傳統(tǒng)上，許多具有較大地理足跡（國(guó)內(nèi)或國(guó)際存在、多個(gè)分支站點(diǎn)相距甚遠(yuǎn)等）的大型組織都使用 MPLS骨干網(wǎng)來(lái)處理其組織內(nèi)的所有公司流量。所有流量都通過(guò)數(shù)據(jù)中心路由，并在數(shù)據(jù)中心為所有入口和出口流量實(shí)施統(tǒng)一的安全配置文件。顯然，這簡(jiǎn)化了在所有公司位置執(zhí)行嚴(yán)格和統(tǒng)一的安全策略。然而，它在管理公司 WAN和 LAN上的流量方面也非常低效，因?yàn)樗辛髁浚òl(fā)往公共 Internet的流量，都必須被拉入數(shù)據(jù)中心并進(jìn)行處理。

這種流量管理方法，特別是對(duì)于公共 Internet流量，在過(guò)去的幾十年中非常有意義，在過(guò)去的幾十年中，中心輻射型網(wǎng)絡(luò)拓?fù)渑c專(zhuān)有 MPLS和專(zhuān)用電路相結(jié)合是大型組織處理 Internet的最有效和最安全的方式載流量。但在過(guò)去十年中，經(jīng)濟(jì)實(shí)惠的高帶寬連接和 SD-WAN的爆炸式增長(zhǎng)極大地改變了格局。

云服務(wù)和服務(wù)鏈也從根本上改變了企業(yè)流量模式。產(chǎn)品包括軟件即服務(wù) (SaaS)、安全即服務(wù) (SECaaS)、基礎(chǔ)設(shè)施即服務(wù) (IaaS)、平臺(tái)即服務(wù) (PaaS)、桌面即服務(wù)a-Service (DaaS)，或者，包括所有這些和其他，著名的 Everything-as-a-Service (XaaS)。所有這些云服務(wù)都駐留在公共 Internet上，因此將所有這些流量（以及所有其他公共 Internet綁定流量）在退出 Internet之前將其拉入公司網(wǎng)絡(luò)效率低下，并且可能導(dǎo)致不必要的延遲并降低整體網(wǎng)絡(luò)性能。

SD-WAN《夽易聯(lián)》助力互聯(lián)網(wǎng)突圍

在現(xiàn)代 SD-WAN網(wǎng)絡(luò)中，包括有線、無(wú)線、MPLS、T1、DSL甚至衛(wèi)星在內(nèi)的多個(gè)寬帶源由 SD-WAN設(shè)備和相關(guān)的 SD-WAN控制器、云中繼和網(wǎng)關(guān)聚合和協(xié)調(diào)。

對(duì)于很多中小型企業(yè)來(lái)說(shuō)，他們的 SD-WAN網(wǎng)絡(luò)完全是由多個(gè)本地 ISP聚合在一起組成的。這利用了當(dāng)今公眾可用的相對(duì)便宜、可靠和高帶寬的連接。

但無(wú)論底層寬帶連接如何，SD-WAN本質(zhì)上都是為了通過(guò)智能聚合這些寬帶源并應(yīng)用 QoS（服務(wù)質(zhì)量）和流量整形來(lái)優(yōu)化網(wǎng)絡(luò)性能。

所以一個(gè)典型的企業(yè)會(huì)有大量的虛擬接口由 SD-WAN環(huán)境定義。虛擬接口覆蓋物理端口并允許在邏輯上將所需接口分組在一起，從而創(chuàng)建虛擬接口。這些虛擬接口的兩個(gè)端點(diǎn)形成了覆蓋 IP隧道，類(lèi)似于增壓 VPN，采用高級(jí)算法確保隧道內(nèi)針對(duì)給定流量類(lèi)型的最佳流量管理。想象一個(gè)仍然依賴于中心輻射型拓?fù)浜投鄠€(gè)寬帶資源的大公司。可以設(shè)置一個(gè)虛擬接口來(lái)處理辦公室間的通信，另一個(gè)可以處理辦公室到辦公室的流量，第三個(gè)接口可以處理多個(gè)分支機(jī)構(gòu)和主要數(shù)據(jù)中心或中央總部之間的關(guān)鍵業(yè)務(wù)流量。

在SD-WAN環(huán)境中，一個(gè)或多個(gè)接口可以專(zhuān)門(mén)用于公共 Internet綁定流量，從而減少網(wǎng)絡(luò)資源的計(jì)算負(fù)載和帶寬消耗。在實(shí)踐中，這應(yīng)該很容易做到。只需使用廣泛的選項(xiàng)指定流量，例如源/目標(biāo) IP地址、源/目標(biāo)端口、協(xié)議等或來(lái)自內(nèi)置的 layer7過(guò)濾器。一旦識(shí)別出流量，SD-WAN編排器會(huì)將其分配給特定接口，例如以太網(wǎng)端口（例如 ETH1）或虛擬接口。假設(shè)此接口通過(guò)本地 ISP連接到公共 Internet，您現(xiàn)在已經(jīng)創(chuàng)建了 Internet Breakout功能。

互聯(lián)網(wǎng)突圍的優(yōu)缺點(diǎn)

互聯(lián)網(wǎng)突圍的一些優(yōu)勢(shì)包括：

減少覆蓋隧道的負(fù)擔(dān)——從覆蓋隧道中移除公共互聯(lián)網(wǎng)流量可以釋放帶寬和處理能力方面的資源，讓隧道專(zhuān)注于更重要的公司流量并優(yōu)化指定的應(yīng)用程序。

如果 SD-WAN覆蓋隧道基于使用情況，成本可能會(huì)更低。

如果互聯(lián)網(wǎng)突破點(diǎn)和目的地在地理位置上彼此靠近，則延遲可能會(huì)更低。

互聯(lián)網(wǎng)突圍的一些缺點(diǎn)包括：

未優(yōu)化的流量管理，因?yàn)橥黄屏髁坎荒茉倮酶采w隧道的性能和可靠性特性。據(jù)推測(cè)，這是可以接受的，因?yàn)楦鶕?jù)定義，我們選擇突破的流量是非關(guān)鍵的。

彈性靜態(tài) IP地址不能用于突破流量，因?yàn)樵浦欣^負(fù)責(zé)實(shí)現(xiàn)此功能。

也許最大和最明顯的缺點(diǎn)是覆蓋隧道使用的任何基于云的安全功能都不能用于突破流量。可能需要使用物理設(shè)備保護(hù)流量或使用基于云的專(zhuān)用安全服務(wù)來(lái)實(shí)施標(biāo)準(zhǔn)安全功能，包括下一代防火墻 (NGFW)、入侵檢測(cè)和預(yù)防 (IDS/IPS)、防病毒/惡意軟件/DoS/ DDoS保護(hù)、URL 過(guò)濾等。

使用 SD-WAN《夽易聯(lián)》是您的選擇

您是否選擇突破某些公共 Internet綁定流量取決于您的組織特定的許多因素。根據(jù)您的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)和連接配置文件，它可能有益、必需或不期望。可用帶寬、流量的復(fù)雜性和優(yōu)先級(jí)、實(shí)時(shí)應(yīng)用程序（如 VoIP和實(shí)時(shí)視頻流）所需的延遲配置文件、丟包或丟失數(shù)據(jù)包的影響以及其他因素都決定了互聯(lián)網(wǎng)突圍對(duì)您的組織是否有意義。

但是，通過(guò)現(xiàn)代 SD-WAN《夽易聯(lián)》編排器控制您的企業(yè)網(wǎng)絡(luò)，設(shè)置 Internet分支變得微不足道 -如果您決定創(chuàng)建高度自定義和高效的 Internet分支點(diǎn)，您只需在 SD-WAN GUI上進(jìn)行一些配置選項(xiàng)。

審核編輯 黃昊宇