這裡將介紹NSX SD-WAN的細部技術,先從最基本的開始,認識NSX SD-WAN的四個主要組件Edge、Controller、Gateway以及Orchestrator,了解它們個別所擔任的角色,然後透過六個場景的說明來解釋構件如何運作,最終依照實際案例以三個步驟來依序部署Edge實體設備。
場景二:與具備Edge的資料中心或其他外點辦公室間的資料傳輸
應用傳輸的兩端都具備Edge設備,因此整個傳輸的過程都會受到DMPO通道的保護與優化。兩個Edge間的連線即使透過Internet,也會透過Velocloud內的Cloud-VPN機制強制加密,因此沒有資料洩漏的問題,如圖7所示。
 |
| ▲圖7 與具備Edge的資料中心或其他外點辦公室間的資料傳輸。 |
場景三:與不具備Edge設備的資料中心連通
若企業的某些資料中心端沒有租用Edge設備(不建議,請租),此時這些資料中心可以透過IPSEC的機制,與最近的Gateway建立加密通道。當外點辦公室要與這類的資料中心相通時,Edge會與這些雲端的Gateway建立DMPO通道進行傳輸優化與防護,而網路流於Gateway端,則會改以IPSEC機制送往資料中心,如圖8所示。
 |
| ▲圖8 與不具備Edge設備的資料中心連通。 |
場景四:非核心業務的網路流
往臉書或Netflix的Traffic Flow應該不需要優化吧!藉由前面提到的Velocloud應用識別機制,當一個Internet應用被識別為Low Priority/Non-Business型態時,這類的Traffic就單純地以「Direct」形式、沒有DMPO通道保護的方式,往Internet傳。甚至管理者可以進一步地針對這類Traffic進行像是限頻等等的管理方式,避免占用重要頻寬,如圖9所示。
 |
| ▲圖9 非核心業務的網路流。 |
場景五:往重要企業SaaS服務的網路流
Velocloud在全球重要SaaS服務站點前有設置雲端Gateway,因此當外點用戶要連往這些服務時,Edge設備會直接與這些雲端Gateway建立DMPO通道。用戶取用這些業務相關的SaaS服務時,應用均會受到優化以及保護,如圖10所示。
 |
| ▲圖10 往重要企業SaaS服務的網路流。 |
場景六:購買Cloud Network Service Provider服務的網路流
企業可能希望租用zScaler、Forcepoint(Websense)這類雲端服務,外點要連到SaaS或是Internet的Traffic,先由Internet送往這些NSP進行相關檢查(如網站過濾、Cloud Firewall、DLP等等),再往外送。此時,Edge設備也會與離這些Cloud NSP最近的Gateway建立DMPO通道,讓用戶往SaaS/Internet接取的應用可以用可靠的方式送往Cloud NSP進行檢查,如圖11所示。
 |
| ▲圖11 購買Cloud Network Service Provider服務的網路流。 |
下一個採用SD-WAN時的重點是:外點端設備部署的最簡化。當企業只有五個外點,都分布在台灣,這時候可能不是什麼問題,網路工程師旅行一下各地進行設備安裝與配置即可,後續維運如果有問題,要到點除錯或換設備也不會延遲太久。但如果企業有一百多個外點,分布在全球,可能會有以下幾種想法:
‧希望網路團隊必定得旅行全球,進行每個外點例如店面或是銷售辦公室內設備的安裝與配置嗎?
‧那麼多個外點的配置,要如何維護?如果要修正一個配置,要進行多少作業與檢查?
‧如果配置錯誤了,或設備壞掉,要花多少時間進行更換?希望自己的工程師或維運的廠商包包內放著護照,接到電話就直接飛國外嗎?