什么是 SD-WAN?

软件定义的广域网 (SD-WAN) 使用可与各种网络硬件配合使用的控制软件跨远距离连接局域网 (LAN)。

学习目标

阅读本文后,您将能够:

  • 说明什么是 SD-WAN
  • SD-WAN 与传统 WAN 的对比
  • SD-WAN 与 NaaS 的比较

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是 SD-WAN?

软件定义广域网 (SD-WAN) 是一种灵活的方法,用于在多个位置之间提供网络连接。它依赖于软件定义网络 (SDN) 的概念来管理网络。许多组织发现,与传统网络模型相比,SD-WAN 能更好地支持云计算和混合办公。因此,SD-WAN 被认为是安全访问服务边缘 (SASE)架构的核心组成部分,能够统一网络连接与网络安全。

SD-WAN 如何运作?

广域网 (WAN) 是一种长距离连接局域网 (LAN) 的网络。大型组织使用 WAN 进行分支网络连接,将其各个分支办公室和地点连接到中央企业网络。在传统的 WAN 中,定义流量如何在网络中流动的软件与实际引导流量的硬件紧密集成。通常,这种软件/硬件组合是从单个网络供应商处购买的。此外,分支机构之间的连接通过使用多协议标签交换(MPLS),来建立通往中央数据中心和彼此之间的静态、明确定义的网络路径。

软件定义广域网 (SD-WAN) 是一种更灵活的 WAN 架构,可以利用多个硬件平台和连接选项。控制软件适用于多种网络硬件。SD-WAN 可使用一系列网络方法进行分支连接,从虚拟专用网络 (VPN) 到公共互联网,再到 MPLS(但组织在采用 SD-WAN 时通常希望从 MPLS 过渡)。这使得 SD-WAN 比传统 WAN 更实惠、更灵活且更具可扩展性。此外还允许他们根据网络状况,来动态路由流量,以实现更好的性能。

具有多种连接方式和网络类型的 SD-WAN

SD-WAN 通常作为托管服务从单一供应商购买;然而,节省的成本仍然适用。

SD-WAN 架构组件

  • SD-WAN 控制器:此中央组件负责控制策略决策,例如,如何管理流量以及选择哪些路由。
  • SD-WAN 边缘:这是 SD-WAN 与本地网络(例如,分支机构的 WiFi 网络)的交汇点。边缘接收指令,并强制执行控制器的策略。边缘通常包括防火墙等安全保护措施。
  • SD-WAN 协调器:此组件在整个 SD-WAN 中进行协调,通过控制器推出策略。该组件让管理员能够从一个仪表板,而不是多个仪表板来管理整个网络(包括本地网络策略)。

使用 SD-WAN 有哪些优势?

  • 灵活性:SD-WAN 可以使用多种路由方法,包括传统 WAN 使用的旧方法。MPLS、无线链路、VPN、宽带和公共互联网都能够在 SD-WAN 中提供网络连接。
  • 成本节省:SD-WAN 可以使用常规的互联网连接,而不是成本更高的多协议标签交换 (MPLS) 连接。
  • 可扩展性:SD-WAN 可以轻松扩展或缩减以满足业务需求。使用常规互联网连接可以更轻松地添加或删除站点以及扩展带宽。

什么是软件定义网络 (SDN)?

软件定义的网络 (SDN) 是指能够通过软件管理网络和调整网络拓扑的一类技术。SD-WAN 是应用 SDN 原则的方式之一。所有 SD-WAN 都使用 SDN; 并非所有使用 SDN 构建的网络都是 SD-WAN。

SD-WAN 是网络现代化战略的一部分吗?

网络现代化是利用云交付服务,替换或增强传统网络设备的过程。现代化网络架构可依赖多种不同的网络模型,来实现分支和远程连接,其中可能包括 SD-WAN。

SD-WAN 与网络即服务 (NaaS) 的对比

网络即服务 (NaaS) 是一种模型,在这种模型中,组织从供应商处购买网络服务,而不是组织自己配置网络。

对于 NaaS,组织只需要互联网连接就可配置和使用其内部网络。根据服务的配置方式,与 SD-WAN 相比,NaaS 可能提供更大的灵活性并节省更多的成本,就像 SaaSIaaS 等其他云服务模型与传统的本地计算相比较一样。(Cloudflare Magic WAN 是 NaaS 模式的一个示例。)

然而,在组织实现网络现代化的过程中,从传统 WAN 过渡到 NaaS 或其他更灵活的模型时,他们可能需要采取几个中间步骤。为确保业务持续性,有些人可能更喜欢谨慎方法,而不是硬切换到全新的网络模型。

SD-WAN 和 Zero Trust

由于 SD-WAN 中可能使用多种连接方法,流量的流向可能会超出传统安全措施的预期,因为传统措施假定它们位于网络边缘,保卫网络的边界。由于使用的硬件和连接类型更加广泛,SD-WAN 实施也可能扩大攻击面

由于上述原因,传统的安全措施可能不适用于保护 SD-WAN 免受攻击。相比之下,Zero Trust 安全旨在验证合法流量,阻止恶意流量,无论流量来自哪里。Zero Trust 安全要求对试图访问专用网络上资源的每一个人和每一台设备(无论位于网络边界之内还是之外)进行严格的身份验证。传统的 IT 网络安全措施信任网络内部的任何东西,而 Zero Trust 架构则绝对不信任任何人。

因此,对于希望获得灵活连接、网络安全要求严格的组织来说,集成 SD-WAN 与 Zero Trust 是不错的选择。SD-WAN 提供商并非简单将两个不同的解决方案拼接在一起,而是原生集成 Zero Trust 安全措施,这是理想的选择。了解这种部署的工作原理