Secure Extensible Network Intelligent WAN SD-Branch VeloCloud Viptela Overlay vManage SD-WAN Cisco 軟體定義 廣域網路 IWAN SDN BGP SEN

疊加網路隔離流量 自建控制器掌握安全性

2018-11-07
針對業務銷售範圍遍及全球,在不同區域已有設立營運據點的企業,為了降低對國際線路的依賴以節省費用,同時解決跨國據點的IT部署、存取控管、維運複雜度,思科近年來持續擴展SD-WAN解決方案,除了既有的IWAN(Intelligent WAN),2017年更進一步收購在SD-WAN領域的新創公司Viptela,並且於今年(2018)年中完成整合,透過單一控制器即可控管原本IWAN與Viptela設計的實體設備。
思科台灣技術長馮志良觀察,近年來關注新興SD-WAN架構模式的企業,主要特性是全球化程度較高、外部據點較多,可直接感受到國際線路成本大幅降低的效益。此外,外部據點也無須再配置專屬IT人員,藉由總公司的IT管理者透過軟體定義模式即可簡單地控管跨廣域網路的節點。

保障應用傳輸品質驅動需求增長

過去的網路環境建置完成開始運行之後,幾乎少有異動的需求,管理方面可說較為單純。隨著時代變遷,雲端服務採用的數量逐漸增加,如今不論企業或組織,往往開始把新型態的應用服務建置在公有雲平台,讓外部據點可直接透過Internet連線存取,網路流量不須全數先回到總部再存取網路服務,如此情況,IT管理者便得適時調整政策,來掌握外部據點的運行狀態,以免失去控管能力。

再加上新應用服務頻繁地推出,IT管理者必須依據需求建立QoS等功能,若外部據點寥寥可數,或許遠端登入操作設定尚不至於造成過重的負擔,對於稍具規模的企業或組織而言,過多人力介入配置控管措施,不僅效率低落,恐延誤應用服務上線時程,亦可能發生人為疏失導致的錯誤,對此SD-WAN則大受期待可望降低控管複雜度。

對於企業或組織相當在意的撙節成本需求,馮志良指出,若全台灣只有三個外部據點,通常不大會產生SD-WAN應用需求,就算設定變更已成常態,總公司的IT人員只要遠端執行三次即可。因此規模愈大的企業或組織採用SD-WAN的經濟效益較高,不只是線路成本,亦包含優化傳輸品質。常見租用MPLS、寬頻Internet、4G LTE,共三條不同線路互為備援,但是卻未建立可視化能力,無從得知傳輸內容與使用量。若企業的外部據點遍及全球,須租用昂貴的國際頻寬,勢必得斤斤計較,確保線路得以有效利用。

此外,應用服務的用戶體驗亦是SD-WAN需求驅動力。對第一線業務部門而言,不論底層網路是有線/無線或軟體定義,關切的都是用戶體驗,問題是上線提供終端用戶存取的服務,可能影響用戶體驗的環節相當多,特別是當廣域網路的頻寬傳輸量有限,昂貴的MPLS線路可能只租用了最高4Mbps頻寬,但是現在的Internet傳輸頻寬則相當大且便宜,只要能建立保障傳輸安全性與穩定性的機制,即可降低對於MPLS的依賴,仍可優先保有應用服務傳輸品質。

Segmentation隔離不同線路網路流量

▲思科台灣技術長馮志良觀察,SD-WAN需求正在逐年成長,減少廣域網路線路與維運成本可說是較明顯的驅動力,可藉由軟體定義模式來簡化複雜度。
SD-WAN解決方案提供可視性的能力,若辨識出跨海纜的線路上正在遞送VoIP,為了確保傳輸品質以免影響通話,可指定透過MPLS線路傳輸。只是線路經常會遇到被挖斷的狀況,通常可基於路由器設備提供的PfR(Performance Routing)等技術實作切換到備援線路,外部據點數量不多時確實足以解決問題;但若是大規模架構,恐難以仰賴人力操作執行,況且新型營運業務服務的推行速度日漸加快,對於IT人員而言會是個沈重的負擔。

現代多數企業或組織會同時採用MPLS、Internet、4G LTE三條不同媒介的線路,以確保應用服務得以順暢運行,思科的SD-WAN解決方案皆可基於動態選擇鏈路混合應用。馮志良說明,控制器提供統一控管平台,可偵測連網品質較好的線路,再依據不同應用服務進行配置,例如VoIP為關鍵應用服務,當線路品質下降時,可自動切換到另一條相對較佳的線路。此機制可說是軟體定義廣域網路基本具備的能力。

外部據點建置的實體或虛擬化的轉發設備,全數可由總部的控制器負責控管與調度(Orchestration),各個據點皆是透過IPSec VPN傳輸,即使是走Internet線路亦可確保安全性。此外,單一IPSec通道還可再細分,也就是透過Segmentation機制隔離流量,來自Viptela開發的Overlay技術SEN(Secure Extensible Network),讓應用服務基於獨立的路由、安全措施、集中控管政策運行,不論底層傳輸線路種類,應用服務皆保持為隔離狀態。

自建控管平台高度監管產業亦可部署

安全性方面,除了傳輸透過IPSec VPN,可整合Talos威脅情資保護,也包含第三方廠商提供的技術建立服務鏈(Service Chaining),針對特定應用的網路連線,規範封包經過SD-WAN路由器時,都得透過指定的資安設備或雲端安全服務檢查確認後才得以放行。

所謂的服務鏈,馮志良說明,主要是以Flow為基礎,經過IT基礎架構中不同功能的節點,例如路由、防火牆、IPS等技術平台,可透過服務鏈串聯所有的Flow,並且規定每個Flow皆必須經過檢查。相較於以Packet為基礎的判斷機制,Flow可掌握整個會話層完整的資訊,不致出現盲點,也才得以確保安全性。

思科SD-WAN還有個強項,控制器可以建置在公有雲或自家資料中心,目前以公有雲方式提供的只有Meraki系列。他進一步說明,思科SD-WAN解決方案主要是由Viptela與IWAN的技術整合而成,廣義來說,Meraki也屬於其中一環,只是Meraki控制器建置於公有雲平台上,台灣特定產業可能較難接受,例如監管嚴格的金融業,較適用於可自建控制器的SD-WAN方案,但對某些零售業而言Meraki會更合適。畢竟Meraki的定位較傾向於簡單部署、方便管理,不須提供VPN、端到端隔離等嚴謹控管功能。

就部署方式來看,若非為思科既有客戶,可選用思科路由器或Viptela vEdge;若IT環境中已經佈建思科路由器,同時也需要具備T1/E1線路介面,則可選擇升級方式來建置。

「畢竟思科路由器設計以不同機種搭配模組,可支援各式應用環境的需求,選擇性較豐富多樣。既有客戶若有軟體定義廣域網路需求,只要選擇升級即可完成建置。」馮志良說,搭配解決方案本身提供的配置模板,總部的網管人員可預先把路由器的IP位址設定完成,再寄送到外部據點,請當地員工接上電源與網路線,控制器即可自動派發控管政策讓路由器套用,整體架構即可運行。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!