随着云计算的发展进入应用普及阶段,越来越多的企业开始选择云平台部署工作负载。这也使得企业面临工作负载从数据中心部署向“随处部署”演进的挑战。如何实现云端与众多分支之间安全、高效、敏捷的互联成为不可回避的问题。一家国际物流公司采用Fortinet的安全SD-WAN解决方案对其在中国的网络进行升级。基于功能完备、敏捷灵活的SD-WAN组网,借助Fortinet强大的NGFW防护能力,帮助用户打造安全+网络一体化防护体系。同时,为保证分支机构、数据中心、多云平台之间的访问质量,采用了以骨干网为核心的SD-WAN解决方案。节点部署FortiGate设备就近接入POP,采用优质骨干网保证POP间底层网络质量。“胶合”下网络复杂低效的困境国际物流公司在中国大陆设有多个分支机构,亚太区总部设在中国香港。经过多年发展,除了自建数据中心维护核心业务应用外,关键业务应用也已部署在AWS、阿里云、天翼云等主流云平台上,形成了自建数据中心+多元-云混合IT基础架构。如何高效、安全、可靠地访问部署在不同地点的IT资产,确保分支机构与总部高效互联成为企业必须解决的问题。此前,公司通过租用运营商的MPLS专线和MSTP专线,实现了大陆分支与香港、分支与数据中心的互联互通。大多数分支机构都有直接互联网(DIA)接入线路。DMVPN一方面建立在互联网之上,实现中国内部互联互通,另一方面提供互联网接入。另外,跨境业务接入是借助DMVPN中跨境接入服务商部署的节点实现的。国际物流公司对网络的可靠性和可用性有着极高的要求,因为它直接关系到业务的连续性和稳定性。冗余备份是其追求网络稳定性和可用性的解决方案。为了实现这一目标,企业的每个分支机构在本地部署了两台路由器,分别连接到DIA线路和MPLS专线。首先,HSRP协议用于实现路由器设备级冗余。此外,企业还希望进一步实现路由级冗余,即DIA线路和MPLS专线互为备份。如果任何一条线路发生故障,另一条线路可以无缝接管所有流量,无需人工干预。由于路由器的原生功能无法支持这种场景,企业只能采用“粘合”方案:使用EEM将“DMVPN(GRE+IPsec+NHRP+VirtualTunnel)+SLA+Routing”等功能粘合在一起。随着各分支机构对带宽扩展和链路增加的需求持续增长,以及中国大陆员工日常办公开始使用国际版Office365、Salesforce、Slack等SaaS应用,带宽利用率和带宽利用率提升需求根据应用类型进行精准分发。也是迫在眉睫。面对这些无穷无尽的需求和挑战,现有解决方案的弊端已经显现。1、配置复杂:首先,配置复杂。光是基本的路径选择,一台路由器上的配置命令就有100多条。不仅如此,这种传统的广域网解决方案涉及数据中心、分支机构和多云组网的复杂结构,任何细微的变化都需要精心设计和论证。2、运维效率低:其次是运维效率低。这种non-nativeadhesive方案在故障时涉及的模块和协议较多,路由结构复杂,排查困难。同时,严重耦合的模块使得内部逻辑复杂,变更困难。3、使用成本高:另外,企业还配置了独立的防火墙,这也导致了安全和路由的分离。安全和路由规则需要单独配置,带来使用成本高的问题。因为网络管理员需要同时精通路由器命令行、特性、脚本和防火墙配置,学习成本极高。4、资源利用率低:最主要的缺点是资源利用率低,因为该方案只能以IP地址作为路由选择的依据,不支持应用识别,不支持基于应用识别的路径选择,无法准确区分流量,无法最大化带宽利用率和线路质量以进行最佳路径选择。这也导致企业为保证广域网架构的可用性和可靠性,需要为每个分支部署MPLS专线、MSTP专线、DIA专线,带来了高昂的开销。FortinetSD-WAN解决方案精准“破局”Fortinet提出以骨干网为核心,本质安全的SD-WAN架构。借助FortiOS深度融合安全和网络能力,所有边缘节点(办公室和骨干网POP)通过原生安全能力提升其安全防护等级,保证防护强度的一致性;同时,利用SD-WAN将DIA、MPLS、VPN(OverlayDIA)等多种线路整合到资源池中,统一编排。通过SD-WAN实现全局流量调度,将用户的不同业务流量精准分配到MPLS和DIA线路上,基于SD-WAN规则最大化利用线路资源。基于此,简化MSTP专线,降低成本。【项目方案设计】1、骨干网层面:FortiGate-VM部署在全国多个PoP节点上,采用优质骨干网保证POP点之间的网络质量。同时采用OSPF和BGP作为Underlay和Overlay的动态路由协议,实现全网路由可达。2、分支级:根据分支机构带宽的不同,采用两台FortiGate部署高可用架构接入DIA和MPLS专线,取代原来的两台路由器和两台防火墙。各分支机构通过基于互联网的Overlay网络访问就近的主备PoP点来访问云上的资源,也可以通过MPLS访问数据中心的工作负载,两者可以互为备份。3、管理平台层面:在云平台部署FortiManager和FortiAnalyzer的虚拟化版本,集中管理分布在数据中心、分支机构、云平台的不同型号、不同形态的FortiGate。通过Fortinet业界领先的单面板管理方式,FortiManager和FortiAnalyzer的结合实现了集中安全和网络管理、统一监控和全局分析。网络和安全事件可以通过单一面板进行展示和及时响应,大大降低了运营成本。尺寸压力。[项目收益]1.网络安全融合:Fortinet的安全融合网络SD-WAN也解决了原有碎片化的单点产品带来的高投入低回报的困境。Fortinet业界领先的安全能力保证了边缘网络各级安全防护的一致性。安全与网络的融合,在网络架构设计之初就将安全与网络深度绑定,确保各层级边缘网络防护的一致性。借助FortinetSecurityFabric的集成化、智能化和自动化能力,实现安全。快速检测、分析和响应威胁是闭环的。2、节约成本:在节约成本方面,升级改造后,基于Fortinet应用、时延、丢包、抖动进行准确实时的链路质量判断机制和链路优化能力,确保端到端-端服务质量和精细化流量工程。结合动态路由机制和多POP骨干组网,将原来的MSTP业务转为DIA减少,取消MPLS。未来MPLS的线路带宽可以进一步降低,专线的年成本可以降低。3.绿色低碳:作为安全网络融合的引领者和开拓者,Fortinet的单一平台战略为客户带来高性能的高度网络安全融合,充分满足用户大带宽、高吞吐量、多线路、强安全的复杂需求,从功能上将原本将网络与安全分离的单点产品实现在一个平台上,不仅降低了管理、运维、业务的复杂度和成本,而且节省机柜空间,带来更低的功耗、制冷需求等,进一步实现“绿色低碳”的目标。敏捷高效引领SD-WAN发展作为Gartner广域网边缘魔力象限的领导者,飞塔率先提出第三代SD-WAN概念。Fortinet认为,SD-WAN必须包含原生的远程访问能力,以应对远程办公室带来的挑战。此外,在不依赖传统VPN架构的情况下,在远程办公中加入ZTNA功能,同时支持将SD-WAN和云安全编排到一体化架构中。Fortinet一直致力于推动网络与安全能力的深度融合。从具有集成安全性的第二代SD-WAN,到具有原生远程访问、ZTNA和云安全编排到集成架构中的第三代SD-WAN,Fortinet正在使用更简单的产品和解决方案来实现更易于使用以及更多高效、节约运营成本等产品理念,为新时代企业数字化转型保驾护航。
