在过去,大型企业通常采用多协议标签交换(MPLS)骨干网络来处理内部流量。所有的流量都被路由到中心数据中心,并在那里进行统一的安全配置。这种方法虽然简化了安全策略的实施,但效率低下,因为所有流量,包括发往公共互联网的流量,都必须经过数据中心处理,这导致了不必要的延迟和网络性能下降。
随着SD-WAN技术的出现,企业现在可以选择一种更加灵活和高效的网络架构。SD-WAN能够聚合多种宽带连接,包括MPLS、DSL、卫星等,并通过SD-WAN设备、控制器和云中继进行协调。这种解决方案允许企业利用低成本、高带宽的连接,并通过对流量进行智能分配和应用服务质量(QoS)来优化网络性能。
SD-WAN环境中的虚拟接口覆盖了物理端口,并在逻辑上对接口进行分组,从而创建虚拟接口。这些虚拟接口的端点形成了覆盖IP隧道,类似于VPN,但采用了高级算法来确保隧道内针对给定流量类型的最佳流量管理。企业可以根据不同的流量类型,如办公室间通信、办公室到办公室流量、关键业务流量等,设置多个虚拟接口。
SD-WAN的另一个关键特性是互联网突破功能。这种功能允许企业将部分公共互联网流量直接从本地网络连接到互联网,而不是通过中心数据中心。这样做可以减少对中心隧道的负担,释放带宽和处理能力,并降低延迟。
然而,互联网突破也有其缺点。首先,突破流量无法利用覆盖隧道的性能和可靠性特性,这可能导致未优化的流量管理。其次,弹性静态IP地址不能用于突破流量。最后,覆盖隧道使用的任何基于云的安全功能都不能用于突破流量,这可能需要使用物理设备或基于云的专用安全服务来保护流量。
企业是否选择突破某些公共互联网流量取决于多个因素,包括可用带宽、流量的复杂性和优先级、实时应用程序所需的延迟配置文件等。无论选择哪种方式,SD-WAN都能够提供灵活性和高效的网络性能。
总之,SD-WAN是现代企业网络的理想解决方案。它能够提供智能的流量管理、优化的网络性能和灵活的网络架构,帮助企业应对数字化时代的需求。通过使用SD-WAN,企业可以创建高效、可靠的网络,以满足不断变化的业务需求。
传统上,许多具有较大地理足迹(国内或国际存在、多个分支站点相距甚远等)的大型组织都使用 MPLS骨干网来处理其组织内的所有公司流量。所有流量都通过数据中心路由,并在数据中心为所有入口和出口流量实施统一的安全配置文件。显然,这简化了在所有公司位置执行严格和统一的安全策略。然而,它在管理公司 WAN和 LAN上的流量方面也非常低效,因为所有流量,包括发往公共 Internet的流量,都必须被拉入数据中心并进行处理。
这种流量管理方法,特别是对于公共 Internet流量,在过去的几十年中非常有意义,在过去的几十年中,中心辐射型网络拓扑与专有 MPLS和专用电路相结合是大型组织处理 Internet的最有效和最安全的方式载流量。但在过去十年中,经济实惠的高带宽连接和 SD-WAN的爆炸式增长极大地改变了格局。
云服务和服务链也从根本上改变了企业流量模式。产品包括软件即服务 (SaaS)、安全即服务 (SECaaS)、基础设施即服务 (IaaS)、平台即服务 (PaaS)、桌面即服务a-Service (DaaS),或者,包括所有这些和其他,著名的 Everything-as-a-Service (XaaS)。所有这些云服务都驻留在公共 Internet上,因此将所有这些流量(以及所有其他公共 Internet绑定流量)在退出 Internet之前将其拉入公司网络效率低下,并且可能导致不必要的延迟并降低整体网络性能。
SD-WAN《夽易联》助力互联网突围
在现代 SD-WAN网络中,包括有线、无线、MPLS、T1、DSL甚至卫星在内的多个宽带源由 SD-WAN设备和相关的 SD-WAN控制器、云中继和网关聚合和协调。
对于很多中小型企业来说,他们的 SD-WAN网络完全是由多个本地 ISP聚合在一起组成的。这利用了当今公众可用的相对便宜、可靠和高带宽的连接。
但无论底层宽带连接如何,SD-WAN本质上都是为了通过智能聚合这些宽带源并应用 QoS(服务质量)和流量整形来优化网络性能。
所以一个典型的企业会有大量的虚拟接口由 SD-WAN环境定义。虚拟接口覆盖物理端口并允许在逻辑上将所需接口分组在一起,从而创建虚拟接口。这些虚拟接口的两个端点形成了覆盖 IP隧道,类似于增压 VPN,采用高级算法确保隧道内针对给定流量类型的最佳流量管理。想象一个仍然依赖于中心辐射型拓扑和多个宽带资源的大公司。可以设置一个虚拟接口来处理办公室间的通信,另一个可以处理办公室到办公室的流量,第三个接口可以处理多个分支机构和主要数据中心或中央总部之间的关键业务流量。
在SD-WAN环境中,一个或多个接口可以专门用于公共 Internet绑定流量,从而减少网络资源的计算负载和带宽消耗。在实践中,这应该很容易做到。只需使用广泛的选项指定流量,例如源/目标 IP地址、源/目标端口、协议等或来自内置的 layer7过滤器。一旦识别出流量,SD-WAN编排器会将其分配给特定接口,例如以太网端口(例如 ETH1)或虚拟接口。假设此接口通过本地 ISP连接到公共 Internet,您现在已经创建了 Internet Breakout功能。
互联网突围的优缺点
互联网突围的一些优势包括:
减少覆盖隧道的负担——从覆盖隧道中移除公共互联网流量可以释放带宽和处理能力方面的资源,让隧道专注于更重要的公司流量并优化指定的应用程序。
如果 SD-WAN覆盖隧道基于使用情况,成本可能会更低。
如果互联网突破点和目的地在地理位置上彼此靠近,则延迟可能会更低。
互联网突围的一些缺点包括:
未优化的流量管理,因为突破流量不能再利用覆盖隧道的性能和可靠性特性。据推测,这是可以接受的,因为根据定义,我们选择突破的流量是非关键的。
弹性静态 IP地址不能用于突破流量,因为云中继负责实现此功能。
也许最大和最明显的缺点是覆盖隧道使用的任何基于云的安全功能都不能用于突破流量。可能需要使用物理设备保护流量或使用基于云的专用安全服务来实施标准安全功能,包括下一代防火墙 (NGFW)、入侵检测和预防 (IDS/IPS)、防病毒/恶意软件/DoS/ DDoS保护、URL 过滤等。
使用 SD-WAN《夽易联》是您的选择
您是否选择突破某些公共 Internet绑定流量取决于您的组织特定的许多因素。根据您的网络内部结构和连接配置文件,它可能有益、必需或不期望。可用带宽、流量的复杂性和优先级、实时应用程序(如 VoIP和实时视频流)所需的延迟配置文件、丢包或丢失数据包的影响以及其他因素都决定了互联网突围对您的组织是否有意义。
但是,通过现代 SD-WAN《夽易联》编排器控制您的企业网络,设置 Internet分支变得微不足道 -如果您决定创建高度自定义和高效的 Internet分支点,您只需在 SD-WAN GUI上进行一些配置选项。
审核编辑 黄昊宇
