电子说
在实施软件定义的广域网 (SD-WAN) 拓扑时,大多数 IT 组织将使用现有的广域网 (WAN)架构,而不是构建全新的架构。SD-WAN的一个好处是它作为一种覆盖技术的灵活性,因此有几种方法可以在现有网络上正确实施它。也就是说,到目前为止,组织已经对一些技巧和技巧进行了实战测试。
让我们继续我们的SD-WAN 系列,重点关注多协议标签交换 (MPLS) 和虚拟局域网 (VLAN),这两种最常见的 WAN 架构。我们将探索 SD-WAN 如何增强每个功能并增加更多网络管理员、业务和最终用户的好处。
SD-WAN 和 MPLS
MPLS 是 SD-WAN 的鼻祖。通过将服务质量 (QoS) 应用于大地理区域内不同连接类型和协议的数据包,MPLS 几十年来一直提供有限版本的数据优先级。SD-WAN 所做的是提高这些数据包的堆栈排名,以反映一个拥有数十个应用程序的软件驱动世界。
大多数将 MPLS 与新的 SD-WAN 解决方案保持同步的 IT 部门这样做的原因如下:
出于合规性和审计目的,MPLS 的安全性和对中央安全堆栈的需求对于组织来说仍然很重要。有人可能会争辩说,基于云的防火墙和云集中式堆栈比现场安全中心更安全。但每家 IT部分都不一样,我遇到过的IT部门中,数据隐私问题和合作伙伴关系要求基于云的安全性对他们不起作用。
MPLS 合同规模很大,通常涉及多个站点,因此在较长时间内错开 SD-WAN 推出和 MPLS 停用非常重要。请记住,与 MPLS 运营商捆绑的语音服务可以为保持 MPLS 网络发挥作用创造更多动力。
运行 MPLS 和 SD-WAN 混合环境的 IT 架构通常在部署时遵循类似的逻辑。以下是一些最常见的功能。
集线器上的 MPLS
无论集线器站点是总部还是数据中心,为了安全起见,总有一个主要受保护的 MPLS 端口进入集线器。这是为了确保数据以完整性和优先级到达。这些通向集线器的专用线路永远不会被修剪以支持 SD-WAN 连接,除非它们从一开始就没有真正需要。
留在 MPLS 架构中的第二个最常见的站点是数据堆栈/数据中心所在的任何地方。这并不是说 SD-WAN 不能存在于集线器上,而是说集线器不会从 MPLS 中移除。
更少的端口
MPLS 端口很昂贵,并且对于具有混合 SD-WAN 部署的 MPLS 网络上的每个 IP 地址都不需要。除了增加的费用外,众所周知,MPLS 端口的配置和扩展速度很慢,有时需要数周或数月才能实施或移动、添加、更改、删除 (MACD) 工作。在现代且竞争激烈的 IT 环境中,这种时间框架根本行不通。
带宽重新分配
例如,曾经位于 MPLS 电路上的远程销售办公室可以安全地转换为使用 SD-WAN 设备作为其顶部的网络控制器的连接。这是因为销售办公室没有存储任何关键数据。关键数据存储在客户关系管理器 (CRM) 中,该客户关系管理器 (CRM) 已安装在另一个软件提供商的云环境中。
如果数据在传输过程中使用 SD-WAN 进行加密,并且受到软件即服务 (SaaS) 提供商的静态保护,则 IT 组织可以摆脱昂贵的专用线路,转而采用更经济的连接。例如,为语音和视频提供专用连接,并为一般互联网浏览提供另一个电路。
SD-WAN 和 VLAN
VLAN 是一种非常流行的网络分段形式,它允许管理员执行组策略,而无需位于同一地理区域。VLAN 的一个常见用例是获取 IP 网络上的所有语音流量并将其分段到 VLAN 中,从而减少数据包丢失和冲突,此外还有以动态方式管理用户、部门和功能的管理员利益.
另一种常见的 VLAN 配置是安全且与敏感组织数据分开的访客网络。
最后一个常见用例是用于包括视频和门禁管理的安全系统。事实上,许多组织出于安全目的而不是纯粹的功能或管理目的设置 VLAN。如果您的组织在管理 VLAN 上的虚拟专用网络 (VPN)覆盖方面有一些历史,那么您将有一个很好的起点来学习将 SD-WAN 作为 VLAN 上的覆盖。
在 VLAN 上配置 SD-WAN 覆盖时,您需要记住什么?
SD-WAN 不是 VLAN
SD-WAN 设备旨在优先考虑应用程序优先级。根据供应商的不同,它还可能增加 VPN 集中、带宽聚合和货架级防火墙。这与 VLAN 设置的功能不同。
身份访问管理和零信任网络访问解决方案也是完全独立的技术,可以在更高级别解决类似问题。SD-WAN 解决方案不是针对组策略管理实施的,而是针对出口流量效率实施的。在部署 SD-WAN 设备之前,组织应该了解他们的 VLAN 和这些 VLAN 的目标。
端口分配
VLAN 可以分配给 SD-WAN 设备端口。VLAN 端口只能侦听这些 VLAN 上的流量。端口和防火墙必须制定适当的策略以允许流量自由流动。组织还可以选择故障转移端口,因此如果一个 WAN 无法访问,主机之间的流量将流经另一个辅助 WAN。这是一个选择,而不是一个规则。这些端口应该静态配置。
层和层的顺序很重要
在大多数具有 VLAN 和 SD-WAN 的配置中,将创建多个 VLAN。例如,这些 VLAN 将特定于管理与控制/数据。需要在组织的交换机上一一创建第 3 层 VLAN。然后可以实现子接口和桥接接口。每个供应商和后续交换机都有自己的命令语言来创建 VLAN。这些最常见的指向将管理桥接接口的 Linux 服务器。
为什么使用 SD-WAN 作为覆盖?
重要的是要了解,虽然 SD-WAN 解决方案宣传 QoS 类型的功能,但它们实际上并不是大多数 IT 和网络管理员所知道的企业 QoS 服务。在没有专用端口的为网络上保证 QoS 在统计上是不可能的。但这也是 MPLS 和 VLAN 技术与 SD-WAN 相结合的原因。这一切都与用例以及组织试图通过其 IT 投资实现的目标有关。
审核编辑 黄昊宇
全部0条评论
快来发表一下你的评论吧 !