SD-WAN

什么是 SD-WAN？

随着时代变迁，企业开始使用云并订阅软件即服务 (SaaS)。过去，用户会连接回公司数据中心以访问业务应用，而现在访问云中的许多相同应用，便可获享更好的服务。

因此，传统广域网已不再适用，这主要是因为需要将所有流量（包括通往云的流量）从分支机构办公室回传到总部，导致延迟并降低应用性能。SD-WAN 具有广域网的简单性、低成本、带宽效率、与云的无缝接入以及出色的应用性能，尤其是对于关键应用，同时兼顾安全性和数据隐私。应用性能得到提升，业务效率和客户满意度也随之提高，最终提高了盈利能力。始终如一的安全保护意味着业务风险大大降低。

• 市面上的 SD-WAN 水平参差不齐。许多 SD-WAN 解决方案都是基础级 SD-WAN 方案或者“刚好够用”的解决方案。这些解决方案缺乏确保安全网络体验所需的智能程度、安全性、性能和规模。要知道，如果没有快速、安全的高性能网络，企业数字化转型计划可能停滞不前。SD-WAN 是数字化转型的关键推动因素，可促成整个企业层面的战略性决策。那么，什么是业务驱动型安全 SD-WAN？为什么说基础级 SD-WAN 不够好？
• 始终如一的体验质量 (QoEx)。高级 SD-WAN 解决方案的一大优势在于能够同时主动使用多种形式的广域网传输。基础级解决方案可以基于应用将流量引导到单个路径，如果该路径出现故障或性能不佳，则可以动态重定向到性能更佳的链路。然而，对于许多基础级解决方案，中断前后的故障转移时间长达数十秒或更长，这往往会导致恼人的应用中断。而业务驱动型 SD-WAN 可智能监控和管理所有底层传输服务。它可以避免数据包丢失、延迟和抖动等问题，即使在广域网传输服务受到牵连的情况下，也能为用户提供出色的应用性能和体验质量。不同于基础级 SD-WAN，业务驱动型 SD-WAN 可无缝处理整个传输中断过程，故障转移时间不到一秒，因此可避免语音和视频通信等关键业务应用中断。
• 持续自主学习。基础级 SD-WAN 解决方案根据通常通过模板编程的预定义规则引导流量。业务驱动型 SD-WAN 在任何网络条件或变动（包括拥塞和发生故障）情况下都能提供出色的应用性能。通过持续监控和自主学习，业务驱动型 SD-WAN 会自动实时响应网络状态的任何变化。业务驱动型 SD-WAN 根据网络中的变化不断调整。它自动实时适应可能影响应用性能的任何变化，包括网络拥塞、电压不足和传输中断，使用户能够在无人工 IT 干预的情况下始终连接到应用。例如，在广域网传输服务或云安全服务性能下降时，网络会自动调整以保持通信流畅，同时确保遵守业务策略。
• 多云网络。高级 SD-WAN 可以部署在诸如 AWS、Azure 和 Google Cloud 的公有云中，以利用 SD-WAN 的所有优势来优化分支机构与云之间的连接。在电压不足或停电时，其余链路将继续承载流量，这样用户就不会注意到语音通话、音频和视频会议或任何其他应用受到的任何干扰。这加固了分支机构与公有云之间的“第一英里”，实现了更好的网络性能、可靠性和质量。
• 内置下一代防火墙。业务驱动型安全 SD-WAN 应包括下一代防火墙，以高效保护分支机构地点。其中的关键功能包括深度包检测 (DPI) 和入侵侦测与防御 (IDS/IPS)。其他高级 SD-WAN 甚至可以保护组织免受 DDoS 攻击。组织可以通过集成下一代防火墙，轻松替代传统的分支机构防火墙，从而减少硬件占用空间。此外，安全策略集中管理，无需在本地对相关人员开展 IT 培训，也避免了误配置。与通常需要逐个设备配置策略的传统防火墙相比，集中配置的安全策略由于减少了人为错误，一致性大大提升。在需要修改策略时，业务驱动型 SD-WAN 会对其进行集中编程，然后推送到整个网络的数十个、数百个或数千个节点，从而显著提高运营效率，同时减小总体攻击面、避免任何安全漏洞。
• 基于角色的分段：虽然基础级 SD-WAN 提供了等同于 VPN 服务的功能，但业务驱动型安全 SD-WAN 能够以更全面的、端到端的方式基于角色进行网络分段。除了支持下一代防火墙外，SD-WAN 平台还应编排并实施覆盖局域网-广域网-数据中心和局域网-广域网-云的端到端分段。高级安全 SD-WAN 通过添加用户和设备标识以及基于角色的策略，实现了精细分段并实施零信任。然后，安全 SD-WAN 通过用户、设备、应用组和虚拟层的任意组合创建从局域网到广域网的端到端区域，并将安全策略延伸到所有远程站点。它基于最小权限访问原则，确保用户和物联网设备只同与其业务角色相符的目标位置通信，减少了未经授权的访问并限制了事件范围。
• 为云应用确保安全的本地互联网分流。许多基础级 SD-WAN 提供了一些基于固定定义和手编脚本 ACL 的应用分类功能，用于在互联网上直接定向 SaaS 和 IaaS 通信流量。然而，云应用不断变化。业务驱动型 SD-WAN 根据变化不断调整，并通过自动化方式提供每日应用定义和 IP 地址更新。这消除了应用中断和用户工作效率方面的问题。

理想情况下，企业客户需要转而采用业务驱动型 SD-WAN 平台，这一集中管理的平台集 SD-WAN、防火墙、分段、路由、广域网优化以及可见性和控制功能于一体。

SASE 将 SD-WAN 与通过云提供的安全功能（也称为安全服务边缘 (SSE)）相结合。SSE 定义了一组有助于实现 SASE 安全愿景的安全服务。关键的 SSE 功能有 ZTNA（零信任网络接入）、SWG（安全 Web 网关）和 CASB（云访问安全代理）。

最终，SASE 的目标是在用户从任何地方访问敏感数据以及浏览不安全的网站时，确保以云为中心的组织和混合工作环境的安全和性能。我们向许多设计和部署 SASE 架构的企业了解了基础级 SD-WAN 在功能方面的欠缺之处。只有配合使用兼具高级网络和安全功能的 SD-WAN，SASE 才能够执行以下操作：

• 与 SSE 解决方案无缝集成，形成统一且一致的 SASE 架构。
• 从单个控制台自动执行 SD-WAN 与 SSE 之间的编排，使其简单易行
• 识别第一个数据包上的应用流量，并基于预定义的安全策略将其精准地导向到 SSE 解决方案
• 自动故障转移到辅助云安全强制点，以避免任何应用中断
• 在有距分支机构更近的新位置可用时，自动重新配置以便与云安全实施点建立安全连接
• 使客户能轻松部署新的云安全服务及其 SASE 实施

HPE Aruba Networking EdgeConnect SD-WAN 是一款由多种访问部署选项组成的全面产品组合，将边缘到云的企业组织连接到覆盖不同位置、数据中心、云和 SaaS 的单个 SD-WAN 网状架构。这款解决方案包括三种规模适当的 SD-WAN 网状架构部署模式（或 onramps），为来自总部、数据中心、园区、分支机构、小型办公室、居家办公和移动办公的用户提供顺畅、安全的高性能网络连接，让他们在任何地方都能访问应用、数据和服务。

• EdgeConnect SD-WAN 使 IT 管理员能够构建先进的 SD-WAN 边缘，持续学习并适应不断变化的业务需求，从边缘到云尽享灵活卓越的网络和应用性能。
• EdgeConnect SD-Branch 使 IT 管理员能够整合分支机构的网络组件，实现 WLAN、局域网和 SD-WAN 的充分集成并获享集成安全性，同时通过集中式云管理获得板载 LTE 支持。
• EdgeConnect Microbranch 非常适合小型办公室或居家办公。这种方案的占用空间最小，它使用一系列 HPE Aruba Networking 远程接入点 (RAP) 来实现与企业网络的安全广域网连接，以及通过自动化方式集成通过云提供的安全服务。 

EdgeConnect SD-WAN 网状架构可以提供持续适应且永续运行的安全性和敏捷性，以便应对最苛刻的广域网需求，从而实现极致的体验和性能。充分利用自动化、机器学习和 AI 等先进技术，消除大型分布式网络部署、配置和维护过程中的复杂性难题和人工密集型任务，进而减轻 IT 组织的负担。

EdgeConnect SD-WAN Fabric 可轻松扩展到数据中心、IaaS、SaaS 和私有云。自动化集成简化了 AWS、Microsoft Azure、Google、Equinix、Megaport 等多云连接。

EdgeConnect SD-WAN Fabric 以自动化方式与 HPE Aruba Networking SSE 集成，以形成统一的 SASE 平台以及第三方云安全合作伙伴解决方案。