Aruba通过WAN Edge（广域网边缘市场）实现其愿景

本博客由Aruba公司SD-WAN、SD-Branch和用户体验研究副总裁兼总经理Kishore Seshadri与产品管理总监Ramanan Subramanian共同撰写。

Gartner《2020年WAN Edge基础设施魔力象限》已于近期发布。近些年来，WAN Edge市场的发展着实引人注目。在2015年以前，WAN细分市场一直都是一家独大，而在过去几年里，WAN细分市场发生了翻天覆地的变化，而且仍在持续快速发展。

Aruba的SD-Branch解决方案在Gartner《2019年WAN Edge基础设施魔力象限》中作为利基解决方案亮相，而在较新发布的Gartner《2020年WAN Edge基础设施魔力象限》中，其已经跃升至远见者象限。

自从2018年7月发布开始，这一路走来真的是不可思议。Aruba SD-Branch解决方案现已被70个和地区的450多家客户广泛采用，其中包含多家服务供应商，以及众多《财富》500强企业。我们较大规模的一些客户的网络遍布数十个的上千站点。

Aruba较近收购了Gartner《 WAN Edge基础设施魔力象限》中的Silver Peak，在这一领域的投资增加了一倍。SD-Branch解决方案和Silver Peak解决方案的发展势头良好，借着这一契机，我们来回顾一下Aruba的发展历程，了解Branch转型和WAN转型之间的区别，并对因新冠疫情而改变的市场，以及云安全厂商进军SD-WAN领域的情况进行预判。

早期SD-WAN激励因素

我们从2016年年底开始着眼于SD-WAN市场。对于SD-WAN行业来说，当时还处于初期阶段，虽然很多客户听说过SD-WAN，但要让他们放弃虽然昂贵却久经考验的解决方案（MPLS），转而以互联网作为其主要WAN互联，而且设备与服务还要由刚步入这一行业的新公司来提供，他们还是会心有疑忌。此外，许多客户还将WAN管理外包给服务提供商。对于自己管理WAN（DIY模式），或者从现有服务供应商处购买新的SD-WAN解决方案（受管理模式）这样两种选择，他们也都会感到不安。

企业采用SD-WAN的动机列举如下：

节约传输成本。访问SaaS及云端服务需要更高的WAN带宽，顺应这一宏观趋势，从MPLS转向互联网。

​节约运维成本。利用SD-WAN的自动化和简易性，告别需要复杂的路由器与服务供应商支持协议且管理起来相当复杂的网络。
获得更佳的终端用户体验。采用基于SD-WAN应用的策略来对优先级进行排序，将“动态路径转向（DPS）”、前向纠错（FEC）等技术应用于业务关键型应用，以执行路径调节。在

发展初期，我们曾与60多家客户沟通，了解其网络面临的挑战。其中许多客户都是由小型化的中心团队来管理大型分布式网络。在沟通过程中，我们了解到让网络管理员头疼的一系列常见问题。

常见挑战

客户总是在为WAN感到担忧，尽管SD-WAN被认为是潜在的能打消他们疑虑的一种解决方案，但是还有其他一些重大的难题是SD-WAN不能解决的。

随着摄像头、标牌阅读器、暖通空调系统、数字标牌、以及众多传感器等物联网设备的种类激增，利用VLAN进行细分和隔离会变得困难重重。

VLAN的种类也在激增，通常用于细分领域的物联网设备。每一个VLAN对ACL、DHCP范围与防火墙规则都有严格的要求，策略及安全的配置与执行也会变得碎片化。策略及安全配置分布于网络中的不同组件，会导致问题难以检测，网络变得越来越脆弱，较终崩溃。​

随着新型用户设备（BYOD）的出现，Wi-Fi连接的日渐普及，客户端设备的安全承载能力变得愈发重要。虽然网络访问控制（NAC）解决方案在园区广泛部署，但在分支地点却鲜有部署。​

正在迅速转向SaaS及云端的趋势。与我们沟通过的客户中，很多使用了“NDC 2020”（到2020年就无需数据中心）等术语。显而易见，将工作负载迁移到公有云及SaaS的需求将会不断增加，随后就需要优化这些服务的连接。​

同时，连接性和安全性的关系更加密切，以身份为中心（或以用户为中心）的策略对东西向及南北向的访问策略将更加重要。​

虽然网络单元的数量不是很多，但整体网络却已经变得复杂，很难在多个管理平台间排除故障。​

与我们沟通过的客户大多都无法一如既往地衡量自身及其团队的绩效，因为已定义的KPI不足以衡量实际的终端用户体验。​

较后一点也非常重要，当来自各种厂商（有线、无线以及广域行业中拥有自己管理平台的厂商）的设备种类激增之时，故障排除及跨多个管理界面的监控问题也随之而来。

Aruba另辟蹊径

我们没有通过打造独立的WAN网关及安全设备这种单一的方式来解决这些问题，而是打造能够紧密集成SD-WAN、安全（UTM）以及以用户为中心的动态访问控制策略（SD-LAN）的单一网关。我们将解决方案命名为“软件定义分支”（SD-Branch），并使用简单的等式进行了表达，其中SD-Branch由SD-WAN及SD-LAN构成，外围有着安全保护（Security）：

考虑到行业转型的速度，我们决定只提供一个建立在Aruba Central上的云管理解决方案。我们意识到有些客户不喜欢云管理，而喜欢本地管理解决方案。然而，大型云供应商能够提供更好的SLA，其安全等级更高、部署更快、范围更有弹性，而且连接功能更丰富，这些事实都对我们的决策产生了巨大的影响。

​我们还引入了日后能够频繁升级和修复的新技术，这两种技术在云管理模型中都更容易实现。除了向云计算的宏观转变，上述因素促使我们相信，专注于云计算解决方案，对于客户和Aruba都是较好的选择。​

云解决方案Aruba Central帮助我们在一系列问题上为客户提供真正的零接触体验：从帐户注册到设备注册再到许可证管理。它还帮助管理员跳过了启动虚拟机、并在数据中心部署冗余管理基础设施的步骤。通过API与云提供商和云托管安全厂商进行整合，我们还能够在保留安全模型的同时，提供更为简便的管理员体验。​

Aruba拥有业界领先的无线（Wi-Fi）和有线（交换机）产品组合。安全网关的引入，使客户通过一个界面（即Aruba Central），就能管理全栈解决方案（有线、无线、WAN和安全）。有了这样的解决方案，网络管理员可以定位问题客户，并对数据包路径进行跟踪——从客户端到访问元素，跨越整个SD-WAN架构，至数据中心或云端的工作负载，而这在使用多个传统的管理平台时会困难重重。这样一来，就可以对用户体验进行端到端监控，并快速修复问题。​

云管理解决方案的另一个优势是，该解决方案内置了分析功能，管理员可查看时间序列仪表板、获取基线趋势和网络中的集群信息，并分析跨站点的应用程序性能。云端的弹性计算可结合跨客户分析功能，使我们能够利用大型数据集，开发人工智能及机器学习工具。​

战胜艰巨的挑战
要实现这种解决方案，需要克服许多重大的技术障碍，较大的障碍在于构建集中式云原生控制平面。当时，我们较大的客户之一希望在单一网络上部署15000多个网关，还有其他一些客户想要在数千处地点部署。我们也有一些服务提供商计划在多个租户之间部署数以万计的网关。

​更为复杂的是，SD-Branch解决方案不仅要求管理平台存储 WAN 网关状态，而且还要存储 AP、交换机和客户端状态，比当时业界广泛使用的较先进的SD-WAN解决方案还要大两到三个数量级。这需要对云端的IPSec/DMVPN以及BGP进行全方位重构，让这些子系统可水平扩展且适用于多租户（针对服务提供商客户），同时保持弹性并能够利用云提供的弹性。​

工程团队的明确任务目标是：让客户在必要的时候，能够在一夜之间将其网关规模扩展到数千处站点，而无需与Aruba进行任何协调，也无需担心控制平面是否能够满足其要求。具体来说，一个客户可能会每晚打开数百个站点（就像我们的一些客户那样），数百个客户也可能同时打开数十个站点（略有不同的工程问题）。此外，需要让用户操作变得更加便捷，这一点也同样重要，用户只需单击几下即可配置WAN拓扑，并在其网络中实现该拓扑功能。​

2019年年中，我们推出了云控制平面，此后也一直不断前行。现有客户纷纷转而采用该平面，新客户也从一开始就很轻松地接受了该平面。自云控制平面推出以来，我们扩展了其功能，通过内置的环路防护功能，构建了具有必要动态路由构造的自动网格。客户现在可在数千个站点上运行SD-WAN，这些站点上均配备了精心设计的隧道和路由。​

网络重心--云
我们与公有云提供商合作，这些提供商正在大力扩展其网络功能，包括AWS传输网关和Azure vWAN。同时我们也意识到，公有云中的网络正成为许多客户的网络重心。云世界高度依赖可编程构造，以期实现高度自动化。​

例如，虚拟私有云无法进入第二个可用性区域。在云提供商的世界中，这种故障不是通过路由协议发现的，而是通过API发现的。我们没有强迫网络管理员学习这些新的公有云结构，我们意识到很重要的一点是，网络管理员需要经历很多步骤，在AWS、Azure或GCP中部署虚拟网关，以将其SD-WAN结构扩展到其公有云，而自动执行这些步骤，就能化繁为简。​

随着SaaS普及率的提高，对于SaaS流量性能以及SaaS流量优化功能的可见性，我们客户的要求越来越高。通过与本地Microsoft Office 365 API的集成，以及对关键SaaS应用程序执行首包分类功能，我们努力优化跨多WAN路径的SaaS流量，以提升对SaaS流量性能的可见性，并提升终端用户体验。

​解决SD-Branch的独特挑战

解决WAN问题需要进行大量的工作，同时，网络在LAN的层面又提出了一组有待解决的独特问题。SD-Branch解决方案的一个主要区别在于，它允许管理员定义以用户为中心的策略。这就要求网关去了解网络上分配给客户端的身份和角色。​

我们采用了对网关与NAC策略引擎（例如Aruba ClearPass Policy Manager甚至Cisco ISE）的RADIUS交互进行侦听的方法。可在身份验证时，轻松地将真正较终用户的“员工”或“访客”等用户角色或无头设备的“摄像头”或“打印机”等角色分配给各种端点。角色本身是由策略引擎派生的，该策略引擎会对加入网络的设备进行身份验证和文件配置。用户角色使管理员可以用类似英语的术语，定义简单且以用户为中心的策略，例如：​

“安全”角色可与“摄像头”角色通信，从而允许实际安全团队监控摄像头，但不允许摄像头恶意软件访问网络的任何其他部分

​“员工”角色可与“打印机”角色通信​

利用SD-WAN应用程序SLA策略来确定“员工”角色语音流量的优先级​

“访客”角色用户的流量应限制带宽，并通过隧道分离的形式导向互联网​

这些策略不需要指定IP地址或VLAN（虚拟局域网），但是它们是完全动态的，因其可简单地引用用户角色且可在全球网络范围内进行一次性定义，从而使IT团队从指定静态IP地址的旧环境束缚中解放出来，将设备固定到特定VLAN，并定义引用这些静态属性的ACL和防火墙规则。角色在NAC系统的单一位置定义，且几乎在所有地方都得到了即时引用和执行。这也消除了VLAN作为完成隔离、实现安全性和贯彻策略的手段，并可能导致网络的扁平化。​

该功能推动着网络管理和操作方式发生了惊人的转变。我们相信，这种以用户为中心的原则是零信任网络的重要组成部分，是实现安全架构必不可少的。为进一步增强南北向安全和东西向安全，我们在网关中新增了IDS/IPS（入侵检测系统/入侵防御系统）功能，将这两种系统的遥测数据与端点标识信息相结合，再次简化了网络和安全操作。其中每项功能均由Aruba Central全权管理。​

在网关方面，我们意识到自己必须为企业网络中的不同地点提供一系列硬件和软件网关设备。SD-Branch网关产品组合涵盖很广——从通常部署在数据中心前端的40 Gbps设备，到部署在分支机构位置且集成4G/LTE的4 Gbps设备。由于互联网速度大约每三年翻一番，我们清楚网络中部署的网关必须具备长久的使用寿命。​

因此，我们甚至用4 Gbps的防火墙吞吐量，构建了较低端的分支网关，并启用了所有关键功能（例如应用程序分类和IPSec加密）。对于视成本为主要因素的小型站点（比如临时位置和远程工作人员），我们推出了一个微分支解决方案，提供集成式AP+网关应用，在接入点中嵌入虚拟网关功能。这些站点虽然很小，但仍需要同等的企业级体验，让用户能够安全地连接到企业SSID，并通过专用VPN去访问应用程序。

​疫情期间，微分支解决方案已被证明对我们的许多客户至关重要，他们广泛部署了该解决方案，并有效地将家中的办公环境转变为与办公室非常相似的环境。我们还在公有云中构建了各种规格的虚拟头端，虚拟网关从500Mbps至4 Gbps不等。

不断推进WAN转型升级

WAN Edge市场庞大而多样。虽然我们通过Aruba SD-Branch在很短的时间内取得了很大的成就，但我们也认识到，要满足这一广阔市场的所有需求，还需要投入相当多的时间和精力。当一部分细分市场寻求改变整体分支网络时，另有很大一部分的客户群纯粹专注于WAN的转型升级，在SD-WAN和WAN优化方面提出了很高的需求。我们较近收购的Silver Peak帮助我们满足了WAN转型客户的需求，并完善了我们的产品组合。

虽然我们在很短的时间内就取得了巨大的进步，但我们感觉一切才刚开始。我们如今与客户的对话不再是关于“我应该做SD-WAN吗?”，而是关于“我应该如何做好SD-WAN?”或者“如何简化分支?”。随着Silver Peak和SD-Branch解决方案加入我们的产品组合中，我们发现了许多振奋人心的机遇。我们会把握这些机遇，在未来几年内持续完善这两种解决方案，实现令人振奋的创新。Silver Peak和SD-Branch在Gartner WAN魔力象限的位置反应了Aruba的飞速发展!