廣域網路優化 軟體定義廣域網路 NSX SD-WAN

超越因此無需廣域網路優化 透過Internet傳輸仍安全

NSX SD-WAN部署釋疑 兩大核心問題完整解答

2019-04-08
NSX SD-WAN是一個嶄新的廣域網路方案,在推廣過程中受到客戶相當大的關注,但同時也因為是新架構,會與客戶做相當多的交流與討論。其中最常被問到的廣域網路優化(WAN Optimization)以及使用Internet進行資料傳輸,這裡將給予完整的解答。

 

在前面幾篇文章或多或少有介紹過NSX SD-WAN的使用場景、效益、架構、技術重點,而在本系列的最後一篇文章中,要和大家分享一下兩個筆者去拜訪客戶時一定會被問到的問題。第一個問題是NSX SD-WAN方案內為什麼沒有做廣域網路優化(WAN Optimization)?而其他廠商都會做廣域網路優化;第二個問題是NSX SD-WAN會使用Internet進行資料傳輸,那機敏資料應用在Internet上不是會被看光光嗎?接著,先來討論第一個問題。

NSX SD-WAN為何沒有做廣域網路優化?

在NSX SD-WAN的競爭友商中,有很多是傳統的WAN Optimization廠商,而且筆者與用戶進行方案介紹時,也常會被問到為何Velocloud沒有支援WAN Optimization。

WAN Optimization當然有其好處,但是在現在的廣域網路環境內,說真的,之前十年網路Presale一直與客戶介紹講的那些效益,很多已經沒有那麼重要了。

但什麼是WAN Optimization呢?用維基百科的解釋,該技術內包括:

‧Deduplication:把傳輸資料內重複的部分移除,減少頻寬耗用。

‧Compression:壓縮傳輸的資料,減少頻寬耗用。

‧Latency Optimization:減少傳輸延遲,優化應用品質。

‧Cache/Proxy:在設備端放置Cache,減少資料重複到後端設備的取用。

‧Forward Error Correction:傳輸錯誤控制,在Packet Loss狀況下優化應用品質。

‧Protocol Spoofing:把一些像CIFS這類,很嘈雜發出多個小連線集中起來變成一個大連線,優化傳輸品質。

‧Traffic Shaping:控制應用的傳輸量,確保核心應用優先傳輸。

‧Equalizing:不同種類資料優先傳輸的判斷。

‧Connection Limits:控制傳輸連線量,避免Denial of Service攻擊。

‧Simple Rate Limit:應用傳輸量控制。

以上WAN Optimization技術的效益,簡而言之,可以分成兩大類:讓傳輸的頻寬比較少(因此企業租用的網路頻寬可以較少,比較省錢),以及讓應用的傳輸品質比較好。

在前面文章的長篇大論討論裡,相信大家已經有看到,NSX SD-WAN對於讓應用傳輸品質比較好這件事,做到的已經比傳統的WAN Optimization技術還要強大。不僅僅只是關鍵業務傳輸時的優化,還包括線路失效或是品質不佳的快速切換、搭配應用識別的關鍵業務品質保護等等。NSX SD-WAN真的常被攻擊的,是在沒有做「減少頻寬」的這一部分。

那為什麼「減少頻寬」並非NSX SD-WAN的重點?接著說明原因。

在現在應用中傳輸幾乎都要加密,而加密後的傳輸頻寬優化率是很低的

已經有非常多的企業安全規定,所有的網路傳輸在應用層都要加密。大家的環境內還會用http、ftp、telnet嗎?現在即使是資料備份,可能都要加密了,何況大多數的企業會在外點與資料中心間做資料備份嗎?

以前在賣WAN Optimization方案時,拿出來給客戶看的,包括壓縮率超過一半,甚至百分之八十的等等的,如果仔細看,都是這些非加密協定,或是兩個資料中心間的資料備份。而當要傳輸的資料在應用層一加密,此時基本上密文的重複性、可壓縮性、Cache的可用性都非常低。花費非常多的效能做傳輸加密,得到的壓縮率可能只有2~3%。

因此,在現代幾乎所有傳輸都需要加密的這個時代,傳統的Deduplication、Compression這類技術已經是效益不大了。

對於廣域網路上經常要解決的Video/Voice延遲問題,頻寬優化不是重點

進行應用的壓縮與頻寬優化的下一個潛在狀況是,這反而會增加延遲(Latency)。

檔案傳輸時,Latency不是太重要,但對於VoIP、視訊會議來說,Latency大,反而讓問題嚴重,而且這類的應用頻寬不見得吃很大,降頻寬沒有太大效益。

大部分的WAN Optimization廠商,碰到Video、Voice的傳輸處理方式常常是直接Bypass。簡而言之,對於關鍵即時應用來說,WAN Optimization沒有幫助。

如果能順暢地在Internet上傳輸,頻寬的費用可能降得更低

Velocloud的一個重點是藉由品質監測與優化等方式,讓關鍵應用即使在Internet線路上也能夠順暢傳輸,並在有問題時快速切換。

而與租用MPLS或跨國專線相比,連接Internet的費用真的是低廉太多了。與其在那邊計較壓縮率,考慮私有線路的租用費用可以降低多少,還不如將許多應用在正常狀況下以Internet線路來進行傳輸,而MPLS只用來當作信用卡交易或是Voice的備份線路機制。此時,整體算出來的ROI,可能遠比所有應用壓縮後在MPLS上傳輸還要低。

當關鍵業務要上雲、改成SaaS時,怎麼跑WAN Optimization做頻寬優化?

這表示企業要去微軟的Office 365或是Salesforce那邊也裝台廣域網路加速器嗎?沒辦法的。基本上,這些方案適用的是企業私有線路,在雲服務內效用不大。

大家有沒有注意到,Gartner的WAN Optimization Magic Quadrant只出到2017年版(2016年5月出版報告),後面就改成WAN Edge Infrastructure的比較,而原本Optimization的功能只是眾多比較項目內的一項了。

筆者無意在此告訴大家傳統WAN Optimization廠商的方案沒有效益,在特定場景下這些方案仍然能夠達成部署的目標,只是以一個現代化企業的廣域網路架構與新應用使用來說,純WAN Optimization方案能適用的場景已經越來越少了。

但是,如果你的企業環境已經使用了某種WAN Optimization的方案,NSX SD-WAN Solution仍然能夠與這些方案搭配使用。

而如果企業正在進行廣域網路新架構的設計,筆者可以很有信心地說,NSX SD-WAN現有機制考量到的面向,會比傳統WAN Optimization方案更為寬廣,取得更好的整體效益。

NSX SD-WAN使用Internet傳輸資料,那機敏資料會被看光光嗎?

接下來是第二個必考題:我們的重要應用網路流內有個資以及重要交易資料,而因為這個這個法規,那個那個稽核,所以某個核心應用網路流就是不准在Internet上面跑。而現在這些線路都有獨立設備、獨立線路處理,在SD-WAN架構內要怎麼做呢?

這個問題不僅是在信用卡交易要符合PCI DSS的零售業客戶,也經常會出現在金融、政府等客戶的討論內。應用與法規最大,如果現在的要求就是某個業務必須只能在獨立專有線路上傳輸,一定要加密,像這樣的要求,NSX SD-WAN可以滿足嗎?

當然是可以的。幾個機制可以確保最重要的核心業務和交易資料能夠受到最嚴密的區隔與保護。首先,在前面介紹對於不同應用的政策配置時有討論到,對於各個應用或是群組,可以設置其線路轉送的配置為Mandatory、Preferred、Available。其中,如果要將某種應用鎖在特定線路上,可以選擇Mandatory。

在圖1內,可以把PCI相關的交易資料放置在Link A這條私有專有線路上,而政策設定為Mandatory。此時,在任何狀況下這些交易流都不會跑到Internet線路上。但同樣地,此時如果私有線路出現斷線,交易流也不會切換到其他的共享線路。

圖1  PCI交易資料線路轉送。

第二個常遭遇的狀況是,企業可能希望進一步把機敏交易資料傳輸的路由控制、IP配置等都獨立。而與其要購買獨立的設備,Velocloud也有支援Segmentation、VRF等機制來做企業內不同部門、用途、業務間的獨立配置。

在圖2內,有些外點只是單純的業務辦公室(Branch 1),有些外點除了員工內部的連線外,也提供訪客的Internet連線(Branch 2),而也有些店舖內有開放給客戶的Internet連線以及交易的信用卡相關傳輸需求(Retail Store)。

圖2  透過Segmentation、VRF等機制來做企業內不同部門、用途、業務間的獨立配置。

在這裡,各種不同需求的Application可以藉由不同的Segmentation區塊,或是不同的VRF(Virtual Routing and Forwarding)來獨立進行政策配置與路由控制。在Datacenter端的Edge接收到這些網路流後,會依據不同的Segment各自往後傳輸。在Segmentation的機制內,有以下幾個好處:

‧依據Segment來定義路由與應用政策,各Segment有獨立的配置。

‧不同的Segment內,可以配置Overlapped的IP地址。

‧各個Segment之間可以做到完全阻隔(Isolation)。

第三個機制是加密。除了被分類為「Direct」,直接往Internet網站送的低優先權類應用,所有Velocloud構件間的,如Edge-to-Edge、Edge-to-Gateway間的DMPO通道,都會強制加密。因此,無論重要應用是透過Internet路徑或是MPLS私有線路傳送,都沒有在傳輸過程中有資料洩漏的問題。

對於核心機敏與交易資料的保護,是SD-WAN能夠發展與落實的重大要點,而Velocloud的主要客戶許多都是極大的零售業廠商,對於信用卡交易資料的保護、PCI DSS的合規更是異常重要。

Velocloud目前已經是PCI DSS的Level 1 Service Provider,也是各個SD-WAN廠商內唯一取得PCI認證的方案。在圖3內,大家可以看到在各項PCI DSS需求內,Velocloud都已經取得合規。

圖3  各項PCI DSS需求。

通常在信用卡交易支付這邊的安全規範已經相當的完備,而Velocloud這種Cloud-Network機制能在PCI DSS架構下合規,證明了這是一個足夠安全的架構,讓企業安心地把最重要的業務流也能運作在SD-WAN環境內。

<本文作者:饒康立,VMware資深技術顧問,主要負責VMware NSX產品線,持有VCIX-NV、VCAP-DTD、CCIE、CISSP等證照,目前致力於網路虛擬化、軟體定義網路暨分散式安全防護技術方案的介紹與推廣。>

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!