看準全球化多據點(diǎn)需求、企業(yè)廣域網(wǎng)絡(luò )進(jìn)入軟件定義新時(shí)代

　　在數據中心IT基礎架構當中，對於運算、儲存、網(wǎng)絡(luò )等資源的虛擬化，以及朝向軟件定義式（Software Defined）的作法，是近年來(lái)云端服務(wù)業(yè)者、企業(yè)與IT廠(chǎng)商積極投入的范疇，不過(guò)，在這當中，又以網(wǎng)絡(luò )應用相關(guān)技術(shù)的發(fā)展與普及最為緩慢。

　　例如，軟件定義網(wǎng)絡(luò )（SDN），以及網(wǎng)絡(luò )功能虛擬化（NFV），雖然在技術(shù)概念的構成、解決方案的提供，以及建置經(jīng)驗的累積，已漸趨成熟，但僅能吸引本身具有超大型且架構復雜的內部網(wǎng)絡(luò )、需支援多租戶(hù)服務(wù)應用型態(tài)的公司，例如大型企業(yè)、電信服務(wù)供應商，以及云端服務(wù)業(yè)者。

　　而另一個(gè)因素，則在於大部分企業(yè)現有內部網(wǎng)絡(luò )環(huán)境的架構，涉及所有的應用系統之間的連接與存取方式，若有異動(dòng)，往往牽一發(fā)而動(dòng)全身，因此，也讓有心引進(jìn)SDN與NFV的企業(yè)為之卻步。

　　但是，難道這些年所發(fā)展的各種軟件定義網(wǎng)絡(luò )技術(shù)，就只能造福特定產(chǎn)業(yè)嗎？或許，我們該換個(gè)角度去思考當前企業(yè)在整體網(wǎng)絡(luò )應用的需求，到底還有哪些層面需要改善，卻一直受到忽視，此時(shí)，就有可能就會(huì )看到不同的機會(huì )。

　　而關(guān)於這個(gè)問(wèn)題的答案，很可能就是企業(yè)對於廣域網(wǎng)絡(luò )（Wide Area Network，WAN）的使用與管理。

　　傳統的廣域網(wǎng)絡(luò )架構當中，企業(yè)若要設定交換器與路由器，都是基於每臺設備，而且需透過(guò)手動(dòng)方式進(jìn)行。而在軟件定義的廣域網(wǎng)絡(luò )架構，企業(yè)可透過(guò)控制器來(lái)掌控整個(gè)網(wǎng)絡(luò )環(huán)境的配置。

　　對於多數企業(yè)來(lái)說(shuō)，連接外部網(wǎng)絡(luò )并非只是為了存取網(wǎng)際網(wǎng)絡(luò )，在很多時(shí)候，也是為了連結位於公司外部據點(diǎn)的網(wǎng)絡(luò )環(huán)境，例如分公司、分支辦公室，跨越地理區域的距離。不過(guò)，隨著(zhù)網(wǎng)際網(wǎng)絡(luò )的連線(xiàn)頻寬日漸增高、成本下滑，許多企業(yè)也希望善用這部份線(xiàn)路的優(yōu)勢，降低本身對於昂貴專(zhuān)線(xiàn)的依賴(lài)，而這也促成了企業(yè)廣域網(wǎng)絡(luò )架構的改變。

　　過(guò)往新興企業(yè)級網(wǎng)絡(luò )技術(shù)所發(fā)展的重點(diǎn)，大多是針對內部環(huán)境當中的區域網(wǎng)絡(luò )（LAN）應用，多年以來(lái)，企業(yè)對於廣域網(wǎng)絡(luò )的運用，主要是針對總部與遠端辦公室、分公司之間的網(wǎng)絡(luò )環(huán)境連結，而且仰賴(lài)的是電信服務(wù)供應商的專(zhuān)線(xiàn)，并在這樣跨國網(wǎng)絡(luò )連線(xiàn)之上，架構出單一的內部區域網(wǎng)絡(luò )，而目前，最普遍的作法是透過(guò)MPLS（Multiprotocol Label Switching），連接企業(yè)的數據中心與其他地區的公司據點(diǎn)，在彼此之間，建立私有的安全連線(xiàn)。

　　上述作法已行之有年，但如今不論是個(gè)人、家用或企業(yè)，想要連接外部網(wǎng)際網(wǎng)絡(luò )的門(mén)檻越來(lái)越低，而且，所能享有的頻寬大幅提高，連線(xiàn)費用也日益低廉，因此，後來(lái)，市面上開(kāi)始出現結合專(zhuān)線(xiàn)（例如：T1/T2/T3）與網(wǎng)際網(wǎng)絡(luò )（例如：ADSL、3G/4G LTE）一起使用的作法，而這種架構，我們通常稱(chēng)之為混合廣域網(wǎng)絡(luò )（Hybrid WAN）。

　　不過(guò)，混合廣域網(wǎng)絡(luò )的應用，起初的重點(diǎn)在於如何有效運用不同的網(wǎng)絡(luò )連線(xiàn)，配置的作法以分流為主要考量。

　　例如，多數企業(yè)會(huì )將分支辦公室連往數據中心的業(yè)務(wù)應用網(wǎng)絡(luò )流量，由專(zhuān)線(xiàn)來(lái)負責；至於分支辦公室連到網(wǎng)際網(wǎng)絡(luò )的流量，可透過(guò)當地的寬頻網(wǎng)絡(luò )來(lái)負責，而不需全部連至數據中心，再從這里接取網(wǎng)際網(wǎng)絡(luò )，同時(shí)，經(jīng)由這條更直接的對外網(wǎng)絡(luò )連線(xiàn)路徑，分支辦公室也可以透過(guò)VPN與數據中心連線(xiàn)。

　　導入混合廣域網(wǎng)絡(luò )的另一個(gè)好處，則是能使用進(jìn)階的可用性模式。傳統的廣域網(wǎng)絡(luò )，只能采取主動(dòng)－被動(dòng)（Active-Passive）的備援線(xiàn)路切換，所有線(xiàn)路的頻寬都必須一樣大，但備援線(xiàn)路在平時(shí)是待命、閑置不用的，而混合廣域網(wǎng)絡(luò )可以支援雙主動(dòng)（Active-Active）的模式，充分運用所有線(xiàn)路的頻寬。

　　另外，在混合廣域網(wǎng)絡(luò )環(huán)境下，也可以使用路徑選擇（Path Selection）的技術(shù)，例如，根據即時(shí)監控的頻寬負載與反應速度，來(lái)決定對外網(wǎng)絡(luò )連線(xiàn)應采取的最佳路徑。

　　然而，混合廣域網(wǎng)絡(luò )的應用，雖然帶來(lái)了一些效益，仍有許多不足之處，而這些部分的要求，更是傳統廣域網(wǎng)絡(luò )架構所做不到的。

　　例如，混合廣域網(wǎng)絡(luò )雖然能夠同時(shí)搭配網(wǎng)際網(wǎng)絡(luò )連線(xiàn)使用，但無(wú)法確保與提升這類(lèi)線(xiàn)路的服務(wù)等級協(xié)定（SLA），難以增加可靠度；其次，在混合廣域網(wǎng)絡(luò )設備與傳統廣域網(wǎng)絡(luò )設備上，未必都未內建防護機制，必須要搭配其他資安系統來(lái)強化安全性，例如防火墻、網(wǎng)絡(luò )入侵防御系統；另外，混合廣域網(wǎng)絡(luò )設備與傳統廣域網(wǎng)絡(luò )設備本身提供的自動(dòng)化處理與組態(tài)設定功能，也相當稀少，甚至根本沒(méi)有，導致部署與維護的作業(yè)，皆需大量仰賴(lài)人工操作。

　　而且最近幾年以來(lái)，上述廣域網(wǎng)絡(luò )架構的局限所導致的不便，越來(lái)越明顯。

　　首先，是企業(yè)內部使用者直接連到網(wǎng)際網(wǎng)絡(luò )的需求大增，不論是在公司總部或分支辦公室。部分原因來(lái)自於當前企業(yè)采用公有云服務(wù)的比例增高，員工越來(lái)越常存取企業(yè)租用的軟件即服務(wù)（SaaS），以及位於基礎架構即服務(wù)（IaaS）的應用系統。

　　而面對這樣的改變，擁有多個(gè)據點(diǎn)的跨國企業(yè)，在廣域網(wǎng)絡(luò )的配置上，如果仍維持傳統架構——所有對外的網(wǎng)絡(luò )流量先連回總公司網(wǎng)絡(luò )，再連至網(wǎng)際網(wǎng)絡(luò )，可用的網(wǎng)絡(luò )頻寬，勢必越來(lái)越吃緊，尤其是分支辦公室的網(wǎng)絡(luò )傳輸速度，也會(huì )被拖累。但如果采用混合廣域網(wǎng)絡(luò )的架構來(lái)因應，在整體資安防護上，可能必須在分支辦公室額外部署相關(guān)設備，才能避免威脅趁虛而入，這麼一來(lái)，企業(yè)往往也必須特別外派IT人員前往當地，進(jìn)行網(wǎng)絡(luò )的安裝、設定，導致人力、交通、時(shí)間等種種支出的增加。

　　因此，采用混合廣域網(wǎng)絡(luò )的架構，顯然還是無(wú)法完全滿(mǎn)足跨國企業(yè)網(wǎng)絡(luò )環(huán)境的存取需求。

　　軟件定義廣域網(wǎng)絡(luò )與混合廣域網(wǎng)絡(luò )的共通點(diǎn)，都是結合多種對外連線(xiàn)，例如：網(wǎng)絡(luò )專(zhuān)線(xiàn)、寬頻網(wǎng)際網(wǎng)絡(luò )、無(wú)線(xiàn)網(wǎng)絡(luò )，但軟件定義廣域網(wǎng)絡(luò )的差異在於，管理網(wǎng)絡(luò )能夠做到更自動(dòng)化、可程式化的程度，而且流量可根據網(wǎng)絡(luò )狀態(tài)、安全性、應用程式服務(wù)品質(zhì)的需求，自動(dòng)、動(dòng)態(tài)地進(jìn)行轉送。

　　若從混合廣域網(wǎng)絡(luò )來(lái)看，架構變化有下列階段。

　　早期是以MPLS IP VPN，搭配集中式網(wǎng)際網(wǎng)絡(luò )分流，之後，演進(jìn)到可支援當地網(wǎng)際網(wǎng)絡(luò )分流的做法。

　　接著(zhù)，發(fā)展出搭配MPLS和網(wǎng)際網(wǎng)絡(luò )，進(jìn)行雙主動(dòng)流量負載分攤，以及基於政策的路由。隨後，發(fā)展出基於安全性與網(wǎng)絡(luò )效能的路由。到了最近，則是結合軟件定義網(wǎng)絡(luò )與網(wǎng)絡(luò )功能虛擬化的技術(shù)。

　　面對傳統廣域網(wǎng)絡(luò )與混合廣域網(wǎng)絡(luò )的局限，一些廠(chǎng)商開(kāi)始基於本身的技術(shù)強項，發(fā)展其他的作法，在此同時(shí)，受到軟件定義網(wǎng)絡(luò )技術(shù)持續發(fā)展的影響，這樣的概念也逐漸應用到廣域網(wǎng)絡(luò )環(huán)境當中，產(chǎn)生了新的架構，一般稱(chēng)為軟件定義廣域網(wǎng)絡(luò )（Software-Defined WAN，SD-WAN），而且強調能夠同時(shí)解決效能、安全性不足的問(wèn)題。

　　基本上，SD-WAN是基於軟件化的扁平式網(wǎng)絡(luò )架構，以及虛擬化技術(shù)而成，而不是單靠專(zhuān)屬硬體設備提供的功能，而且，這樣的軟件定義網(wǎng)絡(luò )環(huán)境，通常會(huì )有下列特性：

　　因此，對於廣域網(wǎng)絡(luò )連線(xiàn)選擇與組態(tài)設定的控制，都是透過(guò)政策實(shí)施的方式進(jìn)行。

　　與現行SDN相比，SD-WAN建置架構的元件也分為：控制器（Controller），以及存取節點(diǎn)（Access Node）、邊緣節點(diǎn)（Edge Node），或是閘道器（Gateway）；甚至，在控制器之外，會(huì )另行設立調度器（Orchestrator）。

　　而在這些元件當中，各家廠(chǎng)商對於控制器的所在位置會(huì )有不同的作法，例如，有些產(chǎn)品的SD-WAN控制器是獨立設置在企業(yè)數據中心網(wǎng)絡(luò )環(huán)境當中，甚至是在廠(chǎng)商代管的云端服務(wù)上，有些則是全部結合在一起，并且部署在總部與分支辦公室的網(wǎng)絡(luò )環(huán)境之中。

　　無(wú)論如何，針對廣域網(wǎng)絡(luò )的應用，得到更強大的集中控管能力，應該是SD-WAN最吸引企業(yè)使用的部分。因為，在這樣的架構下，企業(yè)不僅可以監控對外網(wǎng)絡(luò )傳輸的服務(wù)等級與路徑選擇，同時(shí)，能更清楚掌握廣域網(wǎng)絡(luò )的效能與頻寬使用的情況。

　　除了網(wǎng)絡(luò )傳輸效能的控管，這樣的集中控管，也能夠針對分支據點(diǎn)的聯(lián)外網(wǎng)絡(luò )環(huán)境，提供企業(yè)等級的資安防護機制，例如，直接整合防火墻的功能，套用狀態(tài)檢測（Stateful Inspection），甚至結合深度封包檢測（Deep Packet Inspection）的方式，來(lái)阻擋、過(guò)濾惡意軟件、駭客攻擊；或者能夠透過(guò)服務(wù)鏈（Service Chaining）的方式，設定網(wǎng)絡(luò )流量的流向，強制需經(jīng)過(guò)多種負載處理與防護機制，例如依序通過(guò)防火墻、網(wǎng)絡(luò )入侵防御系統的檢測。

　　SD-WAN還有一個(gè)先前作法難以達到的效益，那就是能夠更快速地在公司外部據點(diǎn)部署網(wǎng)絡(luò )。只要當地的網(wǎng)際網(wǎng)絡(luò )速度與頻寬足夠，企業(yè)可以將SD-WAN的存取節點(diǎn)／邊緣節點(diǎn)／閘道器設備寄送過(guò)去，再請當地人員插上電源、連上網(wǎng)際網(wǎng)絡(luò )，就會(huì )自動(dòng)進(jìn)行組態(tài)設定，并且連至SD-WAN控制器進(jìn)行注冊登錄的程序，接下來(lái)，位於企業(yè)總部的IT人員就可以對當地的網(wǎng)絡(luò )環(huán)境，實(shí)施統一控管與監督。

　　像這樣的快速建置功能，稱(chēng)為自動(dòng)部署（Zero Touch Deployment），在多數SD-WAN的解決方案中，都已提供。

　　SD-WAN可適用於不同的企業(yè)廣域網(wǎng)絡(luò )環(huán)境，包含駐外據點(diǎn)、分公司、數據中心，并且支援MPLS專(zhuān)線(xiàn)、DSL與Cable寬頻網(wǎng)絡(luò )。

　　而且，由於SD-WAN已將網(wǎng)絡(luò )服務(wù)的控制平面（Control Plane）拆分出去，企業(yè)可藉此實(shí)現更多的控制與虛擬服務(wù)，以及再上一層的業(yè)務(wù)政策與資源調度指揮。

　　在應用需求與功能提供的部分，SD-WAN的采用的確有快速發(fā)展的機會(huì )，而一些市場(chǎng)調查研究機構，也提出了相當樂(lè )觀(guān)的預測。

　　例如，根據IDC在2016年的預估，全球SD-WAN市場(chǎng)在2020年可望達到60億美元的規模，年度復合成長(cháng)率超過(guò)90％。他們估算2015年的SD-WAN市場(chǎng)規模為2.25億美元，預計2016年是5.95億美元，2017年逼近14億美元，到了2018年將超過(guò)26億美元。

　　至於在未來(lái)12到18個(gè)月內計畫(huà)采用SD-WAN的企業(yè)，在IDC的調查里面顯示，整體而言，已經(jīng)高達62％（在1千到5千人規模的企業(yè)當中，計畫(huà)采用的比例更是接近7成）

　　而Gartner在今年3月發(fā)布的市場(chǎng)指南里面，也提到SD-WAN的采用率可能會(huì )大幅增加。到了2017年底，在廣域網(wǎng)絡(luò )邊緣基礎架構（WAN edge infrastructure）的更新上，他們認為，若是基於虛擬客戶(hù)端駐地設備平臺，或是軟件定義廣域網(wǎng)絡(luò )的軟件／應用設備，會(huì )有超過(guò)40％的比例，而采用傳統路由器的比例，成長(cháng)不到5％。

　　值得注意的是，SD-WAN的發(fā)展與使用，不只是牽涉到開(kāi)發(fā)產(chǎn)品與技術(shù)的「廠(chǎng)商」，以及采用解決方案的「企業(yè)」，也將包括提供代管業(yè)務(wù)與平臺的「服務(wù)供應商」。

　　根據IDC的全球SD-WAN市場(chǎng)預估，在云端服務(wù)供應商（CSP）提供的SD-WAN代管服務(wù)，市場(chǎng)規模的年復合成長(cháng)率將近212％，而基於云端服務(wù)平臺而管理（cloud-managed）的SD-WAN服務(wù)，市場(chǎng)規模的年復合成長(cháng)率將近208％。

　　而之所以會(huì )有這樣驚人的成長(cháng)幅度，IDC認為，SDWAN服務(wù)在接下來(lái)幾年內，將會(huì )取代部分MPLS VPN代管服務(wù)，以及IPsec VPN服務(wù)，并且擴大VPN與廣域網(wǎng)絡(luò )的整體市場(chǎng)，尤其到了2019、2020年，如何滿(mǎn)足企業(yè)對於云端服務(wù)的連線(xiàn)需求，將會(huì )是代管式SD-WAN服務(wù)發(fā)展的關(guān)鍵。

　　企業(yè)本身連接網(wǎng)絡(luò )的設備，在過(guò)去條理分明，區隔為交換器、路由器、廣域網(wǎng)絡(luò )最佳化、防火墻／UTM、整合通訊。然而，隨著(zhù)云端服務(wù)的崛起，以及軟件定義網(wǎng)絡(luò )、網(wǎng)絡(luò )功能虛擬化技術(shù)的發(fā)展，廣域網(wǎng)絡(luò )的應用逐漸區分為云服務(wù)、SD-WAN，以及vCPE。

　　在傳統的廣域網(wǎng)絡(luò )架構下，駐外據點(diǎn)若要連至網(wǎng)際網(wǎng)絡(luò )與企業(yè)數據中心，大量仰賴(lài)MPLS專(zhuān)線(xiàn)或透過(guò)網(wǎng)際網(wǎng)絡(luò )線(xiàn)路的VPN，在這樣的情況下，幾乎無(wú)法有其他備援的廣域網(wǎng)絡(luò )線(xiàn)路可用。而在軟件定義廣域網(wǎng)絡(luò )的環(huán)境當中，企業(yè)可以將駐外據點(diǎn)的專(zhuān)線(xiàn)，用於關(guān)鍵應用系統，以及需要嚴格確保服務(wù)品質(zhì)的應用系統的網(wǎng)絡(luò )連接，而其他應用與備援的廣域網(wǎng)絡(luò )的連線(xiàn)服務(wù)，都可以透過(guò)網(wǎng)際網(wǎng)絡(luò )或代管廣域網(wǎng)絡(luò )的公有云服務(wù)來(lái)提供。