了解SD-WAN：优点和局限性

‍SD-WAN是广域网中的重大发展，并且是首个获得广泛部署的SDN技术。

但是，人们过度期望它可以为企业IT通信的各个方面提供全视角和全控制能力，这使它们的实用性变得模糊不清。

重要的是了解SD-WAN的功能，以便可以有效地规划WAN现代化。

什么是WAN？

在过去，所有用户都在办公室里，所有应用程序都驻留在本地数据中心中。WAN非常简单，它将所有这些连接在一起，并包括SLA随附的本地路由器和运营商服务。

如今，随着SaaS的采用，几乎所有在IaaS云中构建的新企业应用程序，向直接互联网访问（DIA）的转变以及几乎无处不在地使用基于云的API端点作为甚至本地应用程序的组成部分，WAN的范围越来越广。

如今，互联网直接承载着所有企业流量中的大部分。

整个互联网本质上与传统WAN根本不同，它不是一项契约服务，而是一个由成千上万个网络组成的共享公共域，这些网络通过脆弱的隐含信任链保持在一起，最明显的是通过全球BGP生存路由表和域名服务。

对于企业而言，有许多服务依赖项仅存在于互联网上，例如CDN，安全提供程序（DDOS，SWG）以及上述的IaaS，SaaS和云API。使企业流量通过互联网到达或通过这些服务依赖关系中的任何一个，都涉及到联系的ISP以及企业无法与之进行合同访问的许多其他传输ISP。

因此，我们可以将企业通信视为包含两个不同的管理域。

第一个是本地网络设备和站点间链接的内部WAN域，它们是MPLS或IP-隧道。另一个是基于互联网的外部域，如上所述，其中的实时网络，基础结构，服务和应用程序既不由IT团队拥有也不直接由IT团队控制。

‍

SD-WAN实际上可以看到和控制什么？

SD-WAN通过为路由策略带来更高程度的集中式协调和控制来解决WAN的内部管理域。这是通过将支持物理或虚拟SD-WAN的路由器放置在IT团队控制的环境中来实现的，例如数据中心，分支机构和云VPC。

SD-WAN将单个分支/ WAN边缘路由器上的路由策略的所有手动配置拉入可在全球范围内设置策略的集中式SD-WAN控制器中。SD-WAN允许您为各种应用程序配置首选路径。例如，可以通过MPLS电路控制VoIP流，而可以通过IP-隧道控制不太敏感的应用程序。

许多SD-WAN解决方案都包含一些基本的应用程序性能评估，以便它们可以响应相关的网络性能问题。例如，如果Webex通过分支DIA管道运行不佳，则SD-WAN解决方案可以将流量从DIA管道引开，并通过IP-回程隧道将其带到数据中心的集中式互联网分支。

SD-WAN管理性能的好处之一是，它们可以帮助您增加互联网带宽的按比例使用。

SD-WAN无法看到和控制的内容

当涉及现代企业通信的外部部分时，SD-WAN未能发现该域的绝大部分。

例如，以加密IP-隧道为例，在分支机构和数据中心之间，或在数据中心和IaaS VPC之间传输互联网。尽管从SD-WAN路由器的角度来看，该隧道似乎只是一个跃点，但实际上，隧道流量可能正在传递十几个或更多的路由器和多个独立的网络组织（以BGP的自治系统来说）。如果通过隧道的性能不及标准，仅知道二进制的好/坏状态对于网络操作人员来说是不够的，他们必须解决问题。

SD-WAN不会收集有关互联网路由表，自治系统，跨互联网路径的逐跳指标的任何信息，以及SD-WAN控制器权限范围之外的所有网络基础架构。没有这种智能，SD-WAN将无法帮助解决该领域的问题。没有详细的见解，您甚至无法确定问题所在是互联网中的哪个网络组织，更不用说特定的路由器和错误指标了。

这是另一种情况：分支机构的DIA，用于将用户连接到SaaS提供商。该流量首先通过GRE隧道从分支路由器（传输多个ISP和路由器）到安全Web网关（SWG）提供程序的数据中心。在安全代理服务器检查了流量之后，流量将退出SWG数据中心，并采用互联网规定的多个SaaS提供商中的任何一条路径。每个SaaS提供商都具有不同的交付体系结构，可能是专有的或多个商业CDN中的一个在前端，或者可能是前门数据中心在没有CDN的情况下交付给另一大洲的指定数据中心实例。同样，SD-WAN无法提供对交付链中这些组件的任何可见性或任何控制权。

为什么外部域如此重要

列举SD-WAN无法管理的现代企业IT通信的所有部分，并不是要减少SD-WAN的优势。而是要突出外部域的增长和重要性。您的数字业务，品牌声誉，员工生产力和收入都完全取决于外部提供商，网络和服务。您（也不是SD-WAN）都无法控制这些资源这一事实并不能使您摆脱业务成果的束缚。

在缺乏控制的情况下，可见性是关键。随着SD-WAN不断发展，将实现WAN现代化所需的总体可见性。