虽然目前仍然有一些企业组织在继续使用诸如帧中继( Frame Relay)和异步传输模式(Asynchronous Transfer Mode，ATM)等广域服务，但对于这些服务的使用正在迅速减少。因此，我们正在迅速接近一个IT企业组织将只有两种WAN服务可供选择的时候了，这两种选择分别是MPLS和互联网。鉴于这一趋势，网络企业组织当前所面临的一个关键性的问题便是：如何为分支办事机构设计一款最好的WAN，以便能够使用上述这两种服务选择。

　　传统的方法是：在每处分支办事机构都部署基于T-1的访问服务，以接入提供商的MPLS网络和更高速的链接，可能在每个数据中心有一个或多个T-3连接或高速互联网连接。在许多情况下，传统的分支办事机构WAN的一个主要特点是在每处分支办事机都拥有多款硬件设备，以执行广泛的功能，包括安全性和优化方面的功能。

　　这种方法的一个缺点是，这些设备的配置是相当复杂且费时的。传统的企业分支办事机构的广域网的另一个共同特征是将在互联网流量被交接之前，将其回程传输到数据中心。由于互联网流量需要通过MPLS链路，这无疑增加了成本和延迟性。

　　在我们的《2015年广域网现状报告》中2，调查受访者列出了导致他们重新反思他们所在的企业的WAN设计方法的一系列因素。其中，排名前五大因素是，支持实时的应用程序，如语音或视频、增加安全性、提高应用程序性能、提供公共云的访问、降低成本。

　　在过去的几年中，一种被称为软件定义的广域网(SD-WAN)的新的广域网技术的类别诞生了。这些新技术促使网络企业组织开始重新思考他们的分支办事机构的WAN的设计方法，并有可能使得企业组织对上述各种因素作出反应。

　　政策一致性的需要

　　广域网设计得到了诸多的关注的一个新兴组成部分，是其所使用的政策。

　　Viptela公司的营销总监Lloyd Noronha表示说，目前，网络企业组织在其管理政策方面所面临的一个主要的挑战是：以一种简单的方式从一个地方对其进行部署，并使得其能够为企业广域网的所有部件所识别。

　　而思科公司的企业网络营销经理Kiran Ghodgaonkar则补充说，随着我们继续看到更多的设备被接入到网络，同时考虑到不同类型的用户有着不同的安全许可证级别，网络企业组织将需要实现更多的自动化管理政策。其网络需要能够检测到用户是谁，并自动将安全配置文件应用到用户的设备。

　　在下一代的企业分支办事机构的广域网设计中，企业的业务政策将起着相当重要的作用，VeloCloud公司的营销副总裁迈克尔·伍德补充说。他指出，在企业的分支网络，对于企业业务政策的一大关键性的需求是对于保持一致性和适当的配置、性能和安全性模板的持续性的要求。

　　据Talari Networks公司的产品营销总监Neil Abogado介绍说，企业的业务政策将影响到整个应用程序的优先级，并将支配功能如何发挥其作用，如QoS的部署和执行。此外，应用程序策略将确立需要从网络获得哪些服务(如负载平衡)，及其所在的位置。

　　访问云服务

　　导致企业组织改变其广域网设计方法的主要因素之一是要求提供对于云服务的访问。据Versa Networks公司的共同创始人兼首席技术官Apurva Mehta表示说，用户往往具备通过多家服务提供商进行网络连接的能力。其结果是，分支网络应该能够基于正在访问的每款应用程序对网络和安全的具体要求的理解，选择最佳的服务供应商。

　　Abogado表示说，对于那些希望消除互联网回程，以降低成本，提高应用程序的性能的网络企业组织而言，他们现在已经有了实现本地的、直接的互联网以及从分支机构进行云访问的两种选项了。根据Abogado介绍说，为了促成这项工作，诸如安全等服务必须延伸扩展到分支机构，而这导致了基础设施的成本和分支机构的复杂性的增加。

　　他补充说，对于成本的管理可以通过部署相关的服务，使用诸如虚拟设备或基于云的设备来实现，而复杂性的管理则可以通过使用流程控制工具和基于控制器的SD-WAN服务，以在分布式环境中简化配置管理和监控。

　　据伍德介绍说，借助云交付的SD-WAN，企业组织可以将终端到终端的安全从每一处分支机构扩展到私有数据中心、公共云数据中心和云服务提供商。他补充说，云网关是云交付的SD-WAN的一部分，将能够从分支机构到云资源提供完整的加密、认证、强安全性、性能、高质量的服务和​​网络损伤修复。

　　定位功能

　　在一个传统的广域网，其功能性，如优化和安全性，通常需要现场设置或者在公司的数据中心设置。虽然这些方法仍然是可行的，但在目前的环境下，有其他地方能够托管网络功能，包括：

　　• 通信服务供应商的中央办公室;

　　• 云服务供应商的设施;

　　• 配置设施。

　　思杰公司产品营销高级总监卡尔·布朗表示说，企业组织不想在每个分支机构都部署多款基于硬件的设备。他说，其中的一种选择方案是部署一款单一的智能设备，以支持所有必要的功能，而且其可以通过一种集中的方式进行控制。或者，他们可以保持某些功能在分支机构的一款智能设备上运行，并将其他的功能迁移到云服务。他补充说，独立的功能被安置，而这对于网络企业组织集中控制这些功能是如何应用的是相当重要的。

　　Ghodgaonkar说，思科的大多数客户都喜欢自己拥有并维护自己在相关分支办事机构的办公设备。他补充说，分支办事机构的规模将决定一家企业组织将会把什么类型的服务放在其分支办事机构，以及是否在数据中心集中控制或在企业总部的基础设施实施集中控制。规模较小的分支机构通常都会偏向于在企业总部的设施进行网络功能的集中控制，而规模较大的分支办事机构则倾向于将这些功能保持在分支办事机构。

　　Mehta认为，一些企业组织将把所有必要的功能保持在分支办事机构;其他一些企业组织则会将这些功能保持在一个中心站点;而还有其他一些企业组织会将一些功能部署在现场，另外一些功能部署在场外异地。他还认为，受到严格监管的垂直行业，如医院和银行，将倾向于在分支办事机构保持功能，而诸如零售业等企业则历来倾向于集中这些功能配备。

　　根据Noronha介绍，一款SD-WAN控制器是要被迁移到云中的强有力的候选，无论其是由企业管理或是由服务提供商管理的。

　　伍德说，今天，任何托管在数据中心的功能均是对其进行虚拟化，并重新迁移到云中的候选。他认为，最初迁移到云计算的服务是安全服务，如防火墙、入侵检测和预防、安全的VPN和网络安全性。

　　他的部分理由是，安全服务能够充分利用快速学习和几乎瞬时的更新的优势，以进行安全威胁的检测，缓解和修复，这是最好用SaaS模式进行。此外，基于弹性，规模经济和可访问性等原因，所有的应用程序性能监控和功能管理，将可能被重新搬迁到云服务。

　　网络功能虚拟化(NFV)

　　与广域网的功能应该被保持在何处的这一问题相关的一个主题是，企业的IT部门对于NFV的采用。根据伍德介绍，NFV和虚拟网络功能(VNF)的演化在推动网络企业组织整合分支办事机构的资源到一个单一的SD-WAN，采用商业化的现成(COTS)平台的过程中，将起着至关重要的作用。他补充说，安全功能，以及网络和应用程序管理功能，是进行虚拟化和自动化的很好的候选。

　　Ghodgaonkar对此表示同意，并补充说，一旦网络企业组织将其广域网实施了虚拟化，他们需要考虑为了能够匹配提升WAN灵活敏捷性的目标，如何对服务实施虚拟化。他补充说，企业网络组织已经部署了一系列的虚拟化网络服务，并且，其目前最高的需求是虚拟化的路由器、虚拟化的防火墙和虚拟化WAN的优化。 Ghodgaonkar补充说，通过使用模板来自动部署和网络服务配置，企业可以减少配置错误，进而可以导致减少因暴露安全漏洞所产生的风险。

　　广域的网优化的价值正在下降

　　尽管《2015年WAN现状报告》显示了，网络企业组织对于提高并改善应用程序的性能很感兴趣，但也有一些受访者表示，他们对于广域网的优化在未来所发挥的作用并不是非常看好。伍徳说，WAN优化的价值正在被递减，部分原因在于越来越多的来自企业分支办事机构的网络流量正变得不可压缩;例如，视频，UC和语音音频文件。

　　他补充说，随着时间的推移，企业组织将逐步淘汰使用广域网优化控制器是很可能的，因为一款SD-WAN增强了成本低廉的互联网带宽的弹性部署。

　　梅塔说，WAN优化的价值被递减的另一个原因是缘于诸如CIFS和MAPI等协议已经得到发展演化。他说，当前仍然有其广域网的优化所适应的使用案例，但我们所需要的是一种轻量级的方法，侧重于有限的一组功能，如重复数据删除、TCP、UDP优化以及优化对于关键云计算所提供的应用程序如Office 365的访问。

　　安全问题

　　提高安全性是推动网络企业组织对广域网的设计进行反思的主要因素之一。然而，根据Ghodgaonkar介绍说，当网络企业组织能实现从其分支办事机构的直接的互联网访问时，他们将开始需要关心自己打开了通往更大的安全风险的大门。他补充说，通过在分支机构借助恰当的安全服务，如内容过滤、防火墙、入侵检测和预防以及相关的工具，能够使其易于配置这些服务，而这对于那些想要降低与访问基于云的应用程序相关的安全风险的企业而言，将是至关重要的。

　　梅塔指出，在当前的环境下，分支办事机构设备的错误配置可能会导致安全漏洞。他说，虽然网络企业组织不一定想要集中所有的安全功能，但他们应采用能够集中分支办事机构功能配置的业务流程系统。为了避免出错，网络企业组织应只有一个协调系统来管理安全和网络连接。

　　伍德指出，企业将能够利用为所有网络流量嵌入到云中的安全功能或利用COTS硬件上的VNF，以便为其分支办事机构实现更好的安全设计。 他认为，企业应该采用普遍的能够为云安全服务插入交付服务、接触云应用程序(即在云中)、实施流量及端到端的应用程序监测的整体的方法，来实现广域网的安全设计。

　　Noronha说，一款SD-WAN的部署实施将会给网络企业组织带来他们一直想要的东西—— 微分段(micro-segmentation)技术。当企业网络中的一部分发生违约时，网络企业组织将希望能够保持网络的正常运行，同时避免违约行为影响到网络的其他组件。而微分段技术则允许他们实现这一点。

　　Abogado 指出，企业分支办事机构的安全部门将从依靠外线的方法朝着多层模型的、需要为所有分支技术嵌入安全模型的方向演变。这种变化背后的理念是，管理者要建立“信任”区域和“不信任”区域，因为网络攻击可能来自任何载体，包括分支办事机构内部。他认为，一个单一的加密层可能是不够的，故而IT企业组织应该考虑同时对应用程序和网络层实施加密。增加分支办事机构网络和数据分割的部署，其也将是支持多层安全模型的关键技术。

　　他补充说，这种新方法的挑战是保持应用程序的性能，而不影响一个高层次的保护。一个环境里没有应用程序/用户流量是信任的，直到其经过了验证。这可以推动企业组织实施动态网络流量的管理政策，以迫使未知的或未经验证的应用程序在他们的网络接受检查。一旦这些流量经过了验证，SD-WAN控制器可以推动一个更有效的“信任”的政策，允许可接受的应用程序的性能执行。

　　根本原因分析

　　《2015年应用程序和服务交付手册》揭示了网络企业组织所面临的当前管理工作重要性的快速提升的根本原因分析。布朗对于快速执行的根本原因分析的重要性表示了认可，并补充说，网络企业组织如何发展自己的广域网设计的独立性的重要作用，他们需要深入了解应用程序的交付。他说，网络企业组织需要从应用程序的角度理解延迟性，并且必须能够确定在 其数据中心、广域网和分支办事机构发生了多少延迟。

　　据伍德介绍，快速执行的根本原因分析从这方面来看要容易得多：因为SD-WAN集中网络可视化和监控功能，从而使得IT企业组织能够从一个中央位置来解决相应的问题，而在同一时间又具有广泛的网络，复杂的应用识别能力。

　　Abogado警告说，实施SD-WAN可能会给企业组织添加麻烦点，如不正确配置隧道或覆盖路由器等问题。他接着说，相对于分支办事机构WAN的故障排除，一个SD-WAN链路的动态特性使得其难以建立基线数据，而由于众多变化的变量问题也会造成故障排除的问题。

　　此外，互联网的广域网链路部署作为SD-WAN的一部分引入的路径会遍历几家供应商，因此很难监测、控制和进行故障诊断。Abogado说，在解决这些问题方面，智能SD-WAN解决方案这一技术将有很大的帮助，其提供了简化的、自动化的配置、复杂的报告以及与跨WAN的应用程序性能数据相关的颗粒度分析。

　　对技能的影响

　　由于WAN已经做好准备进行一个戏剧性的转变，有一个强大的可能性，即想要获得事业成功的网络专业人士所需的技能也将必须改变。伍德说，随着广域网的发展，网络企业组织将通过先进的工具近一步实现现代化，使他们能够部署和管理分支机构的网络，以及在云交付架构和应用程序优化实践和技能的所需进行培养的专业知识。他补充说，网络企业组织将被释放到迁移到集中于产生企业营收的系统堆栈，解决方案和应用程序，并与此同时，专注于降低成本的举措。

　　Abogado说，随着广域网的发展，这种采用与传统网络技能相关的技术，如路由和MPLS的部署，通过CLI驱动的配置和监控系统来实现技术的期望是合理的。同时将有对于一系列技能组的需求增加，这些技能组将能够使应用程序，安全性和网络合并为一个通过编排工具置备的虚拟化或云基础设施。

　　Abogado建议网络专业人员应该提高自己的技能，使自身能够了解应用程序的体系结构和要求。他补充说，这些技能将会使网络专业人士能够实现应用程序的要求，并建立一个符合政策规定的业务流程规划蓝图，容纳安全性、服务质量、优化服务和网络资源分配方面的需求。然后该蓝图可以通过业务流程的工具加以利用，在底层基于控制器与基础设施相结合，在WAN上实现适当的访问和应用程序服务的实施部署。

　　呼吁采取措施

　　毫无疑问， SD-WAN技术的引进是推动WAN多年的演变的开始。在一个较高的水平，企业分支办事机构的WAN的下一代的许多方面，将包括如管理政策使用的增加，是非常明确的。然而，下一代分支机构的WAN具体情况远不明朗，可能会因企业具体情况的不同而有所不同。

　　对于大多数网络企业组织而言，只是坐在那里，等待所有待解决的问题被解决并不是有效的策略，并且也绝不会推进网络专业人员的职业生涯的进步。

　　责任编辑：余芯