致雲原生企業：傳統網路過時了，你需要的是SD-Branch

SD-WAN如此多嬌，引無數英雄競折腰。

如果說當下基礎網路領域還能有什麼熱點，那必須是SD-WAN。這個領域已沉寂太久，好不容易迎來個客戶認可並且需要的新概念，立刻被諸多廠商包裝成行業頂流，圍繞它開啟了一場久違的狂歡。

但我今天想聊的是SD-Branch，相信對很多人來說，是第一次聽說這個詞。

它絕不是個蹭熱點的新概念。SD-WAN這麼火，在Google裡也只能搜尋到大約1.2億條結果;你再搜一下SD-Branch，結果還多2000萬條。

也不必擔心錯過了行業熱點，因為它確實一直在低調蟄伏。Google Trends裡對比一下兩個關鍵詞的資料就能看到，與漸入佳境的SD-WAN的相比，SD-Branch有如錦衣夜行。

但今天我必須強調，再不關心SD-Branch，就真晚了。

何謂SD-Branch

用一句話概括，SD-Branch是企業網路針對業務雲化過程中產生的種種需求，進化發展成的以云為中心的理想架構。

它是個方案概念，並不是個具體的產品技術概念。

對於SD-Branch，業界主流諮詢機構紛紛給出了自己的定義。我簡單整理了一下，大家意見高度統一的主要有以下四點。

首先是能夠完整組網。對於客戶來說，SD-Branch是完整的企業網路方案，要具備獨立組網能力，至少要提供閘道器、交換、無線等必要的品類供客戶選擇。單純只能解決某個維度問題的方案，比如某廠商能且只能提供非常好的企業WLAN，那不算是SD-Branch方案。

在SD-Branch方案中，裝置級SD-WAN功能也是必選項。上一篇我已經寫過，可以把SD-WAN看做企業VPN組網能力面向業務品質的進化。那做為完整的企業網路方案，以前不能缺少VPN，如今不能缺少SD-WAN，完全在情理之中。

既然業務上雲，企業網路邊界也隨之擴充到雲端，理論上租戶內的所有非生產資源都屬於企業網路範疇。所以SD-Branch方案還必須包括能夠以虛擬化形態交付的閘道器產品，用來打通雲網和線下辦公網，同時將SD-WAN能力延展上雲。

這三個條件不是任何人拍腦袋想出來的，你會發現只有全部滿足後，才達到業務雲化後企業網路的組網要求，真正構建了雲管端模型中完整的管道層。

業界對SD-Branch的第二個共識是需要整合安全能力。

安全的重要性永遠和其保護物件的價值成正比。對業務上雲的企業來說，數字資產就是全公司的核心價值所在，故而安全是內生需求，而不是為了合規做做樣子，所以SD-Branch方案中必須包括安全能力。

但如何保護、保護到什麼地步，比起傳統組網方案，SD-Branch會有一定變化。

第一個改變是由窄變寬。當今時代，辦公的概念發生巨大變化，共享辦公、居家辦公、移動辦公、BYOD等新需求層出不窮。尤其在今年，疫情防控的常態化勢必會加速這一趨勢。

這就導致企業網路的邊界變得模糊乃至破碎，傳統的將安全功能決策點放在“出口”的做法，如今已經沒什麼意義。SD-Branch方案必須能適應這樣的變化，將與時俱進的安全能力下沉到所有可能出現的邊界。

第二個改變是由深變淺。業務上雲是個資料大集中的過程，在雲上，在儘量靠近資料資產的地方，安全要做深做強，顧及到業務安全、資料安全等多個層面;企業網路做為中間管道，其生產屬性反倒被削弱了，安全可以更聚焦於網路層面，重點落地准入、認證、訪問控制、網路層的主動被動防護等功能。

在很多調研中，企業IT運維人員非常擁護業務雲化後的組網模型，就是因為線上環境和企業網路徹底解耦，企業IT運維和線上運維之間的管理邊界和責任邊界更加清晰，少了很多扯皮，也少背不少鍋。

業界對SD-Branch的第三個共識是要提供統一的管理運維能力。

如今企業網路承載的業務模型越發多變，其複雜度、變化頻率都不同與往日。對著裝置敲命令效率太低，企業IT對統一管理運維的需求異常迫切。

這裡所說的統一管理運維能力，也不是像很多大網管平臺那樣，簡單地把多個裝置或功能決策點的介面統一在一個入口，而是徹底從廠商視角切換到客戶視角，把所有網路和安全資源池化，按使用者的意志(或者說人的思維邏輯)進行排列組合。

可以參考NGFW，它的定義中也包括了這一點，並且取得了市場的高度認可;SD-Branch乾的是同樣的事情，只不過生效位置不再是一臺裝置，而是整個企業網路，相對要複雜得多。策略如何拆解下發?哪些裝置參與執行?流量如何牽引?這些你都不用關心，SD-Branch的“SD”在這裡證明了存在的意義——在企業網路上實現統一的網路編排加安全編排。

實際上，在這個層面，SD-Branch是SDN在企業網路的落地實踐。

業界對SD-Branch的最後一個共識是要提供簡化的部署與排障方式。

業務雲化，讓企業IT的責任空間變得更廣，要處理的事物也更繁雜。但對幾乎所有企業的管理層來說，控制IT編制、降低IT成本都是永恆的主題。兩者矛盾越來越尖銳，唯一的緩解方式，只能是來自產品方案的更多的、更好的賦能。

比如在開局階段，目前企業IT最頭疼的主要有兩個問題，其一是分支建設速度在加快(5G是最大“幫凶”之一)，IT人員工作量過度飽滿;其二是工期縮短，IT是建設的最後一個環節，經常要為前置工作的拖延買單，逼得IT打工人只能熬夜趕工，事倍功半。

在這種情況下，零配置部署逐漸成為一個非常剛性的需求。雖然它很難做到真正意義上的“零”配置，卻也能大幅降低企業IT部門的工作量，成為SD-Branch方案中不可或缺的能力之一。

再比如運維階段，故障處理是佔企業IT人員精力最多，也是他們最不願意面對的工作任務。這件事的真正瓶頸往往不在於個人技術能力，而是產品方案對此缺乏有力支撐。

毫不客氣地說，企業網路產品技術發展了這麼多年，關心的一直是更高更大更強，在排障方面給IT運維人員的賦能幾乎是0。也虧了這幾年企業無線運維方面的矛盾太過激烈，主流裝置廠商才開始正視這個問題，給出一些解決區域性問題的自動化輔助工具。但總體看來，IT人依然在黑暗中潛行。

與統一管理運維一樣，SD-Branch方案要求在統一平臺下提供客戶視角的整網運維能力，並加入更多的自動化及輔助決策工具。但更智慧、更強大不代表更復雜、更難用，相反，平臺給客戶的呈現和互動需要更簡單。只有這樣，才能將企業IT運維人員徹底從盲人摸象式的工作狀態中解放出來。

不難看出，SD-Branch並不是產品技術層面的革命，而是企業網路帶有鮮明時代特徵的一次自我完善。它針對傳統企業組網方案中上雲和IT效率等薄弱環節做出增強，更好地滿足業務雲化帶來的種種需求。

SD-Branch的價值與挑戰

概念搞清楚了，我們們再看看價值。

首先一點，由於SD-Branch中包括了SD-WAN，後者的價值自然也被全盤繼承，在此不再贅述。但前者覆蓋了企業網路的所有環節，一旦將LAN與WAN整體編排，無論效果還是價值，都將被放大。

這個結論來自於去年做的一個測試。我和某二級運營商合作，對其運營的某個商業樓宇的駐地網做了改造，將大量品質存在差異的三方出口下沉到樓內機房，同時部署了快取、邊緣CDN等方案，儘可能將內容拉到邊緣。然後找了一些樓內對IT品質不滿的企業租戶，為他們免費提供包括網際網路接入、無線辦公網和IT運維在內的一攬子服務。

測試初衷是我手裡的兩組資料，一組來自某ICT服務商，售後服務中超過一半的客戶報障最終原因是運營商和SaaS;另一組來自北京某一級運營商，其客戶報障追溯結果中有超過2/3是客戶內網問題。我的目的很單純，就是想知道如果兩種服務合二為一，會是什麼結果?

要驗證的東西很多，真實環境下的整網編排效果恰好是其中一項。你可以理解成我在用企業IT理念去打理駐地網，我提供的服務範圍可以視為SD-Branch方案的覆蓋範圍，邊緣快取/CDN中的內容就是雲上業務，現場輪番駐守的各位大神充當了統一管理運維加編排能力，只不過是人肉的。

幾個月下來，參與測試的客戶就沒有什麼投訴報障，唯一幾例還都是電腦自身WiFi問題所導致。LAN與WAN整體編排的效果，就是這麼出人意料。

另一方面，很多客戶雖然可能完全不瞭解SD-Branch，但業務上雲後對企業網路的需求變化也在倒逼他們尋求改變。今年我在一些SD-WAN專案中就看到這樣的趨勢，有些客戶明確提出要求，希望在做SD-WAN建設的時候把無線辦公網一起更新。他們的想法很簡單：以前WiFi差就忍了，費力不討好，不願意搞;現在公司花這麼多錢上SD-WAN，最後因為WiFi問題影響了效果，再被需求部門質疑、投訴，何必呢!

凡是有類似想法的客戶，最終都選擇了能提供SD-WAN方案加企業WiFi方案的品牌。只可惜，我沒看到真正的SD-Branch方案。

把客戶樸素的想法翻譯一下，其實就是希望在企業網路結構愈發複雜的同時，能擁有更好的品質體驗和更高的建設與運維效率。而這，恰恰是SD-Branch能體現的最大價值。尤其對那些規模高速增長的企業來說，解決的甚至是能與不能的問題。在這個過程中，自動化會讓人力成本得到很好的控制，OPEX自然得以降低。

從長遠來看，CAPEX也會降低。傳統組網方案這幾十年來一直以打補丁的方式追隨業務發展，講究的是大而全和向後相容，如今太過複雜且臃腫不堪;SD-Branch則與雲共生，關注的是業務體驗，對未來業務雲化的趨勢非常友好。雖然後者短期建設成本略高，但只要形成規模，場景化帶來的價效比優勢就會顯露出來。

不理解上面這段話的話可以參考新老MacBook的差別，Intel處理器版就是揹著大而全和相容性包袱的那個，M1處理器版就是面向未來的那個。用不著的過去和看得到的未來，你願意為誰買單?

但真說到交付，SD-Branch確實還面臨一些挑戰。

首先是客戶缺乏足夠多的選擇。做為新興概念，SD-Branch的市場仍然處於培育期，目前能提供相對完整的SD-Branch解決方案的廠商，基本是海外的網路及安全頭部玩家。它們對趨勢發展有一定超前的判斷，又具備豐富的技術資源儲備，產品化一般走在市場前面。

國內廠商因為多數收入來自本土，而國內企業與國外企業又長期存在“IT時差”，導致需求並不旺盛，廠商自然也缺乏動力。沒人質疑SD-Branch的方向正不正確，但什麼時候做出改變，怎麼改變，目前基本看不到國內廠商的明確計劃。

個人推測，一些廠商可能會基於現有完善的產品線，快速通過SaaS形態的雲管理平臺向SD-Branch方案轉型。雲管理平臺本身就是行業熱點，很多廠商都在投入研發和推廣，和SD-Branch方案中的統一管理運維平臺在功能上又有一定重合度，是產品化的最優路徑。

另一方面，企業客戶對雲管理平臺的認可度也在加強。我就瞭解這樣兩個客戶，雖然都買了傳統組網方案中的大網管平臺，最後卻都棄用了，成千上萬臺裝置就這麼直接飄在廠商的公有云管平臺上。他們的理由特別簡單：雲管理平臺雖然可能還不太成熟，卻一直在變化，功能上真的在與時俱進;傳統網管平臺雖然穩定，但功能增強太慢，對新技術、新平臺也不敏感，經常一年半載都沒有更新。

又是一個未來與傳統的較量，客戶選擇了有限的風險和無限的未來。

SD-Branch方案落地的第二個挑戰，是企業的風控與採購制度。

在企業IT領域，產品技術必須是標準化的，才能和其它裝置互聯互通，交換機就是最好的例子;方案則不然，只要對外標準化，理論上內部隨便怎麼折騰都可以。而對於客戶來說，他真正感興趣的往往不是標準化的產品，而是形成方案後這些“不標準”帶來的額外價值。

舉個例子，企業級SD-WAN的底層依然是標準隧道協議，你可以用SD-WAN CPE和其它品牌裝置對接IPSec組網。但如果真要部署全網SD-WAN方案，就只能通過自家的控制器對接自裝潢置組網，這裡用到的就不是標準協議;再比如頭些年很多客戶問過我，A家的無線自動優化平臺真好，我用B家的無線方案能不能接入?當然不能，雖然無線協議是標準的，但對接方案中的自動優化平臺用的也不是標準協議。

那麼問題來了，SD-Branch恰恰是企業網路的完整方案，你翻回去看我梳理的那些定義，沒有一個和標準化沾邊。對客戶來說，想獲得一個SD-Branch方案的所有價值，就必須接受單一供應商的事實。Gartner在今年的技術成熟度曲線報告裡也提到了這一點，“雖然理論上SD-Branch方案可能來自多個供應商，但在實踐中，預計大多數企業最終將選擇單一供應商。”

這個問題不是技術問題，卻比技術問題還要麻煩。業務上雲不可逆，SD-Branch大勢所趨，如何擺平與兄弟部門和決策層博弈?估計CIO的髮際線又要上移了。

綜上所述，如今SD-Branch方案的價值很突出，挑戰也很明顯。這造就了一個完全由價值所驅動的市場，只有認識到並認同其價值的客戶才會為其買單。

這些客戶到底是誰?

雲原生企業的最佳選擇

目前與SD-Branch方案價值匹配度最高的客群，是以“網際網路+”為代表的雲原生企業。

我很熟悉這類客群，也瞭解它們的IT場景。對初創和成長型雲原生企業來說，SD-Branch簡直就是為它們量身定製的。

最重要的一點，這類客戶與雲是共生關係，業務模型註定了更適合使用SD-Branch方案。哪怕只是幾個人的初創團隊，其業務也一定會放在雲上，很快會出現上雲的管道與安全需求。隨著規模增長，業務可能會從單一雲發展到多雲，也可能從純公有云發展到混合雲，但業務在雲的邏輯，永遠也不會發生改變。

在它們的企業組網結構中，雲做為資料和業務的載體，才是真正意義上的“總部”，也就是Hub;行政意義上的總部、分支，或者說線下所有辦公場所，在網路層面都是“分支”，也就是Spoke。所以在這種企業，總部與分支用到的裝置規格可能存在差異，但在功能層面沒有差別，甚至沒有存在差別的必要。

對雲原生企業而言，甚至都不存在很剛性的分支互聯需求。業務方面，雲化意味著絕大多數關鍵業務流量都是流向雲的，而不是其它分支;企業應用方面，無論從體驗還是商務角度，這類企業都更傾向於SaaS化的產品服務，你看它們用的OA、協同辦公、視訊會議、考勤、會議室管理、列印……非雲化的方案已經要絕跡了。

既然雲和上雲是最重要的，那虛擬化部署和SD-WAN就成了剛性需求，SD-Branch也就有了提前介入的必要性。這裡可能有人要問了，一定要SD-Branch麼?我用傳統企業組網方案加上SD-WAN方案不行麼?

這個問題，我看到過一些實踐，基本都是爛尾交付，甚至出現過企業IT部門整體離職的激烈衝突。關鍵點就在於，如果企業組網用的品牌不能提供虛擬化部署方案(可能性很大)，導致無法建立拉通雲和線下的SD-WAN時，該如何是好?

唯一的答案是再花一筆錢，把每個線下分支的閘道器換成和雲上一致的，或者直接在網路邊緣多放一臺裝置。我見過這種時候IT跳出來反對的，理由也很充分：SD-WAN效果如何還不知道，我就知道要失去對整個企業網路的統一管理運維能力了。但沒人會在乎他的意見，業務最重要——從來就沒有支撐部門讓業務部門妥協的道理，對不?

當然，提出這個問題是可以被理解的，尤其對於業務上雲過程中的那些傳統行業客戶來說，保護原有IT投資是決策層必須考慮的問題。此外，那麼大規模的企業網路，向SD-Branch整體遷移的時間週期和風險，對此類客戶來說也是不能不考慮的。它們一定會轉向SD-Branch，但現在可能不是個合適的時間點。

反觀初創和成長型雲原生企業，IT建設方面還沒那麼多傳統的“包袱”，又存在雲和上雲層面網路和安全的剛性需求，適合一步到位。假如在當今環境下業務還能保持增長，就儘早上SD-Branch方案吧。明明有綜合成本最低的最優路徑，為什麼還要重走花錢又多、效率又低的彎路呢?

具體到產品方案的選擇，個人建議從企業所使用的公有云的應用市場裡尋找具有完整SD-Branch交付能力的供應商。首先，能登陸應用市場，就意味著供應商的虛擬化部署版本經過了複雜的測試驗證流程，可靠性有所保證，對業務的風險最小。其次，從線上往線下倒推，可以杜絕前面提到的線上線下不匹配的情況，將試錯成本最小化。

SD-Branch適合雲原生企業的第二個理由，是解決了部署、管理、運維效率方面的痛點。

這類企業一旦找到市場突破口，其業務規模和分支數量會急劇增加，一年開十幾個、幾十個分支機構的情況絕不罕見，前些年的共享單車/連鎖零售/網際網路金融、去年的線上教育、今年的跨境電商莫不如此。另一方面，在快速成長期，企業業務的變化也會頻繁要求IT策略配合調整。

這些情況一旦出現，瓶頸往往不在預算，而在人。首先，IT編制絕不會正比增加，即便幾千人的雲原生企業，真正負責企業網路建設運維的人可能也只有兩三個;部門內部挖潛是肯定的，但人的效率總有極限，產品方案如果再缺乏賦能，瓶頸就會過早出現。

SD-Branch則是為此而生的方案，我在方案調研中看到，零配置部署和統一管理運維往往只是基礎特性，很多廠商都會提供更多、更強的部署運維能力，儘可能提升IT人員的工作效率。

有時，一些看似很簡單的變化就能帶來很大的效率提升。我看到過一個SD-Branch方案，就允許開局時“隨意”給裝置接線。線串成環了，可以自動在邏輯上阻斷介面、形成鏈路冗餘;線串多了，會自動做埠捆綁增加頻寬、提升冗餘效果。這做法擱在傳統組網方案裡絕對是大逆不道，但對於追求IT效率的雲原生企業來說，怎麼看都是個很實用的功能。

SD-Branch方案和雲原生企業還有個很好的契合點，就是IT觀高度一致。

雲原生企業有個顯著特點，就是員工平均年齡非常年輕。IT部門也是一樣，我接觸過的初創和成長型雲原生企業的IT人裡，二三十歲的部門主力比比皆是，部門決策者一般也就是三十出頭。他們精力充沛，充滿幹勁。每次和他們交流，我都覺得自己老了。

對這些數字原生代來說，網際網路基因是刻在骨子裡的，傳統IT技術、理念與他們有代溝。

他們追求個性，願意擁抱變化。比起四平八穩的傳統產品，他們更願意去琢磨那些存在差異化的技術方案。只要真有價值，並且對企業IT能有所幫助，那單一供應商也沒什麼不能接受的。畢竟對這種企業來說，總會蹦出些傳統方案沒法滿足的新需求，做出嘗試就比干耗著強。

日常交流中，我感覺IT人對SD-Branch的態度就是兩個極端。老IT人(包括剛上手時的我)先想到的必然是風險：太過顛覆，超出經驗和知識範疇，也許會和其它我們也說不清楚的東西存在相容問題……總之有種發自內心的抗拒感;雲原生企業的IT人先看到的是價值，他們充滿興趣，有不少人主動提出想測試一下，好用又不貴的話不排除全網部署。這就是代溝的完美體現，也證明了SD-Branch和數字原生代之間天然的親和力。

他們沒有包袱，對傳統沒有顧慮。前一陣我發了個朋友圈，感嘆現在懂SNMP、用SNMP的企業IT人越來越少。後來想想，其實是自己狹隘了。數字原生代IT人並沒錯，他們手握雲管理平臺或者更先進的生產工具，一樣可以解決問題，並且人效比更高。先進取代落後，這是歷史的必然。要改變的反而是我，如果仍守著陳舊的產品技術不放，勢必會被時代拋棄。

當然，人和平臺是互相成就的，缺一不可。為什麼網際網路行業的IT人很少跨圈找工作?除了待遇因素外，他們需要一個同樣沒有枷鎖和包袱的平臺才可能雙贏。

他們甚至沒有必要向傳統IT靠攏，那是自降效率的表現，也是開歷史倒車。需要改變的是傳統IT的一切，不關注業務、不迎合業務，就只能存在於價值鏈的底端。

曾經有位共享公寓運營商的CIO問我如何能讓自研的客房管理系統快速打通網路實現認證，我告訴他通過Radius。但他不知道什麼是Radius，也不打算讓他團隊裡拿著高薪的每個人去研究這個土味協議。最終，他們使用了最熟悉、最方便的REST解決問題——通過雲管理平臺滿足需求的供應商中標，不能提供支援的則被棄用。

這已經是幾年前的事了，當時我覺得是個體需求，今天看已經是大勢所趨。Gartner甚至把開放API定義為SD-Branch方案的必要屬性，想必也是看到並認同了這一趨勢。

說了這麼多，其實就是“道不同不相為謀”一句話。雲原生企業的IT需求，和傳統企業組網方案和之間，秉承的“道”大不相同;SD-Branch就是企業網路領域的數字原生代，它的誕生就是奔著業務上雲場景去的，解決的種種問題也是這類企業迫切需要的，並且足夠性感、頗具時代潮流。天時地利與人和在手，我認為企業網路的SD-Branch轉型，必然從初創和成長型雲原生企業開始。