什么是SD-WAN？

一个位置的连续网络称为“局域网”（局域网）有些公司在几个地方经营，每个地方都有一个网络。这些独立的网络可以链接在一起，形成一个可以集中管理的网络。这是一个 ”广域网,“ 要么 广域网.

现在，许多公司使用云服务，这些服务也可以集成到LAN中，形成WAN。因此，网络管理员考虑创建WAN的原因多种多样。.

如何将WAN链接在一起没有太多选择。可以通过Internet与那些远程网络和资源进行联系，并且该介质提供了最便宜，最简单的方式来形成WAN.

互联网的唯一问题是 它不在网络管理员的控制范围内. 它在建筑物外部，并且电缆由其他组织拥有。失去控制使许多企业无法利用互联网将分散的站点连接在一起.

SD-WAN的好处

软件定义的广域网解决了对公共介质进行控制的问题。将LAN连接到Internet的网关对站点之间通过的流量应用加密，从而为它们提供隐私保护.

SD-WAN系统可以使用Internet协议的约定来路由流量，也可以通过以下方式缩短地址： 多协议标签交换 （MPLS协议）系统。它也可以通过发送流量 LTE网络 到移动设备.

尽管该技术被称为“软件定义”，它也可以由设备实现，这是一种硬件解决方案.

SD-WAN与互联网连接

位于不同站点的员工可以轻松地通过Internet相互通信，因此 为什么要烦恼SD-WAN? 运行由Internet和WAN连接的一系列LAN的系统之间的主要区别在于： WAN的地址空间是统一的.

局域网使用的私有IP地址仅在该网络内有效，因此，其他地方的其他网络上的终结点具有相同的IP地址无关紧要。这也适用于同一公司的另一个站点的LAN。 WAN上的所有地址都必须是唯一的。因此，通过创建广域网 SD-WAN技术跨所有站点创建一个地址空间.

WAN可以有一个中央 DHCP服务器, 一 DNS服务器, 和 一位IP地址管理员. 如果企业的每个站点都拥有自己的LAN，仍然可以将网络支持集中在一个位置。但是，这意味着一位网络管理员必须跟踪多个地址空间，这可能会变得很复杂.

SD-WAN软件 覆盖了中间的互联网寻址问题 并仅向管理员提供专用网络的一个地址空间，即使该网络在物理上是分散的.

SD-WAN和VPN

SD-WAN的工作过程与虚拟专用网络（VPN）的工作过程非常相似。企业使用VPN已有一段时间了。他们的应用程序允许远程工作人员连接到公司网络，并像对待他们在同一建筑物一样。到远程工作者的链接通过Internet进行，并受加密保护.

VPN和SD-WAN的功能之间的差异在于 VPN将单个端点连接到网络, SD-WAN在两个网络之间建立链接，每个网络都服务于许多端点。 SD-WAN软件还可以为单个工作人员提供VPN连接.

VPN和SD-WAN均采用一种称为“封装.这涉及将整个数据包放置在另一个数据包的有效载荷内。外部数据包具有其自己的标头，该标头与原始内部数据包的标头中包含的路由信息​​无关。外部数据包仅存在足够长的时间，以使内部数据包通过互联网.

封装的主要目的是使整个原始数据包得以加密，从而免受侦听器的攻击。这意味着报头包中包含的路由信息​​是 暂时变得不可读, 因此，它无法用作互联网上路由器的信息源。这有效地使内部数据包对Internet上的所有设备“不可见”。类似于此过程的是，旅途中的某人在部分途中穿过隧道，因此对于任何乘坐直升机追踪该人的人来说，它们都是暂时看不见的。因此，封装被称为“挖洞.”

SD-WAN连接保护

SD-WAN流量通过Internet传输时最常用的保护方法是 IPSec协议. 这提供了与VPN技术的另一个相似之处，因为IPSec是经常用于保护VPN的安全选项之一。但是，用于VPN的最常见的安全系统是 开放VPN.

IPSec是一种开放标准，由Internet工程任务组（IETF）最初发布为RFC 1825，RFC 1826和RFC1827。开放标准表示： 任何人都可以访问协议的定义 并付诸实施。对标准的商业使用没有限制.

IPSec是“第三层”（OSI术语）协议。它是 TCP / IP协议套件 并且在传输层之下。该协议层通常由路由器实现-交换机是“第2层“ 设备。 IPSec在传输层之下，无法建立会话。但是，它能够验证远程路由器并交换加密密钥。这些过程有效地模拟了TCP为完成 建立会议.

IPSec中的安全系统 跨链接忍受, 因此涵盖了整个互联网的整个旅程。加密包含网络流量的数据包头，使用外部头对所有数据包进行重新寻址，以使其通过Internet到达远程站点的相应网关。.

IPSec的封装解决了网络IP地址的私有范围和公共Internet地址空间的唯一性要求之间的差异。 IPSec协议定义了两种不同的加密程度。该协议可用于“运输方式.在这种情况下，仅对携带数据包的主体进行加密。另一个选项是“隧道模式,”会加密包括标题在内的整个数据包，然后将其放入具有可读标题的外部数据包中。在SD-WAN中，IPSec是 始终在隧道模式下使用.

可以与IPSec一起部署的加密方法由实施软件的开发人员选择。它可以是具有Poly 1305的TripleDES-CBC，AES-CBC，AES-GCM或ChaCha20.

SD-WAN实施

作为第3层系统，SD-WAN应该由路由器实现。但是，可以为一台计算机购买软件，该软件可以在流量到达路由器之前捕获所有流量，管理SD-WAN任务，然后通过路由器将其全部发送到Internet。这是一个 虚拟设备 解。另一种方法是用嵌入了SD-WAN软件的设备替换路由器.

设备或软件-路由器组合应该能够有选择地将流量通过SD-WAN路由或通过Internet路由到其他目的地。这种灵活性称为“分割隧道”，因为发往WAN远程站点的公司数据将通过SD-WAN隧道传输，而常规Internet流量将在不封装的情况下通过Internet发出.

SD-WAN术语自2014年以来才出现，尽管底层技术存在的时间更长。但是，该方法已经被云计算所吸收。云计算将软件与支持的硬件捆绑在一起，称为“软件作为服务”（SaaS）。 SD-WAN软件可以托管在远程服务器上，从而将网络软件创建为服务。此类服务称为“统一通信即服务,“ 要么 UCaaS.

在UCaaS架构中，客户公司无需购买任何特殊的软件或设备。而是从公司到云服务器的VPN连接 将所有流量引导到UCaaS服务. 此时将应用SD-WAN流程，并将流量转发到相应的远程站点，该站点也通过VPN连接到UCaaS系统.

当所有站点的所有流量都通过UCaaS服务器时，是在云服务器上决定是通过隧道将流量路由到另一个站点还是通过常规Internet将其发送出去。.

通过云服务路由所有流量的策略变得越来越普遍，被称为“边缘服务.”这是网络安全公司用来为网络提供防火墙保护的一种新方法，而UCaaS服务可以增加安全保护，包括 电子邮件监控. UCaaS系统可以提供的其他功能包括连续性，备份和归档系统.

基于云的SD-WAN比现场解决方案更具成本效益，因为它们消除了购买必要的硬件和软件来创建WAN的前期成本，并且不需要技术人员进行维护。 UCaaS系统通常在 订阅基础 这花费了购买硬件和软件以在内部运行的价格的一小部分.

图片来源：Pixabay的网络互联网。公共区域.