Aruba通過WAN Edge（廣域網邊緣市場）實現其願景

本博客由Aruba公司SD-WAN、SD-Branch和用戶體(tǐ)驗研究副總裁兼總經理Kishore Seshadri與産品管理***總監Ramanan Subramanian共同撰寫。

Gartner《2020年WAN Edge基礎設施魔力象限》已于近期發布。近些年來，WAN Edge市場的發展着實引人注目。在2015年以前，WAN細分(fēn)市場一(yī)直都是一(yī)家獨大(dà)，而在過去(qù)幾年裏，WAN細分(fēn)市場發生(shēng)了翻天覆地的變化，而且仍在持續快速發展。

Aruba的SD-Branch解決方案在Gartner《2019年WAN Edge基礎設施魔力象限》中(zhōng)作爲利基解決方案亮相，而在 新發布的Gartner《2020年WAN Edge基礎設施魔力象限》中(zhōng)，其已經躍升至遠見者象限。

自從2018年7月發布開(kāi)始，這一(yī)路走來真的是不可思議。Aruba SD-Branch解決方案現已被70個和地區的450多家客戶廣泛采用，其中(zhōng)包含多家服務供應商(shāng)，以及衆多《财富》500強企業。我(wǒ)們 大(dà)規模的一(yī)些客戶的網絡遍布數十個的上千站點。

Aruba 近收購了Gartner《 WAN Edge基礎設施魔力象限》中(zhōng)的Silver Peak，在這一(yī)領域的投資(zī)增加了一(yī)倍。SD-Branch解決方案和Silver Peak解決方案的發展勢頭良好，借着這一(yī)契機，我(wǒ)們來回顧一(yī)下(xià)Aruba的發展曆程，了解Branch轉型和WAN轉型之間的區别，并對因新冠疫情而改變的市場，以及雲安全廠商(shāng)進軍SD-WAN領域的情況進行預判。

早期SD-WAN激勵因素

我(wǒ)們從2016年年底開(kāi)始着眼于SD-WAN市場。對于SD-WAN行業來說，當時還處于初期階段，雖然很多客戶聽(tīng)說過SD-WAN，但要讓他們放(fàng)棄雖然昂貴卻久經考驗的解決方案（MPLS），轉而以互聯網作爲其主要WAN互聯，而且設備與服務還要由剛步入這一(yī)行業的新公司來提供，他們還是會心有疑忌。此外(wài)，許多客戶還将WAN管理外(wài)包給服務提供商(shāng)。對于自己管理WAN（DIY模式），或者從現有服務供應商(shāng)處購買新的SD-WAN解決方案（受管理模式）這樣兩種選擇，他們也都會感到不安。

企業采用SD-WAN的動機列舉如下(xià)：

節約傳輸成本。訪問SaaS及雲端服務需要更高的WAN帶寬，順應這一(yī)宏觀趨勢，從MPLS轉向互聯網。

節約運維成本。利用SD-WAN的自動化和簡易性，告别需要複雜(zá)的路由器與服務供應商(shāng)支持協議且管理起來相當複雜(zá)的網絡。
獲得更佳的終端用戶體(tǐ)驗。采用基于SD-WAN應用的策略來對優先級進行排序，将“動态路徑轉向（DPS）”、前向糾錯（FEC）等技術應用于業務關鍵型應用，以執行路徑調節。在

發展初期，我(wǒ)們曾與60多家客戶溝通，了解其網絡面臨的挑戰。其中(zhōng)許多客戶都是由小(xiǎo)型化的中(zhōng)心團隊來管理大(dà)型分(fēn)布式網絡。在溝通過程中(zhōng)，我(wǒ)們了解到讓網絡管理員(yuán)頭疼的一(yī)系列常見問題。

常見挑戰

客戶總是在爲WAN感到擔憂，盡管SD-WAN被認爲是潛在的能打消他們疑慮的一(yī)種解決方案，但是還有其他一(yī)些重大(dà)的難題是SD-WAN不能解決的。

随着攝像頭、标牌閱讀器、暖通空調系統、數字标牌、以及衆多傳感器等物(wù)聯網設備的種類激增，利用VLAN進行細分(fēn)和隔離(lí)會變得困難重重。

VLAN的種類也在激增，通常用于細分(fēn)領域的物(wù)聯網設備。每一(yī)個VLAN對ACL、DHCP範圍與防火(huǒ)牆規則都有嚴格的要求，策略及安全的配置與執行也會變得碎片化。策略及安全配置分(fēn)布于網絡中(zhōng)的不同組件，會導緻問題難以檢測，網絡變得越來越脆弱， 終崩潰。

随着新型用戶設備（BYOD）的出現，Wi-Fi連接的日漸普及，客戶端設備的安全承載能力變得愈發重要。雖然網絡訪問控制（NAC）解決方案在園區廣泛部署，但在分(fēn)支地點卻鮮有部署。

正在迅速轉向SaaS及雲端的趨勢。與我(wǒ)們溝通過的客戶中(zhōng)，很多使用了“NDC 2020”（到2020年就無需數據中(zhōng)心）等術語。顯而易見，将工(gōng)作負載遷移到公有雲及SaaS的需求将會不斷增加，随後就需要優化這些服務的連接。

同時，連接性和安全性的關系更加密切，以身份爲中(zhōng)心（或以用戶爲中(zhōng)心）的策略對東西向及南(nán)北(běi)向的訪問策略将更加重要。

雖然網絡單元的數量不是很多，但整體(tǐ)網絡卻已經變得複雜(zá)，很難在多個管理平台間排除故障。

與我(wǒ)們溝通過的客戶大(dà)多都無法一(yī)如既往地衡量自身及其團隊的績效，因爲已定義的KPI不足以衡量實際的終端用戶體(tǐ)驗。

後一(yī)點也非常重要，當來自各種廠商(shāng)（有線、無線以及廣域行業中(zhōng)擁有自己管理平台的廠商(shāng)）的設備種類激增之時，故障排除及跨多個管理界面的監控問題也随之而來。

Aruba另辟蹊徑

我(wǒ)們沒有通過打造獨立的WAN網關及安全設備這種單一(yī)的方式來解決這些問題，而是打造能夠緊密集成SD-WAN、安全（UTM）以及以用戶爲中(zhōng)心的動态訪問控制策略（SD-LAN）的單一(yī)網關。我(wǒ)們将解決方案命名爲“軟件定義分(fēn)支”（SD-Branch），并使用簡單的等式進行了表達，其中(zhōng)SD-Branch由SD-WAN及SD-LAN構成，外(wài)圍有着安全保護（Security）：

考慮到行業轉型的速度，我(wǒ)們決定隻提供一(yī)個建立在Aruba Central上的雲管理解決方案。我(wǒ)們意識到有些客戶不喜歡雲管理，而喜歡本地管理解決方案。然而，大(dà)型雲供應商(shāng)能夠提供更好的SLA，其安全等級更高、部署更快、範圍更有彈性，而且連接功能更豐富，這些事實都對我(wǒ)們的決策産生(shēng)了巨大(dà)的影響。

我(wǒ)們還引入了日後能夠頻(pín)繁升級和修複的新技術，這兩種技術在雲管理模型中(zhōng)都更容易實現。除了向雲計算的宏觀轉變，上述因素促使我(wǒ)們相信，專注于雲計算解決方案，對于客戶和Aruba都是 好的選擇。

雲解決方案Aruba Central幫助我(wǒ)們在一(yī)系列問題上爲客戶提供真正的零接觸體(tǐ)驗：從帳戶注冊到設備注冊再到許可證管理。它還幫助管理員(yuán)跳過了啓動虛拟機、并在數據中(zhōng)心部署冗餘管理基礎設施的步驟。通過API與雲提供商(shāng)和雲托管安全廠商(shāng)進行整合，我(wǒ)們還能夠在保留安全模型的同時，提供更爲簡便的管理員(yuán)體(tǐ)驗。

Aruba擁有業界的無線（Wi-Fi）和有線（交換機）産品組合。安全網關的引入，使客戶通過一(yī)個界面（即Aruba Central），就能管理全棧解決方案（有線、無線、WAN和安全）。有了這樣的解決方案，網絡管理員(yuán)可以定位問題客戶，并對數據包路徑進行跟蹤——從客戶端到訪問元素，跨越整個SD-WAN架構，至數據中(zhōng)心或雲端的工(gōng)作負載，而這在使用多個傳統的管理平台時會困難重重。這樣一(yī)來，就可以對用戶體(tǐ)驗進行端到端監控，并快速修複問題。

雲管理解決方案的另一(yī)個優勢是，該解決方案内置了分(fēn)析功能，管理員(yuán)可查看時間序列儀表闆、獲取基線趨勢和網絡中(zhōng)的集群信息，并分(fēn)析跨站點的應用程序性能。雲端的彈性計算可結合跨客戶分(fēn)析功能，使我(wǒ)們能夠利用大(dà)型數據集，開(kāi)發人工(gōng)智能及機器學習工(gōng)具。

戰勝艱巨的挑戰
要實現這種解決方案，需要克服許多重大(dà)的技術障礙， 大(dà)的障礙在于構建集中(zhōng)式雲原生(shēng)控制平面。當時，我(wǒ)們 大(dà)的客戶之一(yī)希望在單一(yī)網絡上部署15000多個網關，還有其他一(yī)些客戶想要在數千處地點部署。我(wǒ)們也有一(yī)些服務提供商(shāng)計劃在多個租戶之間部署數以萬計的網關。

更爲複雜(zá)的是，SD-Branch解決方案不僅要求管理平台存儲 WAN 網關狀态，而且還要存儲 AP、交換機和客戶端狀态，比當時業界廣泛使用的 先進的SD-WAN解決方案還要大(dà)兩到三個數量級。這需要對雲端的IPSec/DMVPN以及BGP進行全方位重構，讓這些子系統可水平擴展且适用于多租戶（針對服務提供商(shāng)客戶），同時保持彈性并能夠利用雲提供的彈性。

工(gōng)程團隊的明确任務目标是：讓客戶在必要的時候，能夠在一(yī)夜之間将其網關規模擴展到數千處站點，而無需與Aruba進行任何協調，也無需擔心控制平面是否能夠滿足其要求。具體(tǐ)來說，一(yī)個客戶可能會每晚打開(kāi)數百個站點（就像我(wǒ)們的一(yī)些客戶那樣），數百個客戶也可能同時打開(kāi)數十個站點（略有不同的工(gōng)程問題）。此外(wài)，需要讓用戶操作變得更加便捷，這一(yī)點也同樣重要，用戶隻需單擊幾下(xià)即可配置WAN拓撲，并在其網絡中(zhōng)實現該拓撲功能。

2019年年中(zhōng)，我(wǒ)們推出了雲控制平面，此後也一(yī)直不斷前行。現有客戶紛紛轉而采用該平面，新客戶也從一(yī)開(kāi)始就很輕松地接受了該平面。自雲控制平面推出以來，我(wǒ)們擴展了其功能，通過内置的環路防護功能，構建了具有必要動态路由構造的自動網格。客戶現在可在數千個站點上運行SD-WAN，這些站點上均配備了精心設計的隧道和路由。

網絡重心--雲
我(wǒ)們與公有雲提供商(shāng)合作，這些提供商(shāng)正在大(dà)力擴展其網絡功能，包括AWS傳輸網關和Azure vWAN。同時我(wǒ)們也意識到，公有雲中(zhōng)的網絡正成爲許多客戶的網絡重心。雲世界高度依賴可編程構造，以期實現高度自動化。

例如，虛拟私有雲無法進入第二個可用性區域。在雲提供商(shāng)的世界中(zhōng)，這種故障不是通過路由協議發現的，而是通過API發現的。我(wǒ)們沒有強迫網絡管理員(yuán)學習這些新的公有雲結構，我(wǒ)們意識到很重要的一(yī)點是，網絡管理員(yuán)需要經曆很多步驟，在AWS、Azure或GCP中(zhōng)部署虛拟網關，以将其SD-WAN結構擴展到其公有雲，而自動執行這些步驟，就能化繁爲簡。

随着SaaS普及率的提高，對于SaaS流量性能以及SaaS流量優化功能的可見性，我(wǒ)們客戶的要求越來越高。通過與本地Microsoft Office 365 API的集成，以及對關鍵SaaS應用程序執行首包分(fēn)類功能，我(wǒ)們努力優化跨多WAN路徑的SaaS流量，以提升對SaaS流量性能的可見性，并提升終端用戶體(tǐ)驗。

解決SD-Branch的獨特挑戰

解決WAN問題需要進行大(dà)量的工(gōng)作，同時，網絡在LAN的層面又(yòu)提出了一(yī)組有待解決的獨特問題。SD-Branch解決方案的一(yī)個主要區别在于，它允許管理員(yuán)定義以用戶爲中(zhōng)心的策略。這就要求網關去(qù)了解網絡上分(fēn)配給客戶端的身份和角色。

我(wǒ)們采用了對網關與NAC策略引擎（例如Aruba ClearPass Policy Manager甚至Cisco ISE）的RADIUS交互進行偵聽(tīng)的方法。可在身份驗證時，輕松地将真正 終用戶的“員(yuán)工(gōng)”或“訪客”等用戶角色或無頭設備的“攝像頭”或“打印機”等角色分(fēn)配給各種端點。角色本身是由策略引擎派生(shēng)的，該策略引擎會對加入網絡的設備進行身份驗證和文件配置。用戶角色使管理員(yuán)可以用類似英語的術語，定義簡單且以用戶爲中(zhōng)心的策略，例如：

“安全”角色可與“攝像頭”角色通信，從而允許實際安全團隊監控攝像頭，但不允許攝像頭惡意軟件訪問網絡的任何其他部分(fēn)

“員(yuán)工(gōng)”角色可與“打印機”角色通信

利用SD-WAN應用程序SLA策略來确定“員(yuán)工(gōng)”角色語音流量的優先級

“訪客”角色用戶的流量應限制帶寬，并通過隧道分(fēn)離(lí)的形式導向互聯網

這些策略不需要指定IP地址或VLAN（虛拟局域網），但是它們是完全動态的，因其可簡單地引用用戶角色且可在全球網絡範圍内進行一(yī)次性定義，從而使IT團隊從指定靜态IP地址的舊(jiù)環境束縛中(zhōng)解放(fàng)出來，将設備固定到特定VLAN，并定義引用這些靜态屬性的ACL和防火(huǒ)牆規則。角色在NAC系統的單一(yī)位置定義，且幾乎在所有地方都得到了即時引用和執行。這也消除了VLAN作爲完成隔離(lí)、實現安全性和貫徹策略的手段，并可能導緻網絡的扁平化。

該功能推動着網絡管理和操作方式發生(shēng)了驚人的轉變。我(wǒ)們相信，這種以用戶爲中(zhōng)心的原則是零信任網絡的重要組成部分(fēn)，是實現安全架構必不可少的。爲進一(yī)步增強南(nán)北(běi)向安全和東西向安全，我(wǒ)們在網關中(zhōng)新增了IDS/IPS（入侵檢測系統/入侵防禦系統）功能，将這兩種系統的遙測數據與端點标識信息相結合，再次簡化了網絡和安全操作。其中(zhōng)每項功能均由Aruba Central全權管理。

在網關方面，我(wǒ)們意識到自己必須爲企業網絡中(zhōng)的不同地點提供一(yī)系列硬件和軟件網關設備。SD-Branch網關産品組合涵蓋很廣——從通常部署在數據中(zhōng)心前端的40 Gbps設備，到部署在分(fēn)支機構位置且集成4G/LTE的4 Gbps設備。由于互聯網速度大(dà)約每三年翻一(yī)番，我(wǒ)們清楚網絡中(zhōng)部署的網關必須具備長久的使用壽命。

因此，我(wǒ)們甚至用4 Gbps的防火(huǒ)牆吞吐量，構建了 低端的分(fēn)支網關，并啓用了所有關鍵功能（例如應用程序分(fēn)類和IPSec加密）。對于視成本爲主要因素的小(xiǎo)型站點（比如臨時位置和遠程工(gōng)作人員(yuán)），我(wǒ)們推出了一(yī)個微分(fēn)支解決方案，提供集成式AP+網關應用，在接入點中(zhōng)嵌入虛拟網關功能。這些站點雖然很小(xiǎo)，但仍需要同等的企業級體(tǐ)驗，讓用戶能夠安全地連接到企業SSID，并通過專用VPN去(qù)訪問應用程序。

疫情期間，微分(fēn)支解決方案已被證明對我(wǒ)們的許多客戶至關重要，他們廣泛部署了該解決方案，并有效地将家中(zhōng)的辦公環境轉變爲與辦公室非常相似的環境。我(wǒ)們還在公有雲中(zhōng)構建了各種規格的虛拟頭端，虛拟網關從500Mbps至4 Gbps不等。

不斷推進WAN轉型升級

WAN Edge市場龐大(dà)而多樣。雖然我(wǒ)們通過Aruba SD-Branch在很短的時間内取得了很大(dà)的成就，但我(wǒ)們也認識到，要滿足這一(yī)廣闊市場的所有需求，還需要投入相當多的時間和精力。當一(yī)部分(fēn)細分(fēn)市場尋求改變整體(tǐ)分(fēn)支網絡時，另有很大(dà)一(yī)部分(fēn)的客戶群純粹專注于WAN的轉型升級，在SD-WAN和WAN優化方面提出了很高的需求。我(wǒ)們 近收購的Silver Peak幫助我(wǒ)們滿足了WAN轉型客戶的需求，并完善了我(wǒ)們的産品組合。

雖然我(wǒ)們在很短的時間内就取得了巨大(dà)的進步，但我(wǒ)們感覺一(yī)切才剛開(kāi)始。我(wǒ)們如今與客戶的對話(huà)不再是關于“我(wǒ)應該做SD-WAN嗎(ma)?”，而是關于“我(wǒ)應該如何做好SD-WAN?”或者“如何簡化分(fēn)支?”。随着Silver Peak和SD-Branch解決方案加入我(wǒ)們的産品組合中(zhōng)，我(wǒ)們發現了許多振奮人心的機遇。我(wǒ)們會把握這些機遇，在未來幾年内持續完善這兩種解決方案，實現令人振奮的創新。Silver Peak和SD-Branch在Gartner WAN魔力象限的位置反應了Aruba的飛速發展!