本博客由Aruba公司SD-WAN、SD-Branch和用戶(hù)體驗(yàn)研究副總裁兼總經(jīng)理Kishore Seshadri與產(chǎn)品管理總監(jiān)Ramanan Subramanian共同撰寫(xiě)。

Gartner《2020年WAN Edge基礎(chǔ)設(shè)施魔力象限》已于近期發(fā)布。近些年來(lái)，WAN Edge市場(chǎng)的發(fā)展著實(shí)引人注目。在2015年以前，WAN細(xì)分市場(chǎng)一直都是一家獨(dú)大，而在過(guò)去幾年里，WAN細(xì)分市場(chǎng)發(fā)生了翻天覆地的變化，而且仍在持續(xù)快速發(fā)展。

Aruba的SD-Branch解決方案在Gartner《2019年WAN Edge基礎(chǔ)設(shè)施魔力象限》中作為利基解決方案亮相，而在較新發(fā)布的Gartner《2020年WAN Edge基礎(chǔ)設(shè)施魔力象限》中，其已經(jīng)躍升至遠(yuǎn)見(jiàn)者象限。

自從2018年7月發(fā)布開(kāi)始，這一路走來(lái)真的是不可思議。Aruba SD-Branch解決方案現(xiàn)已被70個(gè)和地區(qū)的450多家客戶(hù)廣泛采用，其中包含多家服務(wù)供應(yīng)商，以及眾多《財(cái)富》500強(qiáng)企業(yè)。我們較大規(guī)模的一些客戶(hù)的網(wǎng)絡(luò)遍布數(shù)十個(gè)的上千站點(diǎn)。

Aruba較近收購(gòu)了Gartner《 WAN Edge基礎(chǔ)設(shè)施魔力象限》中的Silver Peak，在這一領(lǐng)域的投資增加了一倍。SD-Branch解決方案和Silver Peak解決方案的發(fā)展勢(shì)頭良好，借著這一契機(jī)，我們來(lái)回顧一下Aruba的發(fā)展歷程，了解Branch轉(zhuǎn)型和WAN轉(zhuǎn)型之間的區(qū)別，并對(duì)因新冠疫情而改變的市場(chǎng)，以及云安全廠商進(jìn)軍SD-WAN領(lǐng)域的情況進(jìn)行預(yù)判。

早期SD-WAN激勵(lì)因素

我們從2016年年底開(kāi)始著眼于SD-WAN市場(chǎng)。對(duì)于SD-WAN行業(yè)來(lái)說(shuō)，當(dāng)時(shí)還處于初期階段，雖然很多客戶(hù)聽(tīng)說(shuō)過(guò)SD-WAN，但要讓他們放棄雖然昂貴卻久經(jīng)考驗(yàn)的解決方案（MPLS），轉(zhuǎn)而以互聯(lián)網(wǎng)作為其主要WAN互聯(lián)，而且設(shè)備與服務(wù)還要由剛步入這一行業(yè)的新公司來(lái)提供，他們還是會(huì)心有疑忌。此外，許多客戶(hù)還將WAN管理外包給服務(wù)提供商。對(duì)于自己管理WAN（DIY模式），或者從現(xiàn)有服務(wù)供應(yīng)商處購(gòu)買(mǎi)新的SD-WAN解決方案（受管理模式）這樣兩種選擇，他們也都會(huì)感到不安。

企業(yè)采用SD-WAN的動(dòng)機(jī)列舉如下：

節(jié)約傳輸成本。訪問(wèn)SaaS及云端服務(wù)需要更高的WAN帶寬，順應(yīng)這一宏觀趨勢(shì)，從MPLS轉(zhuǎn)向互聯(lián)網(wǎng)。

?節(jié)約運(yùn)維成本。利用SD-WAN的自動(dòng)化和簡(jiǎn)易性，告別需要復(fù)雜的路由器與服務(wù)供應(yīng)商支持協(xié)議且管理起來(lái)相當(dāng)復(fù)雜的網(wǎng)絡(luò)。
獲得更佳的終端用戶(hù)體驗(yàn)。采用基于SD-WAN應(yīng)用的策略來(lái)對(duì)優(yōu)先級(jí)進(jìn)行排序，將“動(dòng)態(tài)路徑轉(zhuǎn)向（DPS）”、前向糾錯(cuò)（FEC）等技術(shù)應(yīng)用于業(yè)務(wù)關(guān)鍵型應(yīng)用，以執(zhí)行路徑調(diào)節(jié)。在

發(fā)展初期，我們?cè)c60多家客戶(hù)溝通，了解其網(wǎng)絡(luò)面臨的挑戰(zhàn)。其中許多客戶(hù)都是由小型化的中心團(tuán)隊(duì)來(lái)管理大型分布式網(wǎng)絡(luò)。在溝通過(guò)程中，我們了解到讓網(wǎng)絡(luò)管理員頭疼的一系列常見(jiàn)問(wèn)題。

常見(jiàn)挑戰(zhàn)

客戶(hù)總是在為WAN感到擔(dān)憂，盡管SD-WAN被認(rèn)為是潛在的能打消他們疑慮的一種解決方案，但是還有其他一些重大的難題是SD-WAN不能解決的。

隨著攝像頭、標(biāo)牌閱讀器、暖通空調(diào)系統(tǒng)、數(shù)字標(biāo)牌、以及眾多傳感器等物聯(lián)網(wǎng)設(shè)備的種類(lèi)激增，利用VLAN進(jìn)行細(xì)分和隔離會(huì)變得困難重重。

VLAN的種類(lèi)也在激增，通常用于細(xì)分領(lǐng)域的物聯(lián)網(wǎng)設(shè)備。每一個(gè)VLAN對(duì)ACL、DHCP范圍與防火墻規(guī)則都有嚴(yán)格的要求，策略及安全的配置與執(zhí)行也會(huì)變得碎片化。策略及安全配置分布于網(wǎng)絡(luò)中的不同組件，會(huì)導(dǎo)致問(wèn)題難以檢測(cè)，網(wǎng)絡(luò)變得越來(lái)越脆弱，較終崩潰。?

隨著新型用戶(hù)設(shè)備（BYOD）的出現(xiàn)，Wi-Fi連接的日漸普及，客戶(hù)端設(shè)備的安全承載能力變得愈發(fā)重要。雖然網(wǎng)絡(luò)訪問(wèn)控制（NAC）解決方案在園區(qū)廣泛部署，但在分支地點(diǎn)卻鮮有部署。?

正在迅速轉(zhuǎn)向SaaS及云端的趨勢(shì)。與我們溝通過(guò)的客戶(hù)中，很多使用了“NDC 2020”（到2020年就無(wú)需數(shù)據(jù)中心）等術(shù)語(yǔ)。顯而易見(jiàn)，將工作負(fù)載遷移到公有云及SaaS的需求將會(huì)不斷增加，隨后就需要優(yōu)化這些服務(wù)的連接。?

同時(shí)，連接性和安全性的關(guān)系更加密切，以身份為中心（或以用戶(hù)為中心）的策略對(duì)東西向及南北向的訪問(wèn)策略將更加重要。?

雖然網(wǎng)絡(luò)單元的數(shù)量不是很多，但整體網(wǎng)絡(luò)卻已經(jīng)變得復(fù)雜，很難在多個(gè)管理平臺(tái)間排除故障。?

與我們溝通過(guò)的客戶(hù)大多都無(wú)法一如既往地衡量自身及其團(tuán)隊(duì)的績(jī)效，因?yàn)橐讯x的KPI不足以衡量實(shí)際的終端用戶(hù)體驗(yàn)。?

較后一點(diǎn)也非常重要，當(dāng)來(lái)自各種廠商（有線、無(wú)線以及廣域行業(yè)中擁有自己管理平臺(tái)的廠商）的設(shè)備種類(lèi)激增之時(shí)，故障排除及跨多個(gè)管理界面的監(jiān)控問(wèn)題也隨之而來(lái)。

Aruba另辟蹊徑

我們沒(méi)有通過(guò)打造獨(dú)立的WAN網(wǎng)關(guān)及安全設(shè)備這種單一的方式來(lái)解決這些問(wèn)題，而是打造能夠緊密集成SD-WAN、安全（UTM）以及以用戶(hù)為中心的動(dòng)態(tài)訪問(wèn)控制策略（SD-LAN）的單一網(wǎng)關(guān)。我們將解決方案命名為“軟件定義分支”（SD-Branch），并使用簡(jiǎn)單的等式進(jìn)行了表達(dá)，其中SD-Branch由SD-WAN及SD-LAN構(gòu)成，外圍有著安全保護(hù)（Security）：

考慮到行業(yè)轉(zhuǎn)型的速度，我們決定只提供一個(gè)建立在Aruba Central上的云管理解決方案。我們意識(shí)到有些客戶(hù)不喜歡云管理，而喜歡本地管理解決方案。然而，大型云供應(yīng)商能夠提供更好的SLA，其安全等級(jí)更高、部署更快、范圍更有彈性，而且連接功能更豐富，這些事實(shí)都對(duì)我們的決策產(chǎn)生了巨大的影響。

?我們還引入了日后能夠頻繁升級(jí)和修復(fù)的新技術(shù)，這兩種技術(shù)在云管理模型中都更容易實(shí)現(xiàn)。除了向云計(jì)算的宏觀轉(zhuǎn)變，上述因素促使我們相信，專(zhuān)注于云計(jì)算解決方案，對(duì)于客戶(hù)和Aruba都是較好的選擇。?

云解決方案Aruba Central幫助我們?cè)谝幌盗袉?wèn)題上為客戶(hù)提供真正的零接觸體驗(yàn)：從帳戶(hù)注冊(cè)到設(shè)備注冊(cè)再到許可證管理。它還幫助管理員跳過(guò)了啟動(dòng)虛擬機(jī)、并在數(shù)據(jù)中心部署冗余管理基礎(chǔ)設(shè)施的步驟。通過(guò)API與云提供商和云托管安全廠商進(jìn)行整合，我們還能夠在保留安全模型的同時(shí)，提供更為簡(jiǎn)便的管理員體驗(yàn)。?

Aruba擁有業(yè)界領(lǐng)先的無(wú)線（Wi-Fi）和有線（交換機(jī)）產(chǎn)品組合。安全網(wǎng)關(guān)的引入，使客戶(hù)通過(guò)一個(gè)界面（即Aruba Central），就能管理全棧解決方案（有線、無(wú)線、WAN和安全）。有了這樣的解決方案，網(wǎng)絡(luò)管理員可以定位問(wèn)題客戶(hù)，并對(duì)數(shù)據(jù)包路徑進(jìn)行跟蹤——從客戶(hù)端到訪問(wèn)元素，跨越整個(gè)SD-WAN架構(gòu)，至數(shù)據(jù)中心或云端的工作負(fù)載，而這在使用多個(gè)傳統(tǒng)的管理平臺(tái)時(shí)會(huì)困難重重。這樣一來(lái)，就可以對(duì)用戶(hù)體驗(yàn)進(jìn)行端到端監(jiān)控，并快速修復(fù)問(wèn)題。?

云管理解決方案的另一個(gè)優(yōu)勢(shì)是，該解決方案內(nèi)置了分析功能，管理員可查看時(shí)間序列儀表板、獲取基線趨勢(shì)和網(wǎng)絡(luò)中的集群信息，并分析跨站點(diǎn)的應(yīng)用程序性能。云端的彈性計(jì)算可結(jié)合跨客戶(hù)分析功能，使我們能夠利用大型數(shù)據(jù)集，開(kāi)發(fā)人工智能及機(jī)器學(xué)習(xí)工具。?

戰(zhàn)勝艱巨的挑戰(zhàn)
要實(shí)現(xiàn)這種解決方案，需要克服許多重大的技術(shù)障礙，較大的障礙在于構(gòu)建集中式云原生控制平面。當(dāng)時(shí)，我們較大的客戶(hù)之一希望在單一網(wǎng)絡(luò)上部署15000多個(gè)網(wǎng)關(guān)，還有其他一些客戶(hù)想要在數(shù)千處地點(diǎn)部署。我們也有一些服務(wù)提供商計(jì)劃在多個(gè)租戶(hù)之間部署數(shù)以萬(wàn)計(jì)的網(wǎng)關(guān)。

?更為復(fù)雜的是，SD-Branch解決方案不僅要求管理平臺(tái)存儲(chǔ) WAN 網(wǎng)關(guān)狀態(tài)，而且還要存儲(chǔ) AP、交換機(jī)和客戶(hù)端狀態(tài)，比當(dāng)時(shí)業(yè)界廣泛使用的較先進(jìn)的SD-WAN解決方案還要大兩到三個(gè)數(shù)量級(jí)。這需要對(duì)云端的IPSec/DMVPN以及BGP進(jìn)行全方位重構(gòu)，讓這些子系統(tǒng)可水平擴(kuò)展且適用于多租戶(hù)（針對(duì)服務(wù)提供商客戶(hù)），同時(shí)保持彈性并能夠利用云提供的彈性。?

工程團(tuán)隊(duì)的明確任務(wù)目標(biāo)是：讓客戶(hù)在必要的時(shí)候，能夠在一夜之間將其網(wǎng)關(guān)規(guī)模擴(kuò)展到數(shù)千處站點(diǎn)，而無(wú)需與Aruba進(jìn)行任何協(xié)調(diào)，也無(wú)需擔(dān)心控制平面是否能夠滿(mǎn)足其要求。具體來(lái)說(shuō)，一個(gè)客戶(hù)可能會(huì)每晚打開(kāi)數(shù)百個(gè)站點(diǎn)（就像我們的一些客戶(hù)那樣），數(shù)百個(gè)客戶(hù)也可能同時(shí)打開(kāi)數(shù)十個(gè)站點(diǎn)（略有不同的工程問(wèn)題）。此外，需要讓用戶(hù)操作變得更加便捷，這一點(diǎn)也同樣重要，用戶(hù)只需單擊幾下即可配置WAN拓?fù)?，并在其網(wǎng)絡(luò)中實(shí)現(xiàn)該拓?fù)涔δ堋?

2019年年中，我們推出了云控制平面，此后也一直不斷前行?，F(xiàn)有客戶(hù)紛紛轉(zhuǎn)而采用該平面，新客戶(hù)也從一開(kāi)始就很輕松地接受了該平面。自云控制平面推出以來(lái)，我們擴(kuò)展了其功能，通過(guò)內(nèi)置的環(huán)路防護(hù)功能，構(gòu)建了具有必要?jiǎng)討B(tài)路由構(gòu)造的自動(dòng)網(wǎng)格?？蛻?hù)現(xiàn)在可在數(shù)千個(gè)站點(diǎn)上運(yùn)行SD-WAN，這些站點(diǎn)上均配備了精心設(shè)計(jì)的隧道和路由。?

網(wǎng)絡(luò)重心--云
我們與公有云提供商合作，這些提供商正在大力擴(kuò)展其網(wǎng)絡(luò)功能，包括AWS傳輸網(wǎng)關(guān)和Azure vWAN。同時(shí)我們也意識(shí)到，公有云中的網(wǎng)絡(luò)正成為許多客戶(hù)的網(wǎng)絡(luò)重心。云世界高度依賴(lài)可編程構(gòu)造，以期實(shí)現(xiàn)高度自動(dòng)化。?

例如，虛擬私有云無(wú)法進(jìn)入第二個(gè)可用性區(qū)域。在云提供商的世界中，這種故障不是通過(guò)路由協(xié)議發(fā)現(xiàn)的，而是通過(guò)API發(fā)現(xiàn)的。我們沒(méi)有強(qiáng)迫網(wǎng)絡(luò)管理員學(xué)習(xí)這些新的公有云結(jié)構(gòu)，我們意識(shí)到很重要的一點(diǎn)是，網(wǎng)絡(luò)管理員需要經(jīng)歷很多步驟，在AWS、Azure或GCP中部署虛擬網(wǎng)關(guān)，以將其SD-WAN結(jié)構(gòu)擴(kuò)展到其公有云，而自動(dòng)執(zhí)行這些步驟，就能化繁為簡(jiǎn)。?

隨著SaaS普及率的提高，對(duì)于SaaS流量性能以及SaaS流量?jī)?yōu)化功能的可見(jiàn)性，我們客戶(hù)的要求越來(lái)越高。通過(guò)與本地Microsoft Office 365 API的集成，以及對(duì)關(guān)鍵SaaS應(yīng)用程序執(zhí)行首包分類(lèi)功能，我們努力優(yōu)化跨多WAN路徑的SaaS流量，以提升對(duì)SaaS流量性能的可見(jiàn)性，并提升終端用戶(hù)體驗(yàn)。

?解決SD-Branch的獨(dú)特挑戰(zhàn)

解決WAN問(wèn)題需要進(jìn)行大量的工作，同時(shí)，網(wǎng)絡(luò)在LAN的層面又提出了一組有待解決的獨(dú)特問(wèn)題。SD-Branch解決方案的一個(gè)主要區(qū)別在于，它允許管理員定義以用戶(hù)為中心的策略。這就要求網(wǎng)關(guān)去了解網(wǎng)絡(luò)上分配給客戶(hù)端的身份和角色。?

我們采用了對(duì)網(wǎng)關(guān)與NAC策略引擎（例如Aruba ClearPass Policy Manager甚至Cisco ISE）的RADIUS交互進(jìn)行偵聽(tīng)的方法?？稍谏矸蒡?yàn)證時(shí)，輕松地將真正較終用戶(hù)的“員工”或“訪客”等用戶(hù)角色或無(wú)頭設(shè)備的“攝像頭”或“打印機(jī)”等角色分配給各種端點(diǎn)。角色本身是由策略引擎派生的，該策略引擎會(huì)對(duì)加入網(wǎng)絡(luò)的設(shè)備進(jìn)行身份驗(yàn)證和文件配置。用戶(hù)角色使管理員可以用類(lèi)似英語(yǔ)的術(shù)語(yǔ)，定義簡(jiǎn)單且以用戶(hù)為中心的策略，例如：?

“安全”角色可與“攝像頭”角色通信，從而允許實(shí)際安全團(tuán)隊(duì)監(jiān)控?cái)z像頭，但不允許攝像頭惡意軟件訪問(wèn)網(wǎng)絡(luò)的任何其他部分

?“員工”角色可與“打印機(jī)”角色通信?

利用SD-WAN應(yīng)用程序SLA策略來(lái)確定“員工”角色語(yǔ)音流量的優(yōu)先級(jí)?

“訪客”角色用戶(hù)的流量應(yīng)限制帶寬，并通過(guò)隧道分離的形式導(dǎo)向互聯(lián)網(wǎng)?

這些策略不需要指定IP地址或VLAN（虛擬局域網(wǎng)），但是它們是完全動(dòng)態(tài)的，因其可簡(jiǎn)單地引用用戶(hù)角色且可在全球網(wǎng)絡(luò)范圍內(nèi)進(jìn)行一次性定義，從而使IT團(tuán)隊(duì)從指定靜態(tài)IP地址的舊環(huán)境束縛中解放出來(lái)，將設(shè)備固定到特定VLAN，并定義引用這些靜態(tài)屬性的ACL和防火墻規(guī)則。角色在NAC系統(tǒng)的單一位置定義，且?guī)缀踉谒械胤蕉嫉玫搅思磿r(shí)引用和執(zhí)行。這也消除了VLAN作為完成隔離、實(shí)現(xiàn)安全性和貫徹策略的手段，并可能導(dǎo)致網(wǎng)絡(luò)的扁平化。?

該功能推動(dòng)著網(wǎng)絡(luò)管理和操作方式發(fā)生了驚人的轉(zhuǎn)變。我們相信，這種以用戶(hù)為中心的原則是零信任網(wǎng)絡(luò)的重要組成部分，是實(shí)現(xiàn)安全架構(gòu)必不可少的。為進(jìn)一步增強(qiáng)南北向安全和東西向安全，我們?cè)诰W(wǎng)關(guān)中新增了IDS/IPS（入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)）功能，將這兩種系統(tǒng)的遙測(cè)數(shù)據(jù)與端點(diǎn)標(biāo)識(shí)信息相結(jié)合，再次簡(jiǎn)化了網(wǎng)絡(luò)和安全操作。其中每項(xiàng)功能均由Aruba Central全權(quán)管理。?

在網(wǎng)關(guān)方面，我們意識(shí)到自己必須為企業(yè)網(wǎng)絡(luò)中的不同地點(diǎn)提供一系列硬件和軟件網(wǎng)關(guān)設(shè)備。SD-Branch網(wǎng)關(guān)產(chǎn)品組合涵蓋很廣——從通常部署在數(shù)據(jù)中心前端的40 Gbps設(shè)備，到部署在分支機(jī)構(gòu)位置且集成4G/LTE的4 Gbps設(shè)備。由于互聯(lián)網(wǎng)速度大約每三年翻一番，我們清楚網(wǎng)絡(luò)中部署的網(wǎng)關(guān)必須具備長(zhǎng)久的使用壽命。?

因此，我們甚至用4 Gbps的防火墻吞吐量，構(gòu)建了較低端的分支網(wǎng)關(guān)，并啟用了所有關(guān)鍵功能（例如應(yīng)用程序分類(lèi)和IPSec加密）。對(duì)于視成本為主要因素的小型站點(diǎn)（比如臨時(shí)位置和遠(yuǎn)程工作人員），我們推出了一個(gè)微分支解決方案，提供集成式AP+網(wǎng)關(guān)應(yīng)用，在接入點(diǎn)中嵌入虛擬網(wǎng)關(guān)功能。這些站點(diǎn)雖然很小，但仍需要同等的企業(yè)級(jí)體驗(yàn)，讓用戶(hù)能夠安全地連接到企業(yè)SSID，并通過(guò)專(zhuān)用VPN去訪問(wèn)應(yīng)用程序。

?疫情期間，微分支解決方案已被證明對(duì)我們的許多客戶(hù)至關(guān)重要，他們廣泛部署了該解決方案，并有效地將家中的辦公環(huán)境轉(zhuǎn)變?yōu)榕c辦公室非常相似的環(huán)境。我們還在公有云中構(gòu)建了各種規(guī)格的虛擬頭端，虛擬網(wǎng)關(guān)從500Mbps至4 Gbps不等。

不斷推進(jìn)WAN轉(zhuǎn)型升級(jí)

WAN Edge市場(chǎng)龐大而多樣。雖然我們通過(guò)Aruba SD-Branch在很短的時(shí)間內(nèi)取得了很大的成就，但我們也認(rèn)識(shí)到，要滿(mǎn)足這一廣闊市場(chǎng)的所有需求，還需要投入相當(dāng)多的時(shí)間和精力。當(dāng)一部分細(xì)分市場(chǎng)尋求改變整體分支網(wǎng)絡(luò)時(shí)，另有很大一部分的客戶(hù)群純粹專(zhuān)注于WAN的轉(zhuǎn)型升級(jí)，在SD-WAN和WAN優(yōu)化方面提出了很高的需求。我們較近收購(gòu)的Silver Peak幫助我們滿(mǎn)足了WAN轉(zhuǎn)型客戶(hù)的需求，并完善了我們的產(chǎn)品組合。

雖然我們?cè)诤芏痰臅r(shí)間內(nèi)就取得了巨大的進(jìn)步，但我們感覺(jué)一切才剛開(kāi)始。我們?nèi)缃衽c客戶(hù)的對(duì)話不再是關(guān)于“我應(yīng)該做SD-WAN嗎?”，而是關(guān)于“我應(yīng)該如何做好SD-WAN?”或者“如何簡(jiǎn)化分支?”。隨著Silver Peak和SD-Branch解決方案加入我們的產(chǎn)品組合中，我們發(fā)現(xiàn)了許多振奮人心的機(jī)遇。我們會(huì)把握這些機(jī)遇，在未來(lái)幾年內(nèi)持續(xù)完善這兩種解決方案，實(shí)現(xiàn)令人振奮的創(chuàng)新。Silver Peak和SD-Branch在Gartner WAN魔力象限的位置反應(yīng)了Aruba的飛速發(fā)展!