以貼近應用服務端的ADC為基礎,Citrix於2015年就已率先推出SD-WAN方案(前稱為NetScaler SD-WAN),不僅是採用加密通道串連建立虛擬廣域網路,同時具備路由、廣域網路優化技術降低頻寬耗用,以及透過深度封包檢測(DPI)技術建立防火牆,確保應用安全。
Citrix台灣技術總監何浩祥說明,為了確保行動辦公室、分支機構、跨國分公司等不同類型的工作環境,皆得以兼顧生產力與安全性,Citrix日前宣布重組產品線,歸納為Workspace(數位工作空間)、Networking(網路)、Analytics(分析)等三大類別。其中的Networking的部分,即原為多數人熟知的NetScaler品牌,重新定義為Citrix ADC、Citrix SD-WAN、Citrix Web App Firewall等產品名稱。
偵測網路線路品質判斷優先遞送線路
通常多據點的企業環境,大多只有總部才有配置專屬IT人力,但是分支機構仍建置有IT基礎架構,同時亦須控管網路存取安全,對於總部的IT部門來說,外點的管理複雜度相當高,不僅要確保硬體設備可正常運作,設定配置的規則可能動輒上百條,一旦發生問題恐將難以快速排除。
此外,許多製造業等台商在中國設立分公司,需要存取中國境外的資源;或者對於資安控管較嚴格,所有上網行為都要監看,就得再增添URL Filter機制輔助檢查,因此必須先連線回到總部來執行,連外頻寬恐無法全數因應。
Citrix擅長的是從應用程式的角度建立SD-WAN相關機制,達到安全性控管、優化遞送路徑。何浩祥強調,Citrix SD-WAN較具優勢之處,在於運用網路封包複製方式,同時透過不同線路傳輸,無須拆解封包內容;對於VoIP、視訊會議等必須保障傳輸品質才得以提供良好用戶體驗的應用服務,可透過頻寬聚合功能,以多條線路同時傳遞封包,這是過去廣域網路負載平衡無法做到的機制。
相較於其他SD-WAN廠商,Citrix主要差異特色是從應用服務的角度切入,網路封包複製執行時會依據應用服務的重要性排列優先順序,並且偵測線路當下的延遲時間、封包遺失率、抖動(Jitter)等網路頻寬指標數據,以判斷優先遞送的線路。
「就連Citrix擅長的ADC技術也無法做到如此細節,假設網路傳輸環境中封包遺失率過高,但並未斷線,ADC仍判斷為正常運行狀態;但是SD-WAN則有能力判斷線路品質不良,主動進行切換。且由於Citrix SD-WAN是以封包為單位的方式遞送,執行切換過程中使用者甚至不會感受到存取應用服務的異常。」何浩祥說。
提升用戶體驗才是落實轉型的驅動力
|
▲Citrix台灣技術總監何浩祥指出,近年來企業積極發展數位化,分支機構亦必須隨之轉型,若欲建立集中化控管,來提供資料不落地、行動辦公室等應用場景,SD-WAN即成為必要的建置。 |
儘管SD-WAN方案本就設計提供單一閘道器,用於取代分支機構的客戶端設備(CPE)、防火牆、路由器,內建深度封包檢測技術實作狀態防火牆(Stateful firewall)功能,但除了撙節成本以外,更須同時保障用戶體驗,才是驅動SD-WAN需求不可或缺的力量。
「市場上提供SD-WAN解決方案的廠商相當多,在台灣導入建置的企業尚並不多見。若強調的只是省錢,運營商也可降低費率來挽留企業客戶,然而唯有業務體驗出現問題,才會是SD-WAN的迫切需求者,例如VoIP、視訊會議、桌面虛擬化等應用,用戶體驗低落將影響到正常營運,此時落實建置就勢在必行。」何浩祥觀察。
另一方面,數位化轉型的企業更加仰賴TCP/IP傳輸大量資料,SD-WAN的必要性也會隨之增強。從網路封包內容來看,數位化轉型帶來的轉變更多是即時性需求,以往可能只要批次作業就已足夠,發展數位化之後,可能增添無人商店、無人銀行等商業模式,勢必增加與顧客互動的頻繁度,屆時即時回應機制將成為提升體驗的要素。
他以某國際連鎖傢俱專賣店導入建置的案例說明,該客戶在各門市皆建置一台電腦,提供現場顧客以3D模型軟體規畫傢俱擺設,應用服務的運算資源主要仰賴資料中心,一旦門市連線回到總部資料中心的網路傳輸品質不良,勢必將影響顧客體驗,因此才決定導入SD-WAN架構來確保應用品質。
控管外部據點與雲端平台應用傳輸線路
Citrix SD-WAN藉由兩地端對稱式部署,建立點對點的傳輸,整合提供路徑選擇、端到端的QoS、防火牆、路由功能、加速傳輸、分析控管等多種機制。設備彼此之間是採用UDP協定建立封裝通道,以加快傳輸速度,這也是目前市場上SD-WAN方案主要的設計架構。
典型的應用為VoIP,傳遞方式可夾雜MPLS、4G LTE等異質線路,讓相同的工作階段、不同封包,橫跨不同線路來傳遞。SD-WAN會自動偵測頻寬使用量,例如依據網路抖動、封包遺失等狀況來判斷,並且兩端設備皆具備校對驗證機制,若發現封包遺漏,會要求對方重新發送。
過去金融業的營運據點規範不同部門必須隔離運行,通常是透過Layer 2技術的VLAN,抑或是Layer 3的網路隔離來實作。未來若法規更嚴謹地要求交易行為必須隔離運行,不得與其他網路流量混合傳輸,即可透過SD-WAN提供虛擬路由和轉發(VRF)技術建立端到端的隔離,並且基於內建超過四千種的應用服務特徵碼進行辨識,協助分析與統計存取的狀態,進而配置傳輸的線路。
至於部署模式,提供Zero-Touch服務幾乎是各家SD-WAN方案必備的要項,讓不懂IT技術的外點員工,只要接上電源與網路線,即可自動套用從控制器端派發的設定配置檔。Citrix設計的SD-WAN架構,無須增添建置控制器設備,透過SD-WAN Center集中控管系統執行配置,以圖形化儀表板進行監控與分析應用環境,進而產出相關報表。
何浩祥進一步指出,近期Citrix SD-WAN正式發布整合Azure Virtual WAN,可協助企業統整地端與雲端的應用服務傳輸方式。畢竟當前企業採用雲端服務已成常態,且通常不只有一家平台供應商。
當應用服務不僅只有自家資料中心,同時也被建置在雲端平台時,SD-WAN亦可依據不同應用場景,整合控管外部據點、公有雲平台之上的應用服務傳輸線路,以保障用戶體驗。