本博客由Aruba公司SD-WAN、SD-Branch和用戶體驗研究副總裁兼總經理Kishore Seshadri與產品管理***總監Ramanan Subramanian共同撰寫。

Gartner《2020年WAN Edge基礎設施魔力象限》已于近期發布。近些年來，WAN Edge市場的發展著實引人注目。在2015年以前，WAN細分市場一直都是一家獨大，而在過去幾年里，WAN細分市場發生了翻天覆地的變化，而且仍在持續快速發展。

Aruba的SD-Branch解決方案在Gartner《2019年WAN Edge基礎設施魔力象限》中作為利基解決方案亮相，而在 新發布的Gartner《2020年WAN Edge基礎設施魔力象限》中，其已經躍升至遠見者象限。

自從2018年7月發布開始，這一路走來真的是不可思議。Aruba SD-Branch解決方案現已被70個和地區的450多家客戶廣泛采用，其中包含多家服務供應商，以及眾多《財富》500強企業。我們 大規模的一些客戶的網絡遍布數十個的上千站點。

Aruba 近收購了Gartner《 WAN Edge基礎設施魔力象限》中的Silver Peak，在這一領域的投資增加了一倍。SD-Branch解決方案和Silver Peak解決方案的發展勢頭良好，借著這一契機，我們來回顧一下Aruba的發展歷程，了解Branch轉型和WAN轉型之間的區別，并對因新冠疫情而改變的市場，以及云安全廠商進軍SD-WAN領域的情況進行預判。

早期SD-WAN激勵因素

我們從2016年年底開始著眼于SD-WAN市場。對于SD-WAN行業來說，當時還處于初期階段，雖然很多客戶聽說過SD-WAN，但要讓他們放棄雖然昂貴卻久經考驗的解決方案（MPLS），轉而以互聯網作為其主要WAN互聯，而且設備與服務還要由剛步入這一行業的新公司來提供，他們還是會心有疑忌。此外，許多客戶還將WAN管理外包給服務提供商。對于自己管理WAN（DIY模式），或者從現有服務供應商處購買新的SD-WAN解決方案（受管理模式）這樣兩種選擇，他們也都會感到不安。

企業采用SD-WAN的動機列舉如下：

節約傳輸成本。訪問SaaS及云端服務需要更高的WAN帶寬，順應這一宏觀趨勢，從MPLS轉向互聯網。

節約運維成本。利用SD-WAN的自動化和簡易性，告別需要復雜的路由器與服務供應商支持協議且管理起來相當復雜的網絡。
獲得更佳的終端用戶體驗。采用基于SD-WAN應用的策略來對優先級進行排序，將“動態路徑轉向（DPS）”、前向糾錯（FEC）等技術應用于業務關鍵型應用，以執行路徑調節。在

發展初期，我們曾與60多家客戶溝通，了解其網絡面臨的挑戰。其中許多客戶都是由小型化的中心團隊來管理大型分布式網絡。在溝通過程中，我們了解到讓網絡管理員頭疼的一系列常見問題。

常見挑戰

客戶總是在為WAN感到擔憂，盡管SD-WAN被認為是潛在的能打消他們疑慮的一種解決方案，但是還有其他一些重大的難題是SD-WAN不能解決的。

隨著攝像頭、標牌閱讀器、暖通空調系統、數字標牌、以及眾多傳感器等物聯網設備的種類激增，利用VLAN進行細分和隔離會變得困難重重。

VLAN的種類也在激增，通常用于細分領域的物聯網設備。每一個VLAN對ACL、DHCP范圍與防火墻規則都有嚴格的要求，策略及安全的配置與執行也會變得碎片化。策略及安全配置分布于網絡中的不同組件，會導致問題難以檢測，網絡變得越來越脆弱， 終崩潰。

隨著新型用戶設備（BYOD）的出現，Wi-Fi連接的日漸普及，客戶端設備的安全承載能力變得愈發重要。雖然網絡訪問控制（NAC）解決方案在園區廣泛部署，但在分支地點卻鮮有部署。

正在迅速轉向SaaS及云端的趨勢。與我們溝通過的客戶中，很多使用了“NDC 2020”（到2020年就無需數據中心）等術語。顯而易見，將工作負載遷移到公有云及SaaS的需求將會不斷增加，隨后就需要優化這些服務的連接。

同時，連接性和安全性的關系更加密切，以身份為中心（或以用戶為中心）的策略對東西向及南北向的訪問策略將更加重要。

雖然網絡單元的數量不是很多，但整體網絡卻已經變得復雜，很難在多個管理平臺間排除故障。

與我們溝通過的客戶大多都無法一如既往地衡量自身及其團隊的績效，因為已定義的KPI不足以衡量實際的終端用戶體驗。

后一點也非常重要，當來自各種廠商（有線、無線以及廣域行業中擁有自己管理平臺的廠商）的設備種類激增之時，故障排除及跨多個管理界面的監控問題也隨之而來。

Aruba另辟蹊徑

我們沒有通過打造獨立的WAN網關及安全設備這種單一的方式來解決這些問題，而是打造能夠緊密集成SD-WAN、安全（UTM）以及以用戶為中心的動態訪問控制策略（SD-LAN）的單一網關。我們將解決方案命名為“軟件定義分支”（SD-Branch），并使用簡單的等式進行了表達，其中SD-Branch由SD-WAN及SD-LAN構成，外圍有著安全保護（Security）：

考慮到行業轉型的速度，我們決定只提供一個建立在Aruba Central上的云管理解決方案。我們意識到有些客戶不喜歡云管理，而喜歡本地管理解決方案。然而，大型云供應商能夠提供更好的SLA，其安全等級更高、部署更快、范圍更有彈性，而且連接功能更豐富，這些事實都對我們的決策產生了巨大的影響。

我們還引入了日后能夠頻繁升級和修復的新技術，這兩種技術在云管理模型中都更容易實現。除了向云計算的宏觀轉變，上述因素促使我們相信，專注于云計算解決方案，對于客戶和Aruba都是 好的選擇。

云解決方案Aruba Central幫助我們在一系列問題上為客戶提供真正的零接觸體驗：從帳戶注冊到設備注冊再到許可證管理。它還幫助管理員跳過了啟動虛擬機、并在數據中心部署冗余管理基礎設施的步驟。通過API與云提供商和云托管安全廠商進行整合，我們還能夠在保留安全模型的同時，提供更為簡便的管理員體驗。

Aruba擁有業界的無線（Wi-Fi）和有線（交換機）產品組合。安全網關的引入，使客戶通過一個界面（即Aruba Central），就能管理全棧解決方案（有線、無線、WAN和安全）。有了這樣的解決方案，網絡管理員可以定位問題客戶，并對數據包路徑進行跟蹤——從客戶端到訪問元素，跨越整個SD-WAN架構，至數據中心或云端的工作負載，而這在使用多個傳統的管理平臺時會困難重重。這樣一來，就可以對用戶體驗進行端到端監控，并快速修復問題。

云管理解決方案的另一個優勢是，該解決方案內置了分析功能，管理員可查看時間序列儀表板、獲取基線趨勢和網絡中的集群信息，并分析跨站點的應用程序性能。云端的彈性計算可結合跨客戶分析功能，使我們能夠利用大型數據集，開發人工智能及機器學習工具。

戰勝艱巨的挑戰
要實現這種解決方案，需要克服許多重大的技術障礙， 大的障礙在于構建集中式云原生控制平面。當時，我們 大的客戶之一希望在單一網絡上部署15000多個網關，還有其他一些客戶想要在數千處地點部署。我們也有一些服務提供商計劃在多個租戶之間部署數以萬計的網關。

更為復雜的是，SD-Branch解決方案不僅要求管理平臺存儲 WAN 網關狀態，而且還要存儲 AP、交換機和客戶端狀態，比當時業界廣泛使用的 先進的SD-WAN解決方案還要大兩到三個數量級。這需要對云端的IPSec/DMVPN以及BGP進行全方位重構，讓這些子系統可水平擴展且適用于多租戶（針對服務提供商客戶），同時保持彈性并能夠利用云提供的彈性。

工程團隊的明確任務目標是：讓客戶在必要的時候，能夠在一夜之間將其網關規模擴展到數千處站點，而無需與Aruba進行任何協調，也無需擔心控制平面是否能夠滿足其要求。具體來說，一個客戶可能會每晚打開數百個站點（就像我們的一些客戶那樣），數百個客戶也可能同時打開數十個站點（略有不同的工程問題）。此外，需要讓用戶操作變得更加便捷，這一點也同樣重要，用戶只需單擊幾下即可配置WAN拓撲，并在其網絡中實現該拓撲功能。

2019年年中，我們推出了云控制平面，此后也一直不斷前行。現有客戶紛紛轉而采用該平面，新客戶也從一開始就很輕松地接受了該平面。自云控制平面推出以來，我們擴展了其功能，通過內置的環路防護功能，構建了具有必要動態路由構造的自動網格。客戶現在可在數千個站點上運行SD-WAN，這些站點上均配備了精心設計的隧道和路由。

網絡重心--云
我們與公有云提供商合作，這些提供商正在大力擴展其網絡功能，包括AWS傳輸網關和Azure vWAN。同時我們也意識到，公有云中的網絡正成為許多客戶的網絡重心。云世界高度依賴可編程構造，以期實現高度自動化。

例如，虛擬私有云無法進入第二個可用性區域。在云提供商的世界中，這種故障不是通過路由協議發現的，而是通過API發現的。我們沒有強迫網絡管理員學習這些新的公有云結構，我們意識到很重要的一點是，網絡管理員需要經歷很多步驟，在AWS、Azure或GCP中部署虛擬網關，以將其SD-WAN結構擴展到其公有云，而自動執行這些步驟，就能化繁為簡。

隨著SaaS普及率的提高，對于SaaS流量性能以及SaaS流量優化功能的可見性，我們客戶的要求越來越高。通過與本地Microsoft Office 365 API的集成，以及對關鍵SaaS應用程序執行首包分類功能，我們努力優化跨多WAN路徑的SaaS流量，以提升對SaaS流量性能的可見性，并提升終端用戶體驗。

解決SD-Branch的獨特挑戰

解決WAN問題需要進行大量的工作，同時，網絡在LAN的層面又提出了一組有待解決的獨特問題。SD-Branch解決方案的一個主要區別在于，它允許管理員定義以用戶為中心的策略。這就要求網關去了解網絡上分配給客戶端的身份和角色。

我們采用了對網關與NAC策略引擎（例如Aruba ClearPass Policy Manager甚至Cisco ISE）的RADIUS交互進行偵聽的方法。可在身份驗證時，輕松地將真正 終用戶的“員工”或“訪客”等用戶角色或無頭設備的“攝像頭”或“打印機”等角色分配給各種端點。角色本身是由策略引擎派生的，該策略引擎會對加入網絡的設備進行身份驗證和文件配置。用戶角色使管理員可以用類似英語的術語，定義簡單且以用戶為中心的策略，例如：

“安全”角色可與“攝像頭”角色通信，從而允許實際安全團隊監控攝像頭，但不允許攝像頭惡意軟件訪問網絡的任何其他部分

“員工”角色可與“打印機”角色通信

利用SD-WAN應用程序SLA策略來確定“員工”角色語音流量的優先級

“訪客”角色用戶的流量應限制帶寬，并通過隧道分離的形式導向互聯網

這些策略不需要指定IP地址或VLAN（虛擬局域網），但是它們是完全動態的，因其可簡單地引用用戶角色且可在全球網絡范圍內進行一次性定義，從而使IT團隊從指定靜態IP地址的舊環境束縛中解放出來，將設備固定到特定VLAN，并定義引用這些靜態屬性的ACL和防火墻規則。角色在NAC系統的單一位置定義，且幾乎在所有地方都得到了即時引用和執行。這也消除了VLAN作為完成隔離、實現安全性和貫徹策略的手段，并可能導致網絡的扁平化。

該功能推動著網絡管理和操作方式發生了驚人的轉變。我們相信，這種以用戶為中心的原則是零信任網絡的重要組成部分，是實現安全架構必不可少的。為進一步增強南北向安全和東西向安全，我們在網關中新增了IDS/IPS（入侵檢測系統/入侵防御系統）功能，將這兩種系統的遙測數據與端點標識信息相結合，再次簡化了網絡和安全操作。其中每項功能均由Aruba Central全權管理。

在網關方面，我們意識到自己必須為企業網絡中的不同地點提供一系列硬件和軟件網關設備。SD-Branch網關產品組合涵蓋很廣——從通常部署在數據中心前端的40 Gbps設備，到部署在分支機構位置且集成4G/LTE的4 Gbps設備。由于互聯網速度大約每三年翻一番，我們清楚網絡中部署的網關必須具備長久的使用壽命。

因此，我們甚至用4 Gbps的防火墻吞吐量，構建了 低端的分支網關，并啟用了所有關鍵功能（例如應用程序分類和IPSec加密）。對于視成本為主要因素的小型站點（比如臨時位置和遠程工作人員），我們推出了一個微分支解決方案，提供集成式AP+網關應用，在接入點中嵌入虛擬網關功能。這些站點雖然很小，但仍需要同等的企業級體驗，讓用戶能夠安全地連接到企業SSID，并通過專用VPN去訪問應用程序。

疫情期間，微分支解決方案已被證明對我們的許多客戶至關重要，他們廣泛部署了該解決方案，并有效地將家中的辦公環境轉變為與辦公室非常相似的環境。我們還在公有云中構建了各種規格的虛擬頭端，虛擬網關從500Mbps至4 Gbps不等。

不斷推進WAN轉型升級

WAN Edge市場龐大而多樣。雖然我們通過Aruba SD-Branch在很短的時間內取得了很大的成就，但我們也認識到，要滿足這一廣闊市場的所有需求，還需要投入相當多的時間和精力。當一部分細分市場尋求改變整體分支網絡時，另有很大一部分的客戶群純粹專注于WAN的轉型升級，在SD-WAN和WAN優化方面提出了很高的需求。我們 近收購的Silver Peak幫助我們滿足了WAN轉型客戶的需求，并完善了我們的產品組合。

雖然我們在很短的時間內就取得了巨大的進步，但我們感覺一切才剛開始。我們如今與客戶的對話不再是關于“我應該做SD-WAN嗎?”，而是關于“我應該如何做好SD-WAN?”或者“如何簡化分支?”。隨著Silver Peak和SD-Branch解決方案加入我們的產品組合中，我們發現了許多振奮人心的機遇。我們會把握這些機遇，在未來幾年內持續完善這兩種解決方案，實現令人振奮的創新。Silver Peak和SD-Branch在Gartner WAN魔力象限的位置反應了Aruba的飛速發展!