE) 利用虚拟广域网架构的基础组件,企业可通过这一架构,充分利用各种传输服务(包括多协议标签交换 (MPLS)、LTE 和宽带互联网服务)的任何组合,将分支机构用户安全地连接到云中托管的应用或跨混合 IT 环境的应用。
SD-WAN 释义
传统架构通常使用 MPLS 链路将流量从分支机构路由到数据中心。这种架构成本高昂、模式僵化,且没有针对以云为中心的组织的动态流量模式和应用性能需求进行优化。传统模式将流量从分支机构办公室回传到数据中心以执行安全检查,这不但增加了延迟,而且最终还会导致应用性能下降。如今,这种模式已不合时宜。
SD WAN 是一种将分支机构连接到数据中心和云的现代化方法。它利用软件智能地引导流量跨越多种连接,例如宽带、5G、卫星或 MPLS,以降低成本、减少对 MPLS 的依赖,同时提供灵活性。SD-WAN 使用了隧道绑定、最佳路径选择、前向纠错和 WAN 优化等多种技术,可确保应用性能和恢复能力的一致性。它根据业务意图以应用驱动型方式自动引导流量,通过内置安全功能提高网络安全性,并简化 WAN 架构。
SD-WAN 架构
典型的 SD-WAN 架构包括三个主要组件:
- 边缘设备:部署在分支机构、数据中心和云位置的物理或虚拟设备,用于根据策略转发流量并实时衡量链路健康状况。
- SD-WAN 编排器:执行云托管或本地部署的配置、策略及监控管理,覆盖所有 SD-WAN 节点。该编排器通过提供单一管理平台管理界面简化了操作。
- 传输层:SD-WAN 可在任何基于 IP 的传输上工作,例如宽带互联网、LTE、5G 或 MPLS。该层形成底层网络,而 SD-WAN 创建具有动态路径选择和故障转移的智能覆盖网络。
高级 SD-WAN 架构还可能包括 WAN 优化功能(例如,TCP 加速、数据重复数据删除)、直接云连接、内置安全控制以及与 SSE(安全服务边缘)平台的集成。
SD-WAN 的工作原理是什么?
与 SD-WAN 不同,以路由器为中心的传统模式将控制功能分布在网络中的所有设备上,并简单地基于 TCP/IP 地址和 ACL 路由流量。这种传统模式僵化、复杂、低效,而且不适合云环境,导致用户体验欠佳。
SD-WAN 的工作原理是持续评估所有可用网络链路性能,并根据实时条件和业务策略智能地路由流量。例如,它可以优先处理 VoIP 呼叫而不是优先级较低的软件更新,或者通过安全的 MPLS 链路传输敏感数据,同时通过宽带路由大量流量。
关键机制包括:
- 应用感知路由:识别第一个数据包上的应用并应用 QoS(服务质量)规则来确保性能和可靠性。
- 动态路径选择:根据延迟、抖动和数据包丢失等链路指标为每个应用流选择最佳路径。
- 前向纠错:通过纠正数据包丢失和消除不可靠连接导致的性能问题来提高链接质量。
- 隧道绑定:将多个 WAN 链路组合成单个逻辑连接,以提高吞吐量和恢复能力。
SD-WAN 可以使用加密隧道(通常是 IPsec)运行,也可以采用无隧道、基于会话的架构。即使在公共网络上,它也能保证数据的机密性和完整性。先进的安全 SD-WAN 还支持根据用户、应用或设备角色对流量进行分段,以防止横向移动并维护安全边界。
为什么选择使用 SD-WAN?
随着时代变迁,企业开始使用云并订阅软件即服务 (SaaS)。过去,用户会连接回公司数据中心以访问业务应用,而现在仅使用云中的许多相同应用,便可获享更好的服务。
因此,传统广域网已不再适用,这主要是因为需要将所有流量(包括通往云的流量)从分支机构办公室回传到总部,导致延迟并降低应用性能。SD-WAN 具有广域网的简单性、低成本、带宽效率、与云的无缝接入以及出色的应用性能,尤其是对于关键应用,同时兼顾安全性和数据隐私。应用性能得到提升,业务效率和客户满意度也随之提高,最终提高了盈利能力。始终如一的安全保护意味着业务风险大大降低。
SD-WAN 有哪些优势?
- 提升性能:通过最佳路径路由应用并消除回传到数据中心的过程。
- 增强安全性:与 SSE 紧密集成,形成 SASE 架构,因为许多 SD-WAN 解决方案都包含加密、防火墙和高级安全功能。
- 以云为中心:优化并保护来自分支机构的云访问。
- 节省成本:通过利用更便宜的互联网链接减少对昂贵 MPLS 电路的依赖。
- 简化管理:利用集中控制简化网络配置和监控操作。
基础型 SD-WAN 与高级安全型 SD-WAN 对比
- 市面上的 SD-WAN 性能参差不齐:许多 SD-WAN 解决方案都是基础级 SD-WAN 方案或者“刚好够用”的解决方案。这些解决方案缺乏确保安全网络体验和打造强大 SASE 架构所需的智能程度、安全性、性能和规模。要知道,如果没有快速、安全的高性能网络,企业数字化转型和网络安全计划可能停滞不前。
| 基础型 SD-WAN | 高级安全型 SD-WAN | |
|---|---|---|
| 始终如一的卓越体验 |  |  |
| 内置安全性 | | |
| 多云网络 | | |
| AI 驱动 | | |
- 始终如一的卓越体验 (QoEx)。高级 SD-WAN 解决方案的一大优势在于能够同时主动使用多种形式的广域网传输。基础级解决方案可以基于应用将流量引导到单个路径,如果该路径出现故障或性能不佳,则可以动态重定向到性能更佳的链路。然而,对于许多基础级解决方案,中断前后的故障转移时间长达数十秒或更长,这往往会导致恼人的应用中断。而业务驱动型 SD-WAN 可智能监控和管理所有底层传输服务,进而避免数据包丢失、延迟和抖动等问题,即使在广域网传输服务受到牵连的情况下,也能为用户提供出色的应用性能和体验质量。不同于基础型 SD-WAN,高级 SD-WAN 可无缝处理整个传输中断过程,故障转移时间不到一秒,因此可避免语音和视频通信等关键业务应用中断。它根据网络中的变化不断调整,自动实时适应可能影响应用性能的任何变化,包括网络拥塞、电压不足和传输中断。
- 内置安全性。高级安全型 SD-WAN 包括下一代防火墙,以高效保护分支机构。主要功能包括入侵侦测和预防 (IDS/IPS) 和端到端分段。其他高级安全型 SD-WAN 可以保护组织免受 DDoS 攻击并提供 URL Filtering 功能。组织可以通过集成下一代防火墙,轻松替代传统的分支机构防火墙,从而减少硬件占用空间。此外,对安全策略进行集中管理,无需本地配备受过 IT 培训的人员,避免了配置错误。同时,基础型 SD-WAN 仅提供相当于 VPN 的服务,而高级安全型 SD-WAN 则提供更全面的端到端且基于角色的分段控制。高级安全型 SD-WAN 通过添加用户和设备标识以及基于角色的策略,实现了精细分段并实施零信任。它基于最低权限访问原则,确保用户和物联网设备只同与其业务角色相符的目标位置通信,减少了未经授权的访问并限制了事件影响范围。
- 多云网络。高级 SD-WAN 可以部署在诸如 AWS、Azure 和 Google Cloud 的公有云中,以利用 SD-WAN 的所有优势来优化分支机构与云之间的连接。在电压不足或停电时,其余链路将继续承载流量,这样用户就不会注意到语音通话、音频和视频会议或任何其他应用受到的任何干扰。这加固了分支机构与公有云之间的“第一英里”,实现了更好的网络性能、可靠性和质量。
- AI 驱动型 高级 SD-WAN 包含 AI 功能,可更好地深入了解所连接的用户和设备。AI 还可以帮助组织深入了解网络流量和安全状况,从而主动排查故障并诊断网络问题。AI 驱动型 SD-WAN 设计用于听取、理解和响应自然语言查询,让 IT 团队更轻松地获得所需洞见。
为 SASE 提供的高级 SD-WAN 功能
SASE 将 SD-WAN 与安全服务边缘 (SSE) 结合在一起。关键的 SSE 功能有 ZTNA(零信任网络接入)、SWG(安全 Web 网关)和 CASB(云接入安全代理)。
最终,SASE 的目标是为以云为中心的组织与混合办公环境提供安全防护和性能保障,确保能从任意地点安全访问应用及敏感数据,同时防范网络威胁。许多已设计和部署 SASE 架构的企业的经验告诉我们,基础型 SD-WAN 在功能方面有所欠缺。只有使用具备高级网络和安全功能的安全型 SD-WAN,SASE 才能够完全执行以下操作:
- 与 SSE 解决方案无缝集成,形成统一且一致的 SASE 架构或单一供应商 SASE 解决方案。
- 完全自动化 SD-WAN 和 SSE 之间的编排
- 通过集中式网络和安全策略管理,确保在不同地点获得适当的访问权限和一致的体验。
- 识别第一个数据包上的应用流量,并基于预定义的安全策略将其精准地导向到 SSE 解决方案
- 自动故障转移到辅助云安全强制点,以避免应用中断
- 在有距分支机构更近的新位置可用时,自动重新配置,方便与云安全实施点建立安全连接
- 监控通向 SSE 的隧道,以确保隧道健康运行,自动触发故障转移以获得高可用性,并保持应用性能的一致性。
HPE Networking 与 SD-WAN
HPE Networking SD-WAN 是一款由多种访问部署选项组成的全面产品组合,用于跨不同位置、数据中心、云和 SaaS 将企业连接起来。该解决方案包含多种接入 SD-WAN 架构的不同部署模式(或称 onramps),为来自总部、数据中心、园区、分支机构、小型办公室、居家办公和移动办公的用户提供顺畅、安全的高性能网络连接,让他们在任何地方都能访问应用、数据和服务。
- HPE Aruba Networking EdgeConnect SD-WAN 使 IT 管理员能够构建先进的安全型 SD-WAN 边缘,它能够不断学习并适应不断变化的业务需求,并通过内置的下一代防火墙提供高级安全功能。
- HPE Aruba Networking EdgeConnect SD-Branch 使 IT 管理员能够整合分支机构的网络组件,实现 WLAN、局域网和 SD-WAN 的充分集成并获享集成式安全性,同时通过集中式云管理获得板载 LTE 支持。
- HPE Aruba Networking EdgeConnect Microbranch 使用一系列 HPE Aruba Networking 远程接入点 (RAP) 来实现与企业网络的安全 WAN 连接,非常适合小型办公室或居家办公场所。
- HPE Juniper Networking Session Smart Router 提供以会话为中心的方法,实现精细的会话级性能。它独特的无隧道架构为会话提供了一条直接路径,不仅可以提高应用性能并降低延迟,还可以简化网络运营。
HPE Networking SD-WAN 提供全面的解决方案,用于解决分布式企业中的现代连接和安全挑战。它通过隧道绑定、业务意图覆盖、路径调节和 WAN 优化技术来提高性能并降低成本。这些功能可确保在 MPLS、宽带和 5G 等混合 WAN 链路上实现可靠、高质量的应用性能。
对于云驱动型环境,这些功能可以智能地将应用流量直接路由到 Amazon Web Services、Microsoft Azure、Oracle Cloud 和 Google Cloud 等云提供商,从而提高效率和用户体验。
内置安全性,具有下一代防火墙功能、IDS/IPS、自适应 DDoS 保护和基于角色的分段 - 全部集中管理。安全 Web 网关 (SWG) 的集成将针对 Web 威胁的保护扩展到非托管设备,而无需代理。物联网安全性也通过 HPE Aruba Networking ClearPass 集成得到加强,实现基于身份和角色的动态分段。
作为 SASE 基础,该解决方案与 HPE Aruba Networking SSE(支持 ZTNA、SWG、CASB 和其他安全功能的云原生 SSE 解决方案)紧密集成,或与多个第三方 SSE 集成以融入现有的安全生态系统。
最后,AIOps 可通过自动化配置和故障排除活动来提升网络智能水平。AIOps 利用生成式 AI 和大型语言模型 (LLM),为组织提供自然语言查询功能和切实可行的建议,以此显著缩短解决问题的时间,确保网络始终保持绝佳运行状态。
SD-WAN 常见问题
所有 SD-WAN 解决方案性能都一样吗?
各种 SD-WAN 解决方案性能参差不齐。基础型 SD-WAN 通常与 SSE 服务集成不佳,限制了其在整个 SASE 架构中的作用,而高级型 SD-WAN 则提供与多个 SSE 供应商的集成,甚至支持单一供应商 SASE 方法。一些 SD-WAN 注重性能,具备先进的网络和安全功能,而另一些则侧重于与有线和无线网络的集成。最后,一些 SD-WAN 采用具有会话智能转发功能的无隧道模式,另一些依赖 IPsec 隧道技术,它们分别适用于不同的应用场景。
什么是 AI 驱动型 SD-WAN?
AI 驱动型 SD-WAN 为 SD-WAN 带来 AI 驱动型洞见、异常检测和自动故障排除功能。它使 IT 管理员能够为最终用户提供更好的网络体验,同时最大限度减少 IT 人员的运营负担。它将 SD-WAN 性能与无线和有线网络性能关联起来,这样就可以提供从边缘到云端的全面洞见和可视性。
选择 SD-WAN 解决方案时应注意哪些问题?
在选择 SD-WAN 解决方案时,应优先考虑支持单供应商 SASE 架构或与多个 SSE 供应商集成的选项。寻找诸如隧道绑定、FEC 和 WAN 优化等功能,以实现可靠的应用交付。评估各种安全功能,包括下一代防火墙、IDS/IPS、DDoS 防御和网络微分段。确保与 Amazon Web Services、Microsoft Azure 或 Google Cloud 等云服务提供商的云集成。最后,检查是否具备可实现自动故障排除和优化的 AI 驱动型分析和 AIOps 功能。
SD-WAN 能否显著提升网络性能?
SD-WAN 可以显著提高网络性能。高级 SD-WAN 使用了多种先进技术,如使用前向纠错 (FEC) 来恢复丢失的数据包、使用隧道绑定来合并多个链路以提高吞吐量、使用最佳路径选择来引导流量通过最佳路线,以及使用具有压缩算法的 WAN 优化来减少带宽占用。SD-WAN 持续监控网络状况,并在发生故障时自动提供备用路径,从而确保可靠的应用性能和一致的用户体验。
SD-WAN 与 MPLS 对比:有什么区别?
MPLS 曾经是可靠连接的黄金标准,但由于成本高昂、结构僵化、带宽限制和回传瓶颈等问题,难以满足当今云优先的需求。SD-WAN 将多种链路(MPLS、宽带、5G)虚拟化,从而提高带宽和可靠性。与 MPLS 不同,它通过 IPsec 加密所有流量,支持 SaaS 直连云服务,并集成于 SASE 架构中。高级 SD-WAN 可借助宽带网络无缝替代 MPLS,同时通过集中式编排提升性能、降低成本并简化分支机构运营。这也有助于企业快速建立新的分支机构,同时保持较低的基础设施成本。
SD-WAN 有哪些安全特性?
一些高级安全型 SD-WAN 含有内置的下一代防火墙功能,包括 IDS/IPS、DDoS 防御和微分段。通过集成这些安全功能,不仅可以提高网络性能和安全保护,还可以简化分支机构部署。安全型 SD-WAN 可以取代分支机构防火墙和路由器,从而整合分支机构设备,降低复杂性,并确保在所有地点提供安全且一致的用户体验。