在 MPLS 和 VLAN 環(huán)境中實施 SD-WAN 設(shè)備

在實施軟件定義的廣域網(wǎng) (SD-WAN)拓撲時，大多數(shù) IT組織將使用現(xiàn)有的廣域網(wǎng) (WAN)架構(gòu)，而不是構(gòu)建全新的架構(gòu)。SD-WAN的一個好處是它作為一種覆蓋技術(shù)的靈活性，因此有幾種方法可以在現(xiàn)有網(wǎng)絡(luò)上正確實施它。也就是說，到目前為止，組織已經(jīng)對一些技巧和技巧進行了實戰(zhàn)測試。

讓我們繼續(xù)我們的SD-WAN系列，重點關(guān)注多協(xié)議標簽交換 (MPLS)和虛擬局域網(wǎng) (VLAN)，這兩種最常見的 WAN架構(gòu)。我們將探索 SD-WAN如何增強每個功能并增加更多網(wǎng)絡(luò)管理員、業(yè)務(wù)和最終用戶的好處。

SD-WAN和 MPLS

MPLS是 SD-WAN的鼻祖。通過將服務(wù)質(zhì)量 (QoS)應(yīng)用于大地理區(qū)域內(nèi)不同連接類型和協(xié)議的數(shù)據(jù)包，MPLS幾十年來一直提供有限版本的數(shù)據(jù)優(yōu)先級。SD-WAN所做的是提高這些數(shù)據(jù)包的堆棧排名，以反映一個擁有數(shù)十個應(yīng)用程序的軟件驅(qū)動世界。

大多數(shù)將 MPLS與新的 SD-WAN解決方案保持同步的 IT部門這樣做的原因如下：

出于合規(guī)性和審計目的，MPLS的安全性和對中央安全堆棧的需求對于組織來說仍然很重要。有人可能會爭辯說，基于云的防火墻和云集中式堆棧比現(xiàn)場安全中心更安全。但每家 IT部分都不一樣，我遇到過的IT部門中，數(shù)據(jù)隱私問題和合作伙伴關(guān)系要求基于云的安全性對他們不起作用。

MPLS合同規(guī)模很大，通常涉及多個站點，因此在較長時間內(nèi)錯開 SD-WAN推出和 MPLS停用非常重要。請記住，與 MPLS運營商捆綁的語音服務(wù)可以為保持 MPLS網(wǎng)絡(luò)發(fā)揮作用創(chuàng)造更多動力。

運行 MPLS和 SD-WAN混合環(huán)境的 IT架構(gòu)通常在部署時遵循類似的邏輯。以下是一些最常見的功能。

集線器上的 MPLS

無論集線器站點是總部還是數(shù)據(jù)中心，為了安全起見，總有一個主要受保護的 MPLS 端口進入集線器。這是為了確保數(shù)據(jù)以完整性和優(yōu)先級到達。這些通向集線器的專用線路永遠不會被修剪以支持 SD-WAN連接，除非它們從一開始就沒有真正需要。

留在 MPLS架構(gòu)中的第二個最常見的站點是數(shù)據(jù)堆棧/數(shù)據(jù)中心所在的任何地方。這并不是說 SD-WAN不能存在于集線器上，而是說集線器不會從 MPLS中移除。

更少的端口

MPLS端口很昂貴，并且對于具有混合 SD-WAN部署的 MPLS網(wǎng)絡(luò)上的每個 IP地址都不需要。除了增加的費用外，眾所周知，MPLS端口的配置和擴展速度很慢，有時需要數(shù)周或數(shù)月才能實施或移動、添加、更改、刪除 (MACD)工作。在現(xiàn)代且競爭激烈的 IT環(huán)境中，這種時間框架根本行不通。

帶寬重新分配

例如，曾經(jīng)位于 MPLS電路上的遠程銷售辦公室可以安全地轉(zhuǎn)換為使用 SD-WAN設(shè)備作為其頂部的網(wǎng)絡(luò)控制器的連接。這是因為銷售辦公室沒有存儲任何關(guān)鍵數(shù)據(jù)。關(guān)鍵數(shù)據(jù)存儲在客戶關(guān)系管理器 (CRM)中，該客戶關(guān)系管理器 (CRM)已安裝在另一個軟件提供商的云環(huán)境中。

如果數(shù)據(jù)在傳輸過程中使用 SD-WAN進行加密，并且受到軟件即服務(wù) (SaaS)提供商的靜態(tài)保護，則 IT組織可以擺脫昂貴的專用線路，轉(zhuǎn)而采用更經(jīng)濟的連接。例如，為語音和視頻提供專用連接，并為一般互聯(lián)網(wǎng)瀏覽提供另一個電路。

SD-WAN和 VLAN

VLAN是一種非常流行的網(wǎng)絡(luò)分段形式，它允許管理員執(zhí)行組策略，而無需位于同一地理區(qū)域。VLAN的一個常見用例是獲取 IP網(wǎng)絡(luò)上的所有語音流量并將其分段到 VLAN中，從而減少數(shù)據(jù)包丟失和沖突，此外還有以動態(tài)方式管理用戶、部門和功能的管理員利益.

另一種常見的 VLAN配置是安全且與敏感組織數(shù)據(jù)分開的訪客網(wǎng)絡(luò)。

最后一個常見用例是用于包括視頻和門禁管理的安全系統(tǒng)。事實上，許多組織出于安全目的而不是純粹的功能或管理目的設(shè)置 VLAN。如果您的組織在管理 VLAN上的虛擬專用網(wǎng)絡(luò) (VPN)覆蓋方面有一些歷史，那么您將有一個很好的起點來學(xué)習(xí)將 SD-WAN作為 VLAN上的覆蓋。

在 VLAN上配置 SD-WAN覆蓋時，您需要記住什么？

SD-WAN不是 VLAN

SD-WAN設(shè)備旨在優(yōu)先考慮應(yīng)用程序優(yōu)先級。根據(jù)供應(yīng)商的不同，它還可能增加 VPN集中、帶寬聚合和貨架級防火墻。這與 VLAN設(shè)置的功能不同。

身份訪問管理和零信任網(wǎng)絡(luò)訪問解決方案也是完全獨立的技術(shù)，可以在更高級別解決類似問題。SD-WAN解決方案不是針對組策略管理實施的，而是針對出口流量效率實施的。在部署 SD-WAN設(shè)備之前，組織應(yīng)該了解他們的 VLAN和這些 VLAN的目標。

端口分配

VLAN可以分配給 SD-WAN設(shè)備端口。VLAN端口只能偵聽這些 VLAN上的流量。端口和防火墻必須制定適當?shù)牟呗砸栽试S流量自由流動。組織還可以選擇故障轉(zhuǎn)移端口，因此如果一個 WAN無法訪問，主機之間的流量將流經(jīng)另一個輔助 WAN。這是一個選擇，而不是一個規(guī)則。這些端口應(yīng)該靜態(tài)配置。

層和層的順序很重要

在大多數(shù)具有 VLAN和 SD-WAN的配置中，將創(chuàng)建多個 VLAN。例如，這些 VLAN將特定于管理與控制/數(shù)據(jù)。需要在組織的交換機上一一創(chuàng)建第 3層 VLAN。然后可以實現(xiàn)子接口和橋接接口。每個供應(yīng)商和后續(xù)交換機都有自己的命令語言來創(chuàng)建 VLAN。這些最常見的指向?qū)⒐芾順蚪咏涌诘?Linux服務(wù)器。

為什么使用 SD-WAN作為覆蓋？

重要的是要了解，雖然 SD-WAN解決方案宣傳 QoS類型的功能，但它們實際上并不是大多數(shù) IT和網(wǎng)絡(luò)管理員所知道的企業(yè) QoS服務(wù)。在沒有專用端口的為網(wǎng)絡(luò)上保證 QoS在統(tǒng)計上是不可能的。但這也是 MPLS和 VLAN技術(shù)與 SD-WAN相結(jié)合的原因。這一切都與用例以及組織試圖通過其 IT投資實現(xiàn)的目標有關(guān)。

審核編輯 黃昊宇