什么是 SD-WAN?软件定义的 WAN

软件定义的广域网 (SD-WAN) 是启用虚拟化的连接,支持企业和分支机构便捷、高效地访问公共云应用和服务。

SD-WAN 要点

  • SD-WAN 采用宽带接入和无线网络,以及启用远程通信的专用网络,支持分支机构访问在线协作和云应用/服务。

  • 借助 SD-WAN,企业可以更轻松地管理专用网络,提供并管理整个网络的通用策略,帮助消除数据中心瓶颈,并减少网络基础设施所需的成本和管理。

  • SD-WAN 的下一轮变革是安全访问服务边缘 (SASE),它集成了云托管的安全技术,有助于增强对数字威胁的保护。

author-image

作者

SD-WAN 如何工作?

SD-WAN 是一种基于软件的网络功能,与简化的硬件配置配合使用,可在广域网中的多个位置实现云和网络访问。尽管 SD-WAN 已被大多数企业广泛采用,但它仍在不断演变,推出了一系列增强的软件定义服务和安全功能。为更好地理解 SD-WAN,行之有效的方法是将该技术与传统的专用网络进行比较,后者依赖于专用电路和“枢纽辐射”模式进行公共云访问。

基于专用电路的网络存在的不足

在传统的专用网络中,枢纽数据中心和辐射分支机构的所有员工均通过集中式数据中心防火墙访问服务和 SaaS 应用程序。此连接通过多协议标签交换 (MPLS) 实现,MPLS 是电信运营商以高成本推出的一种标准路由协议。企业依赖于 MPLS 电路,而非标准互联网服务,因为 MPLS 连接可确保满足服务级别协议 (SLA) 和安全要求。

图 1.随着分支机构数量的不断增加,基于 MPLS 的传统专用网络难以应对日益增加的复杂程度和数据中心面临的瓶颈。

网络中分支机构数量增加,网络的成本和复杂程度也随之增加。由于 SaaS 应用程序通过枢纽数据中心进行访问,因此枢纽成为快速访问服务的主要瓶颈。企业还需要支付到各分支机构所在地上门服务的昂贵费用,目的是安装设备、对连接问题进行故障诊断或雇用具有必备技术知识的人才。

SD-WAN 利用虚拟化简化连接

SD-WAN 将专线连接(如 MPLS)抽象为一个软件控制的覆盖网络,可通过物理宽带、无线和 MPLS 网络连接。WAN 功能(如交换和路由)通过在简化基础设施上运行的虚拟化网络功能 (VNF) 实现,通常每个分支机构都有一台机架服务器。SD-WAN 支持从分支机构直接访问公共云应用程序和互联网,同时 SD-WAN 控制器(可从枢纽数据中心或云获得支持)能够将集中管理的策略和服务推送到网络。分支机构不再需要通过枢纽数据中心访问 SaaS 服务,因而消除了数据流瓶颈。

图 2.SD-WAN 将专线连接抽象为一个软件层,支持分支机构直接访问云。

SD-WAN 的组件

SD-WAN 包含三个主要组件:设备或客户端设备 (CPE)、聚集器和 SD-WAN 控制器。CPE 是本地硬件,在每个分支机构位置均包含服务器、路由器和防火墙。聚集器是一种软件级别的功能,它将各 WAN 连接整合到一个统一层,然后由控制单元进行管理。SD-WAN 控制器可供企业 IT 部门监控网络、推行新策略以及在所有分支机构间更新服务。

SD-WAN 的优势

基于 MPLS 的传统专用网络极度结构化、僵化,缺乏灵活性和变通性。SD-WAN 在网络可管理性和成本方面提供了巨大改进,可随业务的扩展及新分支机构的增设而高效扩展。其他主要优势包括:

  • 更好的用户体验:分支机构员工访问 SaaS 服务时不必再面对枢纽数据中心瓶颈问题。他们可以直接在公共云中访问 SaaS 应用、数据和服务。
  • 简单配置:基于 MPLS 的传统专用网络在每个分支机构可能都需要多台设备,且每台设备都需要手动配置。由于 SD-WAN 是 VNF,可以在一台白盒服务器上与其他网络功能一起运行,并可根据每个分支机构位置的边缘性能需求扩展处理能力。
  • 灵活选择:过去,企业依赖市场上的电信运营商才能获得基于 MPLS 的高成本连接,且极度缺乏竞争力和创新性。借助 SD-WAN,企业在 MPLS 电路之外还可以使用宽带接入和无线网络,并可从一系列广泛的软硬件供应商、OEM 和解决方案提供商中进行选择,以部署自己的 SD-WAN。
  • 内置冗余:SD-WAN 不依赖于 MPLS 电路,而是可通过标准宽带接入、Wi-Fi、LTE 或 5G 建立虚拟专用网 (VPN) 连接。员工可以借助多个选项,通过多种方式与公共云中的应用和数据保持连接。
  • 集中管理:枢纽数据中心和企业 IT 部门可以使用控制平面软件推行新的策略和服务,并在 SD-WAN 上的所有分支机构间建立新连接。

适用于计算需求不断变化的位置的 CPE

SD-WAN 设备或 CPE 可以根据每个分支机构位置的需求扩展处理器性能。例如,便利店或小型零售店可能只需要一台简单设备,即可将流入 VPN 隧道的数据流加密并连接到云。这是一个瘦边缘应用的示例,一台搭载英特尔凌动® 处理器的小型服务器即可轻松满足这些需求。

另一方面,中等边缘应用和胖边缘应用可以在边缘集成 AI 等功能,以分析视频流或高性能边缘计算,或支持医院和工厂中数百名员工的大规模部署。对于这些应用程序,诸如英特尔® 至强® D 处理器英特尔® 至强® 可扩展处理器等功能更加强大的处理器可以提供更多内核或特定于用例的增强功能,如硬件增强型 AI 和加密加速。

SD-WAN 的下一轮变革

SD-WAN 的一大挑战是支持从分支机构位置直接访问云同时也会增加网络的总攻击面。攻击面是指黑客可用来访问敏感数据或破坏网络功能的潜在入口点或漏洞。安全访问服务边缘 (SASE) 可帮助解决此问题,它是一种先进的安全架构,可在云中托管安全服务并与 SD-WAN 集成。

SASE 可支持包含具有零信任网络访问的 Web 网关、远程浏览器隔离、加密/解密和防火墙即服务 (FWaaS) 在内的一系列功能。SASE 的主要优势在于可帮助实现对基于云的服务和应用程序的零信任访问,并提供一致的用户体验,同时仍能通过控制平面软件实现集中管理。

SD-WAN 和 SASE 提供了灵活性和多种选择

随着应用程序从数据中心转移到云端,企业需要全新的方式让分支机构访问服务和软件。SD-WAN 是走向更灵活访问的一个巨大飞跃,而 SASE 是 SD-WAN 的下一轮变革。如今,企业在进行在线协作和云访问时拥有更多选择,而英特尔可帮助提供相关的资源、指导和关键硬件解决方案。

软件定义的广域网 (SD-WAN) 是一项网络技术,与传统的专线连接相比,该技术支持企业分支机构访问公共云服务和应用程序,更加便捷高效。

SD-WAN 将专线连接抽象为一个覆盖在简化基础设施上的软件层,通常每个分支机构一个机架服务器。SD-WAN 支持分支机构直接访问公共云应用程序和互联网,同时支持枢纽数据中心将集中管理的策略和服务推送到网络。

SASE 通过带来一个统一的安全框架,并在 SD-WAN 基础设施上端到端运行,来拥抱 SD-WAN。决策者不会选择其中之一;相反,他们将部署一个完全集成的解决方案。该解决方案使用 SD-WAN 作为连接基础,并具有 SASE 支持的灵活安全功能。