软件定义广域网 (SD-WAN) 是一种虚拟化广域网 (WAN) 架构,可抽象并集中管理规模较小且互不相连的广域网网络,使企业能够在跨越遥远地理距离和多个电信基础设施的分支机构、远程工作者和授权设备(也称为“节点”)之间共享数据和应用程序。
可以将 SD-WAN 架构视为软件定义的 WAN 层,它位于一个或多个实体 WAN 网络之上。由于 SD-WAN 架构基于软件,因此 IT 人员可以利用它来设置治理策略(例如确定网络资源优先级的策略),调整和执行用户权限,并监控其下 WAN 网络的安全威胁。 WAN 网络内的边缘设备也可以通过架构层的 SD-WAN 解决方案进行远程控制。
传统的 WAN 是由实体路由器组成的网络,用于在以太网或 Wi-Fi 网络等多个局域网 (LAN) 内的设备之间传输数据。WAN 可以在多种协议中任选其一来传输数据,例如多协议标签交换 (MPLS)。MPLS 是一种使用最短实体路径路由 WAN 流量的协议。
虽然单个 LAN 仅限于一栋办公楼等实体位置,但 WAN 可以包括多个 LAN,这些 LAN 既可以位于同一办公室,也可以位于相隔数英里的不同大楼。
然而,WAN 仅限于其所在地区的电信电路和互联网供应商传输服务的服务级别协议 (SLA)。例如,通过该地区互联网供应商提供的电缆或宽带互联网传输信息的 WAN 无法扩展到该实体基础架构之外。因此,WAN 网络可以覆盖两个办事处所有 20 个 LAN,仅因它们共享相同的传输服务。如果企业拥有第三座办公楼,而该办公楼所在区域使用其他传输服务,则需要一个单独的 WAN 来管理那里所有的 LAN 连接。此外,WAN 内各办事处的互联网接入带宽也受到限制。与传统 WAN 相比,SD-WAN 在这方面具备多种优势。
通过充当一系列基于路由器的 WAN 之上的软件层,SD-WAN 突破了这些 WAN 所面临的有形限制,并允许所有授权用户从任何地方通过单一应用程序,对涵盖不同地区、基础架构类型和传输服务供应商的所有网络流量进行监控、控制和优化。相反,如果没有一系列 WAN 网络之上的 SD-WAN,每个单独 WAN 的控制和配置将仅限于硬件层面。
安全访问服务边缘 (SASE) 架构是 SD-WAN 的替代方案。这两种架构类型都是 WAN 的优化形式,属于更广泛的软件定义网络 (SDN) 范畴。然而,与 SD-WAN 在抽象软件层中集中管理一系列 WAN 的方式非常相似,SASE 架构将网络的管理和安全服务抽象为云端部署,该部署更靠近网络或位于网络边缘。
SD-WAN 架构强调位置之间的连接,而 SASE 部署则关注网络端点和使用相关网络的设备。
SD-WAN 架构建立了一个基于软件的控制器,可整合和集中每个底层 WAN 网络的独特配置设置,将数据调配、网络安全协议和策略设置同时编排到多个 WAN 端点和边缘设备。
该集中式软件层是通过 SD-WAN 设备在其与所管理的 WAN 网络之间建立加密隧道(也称为“覆盖层”)而形成的。每个 WAN 位置均配备一个 SD-WAN 设备,作为实体 WAN 和 SD-WAN 软件层之间的通信枢纽。该设备接收并执行来自其上方集中式 SD-WAN 层的自定义配置和流量策略。可以对这些实体 SD-WAN 设备进行远程管理,使 SD-WAN 层能够在 WAN 有形边界之外运行。
SD-WAN 并非虚拟专用网络 (VPN)。 SD-WAN 架构是一个或多个 WAN 网络底层系列上所有设备的中央网关。相比之下,VPN 是在互联网等公共网络上建立点对点的专用连接。在 VPN 互联网连接中,网络流量通过由 VPN 供应商的专用服务器网络管理的加密隧道传输。
由于 SD-WAN 将多个 WAN 的底层网络服务结合在一起,因此可以利用其中任何一种服务来优化每个应用程序的性能。这些服务包括实体基础架构(例如传输服务)、带宽容量以及安全功能(例如防火墙设置)。 每个应用程序的优化设置由应用程序性能监控确定,并通过策略设置进行配置。
与传统 WAN 相比,SD-WAN 作为虚拟化层,具有多种优势,包括:
SD-WAN 可以通过重定向流量来克服其中一个底层 WAN 的电路问题。另外,IT 人员还可以自动运行 SD-WAN,以使用下列其中一种服务质量 (QoS) 技术,从而减少丢包率和抖动:
是的,三种常见的 SD-WAN 架构包括:
基于互联网的 SD-WAN 也称为“自助式”SD-WAN,是指企业利用内部资源部署 SD-WAN。公司的 IT 人员负责安装必要的 SD-WAN 设备、部署 SD-WAN 软件以及 SD-WAN 的持续维护和管理。
电信或 MSP 服务 SD-WAN 是指企业向服务供应商付费,由其在企业 WAN 位置安装和提供 SD-WAN 连接。供应商提供设备和人工,并确保提供必要的网络和传输服务。
托管 SD-WAN 即服务让企业可以通过软件协调访问供应商现有的 SD-WAN 架构。这种 SD-WAN 位于供应商的专用网络上,通常作为软件即服务 (SaaS) 提供给客户。