早期的SD-WAN產(chǎn)品為企業(yè)提供了一種代替MPLS鏈路，將分支機(jī)構(gòu)直接連接到云并優(yōu)化WAN流量的方法。但是，許多最初的SD-WAN產(chǎn)品都缺少集成防火墻、應(yīng)用程序感知路由和高級(jí)數(shù)據(jù)分析之類(lèi)的功能。

[[319658]]

隨著時(shí)間的流逝，SD-WAN供應(yīng)商通過(guò)添加一些強(qiáng)大的附加功能來(lái)增強(qiáng)產(chǎn)品性能。然而，許多企業(yè)并沒(méi)有充分利用最新SD-WAN產(chǎn)品和托管服務(wù)選項(xiàng)的全部功能。

那么，為什么IT高管們還沒(méi)瞄準(zhǔn)這些新功能呢?因?yàn)樵谀承┣闆r下，供應(yīng)商在向IT領(lǐng)導(dǎo)者推薦這些先進(jìn)功能的好處和易用性方面缺乏培訓(xùn)。

很多時(shí)候，公司部門(mén)之間的溝通障礙(例如網(wǎng)絡(luò)和安全團(tuán)隊(duì)之間)阻礙了企業(yè)網(wǎng)絡(luò)的發(fā)展(例如，SD-WAN設(shè)備可能附帶的下一代防火墻或入侵防御系統(tǒng)，但I(xiàn)T領(lǐng)導(dǎo)者并不清楚)。一般情況下，網(wǎng)絡(luò)專(zhuān)業(yè)人員都遵循了多年的標(biāo)準(zhǔn)方法和程序，并且可以很好地完成工作。當(dāng)涉及一種新的工作方式(例如零接觸配置)時(shí)，可能不愿冒險(xiǎn)，擔(dān)心如果出現(xiàn)問(wèn)題，結(jié)果可能適得其反。但是，企業(yè)應(yīng)該考慮文中列出的未充分利用的SD-WAN功能。畢竟，不管怎樣，你是在為SD-WAN設(shè)備或托管服務(wù)付費(fèi)，為什么不讓你的錢(qián)物有所值呢?

1. 零接觸配置

部署分支機(jī)構(gòu)網(wǎng)絡(luò)設(shè)備的傳統(tǒng)方法是將物理設(shè)備帶到暫存區(qū)域，對(duì)其進(jìn)行配置、測(cè)試，然后再運(yùn)送到分支機(jī)構(gòu)，由網(wǎng)絡(luò)專(zhuān)業(yè)人員進(jìn)行設(shè)置。對(duì)于在廣泛的地理區(qū)域中部署數(shù)十個(gè)或數(shù)百個(gè)SD-WAN設(shè)備的公司而言，這是一個(gè)耗時(shí)耗力的過(guò)程。

零接觸配置是大多數(shù)SD-WAN設(shè)備的標(biāo)準(zhǔn)配置，可自動(dòng)配置現(xiàn)成的設(shè)備。Apcela網(wǎng)絡(luò)工程主管Kunal Thakkar表示，所有設(shè)備只需Internet連接就可以回?fù)茈娫?huà)，然后可以根據(jù)預(yù)定義的模板以快速，高效，標(biāo)準(zhǔn)化的方式對(duì)其進(jìn)行完全配置。

2. 加密密鑰輪換

對(duì)于與聯(lián)邦政府有業(yè)務(wù)往來(lái)的企業(yè)(例如航空航天和國(guó)防公司)或承擔(dān)PCI合規(guī)性責(zé)任的企業(yè)(幾乎包括其他所有人)，加密密鑰需要定期(通常每90天)更換一次。這可能是一個(gè)繁瑣的手動(dòng)過(guò)程，需要復(fù)雜的變更控制策略，并且在變更期間需要計(jì)劃好所需的停機(jī)時(shí)間。

SD-WAN平臺(tái)可以用自動(dòng)化系統(tǒng)代替?zhèn)鹘y(tǒng)的基于VPN的密鑰輪換，該系統(tǒng)可以通過(guò)編程實(shí)現(xiàn)每分鐘進(jìn)行一次密鑰輪換，而且在輪換期間也不會(huì)中斷數(shù)據(jù)平面流量。相比于傳統(tǒng)的方法，SD-WAN更安全，無(wú)需停機(jī)，也無(wú)需人工干預(yù)。

3. 多路復(fù)用VPN

在許多情況下，公司需要將不同類(lèi)型的流量彼此隔離。例如，在合并或收購(gòu)的情況下，出于業(yè)務(wù)、合規(guī)性或安全性的原因，每個(gè)業(yè)務(wù)部門(mén)仍將繼續(xù)獨(dú)立運(yùn)作。如果企業(yè)決定升級(jí)到SD-WAN，則可能會(huì)考慮購(gòu)買(mǎi)兩套物理設(shè)備。

但是SD-WAN技術(shù)允許多個(gè)虛擬路由和轉(zhuǎn)發(fā)(VRF)和VPN鏈接通過(guò)一個(gè)覆蓋層進(jìn)行多路復(fù)用，這在以前的VPN技術(shù)中是不可行的。對(duì)于具有多個(gè)業(yè)務(wù)部門(mén)的龐大、復(fù)雜的組織而言，只需設(shè)置策略即可實(shí)現(xiàn)流量隔離。Thakkar說(shuō)，SD-WAN技術(shù)能夠創(chuàng)建多達(dá)16個(gè)虛擬VPN，它們都運(yùn)行在相同的物理WAN鏈路上。

4. 應(yīng)用程序感知路由

SD-WAN產(chǎn)品能夠檢查第7層的流量，以便為特定的應(yīng)用程序應(yīng)用精細(xì)路由策略。實(shí)際上，某些設(shè)備可以識(shí)別3,000多個(gè)不同的應(yīng)用程序，并了解每個(gè)應(yīng)用程序的性能要求。此功能可以幫助企業(yè)實(shí)時(shí)監(jiān)視敏感應(yīng)用程序的延遲、抖動(dòng)和其他特征，并將應(yīng)用程序轉(zhuǎn)移到滿(mǎn)足性能閾值的最經(jīng)濟(jì)高效的傳輸方法，從而在細(xì)粒度上優(yōu)化電信成本。

據(jù)Aryaka Networks的首席技術(shù)官Ashwath Nagaraj稱(chēng)，應(yīng)用程序感知路由并沒(méi)有得到廣泛的部署。因?yàn)榈?層流量檢查會(huì)有一定程度的性能開(kāi)銷(xiāo)，而且它要求公司花時(shí)間和精力來(lái)每個(gè)應(yīng)用程序定義策略。但是Nagaraj認(rèn)為應(yīng)用程序感知路由可以提供顯著的性能和成本優(yōu)勢(shì)。

5. 編程API

思科Meraki產(chǎn)品管理高級(jí)總監(jiān)Raviv Levi表示，API的使用可以幫助公司在整個(gè)SD-WAN生命周期中編排和自動(dòng)化功能。Levi表示，雖然目前這個(gè)功能還未被充分利用，但人們對(duì)它的興趣正在增長(zhǎng)，因?yàn)镮T高管們開(kāi)始認(rèn)識(shí)到，有了API，大型企業(yè)可以以前所未有的方式擁有和控制網(wǎng)絡(luò)。

API使企業(yè)可以自定義和自動(dòng)化SD-WAN設(shè)備的初始配置，可以隨時(shí)大規(guī)模更改配置，自動(dòng)化故障單流程，并獲取有關(guān)WAN性能的數(shù)據(jù)，以進(jìn)行實(shí)時(shí)流量?jī)?yōu)化和基礎(chǔ)架構(gòu)的長(zhǎng)期監(jiān)控和管理。例如，公司可以使用API對(duì)設(shè)備進(jìn)行編程，以執(zhí)行比默認(rèn)設(shè)置所要求的更頻繁的輪詢(xún)。

通過(guò)API，公司可以設(shè)置其SD-WAN基礎(chǔ)結(jié)構(gòu)以自動(dòng)收集數(shù)據(jù)，這些數(shù)據(jù)可以用于管理用戶(hù)組、查看審核日志、收集設(shè)備清單、進(jìn)行實(shí)時(shí)監(jiān)視以及對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行故障排除等。

6. 優(yōu)化的云連接

Cloud breakout能夠?qū)⒎种C(jī)構(gòu)的流量直接連接到云上，而不必返回到數(shù)據(jù)中心，是SD-WAN的主要優(yōu)點(diǎn)之一。但在許多情況下，網(wǎng)絡(luò)管理員對(duì)最終用戶(hù)和云計(jì)算SaaS應(yīng)用程序之間的網(wǎng)絡(luò)性能特征的了解有限，甚至完全不了解。然而，供應(yīng)商現(xiàn)在提供了一項(xiàng)特性，在Cisco Viptela的示例中稱(chēng)為Cloud OnRamp，該功能使用編程API來(lái)衡量SaaS應(yīng)用程序的性能，或者來(lái)自Amazon Web 服務(wù)和Microsoft Azure的IaaS服務(wù)的性能。

在IaaS場(chǎng)景中，云服務(wù)提供商SD-WAN路由器的虛擬實(shí)例會(huì)持續(xù)測(cè)量應(yīng)用程序的性能。在SaaS場(chǎng)景中，SD-WAN設(shè)備會(huì)連接到最近的SaaS存在點(diǎn)，并實(shí)時(shí)選擇最佳性能路徑。思科產(chǎn)品管理SD-WAN和企業(yè)路由高級(jí)總監(jiān)Rohan Grover表示，通過(guò)SD-WAN，終端用戶(hù)在使用Office 365等應(yīng)用時(shí)性能提高了40%。

7. 數(shù)據(jù)分析

數(shù)據(jù)分析也是SD-WAN未被充分利用的功能之一。SD-WAN能夠使用數(shù)據(jù)分析來(lái)排除網(wǎng)絡(luò)性能問(wèn)題并執(zhí)行遠(yuǎn)程網(wǎng)絡(luò)容量規(guī)劃，無(wú)論用戶(hù)是用托管服務(wù)還是自己DIY，都可以從中獲得大量覆蓋端到端WAN連接的流量數(shù)據(jù)。有了數(shù)據(jù)分析功能，可以在一定程度上減少企業(yè)客戶(hù)、云服務(wù)提供商、IPS、最后一英里提供商等之間互相推卸責(zé)任的現(xiàn)象。

8. 端到端微分段

通過(guò)基于策略的工作負(fù)載隔離，微分段已經(jīng)成為保護(hù)在數(shù)據(jù)中心和云環(huán)境中運(yùn)行的應(yīng)用程序安全的一種日益流行的方法。微分段使公司能夠更好地控制東西向的流量，如果出現(xiàn)漏洞，微分段將限制黑客的潛在橫向活動(dòng)。

SDN和NFV等軟件overlay的興起為微分段鋪平了道路，因此，微分段很自然地成為了SD-WAN overlay的一部分。Nuage Networks首席執(zhí)行官Sunil Khandekar認(rèn)為，微分段的好處在于，如果某個(gè)分支節(jié)點(diǎn)受到攻擊，中央策略服務(wù)器可以自動(dòng)采取措施將分支與網(wǎng)絡(luò)的其他部分隔離開(kāi)來(lái)。

9. 服務(wù)鏈

在通過(guò)MPLS鏈路將分支機(jī)構(gòu)的業(yè)務(wù)路由回?cái)?shù)據(jù)中心時(shí)，分支機(jī)構(gòu)中不需要額外的網(wǎng)絡(luò)和安全功能。但是，由于現(xiàn)在分支機(jī)構(gòu)直接連接到全球互聯(lián)網(wǎng)，企業(yè)可能擁有多個(gè)分支機(jī)構(gòu)設(shè)備，例如防火墻、NAT盒和入侵防御系統(tǒng)。Khandekar表示，利用服務(wù)鏈可以減少企業(yè)分支機(jī)構(gòu)的混亂。組織可以創(chuàng)建連接的網(wǎng)絡(luò)服務(wù)鏈，并根據(jù)安全、延遲或QoS等領(lǐng)域的流量需求自動(dòng)處理不同流量。

10. 固定無(wú)線連接

企業(yè)在設(shè)置分支機(jī)構(gòu)鏈路時(shí)應(yīng)考慮使用固定無(wú)線，特別是在考慮到部署速度的情況下。對(duì)于那些規(guī)模不太大的企業(yè)來(lái)說(shuō)，從現(xiàn)有的ISP訂購(gòu)WAN鏈接相對(duì)比較容易。但是對(duì)于那些在鄉(xiāng)村地區(qū)沒(méi)有傳統(tǒng)寬帶服務(wù)的組織，或者是需要快速向新的分支機(jī)構(gòu)提供SD-WAN的公司而言，固定無(wú)線連接可能是一個(gè)更好的選擇。

早期的SD-WAN部署主要關(guān)注于基本的連接和節(jié)省成本。但是，如今，SD-WAN已被視為支持?jǐn)?shù)字轉(zhuǎn)換的網(wǎng)絡(luò)自動(dòng)化平臺(tái)。企業(yè)應(yīng)該及時(shí)發(fā)現(xiàn)和了解這些未被充分利用的功能，讓SD-WAN的優(yōu)勢(shì)得到充分的發(fā)揮。