隨著云計算發展進入到應用普及階段,越來越多的企業開始選擇云平臺部署工作負載。這也使得企業面臨工作負載從數據中心部署演進為“無處不在部署”的挑戰。如何實現云上與眾多分支安全、高效、敏捷的互聯成為一個無法回避的問題。
某國際化物流企業中國區網絡升級改造采用了Fortinet安全SD-WAN解決方案,以功能完備、敏捷靈活的SD-WAN組網為基礎,借助Fortinet強大的NGFW防護能力,幫助用戶打造安全+網絡融合的防護體系。同時,為了確保分支、數據中心、多云平臺之間訪問質量,采用了以骨干網為中心的SD-WAN方案。節點部署FortiGate設備就近接入POP點,利用高質量骨干網確保POP點之間underlay網絡質量。
“膠水粘合”下的網絡復雜低效困境
該國際物流企業在中國內地設有多個分支辦公室,亞太總部位于中國香港。經過多年的發展,除了自建數據中心維持核心業務應用外,在主流云平臺如AWS、阿里云、天翼云等同樣部署了關鍵業務應用,形成自建數據中心+多云的混合IT基礎架構。如何高效、安全、可靠地訪問部署在不同位置的IT資產,以及保證各分支機構與總部之間的高效互聯,已經成為該企業必須要解決的問題。
此前,該企業通過租賃運營商MPLS專線、MSTP專線實現內地分支之間與香港互聯、各分支機構與數據中心之間的連接。大部分分支辦公室擁有直接Internet(DIA)訪問線路,一方面基于Internet建立DMVPN實現中國區內部互聯,另外一方面提供Internet訪問。此外,借助跨境訪問服務商在DMVPN部署的節點實現跨境業務訪問。
該國際物流企業對網絡的可靠性、可用性要求極高,因為這直接關系到業務的連續性和穩定性。冗余備份是其追求網絡穩定性和可用性的應對方案。為達成該目標,該企業各分支本地部署兩臺路由器分別接入DIA線路與MPLS專線,首先使用HSRP協議實現路由器設備級冗余。此外,該企業還希望進一步實現路由級冗余,也就是將DIA線路與MPLS專線互為備份,任意一條線路出現故障,另外一條可以不需要人工干預無縫接管所有流量。
由于路由器原生功能無法支持該場景,所以該企業只能采用“膠水粘合”式的方案:使用EEM通過“膠水”(腳本)把 “DMVPN(GRE+IPsec+NHRP+Virtual Tunnel)+SLA+Routing”等功能粘合在一起。隨著各分支機構帶寬擴容、鏈路增加等需求持續增長,以及中國內地員工開始使用Office365、Salesforce、Slack等國際版SaaS應用進行日常辦公,提高帶寬利用率、基于應用類型的進行精準分流等需求也是迫在眉睫。
面對這些層出不窮的需求和挑戰,現有解決方案弊端顯現。
1、配置復雜:首先是配置復雜。僅基礎路徑選擇在一臺路由器上的配置命令就超過100條。不僅如此,這種傳統廣域網方案涉及數據中心、分支、多云組網的復雜結構,任何一處細微的變更都需要進行仔細設計、論證。
2、運維效率低:其次是運維效率低。這種非原生的粘合式方案,出現故障時涉及的模塊以及協議多、路由結構復雜難以排障。同時,嚴重耦合的模塊,讓內部邏輯復雜導致變更困難。
3、使用成本高:此外,該企業還配置了獨立的防火墻,這也導致了安全與路由割裂,需要單獨配置安全與路由規則,并帶來了使用成本高的問題。因為網絡管理人員需要同時精通路由器命令行、特性以及腳本以及防火墻配置,學習成本極高。
4、資源利用率低:最重要的還有資源利用率低的弊端,因為該方案只能基于IP地址作為選路依據、不支持應用識別、不支持基于應用識別的路徑選擇,無法精準地區分流量、無法最大化帶寬利用率以及線路質量進行最優路徑選擇。這也造成了該企業為了確保廣域網架構的可用性、可靠性,不得不為每個分支部署MPLS專線、MSTP專線、DIA線路帶來了費用支出高的現實。
Fortinet SD-WAN方案精準“破局”
Fortinet提出原生安全且以骨干網為中心的SD-WAN架構,借助FortiOS深度融合安全與組網能力,在所有邊緣節點(辦公室和骨干網POP)通過原生的安全能力提升其安全防護水平,確保防護強度的一致性;同時利用SD-WAN將DIA、MPLS、VPN(Overlay DIA)等不同類型的線路整合為資源池并進行統一編排。通過SD-WAN實現全局流量調度,將用戶不同業務流量精準分流到MPLS和DIA線路并基于SD-WAN規則最大化利用線路資源,以此為基礎精簡掉MSTP專線降低成本開支。
■ 【項目方案設計】
1、骨干網層面:全國多個PoP節點上部署FortiGate-VM,并利用高質量骨干網確保POP點之間的網絡質量。同時使用了OSPF、BGP作為Underlay和Overlay的動態路由協議,實現全網的路由可達。
2、分支層面:根據分支辦公室帶寬不同,使用兩臺FortiGate部署為高可用架構接入DIA、MPLS專線,替換原有的兩臺路由器和兩臺防火墻。各分支機構通過基于互聯網的Overlay網絡就近接入主備兩個PoP點訪問云上資源,也能夠通過MPLS訪問數據中心的工作負載,并且兩者能夠相互備份。
3、管理平臺層面:在云平臺部署FortiManager和FortiAnalyzer的虛擬化版,集中管理分布在數據中心、分支、云平臺不同型號和形態的FortiGate。通過Fortinet業界領先的單一面板管理方式,FortiManager和FortiAnalyzer的組合實現了安全與網絡集中管理、統一監控、全局分析,通過單一面板就可以展示網絡、安全的事件并進行及時響應,極大地降低了運維壓力。
■ 【項目方案收益】
1、網絡安全融合:Fortinet安全融合網絡SD-WAN同時解決原本割裂的單點產品帶來的高投入、低回報的困局。Fortinet業界領先安全能力確保各級邊緣網絡的安全防護強度的一致性。安全與網絡的融合一體化在網絡架構設計之初就將安全與組網深度綁定,確保各級邊緣網絡防護執行的一致性,借助Fortinet Security Fabric的集成化、智能化、自動化能力,實現安全威脅的快速發現、分析、響應閉環。
2、成本節約:在成本節約方面,升級改造后基于Fortinet應用、延遲、丟包、抖動多維度進行精準實時的鏈路質量判斷機制以及鏈路優化能力,確保端到端的服務質量以及精細化的流量工程。結合動態選路機制以及多POP骨干組網,將原本MSTP業務分流至DIA減少并裁撤MPLS,未來可以進一步削減MPLS的線路帶寬,降低每年的租用線路成本支出。
3、綠色低碳:作為安全網絡融合的領導者與先行者,Fortinet的單平臺戰略為客戶帶來高性能加持下的網絡安全高度融合,從性能角度完全滿足用戶大帶寬、高吞吐、多線路、強安全的復雜需求,從功能角度將原本網絡與安全割裂的單點產品在一個平臺上實現,不僅降低了管理、運維、商務復雜度與成本,而且節省機柜空間、帶來更低的電力、制冷需求等進一步實現 “綠色低碳” 的目標。
敏捷高效引領SD-WAN發展
作為Gartner WAN Edge魔力象限的領導廠商,Fortinet率先提出了第三代SD-WAN的理念。Fortinet認為,應對目前遠程辦公等帶來的挑戰,SD-WAN必須包含原生的遠程訪問能力。并且在遠程辦公上增加ZTNA功能而不再依賴于傳統的 VPN架構,同時支持將SD-WAN與云安全編排到整合架構中。
Fortinet始終致力于推動網絡與安全能力的深度融合。從融合安全的第二代SD-WAN,到原生遠程訪問、ZTNA以及與云安全編排到整合架構中的第三代SD-WAN,Fortinet都在用更簡潔的產品和方案踐行更易用、更高效和節約運營成本等產品理念,護航企業新時代的數字化轉型。
