对于SD-WAN的定义,不同SD-WAN的厂商会给你不同的答案,我们来了解一下业界的标准定义。
Gartner明确定义了SD-WAN的基本特性:
MEF(Metro Ethernet Forum)在MEF-70中给出了第一个SD-WAN的标准化定义。标准中明确定义了SD-WAN组件、能力,并为每个组件的所有接口定义了框架和API的服务规范。
华为SD-WAN解决方案,遵循MEF的标准,并满足Gartner对SD-WAN的定义。华为SD-WAN拥有软件、硬件和虚拟计算平台等丰富的软硬件产品组合,丰富的接口类型,基于技术创新带来的差异化优势,在WAN Edge基础设施市场始终保持着强劲的增长势头,在2018~2020年Gartner发布的WAN Edge基础设施魔力象限报告中始终跃居挑战者象限。
针对企业网络当前面临的WAN封闭架构、业务体验难保障、业务部署慢和运维困难的问题,华为SD-WAN解决方案为企业提供分支与分支、分支与数据中心之间提供全场景随需互联,并通过应用级智能选路与智能加速、智能运维,构建更好的业务体验,重塑企业WAN互联全流程的业务体验。华为SD-WAN主要好处如下:
从逻辑分层及功能角度划分,SD-WAN的逻辑架构主要包括业务呈现层、管理层、控制层以及网络层,每层承担的功能不同,其中又包括若干核心组件,如下图所示。
SD-WAN的业务呈现层向下对接网络控制器,对外通过业务Portal界面实现SD-WAN的业务呈现和发放。业务呈现层当前有如下两种形式:
网络控制器是管理层的核心组件,是整个SD-WAN的“智慧大脑”。SD-WAN网络控制器一般有网络编排和管理功能:
RR(SD-WAN Route Reflector,SD-WAN路由反射器),是控制层的核心组件,主要负责网络控制。
RR的功能主要包括:SD-WAN租户VPN路由的分发和过滤,VPN拓扑的创建和修改,站点间Overlay隧道的创建和维护等。相比传统网络完全的分布式控制方式,这种集中式的控制实现了企业WAN控制平面和转发平面的分离,简化了网络运维操作,减少了网络配置错误几率,提升了企业WAN的运维效率。
从业务角度讲,企业的分支、总部和数据中心以及在云上部署的IT基础设施等都可以统称为企业的站点。不同企业站点用于WAN互联的网络设备以及中间WAN网络一起构成了SD-WAN网络层。
SD-WAN的网络设备,主要包括:Edge和GW两种类型。
Edge,即(SD-WAN Edge)的主要是指企业总部、分支、数据中心或者云站点的出口CPE设备,是SD-WAN隧道的发起和终结点,也可以看做是SD-WAN网络的边界点。Edge之间的Overlay隧道可以构建在任意的有线或者无线的Underlay WAN技术之上,并且通常与某种数据加密技术(如IPSec)结合使用,以确保企业WAN数据传输的安全性。
GW(SD-WAN GW)是联接企业新的SD-WAN站点和其他传统VPN站点的中间设备。由于老的传统非SD-WAN站点的存在,借助GW实现SD-WAN网络到企业传统分支网络的互通。
在传统的WAN拓扑中,主要通过MPLS专线进行互联。可以有效保证带宽、减少数据包传输的延时。SD-WAN是从MPLS技术演变而来的。SD-WAN支持MPLS、Internet、LTE和5G链路灵活组合进行WAN分支互联。
通过如下方面,可以帮助你更好的理解MPLS与SD-WAN之间的关系:
SD-WAN使建立混合WAN更加容易,并且可以在成本,可靠性和性能之间找到适当的平衡,以实现各种应用程序流量的混合。
SD-WAN的安全性可以从系统安全和业务安全两个方面来进行保障。系统安全是SD-WAN解决方案必备的基础安全能力,SD-WAN解决方案系统在初始化之后就应该自动具备这些能力,使其能安全可靠的运转。而业务安全是单独部署的安全功能,要根据企业用户实际的业务安全需求灵活选择合适的安全防护措施。
系统安全涵盖的范围主要包括:SD-WAN解决方案中组件间的通信安全、多租户安全以及组件自身的安全。SD-WAN解决方案系统包含多个组件,组件本身以及组件之间的通信都会受到安全威胁。因此,必须要有安全措施来保证SD-WAN解决方案系统的构建和运转是安全可信的。
保证系统安全,即通过身份认证、数据加密、数据验证、权限控制等措施,避免非法接入、信息泄露、数据篡改等安全问题。特别是针对CPE接入的场景,SD-WAN解决方案基于零信任(Zero Trust)的安全理念,严格验证CPE的身份信息,防止身份仿冒,确保只有合法可信的CPE才能接入。
业务安全指的是SD-WAN解决方案所承载业务的安全,部署SD-WAN解决方案的目的是要帮助企业更好地开展业务,根据企业的业务模型,业务安全包括站点间互访业务的安全、站点访问Internet业务的安全、站点入云业务的安全。
满足业务安全的需求,就是要针对不同的业务采取相应的安全防护措施。例如,对于站点间互访业务,要加密处理保证其在Internet上传输的安全性;对于站点访问Internet业务,可以使用CPE提供的安全功能,如ACL过滤、防火墙、IPS和URL过滤以及VAS高级安全功能等,防御各类攻击以及入侵行为。需要注意的是,这些安全功能可以基于VPN来配置,即针对同一个租户内的不同部门,实施差异化的业务安全防护措施。
另外,SD-WAN解决方案还支持对接第三方云安全网关,利用第三方云安全网关对访问公有云、SaaS的业务流量进行安全防护。
华为如何保障SD-WAN的安全,具体可以参考《华为SD-WAN安全技术白皮书》。
随着云化时代的到来,越来越多的企业已经将自己的IT系统搬到公有云上。企业WAN也需要能灵活地连接各种云资源,这些云资源主要包括:IaaS 基础云服务以及SaaS云应用。
公有云站点的Edge可以部署vCPE软件虚拟CPE设备,并通过VNF(Virtual Network Function,虚拟网络功能)的形式提供软件化的安全、广域加速、负载均衡等功能。将这些功能都放进CPE里面,既能降低设备成本和能耗,又能实现灵活快速的业务发放。
为了更高效地访问SaaS 应用,SaaS路径可能存在多种路径选择,通过SD-WAN的智能选路能够实时感知每条可选路径的网络SLA(Service Level Agreements,服务等级协定)质量,并在集中的网络控制系统的帮助下,具备实时调整并选择最优SaaS 访问路径的能力。