如今,软件定义的广域网(SD-WAN)引起了广泛关注,许多供应商纷纷采用新产品来赶上潮流,以利用这一趋势。

SD-WAN的基本思想是通过通过Internet的加密隧道分流部分或全部流量,从而降低MPLS或其他固定的内部WAN电路成本。在某些部署模型中,每个站点上的一两个廉价Internet电路完全取代了现有的专用WAN。

SD-WAN需要一些关键组件。

  • 第一 ,每个站点都需要一个特殊的设备来终止加密的隧道并确定哪些流量应使用哪些链路。
  • 第二 ,这些设备需要具有自动动态创建隧道的能力,尤其是在您需要站点之间进行任何对任何通信的情况下。
  • 第三 ,您需要一个中央管理系统来定义流量工程规则。

SD-WAN的商业案例:节省成本

节省成本是SD-WAN背后的驱动因素。 Internet电路比专用MPLS WAN便宜。即使Internet电路伴随着专用WAN中不存在的许多安全性和拥塞问题,其成本差异仍然很大,以至于’在每个站点上购买大型互联网管道和防火墙通常比在每个站点上安装大小适中的MPLS电路便宜。

当您考虑到对于大多数网络而言,无论如何分支机构的大部分流量实际上都是目的地为Internet,则成本差异甚至更好。如果我将这些流量分流到远程站点,然后直接放在Internet上,而不是通过昂贵的WAN将其拖回,则可以节省大量WAN带宽。我还可以减小中央Internet电路的大小。

回传Internet绑定流量的主要原因是在中央数据中心的大型防火墙(或IDS / IPS,沙盒等)上对其进行检查。因此,如果不在每个站点都放置某种小型的下一代防火墙,我将永远无法实现SD-WAN。

回顾一下:SD-WAN的商业案例是用便宜的Internet电路代替昂贵的私有WAN。每个站点的SD-WAN设备和防火墙的额外成本部分抵消了节省的成本。

如果没有昂贵的私有WAN,则SD-WAN可能没有业务案例。

储钱SD-WAN节省

照片: 瑞安·海德(Ryan Hyde) 在Flickr上

SD-WAN供应商可供选择

当今市场上有许多不同的SD-WAN解决方案,具有不同的成熟度和成本水平,以及不同的架构模型和功能。如果你’重新看一下SD-WAN,比较不同的供应商以找出最适合您的组织是很有意义的。

这些供应商中有一些主要充当云服务,其主要成本是运营成本(运营支出)。其他人则期望您购买硬件并产生主要的资本支出(资本支出)。

持续的WAN费用通常显示为运营支出。因此,如果您的组织(与许多人一样)更喜欢资本支出而不是运营支出,那么您可以通过将现有的正在进行的WAN费用替换为一次性固定费用来增强SD-WAN的业务案例。

2017年SD-WAN市场的最大参与者似乎是 思科iWAN, 塔拉里 , 银峰 河床 。此外,还有其他公司,例如 思杰 将SD-WAN功能添加到其产品套件中的用户。还有很多像 Aerohive 维佩特拉 具有成熟功能的产品。

实际上,我相信对于相对较新的SD-WAN市场,目前有太多小型供应商。随着市场的扩大,我希望在未来几年内看到许多最好的小型厂商被大型厂商收购。

物理与虚拟网络

在整个讨论过程中,区分物理网络和虚拟网络很重要。在大多数情况下,物理网络由一个或多个(可能是两个)Internet电路组成。

还有其他选择。您可以对至少一个物理网络使用诸如MPLS WAN之类的专用网络,但这开始会浪费您节省的SD-WAN成本。所以我们假设我们’在谈论每个站点两个Internet电路。

需要多个电路的最大原因是冗余和负载共享。一些SD-WAN实施能够检测一条链路上的拥塞,并将流量转移到另一条链路上以进行补偿。如果我’如果在每个站点仅使用一个Internet电路,则在每个站点放置一个小型防火墙并将IPSec VPN固定到数据中心会变得简单而便宜。

您的站点之间的虚拟链接网格位于物理Internet链接的顶层。虚拟链接就像任何VPN一样,但是它们通常是动态创建的,我们将在稍后讨论。我可以在物理网络之上构建任意数量的虚拟网络,但是最好和最常见的模型仅使用一个或两个虚拟网络。

如果我只有一个VPN网,则可以使VPN在物理链路之间透明地共享流量。如果一个链接失败,我可以将流量转移到另一个。但是,如果我在每个站点上有两套或更多套VPN,那么完整的SD-WAN魔术就会发挥作用。然后,我将进行流量工程设计并根据该应用程序动态路由流量,这将在稍后解释。

SD-WAN设备和电路

SD-WAN解决方案在每个站点都包括一个特殊的设备。在思科’在iWAN解决方案中,特殊设备仅仅是路由器。在其他解决方案中,它是单独的专用设备。在所有情况下,都是VPN终止的地方,路由决定的地方。

SD-WAN设备通常由定义规则的中央服务器控制。例如,如果要通过协议X连接到内部IP地址A,请首先使用这些凭据为该公共IP地址创建一个VPN。它比路由表要复杂得多。但是它主要是静态信息,因此可以向下推到每个站点的设备。

它还可以包括在链路不可用时设备可以使用的辅助路径信息。在某些解决方案中,还有其他避免拥塞的规则:如果主路径符合一组预定义的性能指标,则将流量切换到辅助路径。

防火墙是必要的

通常的部署模型显示了特殊的SD-WAN设备,其“ WAN”或“外部”分支直接连接到Internet电路。我强烈建议您不要这样做。请在SD-WAN设备和Internet电路之间放置防火墙。

防火墙引发SD-WAN

照片: 埃里克·卡斯特罗 在Flickr上

供应商将向您保证他们的设备与防火墙一样安全。那是不对的部署防火墙时,我总是将其日志消息定向到中央服务器,以便可以监视从外部攻击我的事物以及可能已经损害我的内部安全性并试图恢复到命令状态的所有事物。和控制网络。

防火墙提供了有关其允许通过的每个会话以及丢弃的所有会话的非常详细的信息。充其量,路由器会告诉您有关成功会话的信息。赢了’告诉您成功的会话是在使用不同的凭据进行50次失败的尝试之后发生的。成功的连接看起来是一件好事。经过50次失败的尝试后,成功的连接意味着您’ve been breached.

如果您还通过链接减轻了Internet限制的流量,那么您真的希望能够检查该流量并确保内部用户工作站没有’t连接到命令和控制网络。再一次,路由器赢得了’告诉你。 SD-WAN设备获胜’告诉你。只有防火墙才能提供这种可见性。

创建一个网格

在思科’作为SD-WAN模型(iWAN),使用现有的DMVPN(动态多点虚拟专用网络)协议处理隧道。其他供应商使用其他方法查找对等站点并在它们之间动态创建加密的VPN隧道。

动态特性极其重要,因为全网状网络不会’规模很好。在具有N个站点的网络中,完整的网格需要N(N-1)/ 2个单独的链接。

如果站点数量很少(例如10个),则必须配置45个IPSec VPN。那已经无法控制了。如果您有成百上千个站点,则不可能在所有这些设备上维护内存资源,以防万一它们可能要进行通信。

当然,另一个选择是通过中央集线器反弹所有站点到站点的通信。但这会带来很多不必要的延迟。它还需要中央站点上的大量带宽。’s Internet circuit.

DMVPN使用一种聪明的机制,其中每个远程分支站点始终都连接到中央集线器站点。每当一个分支站点需要与另一个分支站点进行通信时,它首先通过集线器发送那些数据包。集线器转发数据包,但也将信息向下发送到分支,告诉它们创建新的分支到分支的VPN。辐条将继续使用VPN,直到不再有流量为止,此时它们将断开辐条到辐条的VPN,以节省资源。

DMVPN的优点是它是现有的定义良好的协议,具有成熟且稳定的代码。因此,这是与Cisco设备建立网格的自然方法。

实际上,您可以使用标准的Cisco路由器创建DMVPN网络,而无需任何特殊的iWAN功能。 iWAN层为您提供了创建多个连接路由器的DMVPN网状网络的能力,以及基于协议信息和性能指标在虚拟覆盖网络上动态路由流量的能力。称为交通工程。

流量工程整形SD-WAN

照片: 在Flickr上

交通工程是一大好处

流量工程是基于简单IP目标地址以外的信息定义流量路由方式的过程。这意味着到目的地有多个路径,并且基于某些更高级别的信息,不同的流量将采用不同的路径。

路由决策可能基于服务质量(QoS)标记或其他参数(如协议号)。它甚至可能基于对数据包有效载荷中协议信息的深度数据包分析。

通常,流量工程还包括性能方面。例如,它可以包括在其主链路上仅发送一定量流量的功能。多余的流量可能会重定向到辅助链接,或者可能会丢弃。甚至可能具有检测链路上的拥塞并自动重定向流量以避免拥塞的功能。

SD-WAN最终考虑

SD-WAN具有许多非常吸引人的功能。由于该业务案例主要是节省成本,这是由于消除或缩小了现有的MPLS或租用WAN的尺寸(或者可能是避免了实施新的WAN)而导致的,因此,您的出发点应该是对相对成本的详细了解。来自不同供应商的SD-WAN产品在功能和成本上都有相当大的差异。

我没有的另一件事’确实进行过讨论,但是不言而喻的是,SD-WAN的实现本质上比更传统的WAN复杂得多。复杂度应始终是网络设计中的一个认真考虑的问题,因为复杂度会导致人为配置错误和故障排除的长时间延迟。

特别是,SD-WAN实现的最酷的功能之一是流量工程能力。但是,流量工程导致了以下情况:标准的故障排除工具(例如ping和traceroute)将数据包沿着与应用程序流量所采用的路径不同的路径发送。这会导致您具有连接但应用程序仍然无法连接的情况’工作。能够在凌晨3点使用寻呼机的初级网络分析员能够解决这个问题吗?

如果您的组织是SD-WAN的新手,那么从非常简单易记的策略入手可能会很明智。降低复杂度始终是一个好主意。

最后,比较SD-WAN成本和实现复杂性与传统的“从中心到中心” VPN配置以及昂贵的专用MPLS WAN,是一个好主意。

传统的VPN模型可能比SD-WAN便宜。但是,它将缺乏SD-WAN的许多冗余,流量工程和容错功能。同样,维护静态VPN配置通常会更加困难。

但是,特别是在Cisco iWAN的情况下,您的比较点很容易就是直接的DMVPN网络。如果实施模型仅涉及每个远程站点上的单个Internet电路,则在容错方面几乎没有收获。