毋庸置疑，云計算正在改變著我們的一切，大到國際間的合作（共享數據中心）。小到個人的生活方式（你上網就離不開云），云計算幾乎無孔不入的滲透到了整個社會的方方面面。可以說我們已經離不開云，但云也給我們當前的工作方式帶來了新的改變。

具體有哪些改變呢？最普遍的云服務（如Office 365）的廣泛采用和企業工作負載向公有云的轉移，改變了數據的流向。通過中央樞紐站路由到互聯網上的流量不再是一種性能友好的選擇。越來越多的流量被分配給運行在公有云上的服務，這些服務可以通過Internet直接訪問，而不是組織的內部私有數據中心。因此，IT組織正在考慮從分支提供直接的Internet訪問，以便使用戶能夠直接連接到云服務并最小化延遲，這也促進了企業分支這一IT場景的大量增長。

雖然云給我們帶來了種種便利，但作為承載云服務的基礎網絡，卻面臨了一次不小的沖擊，現有網絡在面對這種分布式處理時，由于數據轉發界面的不確定，使得企業IT部門無法獲得端到端的業務流量視圖，導致出現問題時難以界定故障原因，網絡監控運維難以實施。所幸的是網絡領域也適時提出了軟件定義的概念。業界普遍認為，軟件定義網絡將改變現有網絡對云服務的支撐環境，最終要實現可視化、自動化，以及智能化。

再看物聯網市場，根據2018年物聯網報告預計，相比2017年的90億臺，到2025年IoT設備數將增長到超過550億。在某種程度上，由于這一巨大增長，IoT將影響到各行各業，許多行業將基于IoT開發業務，如零售業和醫療保健業；另外，在金融服務行業預計也會受到IoT的巨大沖擊，例如銀行中利用IoT的視頻出納員和自助終端，而傳感技術可以監視并對使用者的行為采取特定操作。此外，移動地理位置功能與信標技術的結合可以在預約排隊的客戶進入分行時進行信息推廣，從而改進服務。但不幸的是，這一系列應用都將面臨一個嚴重的挑戰，那就是安全漏洞也將呈幾何指數增長。

云計算、物聯網、移動化、安全性、當企業同時面對這些“武林高手”圍攻之時，難免會感到茫然，不知所措。但不必擔心，因為在這一領域中有一位“絕世高手”正在暗中協助，所謂天下武功唯快不破，頃刻間就已破解各路招式，并在關鍵時刻祭出手中“殺手锏”為企業保駕護航，這位“絕世高手”正是在有線/無線領域享譽江湖的Aruba。

在Aruba看來，以上種種“攻勢”，間接形成了越來越復雜的IT搭建與維護環境，并衍生出一種物理和邏輯上同時存在的企業分支場景。如何簡化企業的全新辦公環境，提高生產效率，減少企業成本支出才是當前需要認真思考的問題。

基于此種考慮，Aruba適時推出了軟件定義的分支機構（SD-BRANCH）解決方案，為滿足企業快速進化到云、物聯網和高速移動網絡的需求，并優化分支機構的網絡現代化管理提供了全新的途徑。這一方案整合了基于軟件定義的廣域網、有線和無線統一接入，基于網絡情景數據的安全策略，以及基于云的中心化管理，能夠幫助IT部門快速提升網絡可靠性和應用性能，并且極大的降低企業在分支網絡部署和運維方面耗費的大量時間和成本。從根本上解決了企業面對龐雜IT環境在搭建與維護中的棘手問題，下面我們具體來了解一下Aruba這套方案到底有哪些“精妙招式”。

簡單、自動、高效的SD-WAN

毫無疑問，SD-WAN正在為企業帶來了巨大的價值。

Aruba通過重新設計基于云并且充分利用以軟件為中心的解決方案，以此來提供基于SD-WAN的分支機構組網功能。例如，Aruba 7200以及VMC作為VPN網關可以同時運行在單個或者多個數據中心、私有云，甚至公有云基礎設施中，用于終結來自分支機構的IPSec VPN隧道并提供分支機構與數據中心及各項云服務之間的路由。 Aruba 7200以及VMC頭端設備可以與Aruba 7000系列分支網關建立獨立的SD-WAN拓撲，疊加在MPLS、Internet甚至是LTE線路上，并在這一拓撲基礎上提供基于用戶、終端、應用、線路的策略路由、負載均衡、動態路徑選擇和線路備份等SD-WAN特性。

在此基礎上，Aruba進一步提出了軟件定義的分支機構（SD-Branch）的理念，這一理念與SD-WAN是一脈相通的，同樣是為了解決分支機構中龐雜的IT系統而提出的。SD-Branch簡化的不僅僅是WAN，還包括分支機構中所有網絡功能，以簡化與支持整個分支網絡相關的持續運營負擔。采用SD-WAN只是實現這一重大目標的一個起點。

靈活、安全的接入網絡搭建

在分支環境中缺乏能見度一直是IT最關注的問題。由于企業和分支之間的距離問題，在分支的一些用戶會嘗試繞過安全控制的方法，將物聯網設備在IT不知情的情況下進行連接，從而使企業網絡環境面臨大量安全隱患。此外，基于分支機構的移動性、IoT設備和基于云的應用程序的興起，企業需要一種全面而且自動化的方式實現接入網絡的安全性。

在Aruba SD-Branch解決方案中，IT管理員可以利用用戶和設備情境信息，在LAN和WAN上同時實現一致的基于角色的控制策略。Aruba ClearPass策略管理平臺能夠簡化并基于不同層次的網絡和應用程序訪問自動應用LAN和WAN訪問策略，從而省去了費時的人工配置的需要。

同時，Aruba交換機和無線接入點為分支機構的用戶提供有線和無線接入服務。通過將所有網絡流量轉發到Aruba分支網關，透過中心化的基于角色的準入策略，同時利用內置狀態防火墻進行深度包檢查，可以對分支機構中任何設備的有線或無線連接進行身份認證和靈活控制。這樣，IT管理員就可以很容易地為特定的物聯網設備分配策略，以實現從流量到應用的安全隔離。例如，在零售環境中，這一能力將非常有助于限制對分支店鋪內安全攝像機的惡意使用，以及企圖控制POS終端向非法設備傳送數據的行為。

完善的分支與云安全生態體系

考慮到分布式企業的管理和保護分支機構網絡是一個日趨復雜的問題，因此Aruba SD-Branch方案在設計過程中結合了云安全解決方案，其中包括IPsec VPN、Client VPN、動態網絡隔離、狀態化防火墻、Web內容分類與信譽等級評估、云安全整合等主要功能，并允許使用云安全服務的企業在企業總部或分支機構的用戶組中應用相同的安全策略。

通過Aruba 7000系列分支網關連接WAN上行鏈路，并作為端點設備參與SD-WAN整體組網架構，同時還是有線、無線、安全和廣域網策略（包括路由）的策略執行點，其功能涵蓋狀態防火墻、Web內容分類、混合廣域網連接、IPSec VPN、QoS和WAN上行路徑監控和鏈路選擇。

與此同時，為了解決分支邊界以外的安全漏洞，通過擴展Aruba 360安全交換技術合作伙伴計劃，Aruba增加了與Zscaler、Check Point和Palo Alto Networks的集成功能。這些生態系統伙伴提供基于云的防火墻和統一威脅管理功能，以確保與互聯網交互的企業數據流量的安全。

簡單的有線/無線一體化集中管理

在大多數企業環境中，分支機構通常不具備本地技術資源來安裝硬件并檢查故障。但是，分支機構如今的部署模式則往往要求提供技術人員進行現場安裝調試，這毫無疑問抬升了分支機構部署的成本及復雜性。因此，一個小型團隊開通大型分布式網絡時，需要有一個可操作的安裝流程，同時涉及到第三方安裝人員在現場的技術能力、以及系統配置模式等因素。要做到不需要技術人員到現場進行支持，這就意味著安裝和打造一個分支網絡必須是簡單的、充分的利用基于云的管理，無人干預的自動部署技術，必須為非技術人員設計簡單理想的操作界面。

與此同時，在傳統的網絡環境下，隨著云服務的不斷開展，IT部門很難監控基于云的業務性能，更無法實現對問題和故障的深入排查。

針對上述問題，Aruba 提供了基于云的Aruba Central中心化管理服務。Aruba Central是一個基于訂閱的云管理服務平臺，為所有Aruba無線接入點（AP）、交換機、分支網關和頭端設備提供了中心化的管理和控制功能。Aruba SD-Branch解決方案一方面利用Aruba Central的Zero Touch Provision技術提供了分支網絡設備的自動開通服務，以簡化企業分支機構的網絡安裝和部署流程；另一方面，利用Aruba Central對企業分支網絡，包括WAN和LAN進行自動配置， 并提供分支網絡的拓撲視圖，同時還可以采集和關聯各種網絡運行數據，以提供全面的網絡運維洞察力和故障處理能力。

人工智能與機器學習技術的融入

隨著人工智能及機器學習的興起，Aruba也在自身產品和解決方案中引入了相關的前沿技術。其中最典型的例子就是Aruba IntroSpect和NetInsight解決方案。

IntroSpect用戶和實體行為分析(UEBA)使用基于AI的機器學習來檢測用戶行為改變，這種改變通常指示已經避開了邊界防御的內部攻擊。實體風險評分基于機器學習，考慮到了多種關鍵因素，如不同攻擊階段中意外事件的順序和時間，以及自檢測以來的時間和企業具體環境信息。準確的規范化評分意味著安全分析人員可以放心地安排其工作優先級。安全團隊具備了對惡意、受侵害或粗心用戶、系統和設備的洞察力，可在威脅造成損害之前消除威脅。

NetInsight通過提供基于機器學習的分析來為IT組織提供網絡保證。NetInsight采用無監管模式主動學習和監測正在運行的無線網絡，自動分析該網絡與其它同等規模網絡的性能差異，然后提出系統優化建議，并進一步提供優化前后的無線網絡性能比較數據，從而可以幫助企業不斷適應和提高用戶和物聯網（IoT）的體驗質量。

綜上所述，造成管理和維護分支機構網絡任務日趨復雜的原因主要集中在，企業缺少對基于云解決方案性能的監控能力，同時也無法對相關故障進行有效排除；與在分支機構中使用移動終端的人員所不斷變化的安全挑戰；以及在分支機構中使用基于IoT的企業應用相關的安全隱患。

為了解決上述問題，Aruba認為，企業在對傳統網絡特別是分支機構網絡進行升級改造時需要注意以下幾個方面：

盡可能采用單一策略，用于集中管理有線 LAN、無線 LAN 和 WAN；

分支機構辦公室運營不僅復雜，而且成本高昂，特別是當部門在不同運營孤島中管理傳統網絡組件時。通過借助軟件來應用網絡控制的方法，可以將對隔離配置的需求，替換為通過簡單的通用策略集中管理的功能。

采用SD-WAN技術對現有寬帶和專用 WAN 鏈路實現路由和流量的動態優化；

能夠在整個企業環境中提供輕松開通新用戶的功能；

企業發現，在分布式體系結構中，登錄移動用戶和IoT設備的成本和延遲都在不斷攀升。無縫登錄體驗可以實現更快地配置，從而減少成本和服務差距。 ?

網絡系統應具備實時應用程序感知能力并提供服務質量指標；

對不同業務具有更好的監控能力，可以為分支機構網絡的各個層面帶來了提高，特別是相對于從RF到WAN兩個層面同時改進用戶體驗和服務質量。 ?

網絡系統應具有先進的安全功能；

傳統網絡邊界的概念不再適用于移動和云網絡模型。用戶和設備要求能夠在企業物理邊界之外傳輸企業數據，從而實現實時動態訪問資源。

具備深入到用戶和設備級別的基于角色的監控能力；

利用網絡接入層向 WAN 提供的深入分析和智能功能，例如具體環境感知以及用戶、設備和應用程序相對于位置的行為模式。

采用基于訂閱和云托管的服務。