SD-WAN

什么是 SD-WAN?

软件定义广域网 (SD-WAN) 是一种虚拟广域网架构,企业可通过它充分利用传输服务的任何组合,包括 MPLS、LTE 和宽带互联网服务,将用户安全地连接到应用。

  • SD-WAN 说明
  • SD-WAN 架构
  • SD-WAN 的工作原理是什么?
  • 为什么选择使用 SD-WAN?
  • 基础级 SD-WAN 与业务驱动型安全 SD-WAN 比较
  • 为 SASE 提供的高级 SD-WAN 功能
  • HPE 和 SD-WAN
SD-WAN 说明

SD-WAN 说明

传统模式将流量从分支机构办公室回传到数据中心以执行重要的安全检查,这不但浪费带宽,而且增加了延迟,最终导致应用性能下降。如今,这种模式已不合时宜。的确需要一种更好的方式,将通信流量从分支机构通过互联网直接发送到可信的 SaaS 和基于云的应用,同时确保符合企业安全规定。

SD-WAN 能够确保一致的应用性能和恢复能力、根据业务意图以应用驱动型方式自动控制流量、提高网络安全性,并简化广域网架构。SD-WAN 使用集中控制功能通过广域网安全、智能地引导流量,并直接流向可信的 SaaS 和 IaaS 提供商。这提高了应用性能并提供高品质用户体验,进而提高了业务效率和灵活性,同时降低了 IT 成本。

SD-WAN 架构

SD-WAN 架构

基于旧式路由器的传统广域网从未考虑云。它们通常需要将所有通信流量(包括以云为目的地的流量)从分支办公室回传到可以应用高级安全检查服务的中枢或总部数据中心。回传造成的延迟会降低应用性能,导致用户体验欠佳,并拉低工作效率。

与以路由器为中心的传统广域网架构不同,SD-WAN 模式设计为完全支持托管在本地数据中心、公有云或私有云中的应用,以及 Salesforce.com、Workday、Dropbox、Microsoft 365 等 SaaS 服务,同时尽可能提升应用性能。

SD-WAN 的工作原理是什么?

SD-WAN 的工作原理是什么?

与 SD-WAN 不同,以路由器为中心的传统模式将控制功能分布在网络中的所有设备上,并简单地基于 TCP/IP 地址和 ACL 路由流量。这种传统模式僵化、复杂、低效,而且不适合云环境,导致用户体验欠佳。

SD-WAN 使云优先企业能够为用户提供卓越的应用体验质量 (QoEx)。SD-WAN 通过识别应用,在整个广域网内实现智能应用感知路由。系统会根据业务需求为各类应用实施相应的 QoS 和安全策略。从分支机构流出的 IaaS 和 SaaS 应用通信流将在本地完成安全的互联网分流,实现了最高级别的云性能,同时保护企业免受威胁。

为什么选择使用 SD-WAN?

为什么选择使用 SD-WAN?

随着时代变迁,企业开始使用云并订阅软件即服务 (SaaS)。过去,用户会连接回公司数据中心以访问业务应用,而现在访问云中的许多相同应用,便可获享更好的服务。

因此,传统广域网已不再适用,这主要是因为需要将所有流量(包括通往云的流量)从分支机构办公室回传到总部,导致延迟并降低应用性能。SD-WAN 具有广域网的简单性、低成本、带宽效率、与云的无缝接入以及出色的应用性能,尤其是对于关键应用,同时兼顾安全性和数据隐私。应用性能得到提升,业务效率和客户满意度也随之提高,最终提高了盈利能力。始终如一的安全保护意味着业务风险大大降低。

基础级 SD-WAN 与业务驱动型安全 SD-WAN 比较

基础级 SD-WAN 与业务驱动型安全 SD-WAN 比较

  • 市面上的 SD-WAN 水平层次不齐。许多 SD-WAN 解决方案都是基础级 SD-WAN 方案或者“刚好够用”的解决方案。这些解决方案缺乏确保安全网络体验所需的智能程度、安全性、性能和规模。要知道,如果没有快速、安全的高性能网络,企业数字化转型计划可能停滞不前。SD-WAN 是数字化转型的关键推动因素,可促成整个企业层面的战略性决策。那么,什么是业务驱动型安全 SD-WAN?为什么说基础级 SD-WAN 不够好?
  • 始终如一的体验质量 (QoEx)。高级 SD-WAN 解决方案的一大优势在于能够同时主动使用多种形式的广域网传输。基础级解决方案可以基于应用将流量引导到单个路径,如果该路径出现故障或性能不佳,则可以动态重定向到性能更佳的链路。然而,对于许多基础级解决方案,中断前后的故障转移时间长达数十秒或更长,这往往会导致恼人的应用中断。而业务驱动型 SD-WAN 可智能监控和管理所有底层传输服务。它可以避免数据包丢失、延迟和抖动等问题,即使在广域网传输服务受到牵连的情况下,也能为用户提供出色的应用性能和体验质量。不同于基础级 SD-WAN,业务驱动型 SD-WAN 可无缝处理整个传输中断过程,故障转移时间不到一秒,因此可避免语音和视频通信等关键业务应用中断。
  • 持续自主学习。基础级 SD-WAN 解决方案根据通常通过模板编程的预定义规则引导流量。业务驱动型 SD-WAN 在任何网络条件或变动(包括拥塞和发生故障)情况下都能提供出色的应用性能。通过持续监控和自主学习,业务驱动型 SD-WAN 会自动实时响应网络状态的任何变化。业务驱动型 SD-WAN 根据网络中的变化不断调整。它自动实时适应可能影响应用性能的任何变化,包括网络拥塞、电压不足和传输中断,使用户能够在无人工 IT 干预的情况下始终连接到应用。例如,在广域网传输服务或云安全服务性能下降时,网络会自动调整以保持通信流畅,同时确保遵守业务策略。
  • 多云网络。高级 SD-WAN 可以部署在诸如 AWS、Azure 和 Google Cloud 的公有云中,以利用 SD-WAN 的所有优势来优化分支机构与云之间的连接。在电压不足或停电时,其余链路将继续承载流量,这样用户就不会注意到语音通话、音频和视频会议或任何其他应用受到的任何干扰。这加固了分支机构与公有云之间的“第一英里”,实现了更好的网络性能、可靠性和质量。
  • 内置下一代防火墙。业务驱动型安全 SD-WAN 应包括下一代防火墙,以高效保护分支机构地点。其中的关键功能包括深度包检测 (DPI) 和入侵侦测与防御 (IDS/IPS)。其他高级 SD-WAN 甚至可以保护组织免受 DDoS 攻击。组织可以通过集成下一代防火墙,轻松替代传统的分支机构防火墙,从而减少硬件占用空间。此外,安全策略集中管理,无需在本地对相关人员开展 IT 培训,也避免了误配置。与通常需要逐个设备配置策略的传统防火墙相比,集中配置的安全策略由于减少了人为错误,一致性大大提升。在需要修改策略时,业务驱动型 SD-WAN 会对其进行集中编程,然后推送到整个网络的数十个、数百个或数千个节点,从而显著提高运营效率,同时减小总体攻击面、避免任何安全漏洞。
  • 基于角色的分段:虽然基础级 SD-WAN 提供了等同于 VPN 服务的功能,但业务驱动型安全 SD-WAN 能够以更全面、端到端的方式基于角色的分段。除了支持下一代防火墙外,SD-WAN 平台还应编排并实施覆盖局域网-广域网-数据中心和局域网-广域网-云的端到端分段。高级安全 SD-WAN 通过添加用户和设备标识以及基于角色的策略,实现了精细分段并实施零信任。然后,安全 SD-WAN 通过用户、设备、应用组和虚拟层的任意组合创建从局域网到广域网的端到端区域,并将安全策略延伸到所有远程站点。它基于最小权限访问原则,确保用户和物联网设备只同与其业务角色相符的目标位置通信,减少了未经授权的访问并限制了事件范围。
  • 为云应用确保安全的本地互联网分流。许多基础级 SD-WAN 提供了一些基于固定定义和手编脚本 ACL 的应用分类功能,用于在互联网上直接定向 SaaS 和 IaaS 通信流量。然而,云应用不断变化。业务驱动型 SD-WAN 根据变化不断调整,并通过自动化方式提供每日应用定义和 IP 地址更新。这消除了应用中断和用户工作效率方面的问题。

理想情况下,企业客户需要转而采用业务驱动型 SD-WAN 平台,这一集中管理的平台集 SD-WAN、防火墙、分段、路由、广域网优化以及可见性和控制功能于一体。

为 SASE 提供的高级 SD-WAN 功能

为 SASE 提供的高级 SD-WAN 功能

2019 年,Gartner 提出安全访问服务边缘 (SASE) 一词。SASE 提供了更安全、更灵活的方式,即直接在云中执行高级安全检查,而不必将应用的流量回传到数据中心,然后再转发到云。

SASE 将 SD-WAN 与通过云提供的安全功能(也称为安全服务边缘 (SSE))相结合。SSE 定义了一组有助于实现 SASE 安全愿景的安全服务。关键的 SSE 功能有 ZTNA(零信任网络接入)、SWG(安全 Web 网关)和 CASB(云访问安全代理)。

最终,SASE 的目标是在用户从任何地方访问敏感数据以及浏览不安全的网站时,确保以云为中心的组织和混合工作环境的安全和性能。我们向许多设计和部署 SASE 架构的企业了解了基础级 SD-WAN 在功能方面的欠缺之处。只有配合使用兼具高级网络和安全功能的 SD-WAN,SASE 才能够执行以下操作:

  • 与 SSE 解决方案无缝集成,形成统一且一致的 SASE 架构。
  • 从单个控制台自动执行 SD-WAN 与 SSE 之间的编排,使其简单易行
  • 识别第一个数据包上的应用流量,并基于预定义的安全策略将其精准地导向到 SSE 解决方案
  • 自动故障转移到辅助云安全强制点,以避免任何应用中断
  • 在有距分支机构更近的新位置可用时,自动重新配置以便与云安全实施点建立安全连接
  • 使客户能轻松部署新的云安全服务及其 SASE 实施
HPE 和 SD-WAN

HPE 和 SD-WAN

HPE Aruba Networking EdgeConnect SD-WAN 是一款由多种访问部署选项组成的全面产品组合,将边缘到云的企业组织连接到覆盖不同位置、数据中心、云和 SaaS 的单个 SD-WAN 网状架构。这款解决方案包括三种规模适当的 SD-WAN 网状架构部署模式(或 onramps),为来自总部、数据中心、园区、分支机构、小型办公室、居家办公和移动办公的用户提供顺畅、安全的高性能网络连接,让他们在任何地方都能访问应用、数据和服务。

  • EdgeConnect SD-WAN 使 IT 管理员能够构建先进的 SD-WAN 边缘,持续学习并适应不断变化的业务需求,从边缘到云尽享灵活卓越的网络和应用性能。
  • EdgeConnect SD-Branch 使 IT 管理员能够整合分支机构的网络组件,实现 WLAN、局域网和 SD-WAN 的充分集成并获享集成安全性,同时通过集中式云管理获得板载 LTE 支持。
  • EdgeConnect Microbranch 非常适合小型办公室或居家办公。这种方案的占用空间最小,它使用一系列 HPE Aruba Networking 远程接入点 (RAP) 来实现与企业网络的安全广域网连接,以及通过自动化方式集成通过云提供的安全服务。 

EdgeConnect SD-WAN 网状架构可以提供持续适应且永续运行的安全性和敏捷性,以便应对最苛刻的广域网需求,从而实现极致的体验和性能。充分利用自动化、机器学习和 AI 等先进技术,消除大型分布式网络部署、配置和维护过程中的复杂性难题和人工密集型任务,进而减轻 IT 组织的负担。

EdgeConnect SD-WAN Fabric 可轻松扩展到数据中心、IaaS、SaaS 和私有云。自动化集成简化了 AWS、Microsoft Azure、Google、Equinix、Megaport 等多云连接。

EdgeConnect SD-WAN Fabric 以自动化方式与 HPE Aruba Networking SSE 集成,以形成统一的 SASE 平台以及第三方云安全合作伙伴解决方案。

HPE Aruba Networking EdgeConnect SD-WAN

安全的 SD-WAN SASE 解决方案可提供混合云所需的连接能力和安全性,方便您访问任意位置的数据。

相关主题

什么是安全 SD-WAN?

什么是 SASE?

什么是 SSE?