SD-WAN平台发展得如此之快,以至于几个月前部署的那些平台可能已经有了新的功能,可以提高效率和安全性,并使IT专业人员的生活更容易,但许多人还没有利用这些功能。
那么,为什么IT高管们不去开发这些新功能呢?在某些情况下,供应商在向it领导者介绍这些高级功能的好处和易用性方面做得不够。
在其他情况下,组织竖井(例如网络和安全团队之间的屏障)阻止了公司激活下一代防火墙或可能随SD-WAN设备一起出现的入侵防御系统。
在很多情况下,网络专家有一套标准的方法和程序,他们已经遵循了很多年,可以很好地完成工作。当涉及到一种新的做事方式时,比如零接触供应,人们可能不太愿意冒险,因为一旦出现问题,可能会适得其反。但是,企业应该考虑以下列出的未充分利用的SD-WAN特性所能提供的好处。毕竟,无论如何您都要为SD-WAN设备或托管服务付费,所以为什么不让您的钱花得值呢?
1.Zero-touch供应
部署分支机构网络设备的传统方法是将物理设备带到一个临时区域,对其进行配置、测试,然后将其发送到分支机构,由网络专家在那里进行设置。对于跨广泛地理区域部署数十个或数百个SD-WAN设备的公司来说,这是一个人工密集且耗时的过程。
零接触配置是大多数SD-WAN设备上的标准配置,它自动配置开箱即用的设备。该公司网络工程主管库纳尔•塔迦尔(Kunal Thakkar)表示,该设备只需要一个互联网连接,这样它就可以打电话回家,然后根据预先设定的模板,以快速、高效、标准化的方式进行全面配置Apcela。
2.加密密钥轮换
对于与联邦政府有业务往来的企业,如航空航天和国防公司,或承担PCI合规责任的企业(包括几乎所有其他企业),需要定期轮换加密密钥(通常每90天一次)。这可能是一个乏味的手工过程,需要复杂的变更控制策略,并且可能需要计划停机时间。
SD-WAN平台可以用一个自动化系统取代传统的基于vpn的密钥旋转,该系统可以通过编程使旋转频率达到每分钟一次,而不会对数据平面流量造成任何中断。其结果是更好的安全性,没有停机时间,也不需要手动干预。
3.多路复用vpn:
在许多情况下,公司需要将不同类型的流量彼此隔离。例如,在合并或收购的情况下,合并后的公司可能是一个纸面上的单一实体,但出于业务、遵从性或安全性的原因,每个业务单元继续独立运行。如果公司决定升级到SD-WAN,它可能会考虑购买两套物理设备。
但是,SD-WAN技术允许多个虚拟路由和转发(VRF)和VPN链接通过一个覆盖层进行多路复用。这在以前的VPN技术中是不可行的。对于具有多个业务单元的庞大、复杂的组织,只需设置策略就可以实现流量隔离。撒迦尔说,SD-WAN技术能够创建多达16个虚拟vpn,它们都运行在相同的物理WAN链路上。
4.感知应用程序路由
SD-WAN产品能够在第7层检查流量,以便为特定应用程序应用粒度路由策略。事实上,一些设备可以识别3000多个不同的应用程序和理解每个应用程序的性能需求。这个功能帮助企业优化粒度级别的电信成本通过不断监测延迟,延迟,抖动和其他敏感的应用程序实时的特点,和应用程序转移到最具成本效益的运输方法满足性能阈值。
根据Ashwath Nagaraj, CTO atAryaka网络在美国,支持应用程序的路由没有得到应有的广泛部署。可能的解释是,第7层流量检查确实带来了一定程度的性能开销,它确实要求公司花时间和精力为每个应用程序定义策略。但他认为,应用程序感知路由可以提供显著的性能和成本效益。
5.编程api
api的使用可以帮助公司在整个SD-WAN生命周期中编排和自动化功能,at的产品管理高级主管Raviv Levi说思科Meraki。虽然目前这个功能还未被充分利用,但Levi表示,人们对它的兴趣正在增长,因为IT高管们开始认识到,有了api,“大型组织可以以一种以前无法做到的方式拥有和控制网络”。
api使企业能够自定义和自动化SD-WAN设备的初始配置,在任何时候大规模地更改配置,自动化故障单处理,并获取WAN性能数据,用于实时流量优化和基础设施的长期监视和管理。例如,公司可以使用api对设备进行编程,以执行比默认设置中更频繁的轮询。
通过api,公司可以建立他们的SD-WAN基础结构来自动收集数据,这些数据可以用于管理用户组、查看审计日志、收集设备清单、进行实时监控和网络设备故障排除等功能。
6.优化的云连接
云突破(Cloud breakout)是SD-WAN的主要优点之一,即能够将分支机构的流量直接连接到云上,而不必返回到数据中心。雷竞技电脑网站但在许多情况下,网络管理员对终端用户和云SaaS应用程序之间的网络性能特征了解有限,甚至完全不了解。然而,供应商现在提供了一个特性,在Cisco Viptela的例子中称为Cloud OnRamp,它使用可编程的api来度量SaaS应用程序的性能或来自Amazon Web services和Microsoft Azure的IaaS服务。
在IaaS场景中,云服务提供商域内的SD-WAN路由器的一个虚拟实例持续地度量应用程序的性能,以一种从未有过的方式向网络管理员提供应用程序性能的可见性。在SaaS场景中,SD-WAN设备连接到最近的SaaS存在点,并进行实时决策以选择最佳执行路径。思科产品管理、td - wan和企业路由高级主管罗汉•格罗弗(Rohan Grover)表示,在Office 365等流行的生产力应用程序中,终端用户的性能提高了40%。
7.数据分析
SD-WAN系统的另一个未被充分利用的功能是能够使用数据分析来排除网络性能问题,并执行长期的网络容量规划。无论您使用的是托管服务还是自己动手的方式,都可以获得大量的流量数据,这些数据涵盖了端到端WAN连接。分析的使用消除了企业客户、云服务提供商、ip、最后一英里提供商等之间的典型相互指责。
8.端到端microsegmentation
Microsegmentation通过基于策略隔离工作负载来保护在数据中心和云环境中运行的应用程序,这已经成为一种越来越流行的方法。雷竞技电脑网站微分割让公司对东西交通有了更大的控制,如果发生了入侵,微分割限制了黑客可能的横向移动。
SDN、NFV等软件覆盖的兴起为微细分铺平了道路,微细分自然成为SD-WAN覆盖的一个特征。据该公司首席执行官Sunil Khandekar称Nuage网络,微区隔的好处是,如果一个分支节点受到攻击,中央策略服务器可以自动采取行动,将该分支与网络的其他部分隔离开来。
9.服务链接
当分支机构的流量通过安全MPLS链接路由回数据中心时,分支机构不太需要额外的网络和安全功能。雷竞技电脑网站但是现在分公司都直接连接到互联网,公司可能会发现他们有多个分公司设备,比如防火墙、NAT盒和入侵防御系统。正如Khandekar所说,服务链接使公司能够减少分支机构的混乱。组织可以创建一个连接的网络服务链,并根据安全、延迟或QoS等领域的流量需求自动处理不同的流量流。
10.固定无线连接
虽然没有特别的SD-WAN功能,但专家表示,企业在设置分支机构链路时应该考虑固定无线,特别是在部署速度最重要的情况下。对于区域范围较小的公司,从现有的ISP订购WAN链接相对来说比较容易。但是,对于那些没有传统宽带服务的农村地区的组织,或者对于那些需要快速将SD-WAN提供给新零售商店或其他弹出式业务位置的公司,固定无线电路可能是救星。
早期的SD-WAN部署主要关注于基本的连接和节省成本。但是今天,SD-WAN被视为支持数字转换的网络自动化平台,Khandekar说。部署这些未充分利用的特性可以帮助IT组织将其广域网与业务需求保持一致。