最新动态
了解我们,行业趋势以及包罗万象的新知识
您所在的位置:
首页 最新动态 知识库
什么是适用于分支互联场景的SD-WAN
2022年10月14日

现在分支互联才是企业客户目前对SD-WAN最大的需求所在,也是最大的市场所在。那适用于分支互联的SD-WAN方案到底是什么呢?SD-WAN用到的技术很多,交付形态很多,能解决的问题也很多。但正是这种不确定,给企业客户带来了额外的困扰。


到底什么是适用于分支互联场景的SD-WAN?和上云加速、SaaS加速场景的SD-WAN又有什么不一样?一些企业IT人员试图从业界权威机构获取正确答案,结果却更懵逼了。在这些权威机构给出的定义中,SD-WAN往往根本就不是个标准化的产品方案,有些甚至只是功能技术的集合。换句话说,产业界的SD-WAN,和市场上的SD-WAN并不是一个东西。在我看来,市场层面的各种SD-WAN解决方案,其实都是以性价比为导向,针对关键业务品质与可用性提供保障的所有技术与资源的整合方案或服务。与其往某个技术定义上硬套,不如说它们是更大的场景化方案(例如Gartner提出的WAN Edge或SASE)的子集。






四个关键点必须满足。首先是性价比导向,能在满足需求的前提下有效降低成本,才有存在的意义;第二,需要保障的是关键业务的品质和可用性,钱不能花到非关键业务上;第三,要达到保障关键业务品质和可用性的目的,除了需要借助设备实现一些功能,也可能还需要线路资源或云资源做补充;最后,交付形态可能是传统的购买设备部署,也可能是纯服务形态的交付,尤其带着线路或者云资源的方案更是如此。


我把市场常见的所有类型的SD-WAN方案涉及到的产品功能特性和资源做了个整理,大概就是图里这些。一般来说,SD-WAN方案组成中一定会有一台实现主要技术功能的CPE,再按需搭配资源、管理平台、控制器等元素。对于不同场景的解决方案,只要针对需求选择图中元素的合理搭配即可。


大部分SD-WAN供应商的方案和营销方向都是围绕自身优势制定,比如做广域网加速起家的会强调广域网加速技术的重要性,安全起家的会强调安全的重要性,自有线路或者云资源的一定会强调资源的重要性……其实这些都不重要,明确场景、明确需求、明确关键业务才是最重要的。这些明确了,你才知道到底需要什么样的SD-WAN方案。


就以分支互联为例,可以认为关键业务就是需要进隧道的流量,那项。其它元素依需求而定,比如分支数量非常多或存在分支间流量,那大概率需要零配置上线和网络统一编排能力;假如关键业务里有商业SaaS,那就又得用上应用路由……你只要能把企业业务需求清晰地拉出单子,需要的技术和资源也就能列出来了,这就是你的分支互联SD-WAN方案选型评估标准。


需要提醒的是,很多SD-WAN供应商会宣称自己的方案具备流量调度、网络统一编排在内的完整能力,如果选择部署其整体方案并将运维全部外包,企业就能共享这些能力。但现实情况是,大部分SD-WAN供应商的CPE设备在功能、性能、可靠性方面较传统大厂产品还有相当大的距离(尤其4-7层功能),很多企业IT部门不能接受将CPE串接入网乃至直接做为网关带来的额外风险,所以将其视作光猫一样的角色,将SD-WAN服务和传统的线路资源划等号。在这种情况下,供应商的SD-WAN能力就不再是企业的能力,企业依然需要自行建设维护分支互联SD-WAN产品技术方案。


个人感觉这种情况在几年内不会有根本改变。企业在进行网络建设时,建议还是多评估评估传统数通、安全产品方案的SD-WAN技术能力。顺便说一句,我一直以来比较看好安全背景的企业涉足SD-WAN,也认同安全是SD-WAN方案的必要属性,就是因为企业网络边缘既是安全功能的决策点,又是SD-WAN功能的决策点。理论上是可以通过串接两台设备(防火墙+CPE)的方式解决问题,但单台设备的建设成本和运维成本明显更低,当前这种经济环境下,你觉得企业会选择哪种方案?


用SD-WAN做分支互联比传统VPN组网好在哪

知道了分支互联SD-WAN方案到底是什么,就逃不开一个问题——用分支互联SD-WAN方案比传统VPN好在哪?
实际上,这也是我近一年被问到最多的问题。



答案很简单,SD-WAN做分支互联就是VPN组网的升级。二者绝非泾渭分明,实际上,VPN恰恰是SD-WAN的底层实现。从上文图中就能看出,传统VPN组网方案实际就是基础网络、隧道协议再加一部分管理和安全功能;SD-WAN只是在此基础上,融入更多不同维度的技术与资源,更好地应对新业务带来的功能需求与挑战,同时靠自动化手段降低运维成本。
如果说VPN解决了有无问题,SD-WAN就进一步解决了好不好的问题——不仅是体验的提升,还包括OPEX的大幅降低。
在诸多新技术中,拨测选路是最最重要的一个特性,广泛应用于所有场景,可谓是SD-WAN方案的核心能力。换句话说,缺少这个能力,就不是SD-WAN方案。
传统VPN组网方案中,流量的调度靠策略路由实现,从而做到关键业务流量走隧道访问私有化部署的业务平台。这个机制平时毫无问题,但在链路品质劣化的时候,就会暴露出过于简单粗暴的弊端。
通常来说,基于传统VPN组网的情况下,如果承载隧道的线路出现异常,只要隧道协商不中断,策略路由还是会不停地把流量往隧道送,完全无视应用体验方面的下降。而拨测选路的意义就在于,它多了一个定期主动探测机制,可以在指定接口进行持续的质量探测。一旦拨测结果超出设定的阈值(而不是等待隧道中断),设备或控制器就会动态触发路由调整。
举个例子,当你承载隧道的线路从50ms延迟/0丢包/5ms抖动跳变到200ms延迟/5%丢包/30ms抖动时,传统VPN组网一般不为所动,但SD-WAN方案可能就已经自动把流量切到其它品质更好的线路去了,尽量保证了关键业务的使用体验。

这里又引出一个很多人关心的问题:控制器是不是必须的?

答案是要根据你的组网规模而定。假如你的分支数量不多,需求也不复杂,设备级的拨测选路就是你最好的选择。咱先不提建设成本,对成长型企业的IT运维人员来说,玩转控制器的技术门槛太高了,就算白送也很难用好,或者根本用不起来。
但在大规模组网环境下,由控制器基于拨测结果进行网络流量的全局统一编排,带来的效果是传统VPN组网难以实现的。更何况当VPN组网大到一定规模时,靠人肉也根本运维不过来。这两年我关注过几个连锁零售企业整体门店的升级改造,无不因此选择了带有控制器的SD-WAN组网方案。对他们来说,IT运维成本中人的成本已然是最大成本,需求和预算间的矛盾已经不可调和,控制器在这解决的已经不是好不好的问题,还真是能不能的问题。


但在大规模组网环境下,由控制器基于拨测结果进行网络流量的全局统一编排,带来的效果是传统VPN组网难以实现的。更何况当VPN组网大到一定规模时,靠人肉也根本运维不过来。这两年我关注过几个连锁零售企业整体门店的升级改造,无不因此选择了带有控制器的SD-WAN组网方案。对他们来说,IT运维成本中人的成本已然是最大成本,需求和预算间的矛盾已经不可调和,控制器在这解决的已经不是好不好的问题,还真是能不能的问题。
最后一个被普遍关心的问题:分支互联SD-WAN方案中,线路和云资源是不是必须的?


答案是根据关键业务的品质要求而定。当你能获取的接入资源都无法满足要求时,外部资源就是必须的。比如互联需求涉及企业境外分支,那SD-WAN方案确实需要包含优质资源。或者企业业务非常关键,有明确的SLA要求,那么只有外部资源可以承诺,一切不包括资源的SD-WAN方案都只能做到尽力而为。
但如果你的分支数量不多,又都分布在互联网接入资源较为充裕的国内一二线城市,并且互联带宽需求不是很大,那外部资源也许就不是必须的。
能够省下资源这部分费用主要有两方面原因。首先,国内运营商的互联网接入品质已经足够优秀,尤其在一二线城市,就算定位较低的企业宽带/专线,链路品质也是有保障的,何况每年还提供着提速降费的福利。并且跨运营商互联互通的品质也较头些年有了显著提升,至少很多性能监测服务商在做非跨境线路监测时,已经普遍将丢包的合格率设定为小于3‰。
另一方面,应用对接入线路的品质要求在下降。尤其是比较新的互联网应用,往往在设计阶段就针对互联网乃至4G/5G而非专线品质做了考虑,用上了主动纠错等技术,具有更好的容忍度,降低了企业客户的使用门槛。这一点,ZOOM、腾讯会议、钉钉会议等都是很好的范例。
廉价线路的品质和带宽在提升,业务对线路品质的要求在降低,再通过SD-WAN方案中诸多新技术加持,大部分成长型企业的分支互联需求就是可以满足的。至少我深入参与过的这类项目,最终落地方案基本都是如此。


回想一下,这一年多找我咨询分支互联SD-WAN的基本就是两类诉求,第一是想砍专线降成本,第二是想提升传统VPN组网的品质。这两类诉求间原本是没有更好选择的,现在有了SD-WAN,把原本大颗粒的资源和产品技术敲打得足够碎,让企业能够更好“量体裁衣”的同时又提供了更好的性价比,才快速点燃了这个市场。所以,忘了VPN,拥抱SD-WAN吧。




您身边的数字化转型专家
太平洋电信致力于为全球企业提供创新ICT解决方案,助力企业更加轻松的实现数字化转型
走进太平洋电信