本博客由Aruba公司SD-WAN、SD-Branch和用戶體驗研究副總裁兼總經(jīng)理Kishore Seshadri與產(chǎn)品管理***總監(jiān)Ramanan Subramanian共同撰寫。

Gartner《2020年WAN Edge基礎(chǔ)設(shè)施魔力象限》已于近期發(fā)布。近些年來，WAN Edge市場的發(fā)展著實引人注目。在2015年以前，WAN細分市場一直都是一家獨大，而在過去幾年里，WAN細分市場發(fā)生了翻天覆地的變化，而且仍在持續(xù)快速發(fā)展。

Aruba的SD-Branch解決方案在Gartner《2019年WAN Edge基礎(chǔ)設(shè)施魔力象限》中作為利基解決方案亮相，而在 新發(fā)布的Gartner《2020年WAN Edge基礎(chǔ)設(shè)施魔力象限》中，其已經(jīng)躍升至遠見者象限。

自從2018年7月發(fā)布開始，這一路走來真的是不可思議。Aruba SD-Branch解決方案現(xiàn)已被70個和地區(qū)的450多家客戶廣泛采用，其中包含多家服務供應商，以及眾多《財富》500強企業(yè)。我們 大規(guī)模的一些客戶的網(wǎng)絡遍布數(shù)十個的上千站點。

Aruba 近收購了Gartner《 WAN Edge基礎(chǔ)設(shè)施魔力象限》中的Silver Peak，在這一領(lǐng)域的投資增加了一倍。SD-Branch解決方案和Silver Peak解決方案的發(fā)展勢頭良好，借著這一契機，我們來回顧一下Aruba的發(fā)展歷程，了解Branch轉(zhuǎn)型和WAN轉(zhuǎn)型之間的區(qū)別，并對因新冠疫情而改變的市場，以及云安全廠商進軍SD-WAN領(lǐng)域的情況進行預判。

早期SD-WAN激勵因素

我們從2016年年底開始著眼于SD-WAN市場。對于SD-WAN行業(yè)來說，當時還處于初期階段，雖然很多客戶聽說過SD-WAN，但要讓他們放棄雖然昂貴卻久經(jīng)考驗的解決方案（MPLS），轉(zhuǎn)而以互聯(lián)網(wǎng)作為其主要WAN互聯(lián)，而且設(shè)備與服務還要由剛步入這一行業(yè)的新公司來提供，他們還是會心有疑忌。此外，許多客戶還將WAN管理外包給服務提供商。對于自己管理WAN（DIY模式），或者從現(xiàn)有服務供應商處購買新的SD-WAN解決方案（受管理模式）這樣兩種選擇，他們也都會感到不安。

企業(yè)采用SD-WAN的動機列舉如下：

節(jié)約傳輸成本。訪問SaaS及云端服務需要更高的WAN帶寬，順應這一宏觀趨勢，從MPLS轉(zhuǎn)向互聯(lián)網(wǎng)。

節(jié)約運維成本。利用SD-WAN的自動化和簡易性，告別需要復雜的路由器與服務供應商支持協(xié)議且管理起來相當復雜的網(wǎng)絡。
獲得更佳的終端用戶體驗。采用基于SD-WAN應用的策略來對優(yōu)先級進行排序，將“動態(tài)路徑轉(zhuǎn)向（DPS）”、前向糾錯（FEC）等技術(shù)應用于業(yè)務關(guān)鍵型應用，以執(zhí)行路徑調(diào)節(jié)。在

發(fā)展初期，我們曾與60多家客戶溝通，了解其網(wǎng)絡面臨的挑戰(zhàn)。其中許多客戶都是由小型化的中心團隊來管理大型分布式網(wǎng)絡。在溝通過程中，我們了解到讓網(wǎng)絡管理員頭疼的一系列常見問題。

常見挑戰(zhàn)

客戶總是在為WAN感到擔憂，盡管SD-WAN被認為是潛在的能打消他們疑慮的一種解決方案，但是還有其他一些重大的難題是SD-WAN不能解決的。

隨著攝像頭、標牌閱讀器、暖通空調(diào)系統(tǒng)、數(shù)字標牌、以及眾多傳感器等物聯(lián)網(wǎng)設(shè)備的種類激增，利用VLAN進行細分和隔離會變得困難重重。

VLAN的種類也在激增，通常用于細分領(lǐng)域的物聯(lián)網(wǎng)設(shè)備。每一個VLAN對ACL、DHCP范圍與防火墻規(guī)則都有嚴格的要求，策略及安全的配置與執(zhí)行也會變得碎片化。策略及安全配置分布于網(wǎng)絡中的不同組件，會導致問題難以檢測，網(wǎng)絡變得越來越脆弱， 終崩潰。

隨著新型用戶設(shè)備（BYOD）的出現(xiàn)，Wi-Fi連接的日漸普及，客戶端設(shè)備的安全承載能力變得愈發(fā)重要。雖然網(wǎng)絡訪問控制（NAC）解決方案在園區(qū)廣泛部署，但在分支地點卻鮮有部署。

正在迅速轉(zhuǎn)向SaaS及云端的趨勢。與我們溝通過的客戶中，很多使用了“NDC 2020”（到2020年就無需數(shù)據(jù)中心）等術(shù)語。顯而易見，將工作負載遷移到公有云及SaaS的需求將會不斷增加，隨后就需要優(yōu)化這些服務的連接。

同時，連接性和安全性的關(guān)系更加密切，以身份為中心（或以用戶為中心）的策略對東西向及南北向的訪問策略將更加重要。

雖然網(wǎng)絡單元的數(shù)量不是很多，但整體網(wǎng)絡卻已經(jīng)變得復雜，很難在多個管理平臺間排除故障。

與我們溝通過的客戶大多都無法一如既往地衡量自身及其團隊的績效，因為已定義的KPI不足以衡量實際的終端用戶體驗。

后一點也非常重要，當來自各種廠商（有線、無線以及廣域行業(yè)中擁有自己管理平臺的廠商）的設(shè)備種類激增之時，故障排除及跨多個管理界面的監(jiān)控問題也隨之而來。

Aruba另辟蹊徑

我們沒有通過打造獨立的WAN網(wǎng)關(guān)及安全設(shè)備這種單一的方式來解決這些問題，而是打造能夠緊密集成SD-WAN、安全（UTM）以及以用戶為中心的動態(tài)訪問控制策略（SD-LAN）的單一網(wǎng)關(guān)。我們將解決方案命名為“軟件定義分支”（SD-Branch），并使用簡單的等式進行了表達，其中SD-Branch由SD-WAN及SD-LAN構(gòu)成，外圍有著安全保護（Security）：

考慮到行業(yè)轉(zhuǎn)型的速度，我們決定只提供一個建立在Aruba Central上的云管理解決方案。我們意識到有些客戶不喜歡云管理，而喜歡本地管理解決方案。然而，大型云供應商能夠提供更好的SLA，其安全等級更高、部署更快、范圍更有彈性，而且連接功能更豐富，這些事實都對我們的決策產(chǎn)生了巨大的影響。

我們還引入了日后能夠頻繁升級和修復的新技術(shù)，這兩種技術(shù)在云管理模型中都更容易實現(xiàn)。除了向云計算的宏觀轉(zhuǎn)變，上述因素促使我們相信，專注于云計算解決方案，對于客戶和Aruba都是 好的選擇。

云解決方案Aruba Central幫助我們在一系列問題上為客戶提供真正的零接觸體驗：從帳戶注冊到設(shè)備注冊再到許可證管理。它還幫助管理員跳過了啟動虛擬機、并在數(shù)據(jù)中心部署冗余管理基礎(chǔ)設(shè)施的步驟。通過API與云提供商和云托管安全廠商進行整合，我們還能夠在保留安全模型的同時，提供更為簡便的管理員體驗。

Aruba擁有業(yè)界的無線（Wi-Fi）和有線（交換機）產(chǎn)品組合。安全網(wǎng)關(guān)的引入，使客戶通過一個界面（即Aruba Central），就能管理全棧解決方案（有線、無線、WAN和安全）。有了這樣的解決方案，網(wǎng)絡管理員可以定位問題客戶，并對數(shù)據(jù)包路徑進行跟蹤——從客戶端到訪問元素，跨越整個SD-WAN架構(gòu)，至數(shù)據(jù)中心或云端的工作負載，而這在使用多個傳統(tǒng)的管理平臺時會困難重重。這樣一來，就可以對用戶體驗進行端到端監(jiān)控，并快速修復問題。

云管理解決方案的另一個優(yōu)勢是，該解決方案內(nèi)置了分析功能，管理員可查看時間序列儀表板、獲取基線趨勢和網(wǎng)絡中的集群信息，并分析跨站點的應用程序性能。云端的彈性計算可結(jié)合跨客戶分析功能，使我們能夠利用大型數(shù)據(jù)集，開發(fā)人工智能及機器學習工具。

戰(zhàn)勝艱巨的挑戰(zhàn)
要實現(xiàn)這種解決方案，需要克服許多重大的技術(shù)障礙， 大的障礙在于構(gòu)建集中式云原生控制平面。當時，我們 大的客戶之一希望在單一網(wǎng)絡上部署15000多個網(wǎng)關(guān)，還有其他一些客戶想要在數(shù)千處地點部署。我們也有一些服務提供商計劃在多個租戶之間部署數(shù)以萬計的網(wǎng)關(guān)。

更為復雜的是，SD-Branch解決方案不僅要求管理平臺存儲 WAN 網(wǎng)關(guān)狀態(tài)，而且還要存儲 AP、交換機和客戶端狀態(tài)，比當時業(yè)界廣泛使用的 先進的SD-WAN解決方案還要大兩到三個數(shù)量級。這需要對云端的IPSec/DMVPN以及BGP進行全方位重構(gòu)，讓這些子系統(tǒng)可水平擴展且適用于多租戶（針對服務提供商客戶），同時保持彈性并能夠利用云提供的彈性。

工程團隊的明確任務目標是：讓客戶在必要的時候，能夠在一夜之間將其網(wǎng)關(guān)規(guī)模擴展到數(shù)千處站點，而無需與Aruba進行任何協(xié)調(diào)，也無需擔心控制平面是否能夠滿足其要求。具體來說，一個客戶可能會每晚打開數(shù)百個站點（就像我們的一些客戶那樣），數(shù)百個客戶也可能同時打開數(shù)十個站點（略有不同的工程問題）。此外，需要讓用戶操作變得更加便捷，這一點也同樣重要，用戶只需單擊幾下即可配置WAN拓撲，并在其網(wǎng)絡中實現(xiàn)該拓撲功能。

2019年年中，我們推出了云控制平面，此后也一直不斷前行?，F(xiàn)有客戶紛紛轉(zhuǎn)而采用該平面，新客戶也從一開始就很輕松地接受了該平面。自云控制平面推出以來，我們擴展了其功能，通過內(nèi)置的環(huán)路防護功能，構(gòu)建了具有必要動態(tài)路由構(gòu)造的自動網(wǎng)格?？蛻衄F(xiàn)在可在數(shù)千個站點上運行SD-WAN，這些站點上均配備了精心設(shè)計的隧道和路由。

網(wǎng)絡重心--云
我們與公有云提供商合作，這些提供商正在大力擴展其網(wǎng)絡功能，包括AWS傳輸網(wǎng)關(guān)和Azure vWAN。同時我們也意識到，公有云中的網(wǎng)絡正成為許多客戶的網(wǎng)絡重心。云世界高度依賴可編程構(gòu)造，以期實現(xiàn)高度自動化。

例如，虛擬私有云無法進入第二個可用性區(qū)域。在云提供商的世界中，這種故障不是通過路由協(xié)議發(fā)現(xiàn)的，而是通過API發(fā)現(xiàn)的。我們沒有強迫網(wǎng)絡管理員學習這些新的公有云結(jié)構(gòu)，我們意識到很重要的一點是，網(wǎng)絡管理員需要經(jīng)歷很多步驟，在AWS、Azure或GCP中部署虛擬網(wǎng)關(guān)，以將其SD-WAN結(jié)構(gòu)擴展到其公有云，而自動執(zhí)行這些步驟，就能化繁為簡。

隨著SaaS普及率的提高，對于SaaS流量性能以及SaaS流量優(yōu)化功能的可見性，我們客戶的要求越來越高。通過與本地Microsoft Office 365 API的集成，以及對關(guān)鍵SaaS應用程序執(zhí)行首包分類功能，我們努力優(yōu)化跨多WAN路徑的SaaS流量，以提升對SaaS流量性能的可見性，并提升終端用戶體驗。

解決SD-Branch的獨特挑戰(zhàn)

解決WAN問題需要進行大量的工作，同時，網(wǎng)絡在LAN的層面又提出了一組有待解決的獨特問題。SD-Branch解決方案的一個主要區(qū)別在于，它允許管理員定義以用戶為中心的策略。這就要求網(wǎng)關(guān)去了解網(wǎng)絡上分配給客戶端的身份和角色。

我們采用了對網(wǎng)關(guān)與NAC策略引擎（例如Aruba ClearPass Policy Manager甚至Cisco ISE）的RADIUS交互進行偵聽的方法。可在身份驗證時，輕松地將真正 終用戶的“員工”或“訪客”等用戶角色或無頭設(shè)備的“攝像頭”或“打印機”等角色分配給各種端點。角色本身是由策略引擎派生的，該策略引擎會對加入網(wǎng)絡的設(shè)備進行身份驗證和文件配置。用戶角色使管理員可以用類似英語的術(shù)語，定義簡單且以用戶為中心的策略，例如：

“安全”角色可與“攝像頭”角色通信，從而允許實際安全團隊監(jiān)控攝像頭，但不允許攝像頭惡意軟件訪問網(wǎng)絡的任何其他部分

“員工”角色可與“打印機”角色通信

利用SD-WAN應用程序SLA策略來確定“員工”角色語音流量的優(yōu)先級

“訪客”角色用戶的流量應限制帶寬，并通過隧道分離的形式導向互聯(lián)網(wǎng)

這些策略不需要指定IP地址或VLAN（虛擬局域網(wǎng)），但是它們是完全動態(tài)的，因其可簡單地引用用戶角色且可在全球網(wǎng)絡范圍內(nèi)進行一次性定義，從而使IT團隊從指定靜態(tài)IP地址的舊環(huán)境束縛中解放出來，將設(shè)備固定到特定VLAN，并定義引用這些靜態(tài)屬性的ACL和防火墻規(guī)則。角色在NAC系統(tǒng)的單一位置定義，且?guī)缀踉谒械胤蕉嫉玫搅思磿r引用和執(zhí)行。這也消除了VLAN作為完成隔離、實現(xiàn)安全性和貫徹策略的手段，并可能導致網(wǎng)絡的扁平化。

該功能推動著網(wǎng)絡管理和操作方式發(fā)生了驚人的轉(zhuǎn)變。我們相信，這種以用戶為中心的原則是零信任網(wǎng)絡的重要組成部分，是實現(xiàn)安全架構(gòu)必不可少的。為進一步增強南北向安全和東西向安全，我們在網(wǎng)關(guān)中新增了IDS/IPS（入侵檢測系統(tǒng)/入侵防御系統(tǒng)）功能，將這兩種系統(tǒng)的遙測數(shù)據(jù)與端點標識信息相結(jié)合，再次簡化了網(wǎng)絡和安全操作。其中每項功能均由Aruba Central全權(quán)管理。

在網(wǎng)關(guān)方面，我們意識到自己必須為企業(yè)網(wǎng)絡中的不同地點提供一系列硬件和軟件網(wǎng)關(guān)設(shè)備。SD-Branch網(wǎng)關(guān)產(chǎn)品組合涵蓋很廣——從通常部署在數(shù)據(jù)中心前端的40 Gbps設(shè)備，到部署在分支機構(gòu)位置且集成4G/LTE的4 Gbps設(shè)備。由于互聯(lián)網(wǎng)速度大約每三年翻一番，我們清楚網(wǎng)絡中部署的網(wǎng)關(guān)必須具備長久的使用壽命。

因此，我們甚至用4 Gbps的防火墻吞吐量，構(gòu)建了 低端的分支網(wǎng)關(guān)，并啟用了所有關(guān)鍵功能（例如應用程序分類和IPSec加密）。對于視成本為主要因素的小型站點（比如臨時位置和遠程工作人員），我們推出了一個微分支解決方案，提供集成式AP+網(wǎng)關(guān)應用，在接入點中嵌入虛擬網(wǎng)關(guān)功能。這些站點雖然很小，但仍需要同等的企業(yè)級體驗，讓用戶能夠安全地連接到企業(yè)SSID，并通過專用VPN去訪問應用程序。

疫情期間，微分支解決方案已被證明對我們的許多客戶至關(guān)重要，他們廣泛部署了該解決方案，并有效地將家中的辦公環(huán)境轉(zhuǎn)變?yōu)榕c辦公室非常相似的環(huán)境。我們還在公有云中構(gòu)建了各種規(guī)格的虛擬頭端，虛擬網(wǎng)關(guān)從500Mbps至4 Gbps不等。

不斷推進WAN轉(zhuǎn)型升級

WAN Edge市場龐大而多樣。雖然我們通過Aruba SD-Branch在很短的時間內(nèi)取得了很大的成就，但我們也認識到，要滿足這一廣闊市場的所有需求，還需要投入相當多的時間和精力。當一部分細分市場尋求改變整體分支網(wǎng)絡時，另有很大一部分的客戶群純粹專注于WAN的轉(zhuǎn)型升級，在SD-WAN和WAN優(yōu)化方面提出了很高的需求。我們 近收購的Silver Peak幫助我們滿足了WAN轉(zhuǎn)型客戶的需求，并完善了我們的產(chǎn)品組合。

雖然我們在很短的時間內(nèi)就取得了巨大的進步，但我們感覺一切才剛開始。我們?nèi)缃衽c客戶的對話不再是關(guān)于“我應該做SD-WAN嗎?”，而是關(guān)于“我應該如何做好SD-WAN?”或者“如何簡化分支?”。隨著Silver Peak和SD-Branch解決方案加入我們的產(chǎn)品組合中，我們發(fā)現(xiàn)了許多振奮人心的機遇。我們會把握這些機遇，在未來幾年內(nèi)持續(xù)完善這兩種解決方案，實現(xiàn)令人振奮的創(chuàng)新。Silver Peak和SD-Branch在Gartner WAN魔力象限的位置反應了Aruba的飛速發(fā)展!