軟件正在占領(lǐng)整個(gè)世界，軟件定義的網(wǎng)絡(luò)正在擴(kuò)展到網(wǎng)絡(luò)的方方面面，徹底改變我們思考、配置和部署網(wǎng)絡(luò)的方式。

[[400374]]

SD-WAN為企業(yè)提供了多種選擇，與MPLS相比，SD-WAN提供了更大的網(wǎng)絡(luò)靈活性，更低的成本，并且對(duì)WAN連接的控制力更高。

從SD-WAN到SD-Branch

SD-Branch就是SD-WAN的下一步。SD-WAN為廣域網(wǎng)提供的可見(jiàn)性和控制方面的改進(jìn)也已經(jīng)擴(kuò)展到了分支LAN中。

SD-Branch為路由、交換、Wi-Fi、網(wǎng)絡(luò)安全、微分段和應(yīng)用支持等多種功能的配置、監(jiān)控和故障排除提供了一個(gè)通用接口，每個(gè)功能的實(shí)現(xiàn)不再需要通過(guò)各個(gè)五花八門的不同用戶界面。

使用SD-Branch，安裝了虛擬設(shè)備的硬件平臺(tái)將取代原本典型的網(wǎng)絡(luò)設(shè)備套組，不僅更簡(jiǎn)單，維護(hù)能力也大大增強(qiáng)。如果需要新的防火墻功能，只需要更新防火墻虛擬實(shí)例;假設(shè)路由器中不需要BGP，那就只需安裝不包含BGP的映像即可。新軟件的安裝考慮到了新的特性和功能，通常是通過(guò)硬件平臺(tái)的替換來(lái)實(shí)現(xiàn)的。

SD-Branch不只是自動(dòng)化

有的人可能會(huì)把SD-Branch與使用自動(dòng)化進(jìn)行比較。SD-Branch是一種更全面的方法，為監(jiān)控、管理和故障排除提供了統(tǒng)一的用戶界面。它可以在底層使用多個(gè)組件，但隱藏了此實(shí)現(xiàn)細(xì)節(jié)。SD-Branch與SD-WAN類似，支持定義策略，這些策略定義了連接性、服務(wù)質(zhì)量以及端點(diǎn)和應(yīng)用的安全性。例如，SD-Branch產(chǎn)品可用于定義新的VLAN，在路由器、交換機(jī)和Wi-Fi基礎(chǔ)設(shè)施間提供，并添加應(yīng)用程序和安全策略。

自動(dòng)化通常集中在較低級(jí)別的網(wǎng)絡(luò)配置和控制上，通常一次只執(zhí)行一項(xiàng)功能。企業(yè)和用戶需要為基礎(chǔ)設(shè)施的每個(gè)功能元素都實(shí)施自動(dòng)化流程。SD-Branch可以將策略定義轉(zhuǎn)化為行動(dòng)，而不僅僅是網(wǎng)絡(luò)自動(dòng)化。

SD-Branch的優(yōu)勢(shì)

集中控制點(diǎn)使管理多個(gè)站點(diǎn)變得更加容易。所有分支機(jī)構(gòu)之間需要保持一致，一致性可以將相同的接口用于相同的功能。

IT安全性的提高是SD-Branch的一大優(yōu)勢(shì)。安全策略的標(biāo)準(zhǔn)化杜絕了因站點(diǎn)配置稍有不同而使網(wǎng)絡(luò)受到入侵者攻擊的可能性。目前DMZ大型邊界防火墻已過(guò)時(shí)，安全策略的集中控制能夠幫助企業(yè)或用戶更好地保護(hù)IoT設(shè)備免遭入侵，并使部署SASE和零信任網(wǎng)絡(luò)訪問(wèn)等新的安全實(shí)踐變得更加容易。安全需要具有普遍性和一致性——SD-Branch是實(shí)現(xiàn)這一目標(biāo)的重要一步。

因?yàn)镾D-WAN是SD-Branch不可分割的一部分，所以可以通過(guò)自定義策略來(lái)優(yōu)化路由，確保應(yīng)用程序流量在最符合應(yīng)用需求的鏈路上。

集中控制擴(kuò)展到LAN配置。當(dāng)VLAN配置一致時(shí)，網(wǎng)絡(luò)監(jiān)視和故障排除就更容易了。當(dāng)需要更改時(shí)，將更改應(yīng)用到所有分支就變得簡(jiǎn)單了。

SD-Branch的缺點(diǎn)

SD-Branch是一個(gè)新領(lǐng)域，供應(yīng)商間還沒(méi)有互操作性標(biāo)準(zhǔn)。企業(yè)必須選擇一個(gè)產(chǎn)品最符合要求的供應(yīng)商，不過(guò)這也意味著，在分支可見(jiàn)性和控制的某些方面可能不能夠獲得最佳功能。因?yàn)楹苡锌赡艹霈F(xiàn)這樣的情況，一個(gè)產(chǎn)品在可見(jiàn)性和故障排除方面做得更好，而另一個(gè)產(chǎn)品最能滿足對(duì)安全策略的定義和應(yīng)用的需求。

如果企業(yè)的許多分支站點(diǎn)都使用獨(dú)特的設(shè)計(jì)(通常稱為snowflake networks)，那么SD-Branch可能沒(méi)有那么具有優(yōu)勢(shì)。從長(zhǎng)遠(yuǎn)來(lái)看，標(biāo)準(zhǔn)化站點(diǎn)是最好的方法，可以降低運(yùn)營(yíng)成本。

SD-Branch的未來(lái)

軟件定義一切的范圍將持續(xù)擴(kuò)大，網(wǎng)絡(luò)設(shè)備將變得更加標(biāo)準(zhǔn)化和易于管理。未來(lái)，我們甚至可能會(huì)看到命令行界面的消失，取而代之的是由集中化控制系統(tǒng)驅(qū)動(dòng)的可編程界面，未來(lái)網(wǎng)絡(luò)操作將變得更加簡(jiǎn)化易懂。

原文鏈接：

https://www.nojitter.com/enterprise-networking/software-defined-revolution-making-sd-branch-possible