在 MPLS 和 VLAN 环境中实施 SD-WAN 设备

在实施软件定义的广域网 (SD-WAN)拓扑时，大多数 IT组织将使用现有的广域网 (WAN)架构，而不是构建全新的架构。SD-WAN的一个好处是它作为一种覆盖技术的灵活性，因此有几种方法可以在现有网络上正确实施它。也就是说，到目前为止，组织已经对一些技巧和技巧进行了实战测试。

让我们继续我们的SD-WAN系列，重点关注多协议标签交换 (MPLS)和虚拟局域网 (VLAN)，这两种最常见的 WAN架构。我们将探索 SD-WAN如何增强每个功能并增加更多网络管理员、业务和最终用户的好处。

SD-WAN和 MPLS

MPLS是 SD-WAN的鼻祖。通过将服务质量 (QoS)应用于大地理区域内不同连接类型和协议的数据包，MPLS几十年来一直提供有限版本的数据优先级。SD-WAN所做的是提高这些数据包的堆栈排名，以反映一个拥有数十个应用程序的软件驱动世界。

大多数将 MPLS与新的 SD-WAN解决方案保持同步的 IT部门这样做的原因如下：

出于合规性和审计目的，MPLS的安全性和对中央安全堆栈的需求对于组织来说仍然很重要。有人可能会争辩说，基于云的防火墙和云集中式堆栈比现场安全中心更安全。但每家 IT部分都不一样，我遇到过的IT部门中，数据隐私问题和合作伙伴关系要求基于云的安全性对他们不起作用。

MPLS合同规模很大，通常涉及多个站点，因此在较长时间内错开 SD-WAN推出和 MPLS停用非常重要。请记住，与 MPLS运营商捆绑的语音服务可以为保持 MPLS网络发挥作用创造更多动力。

运行 MPLS和 SD-WAN混合环境的 IT架构通常在部署时遵循类似的逻辑。以下是一些最常见的功能。

集线器上的 MPLS

无论集线器站点是总部还是数据中心，为了安全起见，总有一个主要受保护的 MPLS 端口进入集线器。这是为了确保数据以完整性和优先级到达。这些通向集线器的专用线路永远不会被修剪以支持 SD-WAN连接，除非它们从一开始就没有真正需要。

留在 MPLS架构中的第二个最常见的站点是数据堆栈/数据中心所在的任何地方。这并不是说 SD-WAN不能存在于集线器上，而是说集线器不会从 MPLS中移除。

更少的端口

MPLS端口很昂贵，并且对于具有混合 SD-WAN部署的 MPLS网络上的每个 IP地址都不需要。除了增加的费用外，众所周知，MPLS端口的配置和扩展速度很慢，有时需要数周或数月才能实施或移动、添加、更改、删除 (MACD)工作。在现代且竞争激烈的 IT环境中，这种时间框架根本行不通。

带宽重新分配

例如，曾经位于 MPLS电路上的远程销售办公室可以安全地转换为使用 SD-WAN设备作为其顶部的网络控制器的连接。这是因为销售办公室没有存储任何关键数据。关键数据存储在客户关系管理器 (CRM)中，该客户关系管理器 (CRM)已安装在另一个软件提供商的云环境中。

如果数据在传输过程中使用 SD-WAN进行加密，并且受到软件即服务 (SaaS)提供商的静态保护，则 IT组织可以摆脱昂贵的专用线路，转而采用更经济的连接。例如，为语音和视频提供专用连接，并为一般互联网浏览提供另一个电路。

SD-WAN和 VLAN

VLAN是一种非常流行的网络分段形式，它允许管理员执行组策略，而无需位于同一地理区域。VLAN的一个常见用例是获取 IP网络上的所有语音流量并将其分段到 VLAN中，从而减少数据包丢失和冲突，此外还有以动态方式管理用户、部门和功能的管理员利益.

另一种常见的 VLAN配置是安全且与敏感组织数据分开的访客网络。

最后一个常见用例是用于包括视频和门禁管理的安全系统。事实上，许多组织出于安全目的而不是纯粹的功能或管理目的设置 VLAN。如果您的组织在管理 VLAN上的虚拟专用网络 (VPN)覆盖方面有一些历史，那么您将有一个很好的起点来学习将 SD-WAN作为 VLAN上的覆盖。

在 VLAN上配置 SD-WAN覆盖时，您需要记住什么？

SD-WAN不是 VLAN

SD-WAN设备旨在优先考虑应用程序优先级。根据供应商的不同，它还可能增加 VPN集中、带宽聚合和货架级防火墙。这与 VLAN设置的功能不同。

身份访问管理和零信任网络访问解决方案也是完全独立的技术，可以在更高级别解决类似问题。SD-WAN解决方案不是针对组策略管理实施的，而是针对出口流量效率实施的。在部署 SD-WAN设备之前，组织应该了解他们的 VLAN和这些 VLAN的目标。

端口分配

VLAN可以分配给 SD-WAN设备端口。VLAN端口只能侦听这些 VLAN上的流量。端口和防火墙必须制定适当的策略以允许流量自由流动。组织还可以选择故障转移端口，因此如果一个 WAN无法访问，主机之间的流量将流经另一个辅助 WAN。这是一个选择，而不是一个规则。这些端口应该静态配置。

层和层的顺序很重要

在大多数具有 VLAN和 SD-WAN的配置中，将创建多个 VLAN。例如，这些 VLAN将特定于管理与控制/数据。需要在组织的交换机上一一创建第 3层 VLAN。然后可以实现子接口和桥接接口。每个供应商和后续交换机都有自己的命令语言来创建 VLAN。这些最常见的指向将管理桥接接口的 Linux服务器。

为什么使用 SD-WAN作为覆盖？

重要的是要了解，虽然 SD-WAN解决方案宣传 QoS类型的功能，但它们实际上并不是大多数 IT和网络管理员所知道的企业 QoS服务。在没有专用端口的为网络上保证 QoS在统计上是不可能的。但这也是 MPLS和 VLAN技术与 SD-WAN相结合的原因。这一切都与用例以及组织试图通过其 IT投资实现的目标有关。

审核编辑 黄昊宇