在實施軟件定義的廣域網(wǎng) (SD-WAN)拓?fù)鋾r,大多數(shù) IT組織將使用現(xiàn)有的廣域網(wǎng) (WAN)架構(gòu),而不是構(gòu)建全新的架構(gòu)。SD-WAN的一個好處是它作為一種覆蓋技術(shù)的靈活性,因此有幾種方法可以在現(xiàn)有網(wǎng)絡(luò)上正確實施它。也就是說,到目前為止,組織已經(jīng)對一些技巧和技巧進(jìn)行了實戰(zhàn)測試。
讓我們繼續(xù)我們的SD-WAN系列,重點關(guān)注多協(xié)議標(biāo)簽交換 (MPLS)和虛擬局域網(wǎng) (VLAN),這兩種最常見的 WAN架構(gòu)。我們將探索 SD-WAN如何增強(qiáng)每個功能并增加更多網(wǎng)絡(luò)管理員、業(yè)務(wù)和最終用戶的好處。
SD-WAN和 MPLS
MPLS是 SD-WAN的鼻祖。通過將服務(wù)質(zhì)量 (QoS)應(yīng)用于大地理區(qū)域內(nèi)不同連接類型和協(xié)議的數(shù)據(jù)包,MPLS幾十年來一直提供有限版本的數(shù)據(jù)優(yōu)先級。SD-WAN所做的是提高這些數(shù)據(jù)包的堆棧排名,以反映一個擁有數(shù)十個應(yīng)用程序的軟件驅(qū)動世界。
大多數(shù)將 MPLS與新的 SD-WAN解決方案保持同步的 IT部門這樣做的原因如下:
出于合規(guī)性和審計目的,MPLS的安全性和對中央安全堆棧的需求對于組織來說仍然很重要。有人可能會爭辯說,基于云的防火墻和云集中式堆棧比現(xiàn)場安全中心更安全。但每家 IT部分都不一樣,我遇到過的IT部門中,數(shù)據(jù)隱私問題和合作伙伴關(guān)系要求基于云的安全性對他們不起作用。
MPLS合同規(guī)模很大,通常涉及多個站點,因此在較長時間內(nèi)錯開 SD-WAN推出和 MPLS停用非常重要。請記住,與 MPLS運營商捆綁的語音服務(wù)可以為保持 MPLS網(wǎng)絡(luò)發(fā)揮作用創(chuàng)造更多動力。
運行 MPLS和 SD-WAN混合環(huán)境的 IT架構(gòu)通常在部署時遵循類似的邏輯。以下是一些最常見的功能。
集線器上的 MPLS
無論集線器站點是總部還是數(shù)據(jù)中心,為了安全起見,總有一個主要受保護(hù)的 MPLS 端口進(jìn)入集線器。這是為了確保數(shù)據(jù)以完整性和優(yōu)先級到達(dá)。這些通向集線器的專用線路永遠(yuǎn)不會被修剪以支持 SD-WAN連接,除非它們從一開始就沒有真正需要。
留在 MPLS架構(gòu)中的第二個最常見的站點是數(shù)據(jù)堆棧/數(shù)據(jù)中心所在的任何地方。這并不是說 SD-WAN不能存在于集線器上,而是說集線器不會從 MPLS中移除。
更少的端口
MPLS端口很昂貴,并且對于具有混合 SD-WAN部署的 MPLS網(wǎng)絡(luò)上的每個 IP地址都不需要。除了增加的費用外,眾所周知,MPLS端口的配置和擴(kuò)展速度很慢,有時需要數(shù)周或數(shù)月才能實施或移動、添加、更改、刪除 (MACD)工作。在現(xiàn)代且競爭激烈的 IT環(huán)境中,這種時間框架根本行不通。
帶寬重新分配
例如,曾經(jīng)位于 MPLS電路上的遠(yuǎn)程銷售辦公室可以安全地轉(zhuǎn)換為使用 SD-WAN設(shè)備作為其頂部的網(wǎng)絡(luò)控制器的連接。這是因為銷售辦公室沒有存儲任何關(guān)鍵數(shù)據(jù)。關(guān)鍵數(shù)據(jù)存儲在客戶關(guān)系管理器 (CRM)中,該客戶關(guān)系管理器 (CRM)已安裝在另一個軟件提供商的云環(huán)境中。
如果數(shù)據(jù)在傳輸過程中使用 SD-WAN進(jìn)行加密,并且受到軟件即服務(wù) (SaaS)提供商的靜態(tài)保護(hù),則 IT組織可以擺脫昂貴的專用線路,轉(zhuǎn)而采用更經(jīng)濟(jì)的連接。例如,為語音和視頻提供專用連接,并為一般互聯(lián)網(wǎng)瀏覽提供另一個電路。
SD-WAN和 VLAN
VLAN是一種非常流行的網(wǎng)絡(luò)分段形式,它允許管理員執(zhí)行組策略,而無需位于同一地理區(qū)域。VLAN的一個常見用例是獲取 IP網(wǎng)絡(luò)上的所有語音流量并將其分段到 VLAN中,從而減少數(shù)據(jù)包丟失和沖突,此外還有以動態(tài)方式管理用戶、部門和功能的管理員利益.
另一種常見的 VLAN配置是安全且與敏感組織數(shù)據(jù)分開的訪客網(wǎng)絡(luò)。
最后一個常見用例是用于包括視頻和門禁管理的安全系統(tǒng)。事實上,許多組織出于安全目的而不是純粹的功能或管理目的設(shè)置 VLAN。如果您的組織在管理 VLAN上的虛擬專用網(wǎng)絡(luò) (VPN)覆蓋方面有一些歷史,那么您將有一個很好的起點來學(xué)習(xí)將 SD-WAN作為 VLAN上的覆蓋。
在 VLAN上配置 SD-WAN覆蓋時,您需要記住什么?
SD-WAN不是 VLAN
SD-WAN設(shè)備旨在優(yōu)先考慮應(yīng)用程序優(yōu)先級。根據(jù)供應(yīng)商的不同,它還可能增加 VPN集中、帶寬聚合和貨架級防火墻。這與 VLAN設(shè)置的功能不同。
身份訪問管理和零信任網(wǎng)絡(luò)訪問解決方案也是完全獨立的技術(shù),可以在更高級別解決類似問題。SD-WAN解決方案不是針對組策略管理實施的,而是針對出口流量效率實施的。在部署 SD-WAN設(shè)備之前,組織應(yīng)該了解他們的 VLAN和這些 VLAN的目標(biāo)。
端口分配
VLAN可以分配給 SD-WAN設(shè)備端口。VLAN端口只能偵聽這些 VLAN上的流量。端口和防火墻必須制定適當(dāng)?shù)牟呗砸栽试S流量自由流動。組織還可以選擇故障轉(zhuǎn)移端口,因此如果一個 WAN無法訪問,主機(jī)之間的流量將流經(jīng)另一個輔助 WAN。這是一個選擇,而不是一個規(guī)則。這些端口應(yīng)該靜態(tài)配置。
層和層的順序很重要
在大多數(shù)具有 VLAN和 SD-WAN的配置中,將創(chuàng)建多個 VLAN。例如,這些 VLAN將特定于管理與控制/數(shù)據(jù)。需要在組織的交換機(jī)上一一創(chuàng)建第 3層 VLAN。然后可以實現(xiàn)子接口和橋接接口。每個供應(yīng)商和后續(xù)交換機(jī)都有自己的命令語言來創(chuàng)建 VLAN。這些最常見的指向?qū)⒐芾順蚪咏涌诘?Linux服務(wù)器。
為什么使用 SD-WAN作為覆蓋?
重要的是要了解,雖然 SD-WAN解決方案宣傳 QoS類型的功能,但它們實際上并不是大多數(shù) IT和網(wǎng)絡(luò)管理員所知道的企業(yè) QoS服務(wù)。在沒有專用端口的為網(wǎng)絡(luò)上保證 QoS在統(tǒng)計上是不可能的。但這也是 MPLS和 VLAN技術(shù)與 SD-WAN相結(jié)合的原因。這一切都與用例以及組織試圖通過其 IT投資實現(xiàn)的目標(biāo)有關(guān)。
審核編輯 黃昊宇
-
VLAN
+關(guān)注
關(guān)注
1文章
277瀏覽量
35637 -
MPLS
+關(guān)注
關(guān)注
0文章
131瀏覽量
24141 -
sdwan
+關(guān)注
關(guān)注
2文章
124瀏覽量
7223
發(fā)布評論請先 登錄
相關(guān)推薦
評論