將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2018/11/9

確保Internet線路可靠度與安全性 突破應用網路瓶頸

軟體定義應用遞送線路 利用率與品質兼顧

洪羿漣
自2017年併購SD-WAN領域的新創公司VeloCloud,VMware正式納入網路虛擬化平台NSX家族,成為如今的NSX SD-WAN by VeloCloud(以下簡稱NSX SD-WAN)方案,以提供切換運用Internet線路、單一平台集中控管、保障應用服務品質,解決現代企業邁向數位化所衍生的問題。
針對總部設立於台灣的跨國企業,網路傳輸的穩定與安全性可說關乎營運。近年來SD-WAN之所以得到企業青睞,VMware資深架構師饒康立觀察,考量重點通常是藉此得以在不影響應用服務品質之下,降低固定支出的費用。

以高科技製造業為例,全球設立的據點多數會租用兩條線路互為備援,且來自不同運營商所提供。隨著數位化應用模式持續發展,網路傳輸開始出現瓶頸,但企業採取的措施並非替換既有線路,而是尋找讓Internet傳輸更多服務的方法,僅保留少量關鍵性任務的服務採以MPLS私有線路來遞送,萬一故障還可切換到Internet線路。如此的應用模式,即可省下不少線路費用。

此外,大規模的外部據點皆可集中在單一操作介面平台上監看運行狀態,以及遠端執行變更設備設定值、調整安全控管政策、產出相關報表等動作,亦是SD-WAN必要的能力,以往必須建置不同工具輔助維運管理,如今透過NSX SD-WAN Orchestrator整合式控管平台上執行即可。 儘管Orchestrator亦可提供企業內部自建,事實上,SaaS部署模式才是SD-WAN設計初衷,讓企業用戶得以簡單訂閱服務後,不論全球任何地區皆可由當地合作夥伴提供須建置的實體設備,透過雲端平台執行遠端控管,藉此降低部署及後續維運的工作。

掌握網路關鍵指標動態選用傳輸線路

為了保障應用服務傳輸品質,SD-WAN通常會採用動態的線路負載平衡、線路偵測、應用識別等機制來達成。饒康立認為,保障應用服務品質的首要關鍵,必須有能力掌握線路連線狀態,包含遞送產生的延遲時間、遺失的封包數等,任何可能導致斷線的因素的參數值,不論是MPLS、4G LTE、光世代等線路,皆必須即時掌握。

依據對於不同線路傳輸品質的要求,只要偵測發現低於預期狀態時,可執行快速跳線,例如倫敦外點欲傳送檔案回到台灣總部,可依據重要性選擇品質最佳的線路,若發現封包遺失數量增多,在應用服務尚未斷線之前即已切換到品質較穩定的線路。

NSX SD-WAN核心技術即在於偵測線路並自動切換,以及建立應用優化機制。饒康立舉例,發現封包遺失時會透過設備(Edge)進行重新遞送,不會讓應用的來源與目的端察覺,因此才得以確保傳輸效率。「傳統做法是,應用服務在遞送過程中若線路出現問題,必須到達目的端才會發現,VeloCloud則是監看延遲時間、封包遺失數量、抖動等關鍵指標,並給予評分的方式計算線路傳輸品質,必要時要求設備重新傳送,藉此讓應用服務的來源與目的位址皆不會感受到傳輸出現問題。」

多線路混搭確保應用服務順暢運行

▲ VMware資深架構師饒康立認為,SD-WAN必須具備的能力,首先是讓企業得以運用任意線路執行廣域網路傳輸;其次是基於雲端服務提供集中控管與配置;第三是讓架構運作順暢,運用線路偵測、應用優化技術,任何線路遞送皆可達到品質要求。
現階段各個產業都受到新興資訊科技的衝擊,創造出許多前所未見的應用模式,部署位置也不限於自建,更多希望借助公有雲平台提供高運算、可彈性擴充與縮減資源的能力來建置,問題是外部據點仍舊採用可能僅2M傳輸量的私有線路,員工連線存取經常遭遇到網路頻寬過小影響應用品質,因此才轉向頻寬較大的公眾網路來解除困境,只是必須得建立一套可確保傳輸品質的方法。

畢竟,即便應用服務是透過MPLS傳輸,也無法保證不會發生封包遺失、延遲時間、抖動等網路原生的問題。饒康立說明,國際級電信公司在全球各地皆有佈建骨幹網路,上岸後通常得租用當地線路,也就無法確保用戶接取網路(Local Loop)品質,因此就算企業租用私有線路,還是可能會遭遇到網路原生性問題。

導入建置SD-WAN,正可協助監看不同線路的傳輸狀態。因此現代企業的規畫是把MPLS私有線路的2Mbps,配置給重要性高、資安法規規範較嚴格的關鍵性應用,其他像是視訊會議、語音等應用服務則採用Internet,同時兩條線路可設定互為備援。更嚴謹的企業甚至還會再租用4G LTE行動網路,提供給員工上網瀏覽網頁之用,萬一MPLS、Internet線路品質皆出現狀況,才執行切換供遞送應用服務。如此一來,即可確實保證應用服務順暢運行。

全球化企業驅動SD-WAN發展與演進

傳統廠商的網路設備,不僅欠缺集中控管能力,也無法監測線路品質,可能具備發現封包遺失率變高的能力,但無法主動處理,畢竟切換線路必須透過路由的收斂來達成。「如今SD-WAN設計是在路由之上增添自有協定,也就是以BGP為基礎,透過自家通訊協定控制應用傳輸的線路,補強了過去網路設備廠商無法達到的部分。」饒康立說。

至於網管人員熟知的廣域網路傳輸可運用壓縮封包技術達到加速效果,SD-WAN供應商則未涉入,而是以提供優化機制為主。之所以未納入加速,饒康立指出,現階段重點是要解決多據點的企業環境得以藉由Internet來傳遞重要應用服務,由於頻寬充足、價格並不高,封包壓縮技術的重要性自然非當前發展要項。

另一方面,現階段的應用服務皆採以加密傳輸,使得封包壓縮技術變得相當複雜,必須先行解密才得以執行壓縮。目前主流趨勢是由應用層進行加密,例如網頁改用HTTPS、Telnet改用SSH等,所有應用服務都先行加密再傳輸,否則就必須把金鑰建置在網路設備平台,才得以讓中間人執行解密。只是如此一來,針對加密後的封包進行壓縮,僅能發揮大約3%的效益,因此SD-WAN廠商與其投入研發壓縮技術,不如把資源集中發展較為擅長的優化技術。

近幾年市場上新提出的解決方案中,SD-WAN可說是最特別的領域。饒康立說明,導入SD-WAN的需求大部分是來自客戶主動提出,期望藉此解決線路過於昂貴的問題,同時還可支應新應用服務頻繁上線,只要SD-WAN廠商提出的運作模式有能力證明足以確保Internet傳輸的可靠度,即可解決企業當前最棘手的問題,特別是高度全球化的企業。

這篇文章讓你覺得滿意不滿意
送出
相關文章
迅速打造DMPO通道 搞定SD-WAN監控優化
SD-WAN翻轉外點連網
關鍵服務多線路遞送 首重應用程式用戶體驗
疊加網路隔離流量 自建控制器掌握安全性
軟體定義廣域網路起飛 省錢省工還穩定安全
留言
顯示暱稱:
留言內容:
送出