摘要:企業(yè)組織應(yīng)該如何為一處分支辦事機構(gòu)設(shè)計包括諸如SD-WAN、NFV在內(nèi)的新技術(shù)的使用呢?雖然目前仍然有一些企業(yè)組織在繼續(xù)使用諸如幀中繼( Frame Relay)和異步傳輸模式(Asynchronous Transfer Mode,ATM)等廣域服務(wù),但對于這些服務(wù)的使用正在迅速減少。因此,我們正在迅速接近一個IT企業(yè)組織將只有兩種WAN服務(wù)可供選擇的時候了,這兩種選擇分別是MPLS和互聯(lián)網(wǎng)。
雖然目前仍然有一些企業(yè)組織在繼續(xù)使用諸如幀中繼( Frame Relay)和異步傳輸模式(Asynchronous Transfer Mode,ATM)等廣域服務(wù),但對于這些服務(wù)的使用正在迅速減少。因此,我們正在迅速接近一個IT企業(yè)組織將只有兩種WAN服務(wù)可供選擇的時候了,這兩種選擇分別是MPLS和互聯(lián)網(wǎng)。鑒于這一趨勢,網(wǎng)絡(luò)企業(yè)組織當(dāng)前所面臨的一個關(guān)鍵性的問題便是:如何為分支辦事機構(gòu)設(shè)計一款最好的WAN,以便能夠使用上述這兩種服務(wù)選擇。
傳統(tǒng)的方法是:在每處分支辦事機構(gòu)都部署基于T-1的訪問服務(wù),以接入提供商的MPLS網(wǎng)絡(luò)和更高速的鏈接,可能在每個數(shù)據(jù)中心有一個或多個T-3連接或高速互聯(lián)網(wǎng)連接。在許多情況下,傳統(tǒng)的分支辦事機構(gòu)WAN的一個主要特點是在每處分支辦事機都擁有多款硬件設(shè)備,以執(zhí)行廣泛的功能,包括安全性和優(yōu)化方面的功能。
這種方法的一個缺點是,這些設(shè)備的配置是相當(dāng)復(fù)雜且費時的。傳統(tǒng)的企業(yè)分支辦事機構(gòu)的廣域網(wǎng)的另一個共同特征是將在互聯(lián)網(wǎng)流量被交接之前,將其回程傳輸?shù)綌?shù)據(jù)中心。由于互聯(lián)網(wǎng)流量需要通過MPLS鏈路,這無疑增加了成本和延遲性。
在我們的《2015年廣域網(wǎng)現(xiàn)狀報告》中2,調(diào)查受訪者列出了導(dǎo)致他們重新反思他們所在的企業(yè)的WAN設(shè)計方法的一系列因素。其中,排名前五大因素是,支持實時的應(yīng)用程序,如語音或視頻、增加安全性、提高應(yīng)用程序性能、提供公共云的訪問、降低成本。
在過去的幾年中,一種被稱為軟件定義的廣域網(wǎng)(SD-WAN)的新的廣域網(wǎng)技術(shù)的類別誕生了。這些新技術(shù)促使網(wǎng)絡(luò)企業(yè)組織開始重新思考他們的分支辦事機構(gòu)的WAN的設(shè)計方法,并有可能使得企業(yè)組織對上述各種因素作出反應(yīng)。
政策一致性的需要
廣域網(wǎng)設(shè)計得到了諸多的關(guān)注的一個新興組成部分,是其所使用的政策。
Viptela公司的營銷總監(jiān)Lloyd Noronha表示說,目前,網(wǎng)絡(luò)企業(yè)組織在其管理政策方面所面臨的一個主要的挑戰(zhàn)是:以一種簡單的方式從一個地方對其進行部署,并使得其能夠為企業(yè)廣域網(wǎng)的所有部件所識別。
而思科公司的企業(yè)網(wǎng)絡(luò)營銷經(jīng)理Kiran Ghodgaonkar則補充說,隨著我們繼續(xù)看到更多的設(shè)備被接入到網(wǎng)絡(luò),同時考慮到不同類型的用戶有著不同的安全許可證級別,網(wǎng)絡(luò)企業(yè)組織將需要實現(xiàn)更多的自動化管理政策。其網(wǎng)絡(luò)需要能夠檢測到用戶是誰,并自動將安全配置文件應(yīng)用到用戶的設(shè)備。
在下一代的企業(yè)分支辦事機構(gòu)的廣域網(wǎng)設(shè)計中,企業(yè)的業(yè)務(wù)政策將起著相當(dāng)重要的作用,VeloCloud公司的營銷副總裁邁克爾·伍德補充說。他指出,在企業(yè)的分支網(wǎng)絡(luò),對于企業(yè)業(yè)務(wù)政策的一大關(guān)鍵性的需求是對于保持一致性和適當(dāng)?shù)呐渲谩⑿阅芎桶踩阅0宓某掷m(xù)性的要求。
據(jù)Talari Networks公司的產(chǎn)品營銷總監(jiān)Neil Abogado介紹說,企業(yè)的業(yè)務(wù)政策將影響到整個應(yīng)用程序的優(yōu)先級,并將支配功能如何發(fā)揮其作用,如QoS的部署和執(zhí)行。此外,應(yīng)用程序策略將確立需要從網(wǎng)絡(luò)獲得哪些服務(wù)(如負載平衡),及其所在的位置。
訪問云服務(wù)
導(dǎo)致企業(yè)組織改變其廣域網(wǎng)設(shè)計方法的主要因素之一是要求提供對于云服務(wù)的訪問。據(jù)Versa Networks公司的共同創(chuàng)始人兼首席技術(shù)官Apurva Mehta表示說,用戶往往具備通過多家服務(wù)提供商進行網(wǎng)絡(luò)連接的能力。其結(jié)果是,分支網(wǎng)絡(luò)應(yīng)該能夠基于正在訪問的每款應(yīng)用程序?qū)W(wǎng)絡(luò)和安全的具體要求的理解,選擇最佳的服務(wù)供應(yīng)商。
Abogado表示說,對于那些希望消除互聯(lián)網(wǎng)回程,以降低成本,提高應(yīng)用程序的性能的網(wǎng)絡(luò)企業(yè)組織而言,他們現(xiàn)在已經(jīng)有了實現(xiàn)本地的、直接的互聯(lián)網(wǎng)以及從分支機構(gòu)進行云訪問的兩種選項了。根據(jù)Abogado介紹說,為了促成這項工作,諸如安全等服務(wù)必須延伸擴展到分支機構(gòu),而這導(dǎo)致了基礎(chǔ)設(shè)施的成本和分支機構(gòu)的復(fù)雜性的增加。
他補充說,對于成本的管理可以通過部署相關(guān)的服務(wù),使用諸如虛擬設(shè)備或基于云的設(shè)備來實現(xiàn),而復(fù)雜性的管理則可以通過使用流程控制工具和基于控制器的SD-WAN服務(wù),以在分布式環(huán)境中簡化配置管理和監(jiān)控。
據(jù)伍德介紹說,借助云交付的SD-WAN,企業(yè)組織可以將終端到終端的安全從每一處分支機構(gòu)擴展到私有數(shù)據(jù)中心、公共云數(shù)據(jù)中心和云服務(wù)提供商。他補充說,云網(wǎng)關(guān)是云交付的SD-WAN的一部分,將能夠從分支機構(gòu)到云資源提供完整的加密、認(rèn)證、強安全性、性能、高質(zhì)量的服務(wù)和 網(wǎng)絡(luò)損傷修復(fù)。
定位功能
在一個傳統(tǒng)的廣域網(wǎng),其功能性,如優(yōu)化和安全性,通常需要現(xiàn)場設(shè)置或者在公司的數(shù)據(jù)中心設(shè)置。雖然這些方法仍然是可行的,但在目前的環(huán)境下,有其他地方能夠托管網(wǎng)絡(luò)功能,包括:
· 通信服務(wù)供應(yīng)商的中央辦公室;
· 云服務(wù)供應(yīng)商的設(shè)施;
· 配置設(shè)施。
思杰公司產(chǎn)品營銷高級總監(jiān)卡爾·布朗表示說,企業(yè)組織不想在每個分支機構(gòu)都部署多款基于硬件的設(shè)備。他說,其中的一種選擇方案是部署一款單一的智能設(shè)備,以支持所有必要的功能,而且其可以通過一種集中的方式進行控制。或者,他們可以保持某些功能在分支機構(gòu)的一款智能設(shè)備上運行,并將其他的功能遷移到云服務(wù)。他補充說,獨立的功能被安置,而這對于網(wǎng)絡(luò)企業(yè)組織集中控制這些功能是如何應(yīng)用的是相當(dāng)重要的。
Ghodgaonkar說,思科的大多數(shù)客戶都喜歡自己擁有并維護自己在相關(guān)分支辦事機構(gòu)的辦公設(shè)備。他補充說,分支辦事機構(gòu)的規(guī)模將決定一家企業(yè)組織將會把什么類型的服務(wù)放在其分支辦事機構(gòu),以及是否在數(shù)據(jù)中心集中控制或在企業(yè)總部的基礎(chǔ)設(shè)施實施集中控制。規(guī)模較小的分支機構(gòu)通常都會偏向于在企業(yè)總部的設(shè)施進行網(wǎng)絡(luò)功能的集中控制,而規(guī)模較大的分支辦事機構(gòu)則傾向于將這些功能保持在分支辦事機構(gòu)。
Mehta認(rèn)為,一些企業(yè)組織將把所有必要的功能保持在分支辦事機構(gòu);其他一些企業(yè)組織則會將這些功能保持在一個中心站點;而還有其他一些企業(yè)組織會將一些功能部署在現(xiàn)場,另外一些功能部署在場外異地。他還認(rèn)為,受到嚴(yán)格監(jiān)管的垂直行業(yè),如醫(yī)院和銀行,將傾向于在分支辦事機構(gòu)保持功能,而諸如零售業(yè)等企業(yè)則歷來傾向于集中這些功能配備。
根據(jù)Noronha介紹,一款SD-WAN控制器是要被遷移到云中的強有力的候選,無論其是由企業(yè)管理或是由服務(wù)提供商管理的。
伍德說,今天,任何托管在數(shù)據(jù)中心的功能均是對其進行虛擬化,并重新遷移到云中的候選。他認(rèn)為,最初遷移到云計算的服務(wù)是安全服務(wù),如防火墻、入侵檢測和預(yù)防、安全的VPN和網(wǎng)絡(luò)安全性。
他的部分理由是,安全服務(wù)能夠充分利用快速學(xué)習(xí)和幾乎瞬時的更新的優(yōu)勢,以進行安全威脅的檢測,緩解和修復(fù),這是最好用SaaS模式進行。此外,基于彈性,規(guī)模經(jīng)濟和可訪問性等原因,所有的應(yīng)用程序性能監(jiān)控和功能管理,將可能被重新搬遷到云服務(wù)。
網(wǎng)絡(luò)功能虛擬化(NFV)
與廣域網(wǎng)的功能應(yīng)該被保持在何處的這一問題相關(guān)的一個主題是,企業(yè)的IT部門對于NFV的采用。根據(jù)伍德介紹,NFV和虛擬網(wǎng)絡(luò)功能(VNF)的演化在推動網(wǎng)絡(luò)企業(yè)組織整合分支辦事機構(gòu)的資源到一個單一的SD-WAN,采用商業(yè)化的現(xiàn)成(COTS)平臺的過程中,將起著至關(guān)重要的作用。他補充說,安全功能,以及網(wǎng)絡(luò)和應(yīng)用程序管理功能,是進行虛擬化和自動化的很好的候選。
Ghodgaonkar對此表示同意,并補充說,一旦網(wǎng)絡(luò)企業(yè)組織將其廣域網(wǎng)實施了虛擬化,他們需要考慮為了能夠匹配提升WAN靈活敏捷性的目標(biāo),如何對服務(wù)實施虛擬化。他補充說,企業(yè)網(wǎng)絡(luò)組織已經(jīng)部署了一系列的虛擬化網(wǎng)絡(luò)服務(wù),并且,其目前最高的需求是虛擬化的路由器、虛擬化的防火墻和虛擬化WAN的優(yōu)化。 Ghodgaonkar補充說,通過使用模板來自動部署和網(wǎng)絡(luò)服務(wù)配置,企業(yè)可以減少配置錯誤,進而可以導(dǎo)致減少因暴露安全漏洞所產(chǎn)生的風(fēng)險。
廣域的網(wǎng)優(yōu)化的價值正在下降
盡管《2015年WAN現(xiàn)狀報告》顯示了,網(wǎng)絡(luò)企業(yè)組織對于提高并改善應(yīng)用程序的性能很感興趣,但也有一些受訪者表示,他們對于廣域網(wǎng)的優(yōu)化在未來所發(fā)揮的作用并不是非常看好。伍徳說,WAN優(yōu)化的價值正在被遞減,部分原因在于越來越多的來自企業(yè)分支辦事機構(gòu)的網(wǎng)絡(luò)流量正變得不可壓縮;例如,視頻,UC和語音音頻文件。
他補充說,隨著時間的推移,企業(yè)組織將逐步淘汰使用廣域網(wǎng)優(yōu)化控制器是很可能的,因為一款SD-WAN增強了成本低廉的互聯(lián)網(wǎng)帶寬的彈性部署。
梅塔說,WAN優(yōu)化的價值被遞減的另一個原因是緣于諸如CIFS和MAPI等協(xié)議已經(jīng)得到發(fā)展演化。他說,當(dāng)前仍然有其廣域網(wǎng)的優(yōu)化所適應(yīng)的使用案例,但我們所需要的是一種輕量級的方法,側(cè)重于有限的一組功能,如重復(fù)數(shù)據(jù)刪除、TCP、UDP優(yōu)化以及優(yōu)化對于關(guān)鍵云計算所提供的應(yīng)用程序如Office 365的訪問。
安全問題
提高安全性是推動網(wǎng)絡(luò)企業(yè)組織對廣域網(wǎng)的設(shè)計進行反思的主要因素之一。然而,根據(jù)Ghodgaonkar介紹說,當(dāng)網(wǎng)絡(luò)企業(yè)組織能實現(xiàn)從其分支辦事機構(gòu)的直接的互聯(lián)網(wǎng)訪問時,他們將開始需要關(guān)心自己打開了通往更大的安全風(fēng)險的大門。他補充說,通過在分支機構(gòu)借助恰當(dāng)?shù)陌踩?wù),如內(nèi)容過濾、防火墻、入侵檢測和預(yù)防以及相關(guān)的工具,能夠使其易于配置這些服務(wù),而這對于那些想要降低與訪問基于云的應(yīng)用程序相關(guān)的安全風(fēng)險的企業(yè)而言,將是至關(guān)重要的。
梅塔指出,在當(dāng)前的環(huán)境下,分支辦事機構(gòu)設(shè)備的錯誤配置可能會導(dǎo)致安全漏洞。他說,雖然網(wǎng)絡(luò)企業(yè)組織不一定想要集中所有的安全功能,但他們應(yīng)采用能夠集中分支辦事機構(gòu)功能配置的業(yè)務(wù)流程系統(tǒng)。為了避免出錯,網(wǎng)絡(luò)企業(yè)組織應(yīng)只有一個協(xié)調(diào)系統(tǒng)來管理安全和網(wǎng)絡(luò)連接。
伍德指出,企業(yè)將能夠利用為所有網(wǎng)絡(luò)流量嵌入到云中的安全功能或利用COTS硬件上的VNF,以便為其分支辦事機構(gòu)實現(xiàn)更好的安全設(shè)計。 他認(rèn)為,企業(yè)應(yīng)該采用普遍的能夠為云安全服務(wù)插入交付服務(wù)、接觸云應(yīng)用程序(即在云中)、實施流量及端到端的應(yīng)用程序監(jiān)測的整體的方法,來實現(xiàn)廣域網(wǎng)的安全設(shè)計。
Noronha說,一款SD-WAN的部署實施將會給網(wǎng)絡(luò)企業(yè)組織帶來他們一直想要的東西—— 微分段(micro-segmentation)技術(shù)。當(dāng)企業(yè)網(wǎng)絡(luò)中的一部分發(fā)生違約時,網(wǎng)絡(luò)企業(yè)組織將希望能夠保持網(wǎng)絡(luò)的正常運行,同時避免違約行為影響到網(wǎng)絡(luò)的其他組件。而微分段技術(shù)則允許他們實現(xiàn)這一點。
Abogado 指出,企業(yè)分支辦事機構(gòu)的安全部門將從依靠外線的方法朝著多層模型的、需要為所有分支技術(shù)嵌入安全模型的方向演變。這種變化背后的理念是,管理者要建立“信任”區(qū)域和“不信任”區(qū)域,因為網(wǎng)絡(luò)攻擊可能來自任何載體,包括分支辦事機構(gòu)內(nèi)部。他認(rèn)為,一個單一的加密層可能是不夠的,故而IT企業(yè)組織應(yīng)該考慮同時對應(yīng)用程序和網(wǎng)絡(luò)層實施加密。增加分支辦事機構(gòu)網(wǎng)絡(luò)和數(shù)據(jù)分割的部署,其也將是支持多層安全模型的關(guān)鍵技術(shù)。
他補充說,這種新方法的挑戰(zhàn)是保持應(yīng)用程序的性能,而不影響一個高層次的保護。一個環(huán)境里沒有應(yīng)用程序/用戶流量是信任的,直到其經(jīng)過了驗證。這可以推動企業(yè)組織實施動態(tài)網(wǎng)絡(luò)流量的管理政策,以迫使未知的或未經(jīng)驗證的應(yīng)用程序在他們的網(wǎng)絡(luò)接受檢查。一旦這些流量經(jīng)過了驗證,SD-WAN控制器可以推動一個更有效的“信任”的政策,允許可接受的應(yīng)用程序的性能執(zhí)行。
根本原因分析
《2015年應(yīng)用程序和服務(wù)交付手冊》揭示了網(wǎng)絡(luò)企業(yè)組織所面臨的當(dāng)前管理工作重要性的快速提升的根本原因分析。布朗對于快速執(zhí)行的根本原因分析的重要性表示了認(rèn)可,并補充說,網(wǎng)絡(luò)企業(yè)組織如何發(fā)展自己的廣域網(wǎng)設(shè)計的獨立性的重要作用,他們需要深入了解應(yīng)用程序的交付。他說,網(wǎng)絡(luò)企業(yè)組織需要從應(yīng)用程序的角度理解延遲性,并且必須能夠確定在 其數(shù)據(jù)中心、廣域網(wǎng)和分支辦事機構(gòu)發(fā)生了多少延遲。
據(jù)伍德介紹,快速執(zhí)行的根本原因分析從這方面來看要容易得多:因為SD-WAN集中網(wǎng)絡(luò)可視化和監(jiān)控功能,從而使得IT企業(yè)組織能夠從一個中央位置來解決相應(yīng)的問題,而在同一時間又具有廣泛的網(wǎng)絡(luò),復(fù)雜的應(yīng)用識別能力。
Abogado警告說,實施SD-WAN可能會給企業(yè)組織添加麻煩點,如不正確配置隧道或覆蓋路由器等問題。他接著說,相對于分支辦事機構(gòu)WAN的故障排除,一個SD-WAN鏈路的動態(tài)特性使得其難以建立基線數(shù)據(jù),而由于眾多變化的變量問題也會造成故障排除的問題。
此外,互聯(lián)網(wǎng)的廣域網(wǎng)鏈路部署作為SD-WAN的一部分引入的路徑會遍歷幾家供應(yīng)商,因此很難監(jiān)測、控制和進行故障診斷。Abogado說,在解決這些問題方面,智能SD-WAN解決方案這一技術(shù)將有很大的幫助,其提供了簡化的、自動化的配置、復(fù)雜的報告以及與跨WAN的應(yīng)用程序性能數(shù)據(jù)相關(guān)的顆粒度分析。
對技能的影響
由于WAN已經(jīng)做好準(zhǔn)備進行一個戲劇性的轉(zhuǎn)變,有一個強大的可能性,即想要獲得事業(yè)成功的網(wǎng)絡(luò)專業(yè)人士所需的技能也將必須改變。伍德說,隨著廣域網(wǎng)的發(fā)展,網(wǎng)絡(luò)企業(yè)組織將通過先進的工具近一步實現(xiàn)現(xiàn)代化,使他們能夠部署和管理分支機構(gòu)的網(wǎng)絡(luò),以及在云交付架構(gòu)和應(yīng)用程序優(yōu)化實踐和技能的所需進行培養(yǎng)的專業(yè)知識。他補充說,網(wǎng)絡(luò)企業(yè)組織將被釋放到遷移到集中于產(chǎn)生企業(yè)營收的系統(tǒng)堆棧,解決方案和應(yīng)用程序,并與此同時,專注于降低成本的舉措。
Abogado說,隨著廣域網(wǎng)的發(fā)展,這種采用與傳統(tǒng)網(wǎng)絡(luò)技能相關(guān)的技術(shù),如路由和MPLS的部署,通過CLI驅(qū)動的配置和監(jiān)控系統(tǒng)來實現(xiàn)技術(shù)的期望是合理的。同時將有對于一系列技能組的需求增加,這些技能組將能夠使應(yīng)用程序,安全性和網(wǎng)絡(luò)合并為一個通過編排工具置備的虛擬化或云基礎(chǔ)設(shè)施。
Abogado建議網(wǎng)絡(luò)專業(yè)人員應(yīng)該提高自己的技能,使自身能夠了解應(yīng)用程序的體系結(jié)構(gòu)和要求。他補充說,這些技能將會使網(wǎng)絡(luò)專業(yè)人士能夠?qū)崿F(xiàn)應(yīng)用程序的要求,并建立一個符合政策規(guī)定的業(yè)務(wù)流程規(guī)劃藍圖,容納安全性、服務(wù)質(zhì)量、優(yōu)化服務(wù)和網(wǎng)絡(luò)資源分配方面的需求。然后該藍圖可以通過業(yè)務(wù)流程的工具加以利用,在底層基于控制器與基礎(chǔ)設(shè)施相結(jié)合,在WAN上實現(xiàn)適當(dāng)?shù)脑L問和應(yīng)用程序服務(wù)的實施部署。
呼吁采取措施
毫無疑問, SD-WAN技術(shù)的引進是推動WAN多年的演變的開始。在一個較高的水平,企業(yè)分支辦事機構(gòu)的WAN的下一代的許多方面,將包括如管理政策使用的增加,是非常明確的。然而,下一代分支機構(gòu)的WAN具體情況遠不明朗,可能會因企業(yè)具體情況的不同而有所不同。
對于大多數(shù)網(wǎng)絡(luò)企業(yè)組織而言,只是坐在那里,等待所有待解決的問題被解決并不是有效的策略,并且也絕不會推進網(wǎng)絡(luò)專業(yè)人員的職業(yè)生涯的進步。
京公網(wǎng)安備 11010502049343號