軟件定義的WAN有時(shí)作為全球互聯(lián)網(wǎng)上虛擬專用網(wǎng)絡(luò)的升級(jí)版,許多IT團(tuán)隊(duì)都對(duì)SD-WAN與VPN服務(wù)的根本區(qū)別和相似之處感到疑惑。
盡管SD-WAN平臺(tái)的首選連接選項(xiàng)確實(shí)基于全球互聯(lián)網(wǎng)(具體而言是公共IP),但該技術(shù)與網(wǎng)絡(luò)連接無(wú)關(guān)。SD-WAN營(yíng)銷團(tuán)隊(duì)可能希望用戶相信全球互聯(lián)網(wǎng)連接是SD-WAN的主要選擇,但是基于軟件的網(wǎng)絡(luò)的原始概念至今仍支持多種接口。
為了選擇正確的選項(xiàng),企業(yè)IT團(tuán)隊(duì)希望通過(guò)比較SD-WAN與VPN的各個(gè)方面來(lái)消除有關(guān)SD-WAN的宣傳和炒作。
了解VPN
幾十年來(lái),基本IPsec VPN的基本任務(wù)是丟棄不是來(lái)自經(jīng)過(guò)身份驗(yàn)證的端點(diǎn)的數(shù)據(jù)包。端點(diǎn)之間的所有流量都經(jīng)過(guò)最高級(jí)別的加密,這構(gòu)成了全球互聯(lián)網(wǎng)上VPN的基礎(chǔ)。VPN既簡(jiǎn)單又經(jīng)濟(jì)高效,但在保證網(wǎng)絡(luò)性能方面也存在問(wèn)題。
在最基本的層面上,VPN可以在加密應(yīng)用程序之前優(yōu)先處理應(yīng)用程序和流量。但是,這樣做的價(jià)值是有限的。一旦流量在加密隧道中傳輸,就無(wú)法從提供者網(wǎng)絡(luò)的角度對(duì)流量進(jìn)行優(yōu)先級(jí)排序,因?yàn)闃?biāo)頭已加密且無(wú)法查看。剩下的就是盡力而為的網(wǎng)絡(luò),以合理的性能水平支持流量。
對(duì)于在單個(gè)IP主干上運(yùn)行其業(yè)務(wù)的小型企業(yè)來(lái)說(shuō),采用典型的VPN是很好的。但是,對(duì)于具有多個(gè)位置的大型企業(yè),由于網(wǎng)絡(luò)上的高延遲或擁塞,IPsec VPN通常會(huì)導(dǎo)致語(yǔ)音和視頻應(yīng)用程序出現(xiàn)問(wèn)題。
以下是企業(yè)在評(píng)估SD-WAN與VPN時(shí)應(yīng)考慮的VPN的優(yōu)缺點(diǎn):
標(biāo)準(zhǔn)VPN使用經(jīng)過(guò)身份驗(yàn)證的隧道和加密來(lái)提供簡(jiǎn)單的WAN創(chuàng)建。 VPN服務(wù)很簡(jiǎn)單,通常成本較低,易于部署。延遲敏感型應(yīng)用程序需要比VPN提供的具有加密和身份驗(yàn)證功能更多的功能。基于云計(jì)算的服務(wù)需要具有優(yōu)化性和高級(jí)下一代安全性的全球互聯(lián)網(wǎng)連接,而VPN不能總是提供這些功能。 了解SD-WAN
一旦企業(yè)采用并依賴云計(jì)算服務(wù)或需要應(yīng)用程序感知、遠(yuǎn)程訪問(wèn)和精細(xì)安全性,SD-WAN技術(shù)便開(kāi)始變得有意義。盡管SD-WAN沒(méi)有像第三層MPLS VPN一樣具有端到端的服務(wù)質(zhì)量(QoS),但SD-WAN通過(guò)提供感知網(wǎng)絡(luò)狀況和本地優(yōu)先級(jí)應(yīng)用程序的能力來(lái)迎接挑戰(zhàn)。SD-WAN的本地服務(wù)質(zhì)量(QoS)由于其細(xì)粒度的支持以及緩存或應(yīng)用程序加速等功能,比基本的Internet VPN服務(wù)要先進(jìn)得多。
當(dāng)組織需要云計(jì)算服務(wù)時(shí),他們應(yīng)考慮安全性和應(yīng)用程序意識(shí)。SD-WAN設(shè)備和客戶端通常在功能集方面更全面,與人們當(dāng)前的工作習(xí)慣保持一致,例如在家中、咖啡店或酒店工作。通過(guò)SD-WAN的增強(qiáng)控制,IT團(tuán)隊(duì)或提供商可以根據(jù)用戶配置文件和流量類型來(lái)限制和保護(hù)流量。
在許多情況下,易于使用的GUI簡(jiǎn)化的自我管理正在推動(dòng)SD-WAN的采用。傳統(tǒng)的思科IOS VPN配置需要專業(yè)知識(shí)和認(rèn)證,而SD-WAN配置則基于點(diǎn)擊方法。
SD-WAN的承諾是支持任何類型的網(wǎng)絡(luò)連接,從多協(xié)議標(biāo)簽交換(MPLS)到虛擬專用LAN服務(wù)(VPLS),當(dāng)然還有Internet VPN。借助SD-WAN基于應(yīng)用程序的路由功能,它可以利用多種路徑,例如全球互聯(lián)網(wǎng)、4G或多協(xié)議標(biāo)簽交換(MPLS)。不過(guò),目前,部署簡(jiǎn)單的IPsec設(shè)備以創(chuàng)建標(biāo)準(zhǔn)VPN連接的成本仍然較低。
SD-WAN可以使用多種類型的連接。
同時(shí),SD-WAN設(shè)備和客戶端將以一種簡(jiǎn)單易用的基本功能提供所有功能。當(dāng)每個(gè)設(shè)備或客戶端只是通向集中式管理服務(wù)器的快速通道時(shí),SD-WAN的最初承諾將開(kāi)始成為現(xiàn)實(shí)。換句話說(shuō),企業(yè)將能夠使用其最基本的SD-WAN服務(wù)或更復(fù)雜的元素,這取決于它們的總體需求,基本上使用云計(jì)算網(wǎng)絡(luò)功能虛擬化功能。
SD-WAN技術(shù)還不存在,因?yàn)榇蠖鄶?shù)提供商都在通過(guò)使用低成本的全球互聯(lián)網(wǎng)連接,以及仍可以單獨(dú)編程的硬件來(lái)推動(dòng)成本節(jié)省。不過(guò),它確實(shí)需要從服務(wù)器進(jìn)行配置。
SD-WAN的缺點(diǎn)
盡管使用如此豐富的技術(shù)似乎很難找出任何SD-WAN的缺點(diǎn),但它確實(shí)也有一些缺點(diǎn),可以加以考慮。
(1)使用全球互聯(lián)網(wǎng)作為WAN連接可以減少修復(fù)時(shí)間和服務(wù)水平。當(dāng)發(fā)生諸如斷電之類的問(wèn)題時(shí),從多協(xié)議標(biāo)簽交換(MPLS)過(guò)渡到具有SD-WAN的基于全球互聯(lián)網(wǎng)的WAN常常會(huì)感到震驚。負(fù)責(zé)多協(xié)議標(biāo)簽交換(MPLS)配置和持續(xù)支持的公司網(wǎng)絡(luò)運(yùn)營(yíng)中心擁有豐富的專業(yè)知識(shí)和響應(yīng)服務(wù)水平。這并不是建議每個(gè)互聯(lián)網(wǎng)提供商都提供降低級(jí)別的支持,但是IT團(tuán)隊(duì)?wèi)?yīng)該考慮服務(wù)級(jí)別協(xié)議(SLA)的要求,并確定在出現(xiàn)重大問(wèn)題時(shí)如何支持業(yè)務(wù)。
(2)采用多個(gè)互聯(lián)網(wǎng)提供商的服務(wù)將創(chuàng)建不可預(yù)測(cè)的環(huán)境。許多SD-WAN提供商主張使用多個(gè)網(wǎng)絡(luò)服務(wù)提供商(ISP)主干網(wǎng)來(lái)節(jié)省資金。除非企業(yè)由于跨多個(gè)服務(wù)提供商的流量路由而在應(yīng)用程序之間遇到延遲和抖動(dòng)問(wèn)題,否則該策略才有意義。在更大范圍內(nèi)部署時(shí),采用多個(gè)網(wǎng)絡(luò)服務(wù)提供商(ISP)的服務(wù)可能不是問(wèn)題,但是全球企業(yè)客戶應(yīng)仔細(xì)考慮使用其所在地區(qū)內(nèi)成本最低的提供商來(lái)部署其WAN。
(3)沒(méi)有端到端QoS。多協(xié)議標(biāo)簽交換(MPLS)背后的關(guān)鍵驅(qū)動(dòng)力之一是端到端QoS。SD-WAN通過(guò)復(fù)雜的路徑選擇、應(yīng)用程序隔離感測(cè)和精細(xì)的本地優(yōu)先級(jí)來(lái)對(duì)付多協(xié)議標(biāo)簽交換(MPLS)。但是,事實(shí)仍然存在,多協(xié)議標(biāo)簽交換(MPLS)仍然是端到端維護(hù)應(yīng)用程序服務(wù)等級(jí)協(xié)議(SLA)的唯一選擇。結(jié)果通常是每個(gè)應(yīng)用程序的服務(wù)等級(jí)協(xié)議(SLA),可以將其交付回業(yè)務(wù)。
(4)節(jié)省成本并非總是可以實(shí)現(xiàn)的。是否實(shí)現(xiàn)SD-WAN成本節(jié)省取決于幾個(gè)因素,但最重要的也許是連接性。例如,在英國(guó),互聯(lián)網(wǎng)的成本與多協(xié)議標(biāo)簽交換(MPLS)相當(dāng),當(dāng)將復(fù)雜的SD-WAN設(shè)備和服務(wù)添加到連接中時(shí),這可能會(huì)導(dǎo)致整體商業(yè)模式的提高。美國(guó)市場(chǎng)有所不同,因?yàn)榕c多協(xié)議標(biāo)簽交換(MPLS)相比,全球互聯(lián)網(wǎng)的成本通常要低得多。IT團(tuán)隊(duì)需要對(duì)每個(gè)國(guó)家/地區(qū)的市場(chǎng)進(jìn)行商業(yè)分析。
(5)研究SD-WAN提供商通常是一項(xiàng)艱巨的任務(wù)。選擇SD-WAN提供商的弊端之一是大量的宣傳和營(yíng)銷,通常會(huì)導(dǎo)致決策過(guò)程困難。許多提供商和供應(yīng)商都在宣傳節(jié)省成本的顯著優(yōu)勢(shì)和高級(jí)功能,從而使企業(yè)難以獲得進(jìn)行比較所需的清晰度。
SD-WAN和VPN之間的區(qū)別
標(biāo)準(zhǔn)IPsec VPN和SD-WAN之間的主要區(qū)別完全基于SD-WAN技術(shù)所基于的軟件定義網(wǎng)絡(luò)(SDN)的功能。SDN將選項(xiàng)整合到單個(gè)平臺(tái)中,可以作為硬件、虛擬化或客戶端訪問(wèn)使用。同樣,SD-WAN是WAN功能不同方面的集合,這些功能整合到單個(gè)平臺(tái)中,易于管理。
VPN在兩個(gè)或多個(gè)端點(diǎn)之間提供經(jīng)過(guò)身份驗(yàn)證的WAN安全性,以保護(hù)總部和分支機(jī)構(gòu)的通信。端到端VPN加密只是整體安全性的一小部分,因?yàn)镮T團(tuán)隊(duì)負(fù)責(zé)通過(guò)基于遠(yuǎn)程云平臺(tái)的工作合作伙伴、生產(chǎn)力應(yīng)用程序等為用戶提供支持。
VPN傳輸?shù)膬啥硕夹枰Wo(hù)流量,根據(jù)權(quán)限減少訪問(wèn),進(jìn)行WAN優(yōu)化并選擇最佳路徑。標(biāo)準(zhǔn)VPN通常不包括能夠基于最佳路徑以優(yōu)化和安全性路由流量的智能。也就是說(shuō),某些企業(yè)仍需要部署沒(méi)有SD-WAN功能的VPN服務(wù),例如臨時(shí)辦公室部署或具有簡(jiǎn)單要求的位置。
SD-WAN是否可以取代VPN?
企業(yè)可以根據(jù)業(yè)務(wù)需求或在看到明顯的采用優(yōu)勢(shì)后用SD-WAN替換VPN。許多企業(yè)發(fā)現(xiàn),SD-WAN提供的功能遠(yuǎn)遠(yuǎn)超過(guò)與多協(xié)議標(biāo)簽交換(MPLS)或IPsec VPN相關(guān)的WAN連接。
SD-WAN具有在網(wǎng)絡(luò)和用戶級(jí)別上進(jìn)行管理和報(bào)告的功能,這使企業(yè)能夠通過(guò)單一接口來(lái)支持和促進(jìn)應(yīng)用程序訪問(wèn),而VPN服務(wù)則無(wú)法實(shí)現(xiàn)。 SD-WAN還可以將LAN、WAN、用戶、安全性和應(yīng)用程序性能整合到一個(gè)平臺(tái)中,從而實(shí)現(xiàn)業(yè)務(wù)轉(zhuǎn)型,而不僅僅是另一種VPN服務(wù)。
盡管SD-WAN可以充當(dāng)這些大型網(wǎng)絡(luò)的救星,但企業(yè)仍然面臨端到端流量問(wèn)題。那么,為什么企業(yè)會(huì)選擇IPsec VPN而不是SD-WAN?
比較SD-WAN與VPN的企業(yè)應(yīng)根據(jù)業(yè)務(wù)流程,應(yīng)用程序和策略的合理調(diào)整來(lái)做出決策。從根本上講,他們應(yīng)該考慮以下問(wèn)題:
企業(yè)是否需要保證應(yīng)用程序性能,還是可以盡力而為? 企業(yè)是否使用云并支持遠(yuǎn)程、不安全的網(wǎng)絡(luò)? 企業(yè)是否要管理自己的WAN? 對(duì)于希望實(shí)施具有成本效益并盡力而為的VPN服務(wù)的企業(yè),使用具有簡(jiǎn)化功能集的傳統(tǒng)VPN設(shè)備,可以使用具有IPsec功能的簡(jiǎn)單路由器或客戶端。部署此類服務(wù)的成本通常很小。一些企業(yè)以每月不到100美元的價(jià)格部署具有寬帶的VPN服務(wù)。
SD-WAN與VPN:如何決定
盡管很難預(yù)測(cè)未來(lái),但企業(yè)無(wú)疑會(huì)以相對(duì)較低的成本尋求最佳的網(wǎng)絡(luò)性能、安全性和靈活性。
SD-WAN的目標(biāo)是采用業(yè)務(wù)元素并將其映射到業(yè)務(wù)支持中。借助SD-WAN,網(wǎng)絡(luò)將變得更加精細(xì),從而實(shí)現(xiàn)更好的報(bào)告,安全性和應(yīng)用程序性能。與標(biāo)準(zhǔn)的Internet VPN不同,無(wú)論客戶端連接在哪里,SD-WAN都可以感知網(wǎng)絡(luò)狀況,以確保可預(yù)測(cè)的性能水平。
當(dāng)比較全球互聯(lián)網(wǎng)上的SD-WAN與VPN時(shí),SD-WAN更加全面。SD-WAN技術(shù)具有啟用基本Internet VPN和終止全球多協(xié)議標(biāo)簽交換(MPLS)和VPLS網(wǎng)絡(luò)的潛力。
但是,當(dāng)考慮使用任何網(wǎng)絡(luò)技術(shù)時(shí),企業(yè)需要警惕宣傳和炒作,這可能會(huì)導(dǎo)致他們?cè)谫?gòu)買(mǎi)帶有特定關(guān)鍵要素的特定服務(wù)提供商產(chǎn)品后購(gòu)買(mǎi)SD-WAN。
隨著IT團(tuán)隊(duì)的不斷前進(jìn),技術(shù)加速和產(chǎn)品功能將繼續(xù)發(fā)展,最終導(dǎo)致簡(jiǎn)單的VPN成為過(guò)去。企業(yè)將需要采用一種更加針對(duì)性的方法來(lái)保護(hù)和處理應(yīng)用程序流量,以避免黑客攻擊或不良的分配性能,所有這些都會(huì)影響業(yè)務(wù)發(fā)展。