利用思科软件定义广域网 (SD-WAN) 优化 SaaS 连接
使用案例 2:通过最佳区域网络枢纽或不依赖运营商的设备访问云
利用思科软件定义广域网 (SD-WAN) 优化 SaaS 连接
随着越来越多的应用迁移到云,通过中心辐射型架构将昂贵广域网线路上的流量回传到数据中心或集中式互联网网关这一传统方法已不再切合实际。传统的广域网基础设施并非设计用于访问云中的应用。它价格昂贵,而且会产生影响用户体验的非必要延迟。集中式网络出口模型的放大效应,加上为处理常规互联网浏览任务而优化的边界堆叠,常常会造成瓶颈和容量上限问题,这可能会阻碍或限制客户向 SaaS 云过渡。
随着企业积极采用 Office 365 等 SaaS 应用,传统网络架构会带来一些造成复杂性并影响用户体验的严重问题。在许多情况下,网络管理员难以甚至无法了解最终用户和软件即服务 (SaaS) 应用之间的网络性能特征。传统网络架构往往采用 “一刀切” 的方式,只关注边界安全而不注重应用感知,因此企业无法将经过批准的、更可信的云业务应用与互联网娱乐性用途这两者区分开来,并对前者加以优化。这导致前者要接受代价高昂的侵入性安全扫描,
从而进一步降低了用户体验。
企业网络正在经历巨大转型,这是因为网络架构师正在重新评估广域网设计,以便为过渡到云环境提供支持、降低网络成本并提高云流量的可见性和可管理性,同时确保卓越的用户体验。为了充分利用低成本的宽带互联网服务,并找到多种方式来直接智能路由远程分支机构的受信任 SaaS 云绑定流量,这些网络架构师纷纷转向软件定义广域网 (SD-WAN)。思科® 软件定义广域网交换矩阵是一款业界领先的平台,它可提供精炼、简化、安全的端到端混合广域网解决方案,帮助用户从您的分支机构直接连接到您的受信任业务关键型 SaaS 应用(例如 Office 365),从而实现基于策略的本地直接连接。企业可以使用此交换矩阵构建具有高级路由、分段和安全功能,同时支持零接触启动、集中协调、可视性和策略控制的大规模软件定义广域网网络。这样得到的是一个易于管理且更具成本效益的 SaaS 云就绪型网络,并使企业能够实现其业务目标。
思科软件定义广域网交换矩阵的一项基本原则是以无缝、安全且可靠的方式,将分支机构用户连接到云中的应用。思科通过面向 SaaS 的 Cloud onRamp 解决方案提供这一适用于 SaaS 应用的全面功能,与 Microsoft 的 Office 365 连接原则保持一致 (aka.ms/pnc)。
借助面向 SaaS 的 Cloud onRamp,软件定义广域网交换矩阵通过分支机构的所有允许路径持续衡量指定 SaaS 应用的性能。对于每个路径,交换矩阵都会计算体验质量得分(0 到 10 分),其中 10 分代表最佳性能。此分数可以帮助网络管理员轻松了解应用性能,这在以前是无法做到的。最重要的是,交换矩阵将自动做出实时决策,以选择远程分支机构的最终用户与云 SaaS 应用之间的最佳性能路径。企业可以根据其业务需求和安全要求,以多种形式灵活部署此功能。
使用案例 1:从远程分支机构直接访问云
在远程站点使用一个或多个低成本宽带互联网线路的企业可以在分支机构路由器上启用 Cloud onRamp,以允许发送至 Office 365 的流量直接疏导进入互联网。只有发送至 Office 365 的关键受信任流量才能进行安全的本地疏导,而所有其他互联网流量都将使用常规路径。例如,客户可以指定一个策略,在该策略中对性能要求最高且受信任的 Office 365 应用(例如,Exchange Online、SharePoint Online、Skype for Business Online 和 Teams)允许利用本地和直接互联网连接,而客户网络外部的其他用户网络通信将通过客户数据中心进行路由。Office 365 网络流量将通过利用 Microsoft Office 365 IP 和 URL Web 服务进行识别和分类。如需了解详情,请访问 aka.ms/IPURLBlog 。
Cloud onRamp 还可根据已测量的可用性和性能特征,在多个网络路径之间进行智能切换,从而使客户获得更高的可用性和更佳的 Office 365 体验 - 例如,在来自不同 ISP 的两个互联网出口链路之间进行切换,或者通过区域网络枢纽或远程数据中心(图 1)中的备用网络出口提供备用路径。
从远程分支机构直接访问云
使用案例 2:通过最佳区域网络枢纽或不依赖运营商的设备访问云
对于某些企业而言,直接将互联网连接到每个分支机构可能不切实际,作为中间步骤,他们可能希望将区域网络枢纽出口架构用于 Office 365 流量。虽然此类架构可能无法提供与本地和直接互联网出口同样的性能水平和成本效益,但思科软件定义广域网可帮助确保通过可用的区域网络枢纽基础设施实现最佳路径。
在此类部署中,Cloud onRamp 可以部署为网关模式,这有助于确保为客户的 Office 365 应用流量动态选择最佳区域网关(图 2)。
通过最佳区域网络枢纽访问云
使用案例 3:通过安全 Web 网关本地接入互联网
在某些部署中,企业使用低成本宽带互联网线路将远程分支机构连接至软件定义广域网交换矩阵,并且他们希望根据用户所连接的服务类型应用差异化安全策略。例如,企业不希望将所有分支机构流量发送至安全 Web 网关 (SWG) 或云访问安全代理 (CASB),而是希望通过经由 SWG 路由常规互联网流量来有针对性地实施其 IT 安全策略,同时允许对一组有限的经认可且受信任的 SaaS 应用(例如 Office 365)进行性能最优的直接连接。在这种情况下,针对被允许将流量直接发送至互联网的应用以及可根据企业策略通过 SWG 路由流量的应用,将面向 SaaS 的 Cloud onRamp 设置为在多个 ISP 之间动态选择最佳路径(图 3)。
通过安全 Web 网关本地接入互联网
● 借助思科软件定义广域网技术,企业可以构建不依赖运营商的可扩展型广域网基础设施,从而降低广域网传输成本和网络运营费用。
● 借助思科软件定义广域网,客户可以应用以业务为中心、应用感知和差异化的路由策略,使分支机构的最终用户能够直接连接至 Office 365 等性能密集型受信任应用,同时通过 SWG、CASB 或客户数据中心等路由常规互联网流量。
● 企业可以利用思科面向 SaaS 的 Cloud onRamp 功能智能路由 Office 365 流量,提供快速、安全和可靠的最终用户体验。
● 从分支机构、区域网络枢纽和数据中心的每条线路通往 Office 365 的所有路径都将受到持续的性能监控,且应用流量将被动态路由到最佳性能路径,整个过程无需人工干预。
● 通过体验质量指标,面向 SaaS 的 Cloud onRamp 可以帮助网络管理员充分了解应用的实时性能和历史
性能。