深信服SD-WAN解决方案测评分析

#

随着5G、云计算、大数据等数字化技术的迅速发展,企业业务发生深刻变革,对企业广域网提出了更高的需求。深信服自主研发的SD-WAN解决方案,通过智能选路、链路优化、易部署和安全防护等核心技术,助力企业构建性能卓越、易运维管理、安全合规的新一代广域网,有效支撑企业数字化业务需求。

一、背景

(一)业务变革导致广域网压力骤增

1. 流量激增,带宽需求高涨

随着5G商用和各类数字化技术进步,高清视频会议、AR/VR、工业互联网、自动驾驶等新型带宽密集型应用快速增加,导致企业的网络流量呈指数型增长,年均增长高达30%-50%。这给企业广域网的带宽提出了更高需求。

2. 业务架构云化,连接复杂化

目前已有超过50%的企业采用了公有云服务,未来这个比例还将持续提升。业务架构的云化转变,使得企业需要面对更为复杂的网络环境。员工需要同时连接企业数据中心、公有云环境、SaaS应用等网络,对网络的可扩展性提出了挑战。

3. 分支机构扩张速度超快

数字化转型促使更多企业Implement“走出去”发展战略,加速在全国甚至全球范围建立分支机构,到2025年,分支机构总数预计还将以两位数增长。大量的新分支接入,也对现有网络的可扩展性提出了新的考验。

(二)安全法规促使安全防护能力提升

密码法、网络安全法、等保2.0等法规要求,使各类组织和企业对网络安全合规提出了更高要求。关键信息基础设施需要采用商用密码算法传输数据,各类组织需要部署防火墙、入侵检测等网络安全产品。如何在不改变网络架构的情况下快速提升安全能力,成为一个刚性的难点。

二、SD-WAN技术概述

SD-WAN是一种基于软件定义的广域网技术,通过抽象网络的控制平面和数据平面,实现网络的软件化定义和编程配置。具有以下显著优势:

1. 多种链路混合使用,基于互联网实现成本节约。既可以使用廉价的互联网接入,也可与MPLS等专线服务互补使用,显著降低链路接入成本。
2. 快速自动化部署,零接触配置技术实现新分支的快速接入和上线,无需人工逐一配置和调试,大幅减少部署成本。
3. 集中管理全网,下发策略统一管理全网设备,提供简单易用的网络管理入口,降低管理复杂度。
4. 软件定义安全,可集成第三方安全产品实现统一防护,快速提升安全合规水平。

三、深信服SD-WAN解决方案架构

深信服SD-WAN解决方案采用管理平面、控制平面、数据平面的三层网络模型。

(一)管理平面

基于BBC集中管理平台,对全网的SD-WAN设备实现统一的配置管理、策略控制、状态监测,提供简单易用的网络管理入口。

(二)控制平面

BBC集中控制器与SD-WAN设备之间通过安全的管理隧道进行指令和数据交互。管理隧道基于IPsec等技术实现安全加密。

(三)数据平面

SD-WAN设备之间通过Overlay隧道进行数据传输。隧道通过IPsec、自研Sangfor VPN等技术实现数据加密。智能匹配业务需求实现动态链路选择。

(四)Underlay和Overlay

Underlay为底层物理网络,包含交换机、路由器等设备,以及互联网、专线等链路。Overlay通过在Underlay之上构建VPN隧道的逻辑网络,实现不同物理网络之间的安全访问。

四、核心技术详解

(一)智能选路技术

深信服自主研发的BEST智能选路技术,能够根据业务需求和网络状态变化,选择合适的链路进行业务数据传输。

1. 应用识别技术

BEST智能选路基于DPI深度包检测技术识别应用。DPI通过检测应用流量的五元组特征、应用负载等信息,精确识别应用名称、类别、类型等信息。目前可识别1500+种应用,覆盖绝大部分常见应用。将应用分为实时类、交互类、传输类三种类型。

2. 链路状态探测

BEST通过主动探针和被动监测相结合,持续检测各条链路的性能指标,包括时延、抖动、丢包率等信息。针对不同类型应用,会合理设置对应的性能阈值。

3. 智能匹配链路

BEST根据业务需求,选择时延抖动小、丢包率低的最佳链路进行业务传输。当链路状态变差时,可实现毫秒级快速切换,保障业务体验。

BEST支持自动负载、指定链路、最佳链路、剩余带宽等多种选路策略,实现精准、智能、动态的业务调度。

(二)应用优化技术

深信服自研的SOFAST应用优化技术,能够降低网络的丢包率,提升各类应用的传输质量。

SOFAST通过产生冗余数据实现主动纠错。发送端编码产生冗余数据包,接收端可通过冗余信息恢复丢失的业务数据。SOFAST针对不同应用类型及网络状态,动态调整冗余数据占比,在降低丢包的同时尽可能减少额外带宽占用。

SOFAST可为音视频、文件传输等不同应用,提供显著的体验提升。

(三)易部署技术

易部署技术目的在于简化SD-WAN设备在分支机构的部署过程,降低上线周期,减少专业人员现场参与。核心技术包括:

1. 邮件开局技术:通过预配置信息生成开局链接,分发给分支人员,人员可通过点击链接实现设备自动化部署。
2. 云端开局技术:分支设备主动连接云平台,验证设备身份后,自动下发指令,引导设备连接SD-WAN集中控制器。

以上技术让SD-WAN部署变得极为简单,无需专业人员到场操作部署和调试设备。

(四)安全防护技术

SD-WAN安全防护技术主要包括以下方面:

1. VPN及应用加密,保证数据安全性。选用高强度加密算法,防止数据被监听。
2. 精细化的访问控制策略,实现对用户访问行为的控制,防范内部威胁。
3. 支持集成各类云安全产品,结合SASE技术实现云端联动安全检测。

五、典型应用场景

(一)教育行业SD-WAN应用

背景:高校和培训机构分布广泛,传统网络部署复杂,运维成本高昂。

解决方案:

1. 师生自带设备,邮件开局技术简化接入,上课即可使用。
2. 集中控制器统一管理,简化分支运维。
3. 动态选择专线或Internet保障高清视频课程质量。
4. 集成云安全实现教学资源安全控制。

(二)医疗行业SD-WAN应用

背景:连接分布广的医院、诊所和医生,应用系统分散,网络管理复杂。

解决方案:

1. 轻量设备支持诊所和医生快速部署。
2. 集中管理各医院、诊所的应用系统访问策略。
3. 动态选择专线和Internet,保障医疗系统和远程会诊体验。
4. VPN加密保护病人隐私数据传输安全。

六、总结

深信服SD-WAN产品紧跟数字化浪潮,在智能选路、链路优化、易部署和安全防护等方面进行持续创新,助力企业构建性能卓越、易运维管理、安全合规的新型广域网,有效应对数字化转型对网络的挑战。

联系我们