SD-WAN 具备灵活性、带宽优势、集中管理等优点。但仍需将其与 SASE 等现代化网络架构进行细致对比考量。
阅读本文后,您将能够:
复制文章链接
软件定义广域网 (SD-WAN) 是一种灵活的软件方法,用于跨越长距离连接局域网 (LAN) 。它本质上是在网络基础设施的物理底层之上运行的虚拟覆盖层。SD-WAN 通常用于拥有多个分支机构的企业,以代替传统的多协议标签交换(MPLS)、租用线路或暗光纤进行连接。与 MPLS 和其他网络模型相比,SD-WAN 提供了许多优点,但也存在一些缺点。
| SD-WAN 的优点: | SD-WAN 的缺点: |
| 灵活性 | VPN 安全局限性 |
| 带宽 | 网络性能不稳定 |
| 集中式域名管理 | 更多的行政负担 |
| 初始成本节约 | 长期时间成本结构复杂化 |
MPLS 网络使用由运营商提供的固定线路、专用网络路径,这些运营商受质量服务协议 (QoS) 的约束。MPLS 可靠但不灵活,并且往往会在网络中形成瓶颈,从而降低性能。它也不适合云部署或远程工作。SD-WAN 旨在解决其中一些挑战。
一些其他 WAN 配置,如虚拟专用局域网服务 (VPLS),也使用 MPLS 协议,并且存在类似的缺点。
SD-WAN 允许通过低成本选项(如宽带或 LTE)而非 MPLS 电路连接各站点。这可以节省成本,但具体金额取决于与互联网服务提供商的合同以及 SD-WAN 配置仍依赖的硬连线 MPLS 连接数量。
SD-WAN 网络路由远比 MPLS 路由更为灵活。结果是减少了瓶颈和长号效应。这尤其有助于提升云托管应用的性能,特别是在应用可能托管在遥远的数据中心时。动态路径选择确保用户与云之间的连接更加高效。
SD-WAN 提供了灵活性。它可以结合多种连接选项,包括租用线路、5G、公共互联网和云网络路由。
SD-WAN 没有固有的带宽限制,不像 MPLS 网络中容量是固定的。SD-WAN 连接可以通过组合多个连接并利用可用的最快连接来根据需要增加容量。
SD-WAN 管理是集中化的。管理员可以通过单一窗口界面对整个网络进行更改。可以从中心位置对所有分支地点、本地和远程用户应用安全和路由策略。
通常情况下,安全性必须叠加在 SD-WAN 之上;它并未原生包含在网络中。SD-WAN 通常与其他分散的安全工具结合使用:这会增加开销,并导致安全规则的应用不一致。
虽然 MPLS 作为服务提供,但 SD-WAN 必须在内部配置和维护。那些自行设置 SD-WAN 的企业可能会发现,他们的管理需求大幅增加,因此许多企业转向托管服务提供商以获得 SD-WAN 服务。
在每个分支机构维护硬件和专用线路的成本日益增加。尽管转向 SD-WAN 旨在降低成本,但通常会引入新的、
复杂的“覆盖”配置层,导致运营开销居高不下。企业通常最终会为带宽和安全用户许可证重复付款。如果 SD-WAN 是由托管服务提供商运营的,那么他们的费用通常也会随着时间的推移而上涨。
即使 SD-WAN 是由软件定义的,其根基依然在硬件上。SD-WAN 部署可能不总是需要路由器或 MPLS,但大多数连接类型仍然需要某种硬件和专用线路(例如防火墙设备)。重新配置或扩展网络可能仍然需要昂贵的硬件安装和维护。大多数依赖 SD-WAN 的组织也需要维护一个 VPN 服务器以支持远程工作人员,这阻碍了可扩展性并带来了安全风险(参见城堡与护城河模型)。
通过中央枢纽强制流量以确保安全会引入延迟,这对距离主办公地点较远的用户来说更加令人沮丧。尽管 SD-WAN 经常改善办公地点之间的速度,但远程用户仍然受限于速度慢且不可靠的 VPN,这会导致流量瓶颈并引入不高效的路由。
SD-WAN 旨在连接建筑物,而不是个人。因此,SD-WAN 依然受限于位置,把企业网络视为要抵达的安全与连接目的地。
安全访问服务边缘 (SASE) 是一种以用户为中心的基于云的架构,将网络和安全策略移至云中,并以用户而非办公室为中心进行设计。SASE 模型用统一的策略和体验取代了依赖于位置的规则,无论用户身处办公室还是移动办公,其体验都保持一致。
SASE 还赋能企业全面落地 AI。AI 应用需要大量一致的带宽和低延迟以实现实时处理。由于 SD-WAN 依赖于公共互联网进行多路径传输,因此无法始终保证 AI 所需的数据传输一致性。SASE 通过其统一、一致、云交付的网络路径,帮助企业达到 AI 落地就绪状态。
| SD-WAN | SASE |
| 安全体系分散,管控策略割裂 | 原生 Zero Trust 安全性 |
| 植根于硬件 | 云交付 |
| 未针对 AI 优化 | 针对 AI 优化 |
| 为分支机构组网打造 | 为混合办公团队打造 |
网络技术正持续迭代演进,推进网络现代化建设可助力企业顺利运用 AI 等新兴技术。然而,对于绝大多数企业而言,直接全面切换至 SASE 这类全新网络架构模式并不具备可行性。许多关键服务可能依赖于 MPLS 连接或本地服务。
将网络现代化或采用 SASE 作为一场旅程,可以帮助组织适应现代竞争环境的现实、人工智能、全球连通性和混合型劳动力。如要了解如何开始启动现代化进程,请参阅《如何筹备网络现代化项目》。
您也可以更深入地探索 SD-WAN 和 SASE 之间的差异。
许多企业转向 SD-WAN 以获得更高的灵活性和成本效益。与使用固定硬连线路径的多协议标签交换(MPLS)不同,SD-WAN 允许企业使用更经济实惠的选项(如 LTE 或标准宽带)连接各种站点。
SD-WAN 使用动态路径选择来确定连接用户与云的最有效路径。通过破除传统网络普遍存在的固化路由约束,该技术可最大限度减少网络瓶颈与路由迂回问题,即便应用部署在远端数据中心,也能保障其响应流畅。
SD-WAN 通过单一界面提供集中管理,通常称为“单一面板”。这使管理员能够从一个位置同时对所有公司地点和远程员工应用路由和安全策略。
安全性通常不是 SD-WAN 网络本身的原生能力。企业往往需要在网络链路之上叠加各类独立安全工具,这不仅会加重运维管理工作量,还易造成网络安全策略执行标准不统一。
虽然 SD-WAN 最初可以节省成本,但由于每个分支机构都需要进行硬件维护,从长远来看可能会变得昂贵。