本节介绍了 VMware SD-WAN 功能。

动态多路径优化

VMware SD-WAN 动态多路径优化包括自动链路监控、动态链路转向和按需修复。

链路转向和修复

根据应用程序的业务优先级、嵌入的应用程序网络要求信息以及每个链路的实时容量和性能,将自动执行每个数据包的动态应用程序感知链路转向。在通过前向纠错、抖动缓冲和否定确认代理对各种链路性能下降问题进行按需缓解时,也会保护优先级和网络敏感应用程序的性能。每个数据包的动态链路转向和按需缓解组合使用以提供强大的亚秒级阻止和限制保护,从而提高应用程序可用性和性能并改善最终用户体验。

云 VPN

云 VPN 是用于连接 VMware SD-WAN非 SD-WAN 目标 的一键式站点到站点 VPNC 兼容 IPsec VPN,同时提供站点的实时状态和运行状况。根据服务级别目标和应用程序性能,云 VPN 为所有分支建立动态 Edge 到 Edge 通信。云 VPN 还使用 PKI 可扩展密钥管理在所有分支之间提供安全连接。新分支自动加入 VPN 网络,并且可以访问其他分支、企业数据中心和第三方数据中心(如 Amazon AWS)中的所有资源。

防火墙 (Firewall)

VMware SD-WAN 提供有状态的上下文感知(应用程序、用户、设备)集成应用程序感知防火墙,可以精细控制子应用程序并支持协议跳变应用程序,例如 Skype 和其他 P2P 应用程序(例如,禁用 Skype 视频和聊天,但允许 Skype 音频)。安全防火墙服务可识别用户和设备操作系统,并且能够分隔语音、视频、数据和合规性流量。可以轻松控制企业网络上的 BYOD 设备(如 Apple iOS、Android、Windows 和 Mac OS)的策略。

网络服务插入

VMware SD-WAN 解决方案支持在一个平台中托管多个虚拟化网络功能,从而消除单一功能设备并降低分支 IT 复杂性。VMware SD-WAN 服务将从分支到基于云的服务和企业区域 Hub 服务的流量链在一起,以提供有保证的性能、安全性和可管理性。分支利用整合的安全和网络服务,包括来自 Zscaler 和 Websense 等合作伙伴的服务。通过使用简单的即点即用界面,可以使用应用程序特定的策略在云和本地插入服务。

激活

SD-WAN Edge 设备在零接触部署中连接到 Internet 后,它们自动进行身份验证,进行连接和接收配置指令。它们使用 SD-WAN Edge 冗余协议提供了高可用性部署,并与现有网络集成以支持 OSPF 和 BGP 路由协议,并且可以利用动态学习和自动化。

覆盖网络流量控制 (Overlay Flow Control)

SD-WAN Edge 通过 OSPF 和 BGP 从相邻路由器中学习路由。它将学习的路由发送到网关/控制器。网关/控制器充当路由反射器,并将学习的路由发送到其他 SD-WAN Edge。覆盖网络流量控制 (OFC) 可实现企业范围的路由可见性和控制,以简化编排以及控制全部和部分覆盖网络。

OSPF

VMware SD-WAN 支持针对 OSPF 邻居、OE1/OE2 路由类型和 MD5 身份验证的入站/出站筛选器。通过 OSPF 学习的路由将自动重新分发给云或本地托管的控制器。

BGP

VMware SD-WAN 支持入站/出站筛选器,可以将这些筛选器设置为“拒绝”(Deny),或者选择添加/更改 BGP 属性以影响路径选择,即,RFC 1998 社区、MED、AS 路径前置和本地首选项。

分段

网络分段是一项用于企业和服务提供商的重要功能。对于最基本的形式,分段出于管理和安全原因提供网络隔离。最常见的分段形式是适用于 L2 的 VLAN 和适用于 L3 的 VRF。

典型的分段用例:

  • 业务部门隔离:工程、人力资源等以保护安全/进行审核
  • 用户数据隔离:客户机、PCI、企业流量隔离
  • 企业在不同的 VRF 中使用重叠的 IP 地址

不过,传统方法仅限于单个设备或两个物理连接的设备。要扩展该功能,必须在网络中传输分段信息。

VMware SD-WAN 允许端到端的分段。在数据包穿过 Edge 时,将在数据包中添加分段 ID 并将其转发到 Hub 和云网关,从而在 Edge 与云和数据中心之间隔离网络服务。这提供了将前缀划分到唯一路由表的功能,从而使业务策略能够识别分段。

路由

在动态路由中,SD-WAN Edge 通过 OSPF 或 BGP 从相邻路由器中学习路由。SASE Orchestrator 在称为覆盖网络流量控制 (Overlay Flow Control, OFC) 的全局路由表中保留所有动态学习的路由。覆盖网络流量控制允许在“同步覆盖网络流量控制”和“更改入站/出站筛选配置”时管理动态路由。如果将前缀的入站筛选从 IGNORE 更改为 LEARN,则会从覆盖网络流量控制中提取前缀并将其安装到统一路由表中。

有关更多信息,请参阅为动态路由配置 OSPF 或 BGP

业务策略框架

服务质量 (QoS)、资源分配、链路/路径转向和纠错是根据业务策略和应用程序优先级自动应用的。可以根据专用和公用链路、策略定义和链路特性定义的传输组来编排流量。