Juniper Networks
在資料中心IT基礎架構當中,對於運算、儲存、網路等資源的虛擬化,以及朝向軟體定義式(Software Defined)的作法,是近年來雲端服務業者、企業與IT廠商積極投入的範疇,不過,在這當中,又以網路應用相關技術的發展與普及最為緩慢。
例如,軟體定義網路(SDN),以及網路功能虛擬化(NFV),雖然在技術概念的構成、解決方案的提供,以及建置經驗的累積,已漸趨成熟,但僅能吸引本身具有超大型且架構複雜的內部網路、需支援多租戶服務應用型態的公司,例如大型企業、電信服務供應商,以及雲端服務業者。
而另一個因素,則在於大部分企業現有內部網路環境的架構,涉及所有的應用系統之間的連接與存取方式,若有異動,往往牽一髮而動全身,因此,也讓有心引進SDN與NFV的企業為之卻步。
但是,難道這些年所發展的各種軟體定義網路技術,就只能造福特定產業嗎?或許,我們該換個角度去思考當前企業在整體網路應用的需求,到底還有哪些層面需要改善,卻一直受到忽視,此時,就有可能就會看到不同的機會。
而關於這個問題的答案,很可能就是企業對於廣域網路(Wide Area Network,WAN)的使用與管理。
廣域網路結合SDN與否的差異比較
傳統的廣域網路架構當中,企業若要設定交換器與路由器,都是基於每臺設備,而且需透過手動方式進行。而在軟體定義的廣域網路架構,企業可透過控制器來掌控整個網路環境的配置。(圖片來源/ADVA Optical Networking)
廣域網路架構發展的歷程:從傳統走向混合,如今將提升到軟體定義
對於多數企業來說,連接外部網路並非只是為了存取網際網路,在很多時候,也是為了連結位於公司外部據點的網路環境,例如分公司、分支辦公室,跨越地理區域的距離。不過,隨著網際網路的連線頻寬日漸增高、成本下滑,許多企業也希望善用這部份線路的優勢,降低本身對於昂貴專線的依賴,而這也促成了企業廣域網路架構的改變。
傳統廣域網路
過往新興企業級網路技術所發展的重點,大多是針對內部環境當中的區域網路(LAN)應用,多年以來,企業對於廣域網路的運用,主要是針對總部與遠端辦公室、分公司之間的網路環境連結,而且仰賴的是電信服務供應商的專線,並在這樣跨國網路連線之上,架構出單一的內部區域網路,而目前,最普遍的作法是透過MPLS(Multiprotocol Label Switching),連接企業的資料中心與其他地區的公司據點,在彼此之間,建立私有的安全連線。
混合廣域網路
上述作法已行之有年,但如今不論是個人、家用或企業,想要連接外部網際網路的門檻越來越低,而且,所能享有的頻寬大幅提高,連線費用也日益低廉,因此,後來,市面上開始出現結合專線(例如:T1/T2/T3)與網際網路(例如:ADSL、3G/4G LTE)一起使用的作法,而這種架構,我們通常稱之為混合廣域網路(Hybrid WAN)。
不過,混合廣域網路的應用,起初的重點在於如何有效運用不同的網路連線,配置的作法以分流為主要考量。
例如,多數企業會將分支辦公室連往資料中心的業務應用網路流量,由專線來負責;至於分支辦公室連到網際網路的流量,可透過當地的寬頻網路來負責,而不需全部連至資料中心,再從這裡接取網際網路,同時,經由這條更直接的對外網路連線路徑,分支辦公室也可以透過VPN與資料中心連線。
導入混合廣域網路的另一個好處,則是能使用進階的可用性模式。傳統的廣域網路,只能採取主動-被動(Active-Passive)的備援線路切換,所有線路的頻寬都必須一樣大,但備援線路在平時是待命、閒置不用的,而混合廣域網路可以支援雙主動(Active-Active)的模式,充分運用所有線路的頻寬。
另外,在混合廣域網路環境下,也可以使用路徑選擇(Path Selection)的技術,例如,根據即時監控的頻寬負載與反應速度,來決定對外網路連線應採取的最佳路徑。
然而,混合廣域網路的應用,雖然帶來了一些效益,仍有許多不足之處,而這些部分的要求,更是傳統廣域網路架構所做不到的。
例如,混合廣域網路雖然能夠同時搭配網際網路連線使用,但無法確保與提升這類線路的服務等級協定(SLA),難以增加可靠度;其次,在混合廣域網路設備與傳統廣域網路設備上,未必都未內建防護機制,必須要搭配其他資安系統來強化安全性,例如防火牆、網路入侵防禦系統;另外,混合廣域網路設備與傳統廣域網路設備本身提供的自動化處理與組態設定功能,也相當稀少,甚至根本沒有,導致部署與維護的作業,皆需大量仰賴人工操作。
而且最近幾年以來,上述廣域網路架構的局限所導致的不便,越來越明顯。
首先,是企業內部使用者直接連到網際網路的需求大增,不論是在公司總部或分支辦公室。部分原因來自於當前企業採用公有雲服務的比例增高,員工越來越常存取企業租用的軟體即服務(SaaS),以及位於基礎架構即服務(IaaS)的應用系統。
而面對這樣的改變,擁有多個據點的跨國企業,在廣域網路的配置上,如果仍維持傳統架構——所有對外的網路流量先連回總公司網路,再連至網際網路,可用的網路頻寬,勢必越來越吃緊,尤其是分支辦公室的網路傳輸速度,也會被拖累。但如果採用混合廣域網路的架構來因應,在整體資安防護上,可能必須在分支辦公室額外部署相關設備,才能避免威脅趁虛而入,這麼一來,企業往往也必須特別外派IT人員前往當地,進行網路的安裝、設定,導致人力、交通、時間等種種支出的增加。
因此,採用混合廣域網路的架構,顯然還是無法完全滿足跨國企業網路環境的存取需求。
SD-WAN的基本架構
軟體定義廣域網路與混合廣域網路的共通點,都是結合多種對外連線,,例如:網路專線、寬頻網際網路、無線網路,但軟體定義廣域網路的差異在於,管理網路能夠做到更自動化、可程式化的程度,而且流量可根據網路狀態、安全性、應用程式服務品質的需求,自動、動態地進行轉送。(圖片來源/Juniper Networks)
混合廣域網路發展歷程
若從混合廣域網路來看,架構變化有下列階段。
早期是以MPLS IP VPN,搭配集中式網際網路分流,之後,演進到可支援當地網際網路分流的做法。
接著,發展出搭配MPLS和網際網路,進行雙主動流量負載分攤,以及基於政策的路由。隨後,發展出基於安全性與網路效能的路由。到了最近,則是結合軟體定義網路與網路功能虛擬化的技術。(圖片來源/Level 3)
軟體定義廣域網路
面對傳統廣域網路與混合廣域網路的局限,一些廠商開始基於本身的技術強項,發展其他的作法,在此同時,受到軟體定義網路技術持續發展的影響,這樣的概念也逐漸應用到廣域網路環境當中,產生了新的架構,一般稱為軟體定義廣域網路(Software-Defined WAN,SD-WAN),而且強調能夠同時解決效能、安全性不足的問題。
基本上,SD-WAN是基於軟體化的扁平式網路架構,以及虛擬化技術而成,而不是單靠專屬硬體設備提供的功能,而且,這樣的軟體定義網路環境,通常會有下列特性:
● 已區隔出資料平面(Data Plane),以及控制平面(Control Plane)
● 提供集中控管的機制
● 具有更為簡易、好用的可程式化(Programmable)功能
因此,對於廣域網路連線選擇與組態設定的控制,都是透過政策實施的方式進行。
與現行SDN相比,SD-WAN建置架構的元件也分為:控制器(Controller),以及存取節點(Access Node)、邊緣節點(Edge Node),或是閘道器(Gateway);甚至,在控制器之外,會另行設立調度器(Orchestrator)。
而在這些元件當中,各家廠商對於控制器的所在位置會有不同的作法,例如,有些產品的SD-WAN控制器是獨立設置在企業資料中心網路環境當中,甚至是在廠商代管的雲端服務上,有些則是全部結合在一起,並且部署在總部與分支辦公室的網路環境之中。
無論如何,針對廣域網路的應用,得到更強大的集中控管能力,應該是SD-WAN最吸引企業使用的部分。因為,在這樣的架構下,企業不僅可以監控對外網路傳輸的服務等級與路徑選擇,同時,能更清楚掌握廣域網路的效能與頻寬使用的情況。
除了網路傳輸效能的控管,這樣的集中控管,也能夠針對分支據點的聯外網路環境,提供企業等級的資安防護機制,例如,直接整合防火牆的功能,套用狀態檢測(Stateful Inspection),甚至結合深度封包檢測(Deep Packet Inspection)的方式,來阻擋、過濾惡意軟體、駭客攻擊;或者能夠透過服務鏈(Service Chaining)的方式,設定網路流量的流向,強制需經過多種負載處理與防護機制,例如依序通過防火牆、網路入侵防禦系統的檢測。
SD-WAN還有一個先前作法難以達到的效益,那就是能夠更快速地在公司外部據點部署網路。只要當地的網際網路速度與頻寬足夠,企業可以將SD-WAN的存取節點/邊緣節點/閘道器設備寄送過去,再請當地人員插上電源、連上網際網路,就會自動進行組態設定,並且連至SD-WAN控制器進行註冊登錄的程序,接下來,位於企業總部的IT人員就可以對當地的網路環境,實施統一控管與監督。
像這樣的快速建置功能,稱為自動部署(Zero Touch Deployment),在多數SD-WAN的解決方案中,都已提供。
SD-WAN的網路適用性與功能層級
SD-WAN可適用於不同的企業廣域網路環境,包含駐外據點、分公司、資料中心,並且支援MPLS專線、DSL與Cable寬頻網路。
而且,由於SD-WAN已將網路服務的控制平面(Control Plane)拆分出去,企業可藉此實現更多的控制與虛擬服務,以及再上一層的業務政策與資源調度指揮。(圖片來源/ZK Search)
SD-WAN後勢看漲,廠商爭相投入,堪稱企業SDN殺手級應用
在應用需求與功能提供的部分,SD-WAN的採用的確有快速發展的機會,而一些市場調查研究機構,也提出了相當樂觀的預測。
例如,根據IDC在2016年的預估,全球SD-WAN市場在2020年可望達到60億美元的規模,年度複合成長率超過90%。他們估算2015年的SD-WAN市場規模為2.25億美元,預計2016年是5.95億美元,2017年逼近14億美元,到了2018年將超過26億美元。
至於在未來12到18個月內計畫採用SD-WAN的企業,在IDC的調查裡面顯示,整體而言,已經高達62%(在1千到5千人規模的企業當中,計畫採用的比例更是接近7成)
而Gartner在今年3月發布的市場指南裡面,也提到SD-WAN的採用率可能會大幅增加。到了2017年底,在廣域網路邊緣基礎架構(WAN edge infrastructure)的更新上,他們認為,若是基於虛擬客戶端駐地設備平臺,或是軟體定義廣域網路的軟體/應用設備,會有超過40%的比例,而採用傳統路由器的比例,成長不到5%。
值得注意的是,SD-WAN的發展與使用,不只是牽涉到開發產品與技術的「廠商」,以及採用解決方案的「企業」,也將包括提供代管業務與平臺的「服務供應商」。
根據IDC的全球SD-WAN市場預估,在雲端服務供應商(CSP)提供的SD-WAN代管服務,市場規模的年複合成長率將近212%,而基於雲端服務平臺而管理(cloud-managed)的SD-WAN服務,市場規模的年複合成長率將近208%。
而之所以會有這樣驚人的成長幅度,IDC認為,SDWAN服務在接下來幾年內,將會取代部分MPLS VPN代管服務,以及IPsec VPN服務,並且擴大VPN與廣域網路的整體市場,尤其到了2019、2020年,如何滿足企業對於雲端服務的連線需求,將會是代管式SD-WAN服務發展的關鍵。
企業廣域網路設備面臨大轉型
企業本身連接網路的設備,在過去條理分明,區隔為交換器、路由器、廣域網路最佳化、防火牆/UTM、整合通訊。然而,隨著雲端服務的崛起,以及軟體定義網路、網路功能虛擬化技術的發展,廣域網路的應用逐漸區分為雲服務、SD-WAN,以及vCPE。(圖片來源/Gartner)
駐外據點採用傳統WAN與SD-WAN的不同
在傳統的廣域網路架構下,駐外據點若要連至網際網路與企業資料中心,大量仰賴MPLS專線或透過網際網路線路的VPN,在這樣的情況下,幾乎無法有其他備援的廣域網路線路可用。而在軟體定義廣域網路的環境當中,企業可以將駐外據點的專線,用於關鍵應用系統,以及需要嚴格確保服務品質的應用系統的網路連接,而其他應用與備援的廣域網路的連線服務,都可以透過網際網路或代管廣域網路的公有雲服務來提供。(圖片來源/Open Networking User Group)
相關報導 「SD-WAN崛起,企業重新定義連外網路」
熱門新聞
2024-12-27
2024-12-24
2024-11-29
2024-12-22
2024-12-27