多營業據點或分佈兩岸三地的企業,常會租用MPLS-VPN建立總部與外點的區域網路,來確保連線品質。自從進入行動化應用時代,即時協同工作已成為常態,員工生產力工具愈來愈傾向採用SaaS取代內部自建,再加上企業普遍導入VoIP、視訊會議等應用,都使得廣域網路連線頻寬需求量大增。
外部營業據點較多的企業,例如零售、銀行等產業,大多只有在總部才有配置專屬IT人力,但是外點也需要設備建置,舉凡基本必要的路由器、防火牆、應用伺服器,甚至上網行為管控等,仍舊需要IT專業才有能力設定。因此IT維運的管理複雜度其實相當高,不僅要確保硬體設備可正常運作,設定配置的規則可能相當繁雜,一旦發生問題將難以快速釐清與排除。
此外,不僅是高度行動化辦公的企業,員工須連線回到總部存取資源;外部據點彼此之間的互連方式,通常也皆須經過總部,例如製造業在中國設立分公司,需要存取中國以外的資源;或者對於資安控管較嚴格,外部據點員工所有上網行為皆必須監控,就得再增添URL Filter機制輔助檢查,因此必須先連線回到總部來執行。如此一來,總部的頻寬需求勢必會增加。
Citrix大中華區網路技術經理何浩祥引述市調報告內容指出,企業廣域網路的流量,近年來維持至少15%的穩定增長率,在IT成本項目中,頻寬費用幾乎佔一半以上。為了協助企業得以搭配費用相對較低的ADSL、4G LTE等Internet線路,來緩解頻寬吃緊的狀況,市場上開始出現軟體定義廣域網路(SD-WAN)技術,統合對外所有線路,再依據應用服務的重要性定義優先順序,自動配置合適的線路。
SD-WAN的目標客戶,主要是針對多據點且長期仰賴MPLS來遞送資料的企業。Riverbed資深技術顧問胡昌臺亦指出,由於SD-WAN的控制器或管理介面,是以雲端服務來提供,計價也是採以訂閱方式,如此一來,即可降低建置成本。
SD-WAN配置架構Hybrid廣域網路
就何浩祥實際接觸客戶的經驗,企業面對連網頻寬吃緊的問題,首先思考的是提高資源使用率。以往多數企業會租用兩條專線,設為Active/Standby,以避免單點失效導致連線中斷。隨著頻寬需求逐年增加,為了提高資源利用率,才開始透過政策路由(Policy Based Routing,PBR)方式,讓線路轉換為Active/Active。
「實際上,目前多數企業的廣域網路線路,MPLS與Internet皆有租用,但是卻主觀地認為MPLS線路品質較穩定、較有保障。因此MPLS使用通常會超出頻寬總量,造成連線品質反而不如Internet來得穩定。」何浩祥說。
|
▲ NetScaler SD-WAN除了包含原有CloudBridge的廣域網路優化機制,亦自主研發提供廣域網路虛擬化、動態路徑檢測、分支機構狀態防火牆與DPI檢測等機制,簡化外部據點設備建置。(資料來源:Citrix) |
但不論是擴增MPLS或Internet線路,網路傳輸路由皆無法避免需要人工調整設定變更,路由器的管理可能會面臨到技術層面的挑戰。他進一步說明,若原本路由器設定的規則累積相當多,經過更動後,往往會出現意料之外的連線異常狀況。此外,要做到Internet的QoS(服務品質)需要建立應用標籤,但路由器的原生設計本就不具備應用程式辨識能力,因此必須透過廣域網路加速方案或建置專屬設備來實作。
已導入廣域網路加速方案的企業,大多為跨國分公司、營運據點多的IT環境。現階段會評估SD-WAN的客戶,主要需求則著重於整合廣域網路加速與SD-WAN的建置;前者是為了降低網路原生的延遲性問題,後者則是因應存取需求增加,連網頻寬逐年增長下,需要提高利用率而產生的新技術。
路由器配置PBR的傳統作法,無法達到符合頻寬使用率提升的需求。畢竟多數企業認為,內部系統諸如ERP、VoIP等應用服務皆很重要,須仰仗較穩定的MPLS來傳輸,導致MPLS頻寬始終維持滿載,且使用者體驗不佳,而ADSL的頻寬卻是過多閒置。如此情況下,即可採用SD-WAN來調整配置,讓重要系統的連線也可交由ADSL傳輸。
智慧化實現「優路選發、多發選收」
NetScaler以提升使用者體驗為核心發展下,早在2015年,即已推出SD-WAN解決方案,除了包含原有CloudBridge提供的廣域網路優化機制,亦自主研發提供廣域網路虛擬化、動態路徑檢測、無損鏈路切換、深度應用視覺化、分支機構狀態防火牆,以及分支機構DPI檢測。
「從Citrix角度來看,要做到端到端應用,不僅是ADC而已,不論是顧客或外部據點的員工,都要能滿足端到端的應用所需。若底層的網路連線品質問題無法解決,像是視訊會議等內部應用服務,勢必會受到影響。」何浩祥強調。
原本的廣域網路功能,像是通訊協定加速、重複資料刪除、緩存等機制,NetScaler皆已具備。如今再加上SD-WAN技術,可進一步配置端到端的應用服務,以當下傳輸品質最好的路徑遞送。除了可連接性以外,NetScaler SD-WAN亦整合提供外部據點環境所需的安全性機制,包含防火牆、DPI、URL Filter功能,來簡化過多的設備建置。他指出,其中的URL Filter是整合Zscaler技術來提供。
就產品特性來看,NetScaler SD-WAN主要是在設備彼此之間採用UDP協定建立虛擬封裝通道,這類型作法也是市場上SD-WAN方案主要的設計架構,用以加快傳輸速度。典型的應用即為VoIP,傳遞線路可混用MPLS、ADSL、4G LTE,基於相同的Session、不同的封包,可橫跨不同線路來傳遞。NetScaler SD-WAN會自動偵測線路頻寬用量,例如依據網路抖動(Jitter)、封包遺失的狀況來判斷,選擇最佳路徑;並且兩端設備會有封包校對驗證機制,若發現遺漏,會要求另一端再重新發送。
企業可依據應用服務的重要性定義優先順序。需要即時傳輸的應用,例如VoIP、網路交易等服務,可優先採用傳輸品質較好的線路;各個外部據點資料同步回到總部的應用,即時性較低,則可列為低優先順序。
「NetScaler SD-WAN較獨特之處,可說是複製應用服務封包的設計,相同的Session可同時透過兩條線路發送。在接收端,優先到達的封包會直接轉發,後到達的封包則丟棄。即便其中一條線路出問題,也可保障應用體驗。」何浩祥說。
SteelConnect依據應用配置線路
在台灣已累積不少用戶的Riverbed Steelhead廣域網路加速器,在2016年透過收購Ocedo取得SD-WAN相關技術,推出SteelConnect正式進軍市場。Riverbed資深技術顧問胡昌臺即指出,Ocedo是基於SD-WAN應用架構專屬研發的解決方案,因此架構上可提供類似於無線網路的Thin-AP部署模式,以SteelConnect Manager雲端控制器為統一控管平台,事先定義網路傳輸規則,例如郵件服務以Internet線路為主,語音封包則透過MPLS遞送;之後即透過客戶端部署的SteelConnect設備,依據分類或DPI功能以辨識封包完整內容,再遞送到指定目的地。
|
▲ Riverbed基於SteelHead加速應用存取;SteelConnect SDWAN用以配置混合雲線路。(資料來源:Riverbed) |
此外,實體設備設計亦有提供整合的機種,也就是SteelConnect可經由虛擬化版本整合到SteelHead設備內,讓客戶得以彈性選用。胡昌臺建議,屬於中型規模以下的外部據點,可直接採用具有SD-WAN功能的SteelHead,未來只要升級授權即可啟用。
胡昌臺觀察客戶近年來的需求,部署廣域網路加速器的驅動力多數來自於雲端服務採用數量增加,透過Internet存取時往往會遇到網路傳輸效能原生的問題,因此才開始評估加速服務。對此,Riverbed設計提供Cloud SteelHead與SteelHead SaaS兩種不同方案;前者是在公有雲平台上啟動SteelHead Instance,搭配企業內部部署的SteelHead設備運行,後者是客戶直接向Riverbed下單SaaS訂閱服務。
他進一步說明,SteelHead SaaS主要是Riverbed與Akamai合作,架構於Akamai全球佈建的伺服器平台,因此可在最靠近各家SaaS供應商平台的節點上啟動虛擬SteelHead。客戶不需額外設定,只要在控管介面上勾選需要加速的SaaS服務,立即可啟用。須注意的是,SteelHead與SteelConnect必須兩地端皆部署,功能性才得以完整發揮。
廣域網路之所以要轉向以軟體定義,關鍵之一在於若維持人工方式設定路由表,不僅出錯機率較高,防火牆也需要建立VPN安全機制,問題是阻擋規則在逐條設定下,往往已累積設定多達上千行,萬一發生連線異常,根本難以除錯。透過SD-WAN集中控管,可大幅簡化設定配置,讓企業用戶得以充分應用Internet頻寬,同時監控線路品質,在問題發生時,立即切換不中斷。
當然,在分公司或外部據點較少的環境下,架構單純、變動也較少,傳統只透過路由器設定的機制確實可行;但若企業營運持續擴張,採用SD-WAN部署架構,則不須各個據點皆建置路由器、防火牆、應用加速等設備,只需一台設備即可因應,且管理方式可基於傳統規則設定或指令方式執行,亦可透過圖形化介面輔助,藉此降低管理與維護的負擔。
Zero-Touch簡化外點設定
前述提到,外部據點多的企業,通常總部才有專屬IT人力配置,因此新興的SD-WAN部署模式的設計,勢必需要讓人力介入降到最低,ZTP(Zero-Touch Provision)可說是普遍被採用的實作方式。胡昌臺說明,ZTP主要是經由事前規畫設定政策,在實體設備尚未建置之前,以SteelConnect Manager控制器提供的集中管理平台來設計網路連線,之後設備送達外點時,只要在控制器平台上登入硬體序號,即可自動派發政策。
何浩祥亦認為,ZTP功能對於不具備IT人力的外部據點來說相當重要,不須考慮上架、設定的問題,只要設備接上電源與網路線,瀏覽器連線登入到Citrix提供的Zero-Touch服務網站,輸入設備序號後,Zero-Touch服務即可準確辨識設備所屬的公司名稱,並且跟SD-WAN Center溝通取得設備資訊,讓位於總部的IT管理者在控管畫面上啟用運行,並部署派發設定檔。
如此一來,可藉由SD-WAN Center擔任Master控制器的角色,負責跟所有外部據點的設備溝通,外點設備註冊之後,彼此之間也可直接連線,不需再回到總部再轉發,提升傳輸效率。