在實施軟件定義的廣域網 (SD-WAN)拓撲時，大多數 IT組織將使用現有的廣域網 (WAN)架構，而不是構建全新的架構。SD-WAN的一個好處是它作為一種覆蓋技術的靈活性，因此有幾種方法可以在現有網絡上正確實施它。也就是說，到目前為止，組織已經對一些技巧和技巧進行了實戰測試。

讓我們繼續我們的SD-WAN系列，重點關注多協議標簽交換 (MPLS)和虛擬局域網 (VLAN)，這兩種最常見的 WAN架構。我們將探索 SD-WAN如何增強每個功能并增加更多網絡管理員、業務和最終用戶的好處。

SD-WAN和 MPLS

MPLS是 SD-WAN的鼻祖。通過將服務質量 (QoS)應用于大地理區域內不同連接類型和協議的數據包，MPLS幾十年來一直提供有限版本的數據優先級。SD-WAN所做的是提高這些數據包的堆棧排名，以反映一個擁有數十個應用程序的軟件驅動世界。

大多數將 MPLS與新的 SD-WAN解決方案保持同步的 IT部門這樣做的原因如下：

出于合規性和審計目的，MPLS的安全性和對中央安全堆棧的需求對于組織來說仍然很重要。有人可能會爭辯說，基于云的防火墻和云集中式堆棧比現場安全中心更安全。但每家 IT部分都不一樣，我遇到過的IT部門中，數據隱私問題和合作伙伴關系要求基于云的安全性對他們不起作用。

MPLS合同規模很大，通常涉及多個站點，因此在較長時間內錯開 SD-WAN推出和 MPLS停用非常重要。請記住，與 MPLS運營商捆綁的語音服務可以為保持 MPLS網絡發揮作用創造更多動力。

運行 MPLS和 SD-WAN混合環境的 IT架構通常在部署時遵循類似的邏輯。以下是一些最常見的功能。

集線器上的 MPLS

無論集線器站點是總部還是數據中心，為了安全起見，總有一個主要受保護的 MPLS 端口進入集線器。這是為了確保數據以完整性和優先級到達。這些通向集線器的專用線路永遠不會被修剪以支持 SD-WAN連接，除非它們從一開始就沒有真正需要。

留在 MPLS架構中的第二個最常見的站點是數據堆棧/數據中心所在的任何地方。這并不是說 SD-WAN不能存在于集線器上，而是說集線器不會從 MPLS中移除。

更少的端口

MPLS端口很昂貴，并且對于具有混合 SD-WAN部署的 MPLS網絡上的每個 IP地址都不需要。除了增加的費用外，眾所周知，MPLS端口的配置和擴展速度很慢，有時需要數周或數月才能實施或移動、添加、更改、刪除 (MACD)工作。在現代且競爭激烈的 IT環境中，這種時間框架根本行不通。

帶寬重新分配

例如，曾經位于 MPLS電路上的遠程銷售辦公室可以安全地轉換為使用 SD-WAN設備作為其頂部的網絡控制器的連接。這是因為銷售辦公室沒有存儲任何關鍵數據。關鍵數據存儲在客戶關系管理器 (CRM)中，該客戶關系管理器 (CRM)已安裝在另一個軟件提供商的云環境中。

如果數據在傳輸過程中使用 SD-WAN進行加密，并且受到軟件即服務 (SaaS)提供商的靜態保護，則 IT組織可以擺脫昂貴的專用線路，轉而采用更經濟的連接。例如，為語音和視頻提供專用連接，并為一般互聯網瀏覽提供另一個電路。

SD-WAN和 VLAN

VLAN是一種非常流行的網絡分段形式，它允許管理員執行組策略，而無需位于同一地理區域。VLAN的一個常見用例是獲取 IP網絡上的所有語音流量并將其分段到 VLAN中，從而減少數據包丟失和沖突，此外還有以動態方式管理用戶、部門和功能的管理員利益.

另一種常見的 VLAN配置是安全且與敏感組織數據分開的訪客網絡。

最后一個常見用例是用于包括視頻和門禁管理的安全系統。事實上，許多組織出于安全目的而不是純粹的功能或管理目的設置 VLAN。如果您的組織在管理 VLAN上的虛擬專用網絡 (VPN)覆蓋方面有一些歷史，那么您將有一個很好的起點來學習將 SD-WAN作為 VLAN上的覆蓋。

在 VLAN上配置 SD-WAN覆蓋時，您需要記住什么？

SD-WAN不是 VLAN

SD-WAN設備旨在優先考慮應用程序優先級。根據供應商的不同，它還可能增加 VPN集中、帶寬聚合和貨架級防火墻。這與 VLAN設置的功能不同。

身份訪問管理和零信任網絡訪問解決方案也是完全獨立的技術，可以在更高級別解決類似問題。SD-WAN解決方案不是針對組策略管理實施的，而是針對出口流量效率實施的。在部署 SD-WAN設備之前，組織應該了解他們的 VLAN和這些 VLAN的目標。

端口分配

VLAN可以分配給 SD-WAN設備端口。VLAN端口只能偵聽這些 VLAN上的流量。端口和防火墻必須制定適當的策略以允許流量自由流動。組織還可以選擇故障轉移端口，因此如果一個 WAN無法訪問，主機之間的流量將流經另一個輔助 WAN。這是一個選擇，而不是一個規則。這些端口應該靜態配置。

層和層的順序很重要

在大多數具有 VLAN和 SD-WAN的配置中，將創建多個 VLAN。例如，這些 VLAN將特定于管理與控制/數據。需要在組織的交換機上一一創建第 3層 VLAN。然后可以實現子接口和橋接接口。每個供應商和后續交換機都有自己的命令語言來創建 VLAN。這些最常見的指向將管理橋接接口的 Linux服務器。

為什么使用 SD-WAN作為覆蓋？

重要的是要了解，雖然 SD-WAN解決方案宣傳 QoS類型的功能，但它們實際上并不是大多數 IT和網絡管理員所知道的企業 QoS服務。在沒有專用端口的為網絡上保證 QoS在統計上是不可能的。但這也是 MPLS和 VLAN技術與 SD-WAN相結合的原因。這一切都與用例以及組織試圖通過其 IT投資實現的目標有關。

審核編輯 黃昊宇