Aruba通(tōng)過WAN Edge（廣域網邊緣市場）實現其願景

本博客由Aruba公司SD-WAN、SD-Branch和(hé)用(yòng)戶體驗研究副總裁兼總經理(lǐ)Kishore Seshadri與産品管理(lǐ)***總監Ramanan Subramanian共同撰寫。

Gartner《2020年WAN Edge基礎設施魔力象限》已于近期發布。近些年來，WAN Edge市場的(de)發展著(zhe)實引人(rén)注目。在2015年以前，WAN細分(fēn)市場一直都是一家獨大(dà)，而在過去幾年裏，WAN細分(fēn)市場發生了(le)翻天覆地的(de)變化(huà)，而且仍在持續快(kuài)速發展。

Aruba的(de)SD-Branch解決方案在Gartner《2019年WAN Edge基礎設施魔力象限》中作爲利基解決方案亮相，而在 新發布的(de)Gartner《2020年WAN Edge基礎設施魔力象限》中，其已經躍升至遠見者象限。

自從2018年7月(yuè)發布開始，這一路走來真的(de)是不可(kě)思議。Aruba SD-Branch解決方案現已被70個和(hé)地區的(de)450多(duō)家客戶廣泛采用(yòng)，其中包含多(duō)家服務供應商，以及衆多(duō)《财富》500強企業。我們 大(dà)規模的(de)一些客戶的(de)網絡遍布數十個的(de)上千站點。

Aruba 近收購了(le)Gartner《 WAN Edge基礎設施魔力象限》中的(de)Silver Peak，在這一領域的(de)投資增加了(le)一倍。SD-Branch解決方案和(hé)Silver Peak解決方案的(de)發展勢頭良好，借著(zhe)這一契機，我們來回顧一下(xià)Aruba的(de)發展曆程，了(le)解Branch轉型和(hé)WAN轉型之間的(de)區别，并對因新冠疫情而改變的(de)市場，以及雲安全廠商進軍SD-WAN領域的(de)情況進行預判。

早期SD-WAN激勵因素

我們從2016年年底開始著(zhe)眼于SD-WAN市場。對于SD-WAN行業來說，當時還處于初期階段，雖然很多(duō)客戶聽說過SD-WAN，但要讓他(tā)們放棄雖然昂貴卻久經考驗的(de)解決方案（MPLS），轉而以互聯網作爲其主要WAN互聯，而且設備與服務還要由剛步入這一行業的(de)新公司來提供，他(tā)們還是會心有疑忌。此外，許多(duō)客戶還将WAN管理(lǐ)外包給服務提供商。對于自己管理(lǐ)WAN（DIY模式），或者從現有服務供應商處購買新的(de)SD-WAN解決方案（受管理(lǐ)模式）這樣兩種選擇，他(tā)們也(yě)都會感到不安。

企業采用(yòng)SD-WAN的(de)動機列舉如下(xià)：

節約傳輸成本。訪問SaaS及雲端服務需要更高(gāo)的(de)WAN帶寬，順應這一宏觀趨勢，從MPLS轉向互聯網。

節約運維成本。利用(yòng)SD-WAN的(de)自動化(huà)和(hé)簡易性，告别需要複雜的(de)路由器與服務供應商支持協議且管理(lǐ)起來相當複雜的(de)網絡。
獲得(de)更佳的(de)終端用(yòng)戶體驗。采用(yòng)基于SD-WAN應用(yòng)的(de)策略來對優先級進行排序，将“動态路徑轉向（DPS）”、前向糾錯（FEC）等技術應用(yòng)于業務關鍵型應用(yòng)，以執行路徑調節。在

發展初期，我們曾與60多(duō)家客戶溝通(tōng)，了(le)解其網絡面臨的(de)挑戰。其中許多(duō)客戶都是由小型化(huà)的(de)中心團隊來管理(lǐ)大(dà)型分(fēn)布式網絡。在溝通(tōng)過程中，我們了(le)解到讓網絡管理(lǐ)員頭疼的(de)一系列常見問題。

常見挑戰

客戶總是在爲WAN感到擔憂，盡管SD-WAN被認爲是潛在的(de)能打消他(tā)們疑慮的(de)一種解決方案，但是還有其他(tā)一些重大(dà)的(de)難題是SD-WAN不能解決的(de)。

随著(zhe)攝像頭、标牌閱讀器、暖通(tōng)空調系統、數字标牌、以及衆多(duō)傳感器等物(wù)聯網設備的(de)種類激增，利用(yòng)VLAN進行細分(fēn)和(hé)隔離會變得(de)困難重重。

VLAN的(de)種類也(yě)在激增，通(tōng)常用(yòng)于細分(fēn)領域的(de)物(wù)聯網設備。每一個VLAN對ACL、DHCP範圍與防火牆規則都有嚴格的(de)要求，策略及安全的(de)配置與執行也(yě)會變得(de)碎片化(huà)。策略及安全配置分(fēn)布于網絡中的(de)不同組件，會導緻問題難以檢測，網絡變得(de)越來越脆弱， 終崩潰。

随著(zhe)新型用(yòng)戶設備（BYOD）的(de)出現，Wi-Fi連接的(de)日漸普及，客戶端設備的(de)安全承載能力變得(de)愈發重要。雖然網絡訪問控制（NAC）解決方案在園區廣泛部署，但在分(fēn)支地點卻鮮有部署。

正在迅速轉向SaaS及雲端的(de)趨勢。與我們溝通(tōng)過的(de)客戶中，很多(duō)使用(yòng)了(le)“NDC 2020”（到2020年就無需數據中心）等術語。顯而易見，将工作負載遷移到公有雲及SaaS的(de)需求将會不斷增加，随後就需要優化(huà)這些服務的(de)連接。

同時，連接性和(hé)安全性的(de)關系更加密切，以身份爲中心（或以用(yòng)戶爲中心）的(de)策略對東西向及南(nán)北(běi)向的(de)訪問策略将更加重要。

雖然網絡單元的(de)數量不是很多(duō)，但整體網絡卻已經變得(de)複雜，很難在多(duō)個管理(lǐ)平台間排除故障。

與我們溝通(tōng)過的(de)客戶大(dà)多(duō)都無法一如既往地衡量自身及其團隊的(de)績效，因爲已定義的(de)KPI不足以衡量實際的(de)終端用(yòng)戶體驗。

後一點也(yě)非常重要，當來自各種廠商（有線、無線以及廣域行業中擁有自己管理(lǐ)平台的(de)廠商）的(de)設備種類激增之時，故障排除及跨多(duō)個管理(lǐ)界面的(de)監控問題也(yě)随之而來。

Aruba另辟蹊徑

我們沒有通(tōng)過打造獨立的(de)WAN網關及安全設備這種單一的(de)方式來解決這些問題，而是打造能夠緊密集成SD-WAN、安全（UTM）以及以用(yòng)戶爲中心的(de)動态訪問控制策略（SD-LAN）的(de)單一網關。我們将解決方案命名爲“軟件定義分(fēn)支”（SD-Branch），并使用(yòng)簡單的(de)等式進行了(le)表達，其中SD-Branch由SD-WAN及SD-LAN構成，外圍有著(zhe)安全保護（Security）：

考慮到行業轉型的(de)速度，我們決定隻提供一個建立在Aruba Central上的(de)雲管理(lǐ)解決方案。我們意識到有些客戶不喜歡雲管理(lǐ)，而喜歡本地管理(lǐ)解決方案。然而，大(dà)型雲供應商能夠提供更好的(de)SLA，其安全等級更高(gāo)、部署更快(kuài)、範圍更有彈性，而且連接功能更豐富，這些事實都對我們的(de)決策産生了(le)巨大(dà)的(de)影(yǐng)響。

我們還引入了(le)日後能夠頻繁升級和(hé)修複的(de)新技術，這兩種技術在雲管理(lǐ)模型中都更容易實現。除了(le)向雲計算(suàn)的(de)宏觀轉變，上述因素促使我們相信，專注于雲計算(suàn)解決方案，對于客戶和(hé)Aruba都是 好的(de)選擇。

雲解決方案Aruba Central幫助我們在一系列問題上爲客戶提供真正的(de)零接觸體驗：從帳戶注冊到設備注冊再到許可(kě)證管理(lǐ)。它還幫助管理(lǐ)員跳過了(le)啓動虛拟機、并在數據中心部署冗餘管理(lǐ)基礎設施的(de)步驟。通(tōng)過API與雲提供商和(hé)雲托管安全廠商進行整合，我們還能夠在保留安全模型的(de)同時，提供更爲簡便的(de)管理(lǐ)員體驗。

Aruba擁有業界的(de)無線（Wi-Fi）和(hé)有線（交換機）産品組合。安全網關的(de)引入，使客戶通(tōng)過一個界面（即Aruba Central），就能管理(lǐ)全棧解決方案（有線、無線、WAN和(hé)安全）。有了(le)這樣的(de)解決方案，網絡管理(lǐ)員可(kě)以定位問題客戶，并對數據包路徑進行跟蹤——從客戶端到訪問元素，跨越整個SD-WAN架構，至數據中心或雲端的(de)工作負載，而這在使用(yòng)多(duō)個傳統的(de)管理(lǐ)平台時會困難重重。這樣一來，就可(kě)以對用(yòng)戶體驗進行端到端監控，并快(kuài)速修複問題。

雲管理(lǐ)解決方案的(de)另一個優勢是，該解決方案内置了(le)分(fēn)析功能，管理(lǐ)員可(kě)查看時間序列儀表闆、獲取基線趨勢和(hé)網絡中的(de)集群信息，并分(fēn)析跨站點的(de)應用(yòng)程序性能。雲端的(de)彈性計算(suàn)可(kě)結合跨客戶分(fēn)析功能，使我們能夠利用(yòng)大(dà)型數據集，開發人(rén)工智能及機器學習工具。

戰勝艱巨的(de)挑戰
要實現這種解決方案，需要克服許多(duō)重大(dà)的(de)技術障礙， 大(dà)的(de)障礙在于構建集中式雲原生控制平面。當時，我們 大(dà)的(de)客戶之一希望在單一網絡上部署15000多(duō)個網關，還有其他(tā)一些客戶想要在數千處地點部署。我們也(yě)有一些服務提供商計劃在多(duō)個租戶之間部署數以萬計的(de)網關。

更爲複雜的(de)是，SD-Branch解決方案不僅要求管理(lǐ)平台存儲 WAN 網關狀态，而且還要存儲 AP、交換機和(hé)客戶端狀态，比當時業界廣泛使用(yòng)的(de) 先進的(de)SD-WAN解決方案還要大(dà)兩到三個數量級。這需要對雲端的(de)IPSec/DMVPN以及BGP進行全方位重構，讓這些子系統可(kě)水(shuǐ)平擴展且适用(yòng)于多(duō)租戶（針對服務提供商客戶），同時保持彈性并能夠利用(yòng)雲提供的(de)彈性。

工程團隊的(de)明(míng)确任務目标是：讓客戶在必要的(de)時候，能夠在一夜之間将其網關規模擴展到數千處站點，而無需與Aruba進行任何協調，也(yě)無需擔心控制平面是否能夠滿足其要求。具體來說，一個客戶可(kě)能會每晚打開數百個站點（就像我們的(de)一些客戶那樣），數百個客戶也(yě)可(kě)能同時打開數十個站點（略有不同的(de)工程問題）。此外，需要讓用(yòng)戶操作變得(de)更加便捷，這一點也(yě)同樣重要，用(yòng)戶隻需單擊幾下(xià)即可(kě)配置WAN拓撲，并在其網絡中實現該拓撲功能。

2019年年中，我們推出了(le)雲控制平面，此後也(yě)一直不斷前行。現有客戶紛紛轉而采用(yòng)該平面，新客戶也(yě)從一開始就很輕松地接受了(le)該平面。自雲控制平面推出以來，我們擴展了(le)其功能，通(tōng)過内置的(de)環路防護功能，構建了(le)具有必要動态路由構造的(de)自動網格。客戶現在可(kě)在數千個站點上運行SD-WAN，這些站點上均配備了(le)精心設計的(de)隧道和(hé)路由。

網絡重心--雲
我們與公有雲提供商合作，這些提供商正在大(dà)力擴展其網絡功能，包括AWS傳輸網關和(hé)Azure vWAN。同時我們也(yě)意識到，公有雲中的(de)網絡正成爲許多(duō)客戶的(de)網絡重心。雲世界高(gāo)度依賴可(kě)編程構造，以期實現高(gāo)度自動化(huà)。

例如，虛拟私有雲無法進入第二個可(kě)用(yòng)性區域。在雲提供商的(de)世界中，這種故障不是通(tōng)過路由協議發現的(de)，而是通(tōng)過API發現的(de)。我們沒有強迫網絡管理(lǐ)員學習這些新的(de)公有雲結構，我們意識到很重要的(de)一點是，網絡管理(lǐ)員需要經曆很多(duō)步驟，在AWS、Azure或GCP中部署虛拟網關，以将其SD-WAN結構擴展到其公有雲，而自動執行這些步驟，就能化(huà)繁爲簡。

随著(zhe)SaaS普及率的(de)提高(gāo)，對于SaaS流量性能以及SaaS流量優化(huà)功能的(de)可(kě)見性，我們客戶的(de)要求越來越高(gāo)。通(tōng)過與本地Microsoft Office 365 API的(de)集成，以及對關鍵SaaS應用(yòng)程序執行首包分(fēn)類功能，我們努力優化(huà)跨多(duō)WAN路徑的(de)SaaS流量，以提升對SaaS流量性能的(de)可(kě)見性，并提升終端用(yòng)戶體驗。

解決SD-Branch的(de)獨特挑戰

解決WAN問題需要進行大(dà)量的(de)工作，同時，網絡在LAN的(de)層面又提出了(le)一組有待解決的(de)獨特問題。SD-Branch解決方案的(de)一個主要區别在于，它允許管理(lǐ)員定義以用(yòng)戶爲中心的(de)策略。這就要求網關去了(le)解網絡上分(fēn)配給客戶端的(de)身份和(hé)角色。

我們采用(yòng)了(le)對網關與NAC策略引擎（例如Aruba ClearPass Policy Manager甚至Cisco ISE）的(de)RADIUS交互進行偵聽的(de)方法。可(kě)在身份驗證時，輕松地将真正 終用(yòng)戶的(de)“員工”或“訪客”等用(yòng)戶角色或無頭設備的(de)“攝像頭”或“打印機”等角色分(fēn)配給各種端點。角色本身是由策略引擎派生的(de)，該策略引擎會對加入網絡的(de)設備進行身份驗證和(hé)文件配置。用(yòng)戶角色使管理(lǐ)員可(kě)以用(yòng)類似英語的(de)術語，定義簡單且以用(yòng)戶爲中心的(de)策略，例如：

“安全”角色可(kě)與“攝像頭”角色通(tōng)信，從而允許實際安全團隊監控攝像頭，但不允許攝像頭惡意軟件訪問網絡的(de)任何其他(tā)部分(fēn)

“員工”角色可(kě)與“打印機”角色通(tōng)信

利用(yòng)SD-WAN應用(yòng)程序SLA策略來确定“員工”角色語音(yīn)流量的(de)優先級

“訪客”角色用(yòng)戶的(de)流量應限制帶寬，并通(tōng)過隧道分(fēn)離的(de)形式導向互聯網

這些策略不需要指定IP地址或VLAN（虛拟局域網），但是它們是完全動态的(de)，因其可(kě)簡單地引用(yòng)用(yòng)戶角色且可(kě)在全球網絡範圍内進行一次性定義，從而使IT團隊從指定靜态IP地址的(de)舊環境束縛中解放出來，将設備固定到特定VLAN，并定義引用(yòng)這些靜态屬性的(de)ACL和(hé)防火牆規則。角色在NAC系統的(de)單一位置定義，且幾乎在所有地方都得(de)到了(le)即時引用(yòng)和(hé)執行。這也(yě)消除了(le)VLAN作爲完成隔離、實現安全性和(hé)貫徹策略的(de)手段，并可(kě)能導緻網絡的(de)扁平化(huà)。

該功能推動著(zhe)網絡管理(lǐ)和(hé)操作方式發生了(le)驚人(rén)的(de)轉變。我們相信，這種以用(yòng)戶爲中心的(de)原則是零信任網絡的(de)重要組成部分(fēn)，是實現安全架構必不可(kě)少的(de)。爲進一步增強南(nán)北(běi)向安全和(hé)東西向安全，我們在網關中新增了(le)IDS/IPS（入侵檢測系統/入侵防禦系統）功能，将這兩種系統的(de)遙測數據與端點标識信息相結合，再次簡化(huà)了(le)網絡和(hé)安全操作。其中每項功能均由Aruba Central全權管理(lǐ)。

在網關方面，我們意識到自己必須爲企業網絡中的(de)不同地點提供一系列硬件和(hé)軟件網關設備。SD-Branch網關産品組合涵蓋很廣——從通(tōng)常部署在數據中心前端的(de)40 Gbps設備，到部署在分(fēn)支機構位置且集成4G/LTE的(de)4 Gbps設備。由于互聯網速度大(dà)約每三年翻一番，我們清楚網絡中部署的(de)網關必須具備長久的(de)使用(yòng)壽命。

因此，我們甚至用(yòng)4 Gbps的(de)防火牆吞吐量，構建了(le) 低端的(de)分(fēn)支網關，并啓用(yòng)了(le)所有關鍵功能（例如應用(yòng)程序分(fēn)類和(hé)IPSec加密）。對于視成本爲主要因素的(de)小型站點（比如臨時位置和(hé)遠程工作人(rén)員），我們推出了(le)一個微分(fēn)支解決方案，提供集成式AP+網關應用(yòng)，在接入點中嵌入虛拟網關功能。這些站點雖然很小，但仍需要同等的(de)企業級體驗，讓用(yòng)戶能夠安全地連接到企業SSID，并通(tōng)過專用(yòng)VPN去訪問應用(yòng)程序。

疫情期間，微分(fēn)支解決方案已被證明(míng)對我們的(de)許多(duō)客戶至關重要，他(tā)們廣泛部署了(le)該解決方案，并有效地将家中的(de)辦公環境轉變爲與辦公室非常相似的(de)環境。我們還在公有雲中構建了(le)各種規格的(de)虛拟頭端，虛拟網關從500Mbps至4 Gbps不等。

不斷推進WAN轉型升級

WAN Edge市場龐大(dà)而多(duō)樣。雖然我們通(tōng)過Aruba SD-Branch在很短的(de)時間内取得(de)了(le)很大(dà)的(de)成就，但我們也(yě)認識到，要滿足這一廣闊市場的(de)所有需求，還需要投入相當多(duō)的(de)時間和(hé)精力。當一部分(fēn)細分(fēn)市場尋求改變整體分(fēn)支網絡時，另有很大(dà)一部分(fēn)的(de)客戶群純粹專注于WAN的(de)轉型升級，在SD-WAN和(hé)WAN優化(huà)方面提出了(le)很高(gāo)的(de)需求。我們 近收購的(de)Silver Peak幫助我們滿足了(le)WAN轉型客戶的(de)需求，并完善了(le)我們的(de)産品組合。

雖然我們在很短的(de)時間内就取得(de)了(le)巨大(dà)的(de)進步，但我們感覺一切才剛開始。我們如今與客戶的(de)對話不再是關于“我應該做(zuò)SD-WAN嗎?”，而是關于“我應該如何做(zuò)好SD-WAN?”或者“如何簡化(huà)分(fēn)支?”。随著(zhe)Silver Peak和(hé)SD-Branch解決方案加入我們的(de)産品組合中，我們發現了(le)許多(duō)振奮人(rén)心的(de)機遇。我們會把握這些機遇，在未來幾年内持續完善這兩種解決方案，實現令人(rén)振奮的(de)創新。Silver Peak和(hé)SD-Branch在Gartner WAN魔力象限的(de)位置反應了(le)Aruba的(de)飛速發展!