随着云计算发展进入到应用普及阶段,越来越多的企业开始选择云平台部署工作负载。这也使得企业面临工作负载从数据中心部署演进为“无处不在部署”的挑战。如何实现云上与众多分支安全、高效、敏捷的互联成为一个无法回避的问题。
某国际化物流企业中国区网络升级改造采用了Fortinet安全SD-WAN解决方案,以功能完备、敏捷灵活的SD-WAN组网为基础,借助Fortinet强大的NGFW防护能力,帮助用户打造安全+网络融合的防护体系。同时,为了确保分支、数据中心、多云平台之间访问质量,采用了以骨干网为中心的SD-WAN方案。节点部署FortiGate设备就近接入POP点,利用高质量骨干网确保POP点之间underlay网络质量。
“胶水粘合”下的网络复杂低效困境
该国际物流企业在中国内地设有多个分支办公室,亚太总部位于中国香港。经过多年的发展,除了自建数据中心维持核心业务应用外,在主流云平台如AWS、阿里云、天翼云等同样部署了关键业务应用,形成自建数据中心+多云的混合IT基础架构。如何高效、安全、可靠地访问部署在不同位置的IT资产,以及保证各分支机构与总部之间的高效互联,已经成为该企业必须要解决的问题。
此前,该企业通过租赁运营商MPLS专线、MSTP专线实现内地分支之间与香港互联、各分支机构与数据中心之间的连接。大部分分支办公室拥有直接Internet(DIA)访问线路,一方面基于Internet建立DMVPN实现中国区内部互联,另外一方面提供Internet访问。此外,借助跨境访问服务商在DMVPN部署的节点实现跨境业务访问。
该国际物流企业对网络的可靠性、可用性要求极高,因为这直接关系到业务的连续性和稳定性。冗余备份是其追求网络稳定性和可用性的应对方案。为达成该目标,该企业各分支本地部署两台路由器分别接入DIA线路与MPLS专线,首先使用HSRP协议实现路由器设备级冗余。此外,该企业还希望进一步实现路由级冗余,也就是将DIA线路与MPLS专线互为备份,任意一条线路出现故障,另外一条可以不需要人工干预无缝接管所有流量。
由于路由器原生功能无法支持该场景,所以该企业只能采用“胶水粘合”式的方案:使用EEM通过“胶水”(脚本)把 “DMVPN(GRE+IPsec+NHRP+Virtual Tunnel)+SLA+Routing”等功能粘合在一起。随着各分支机构带宽扩容、链路增加等需求持续增长,以及中国内地员工开始使用Office365、Salesforce、Slack等国际版SaaS应用进行日常办公,提高带宽利用率、基于应用类型的进行精准分流等需求也是迫在眉睫。
面对这些层出不穷的需求和挑战,现有解决方案弊端显现。
1、配置复杂:首先是配置复杂。仅基础路径选择在一台路由器上的配置命令就超过100条。不仅如此,这种传统广域网方案涉及数据中心、分支、多云组网的复杂结构,任何一处细微的变更都需要进行仔细设计、论证。
2、运维效率低:其次是运维效率低。这种非原生的粘合式方案,出现故障时涉及的模块以及协议多、路由结构复杂难以排障。同时,严重耦合的模块,让内部逻辑复杂导致变更困难。
3、使用成本高:此外,该企业还配置了独立的防火墙,这也导致了安全与路由割裂,需要单独配置安全与路由规则,并带来了使用成本高的问题。因为网络管理人员需要同时精通路由器命令行、特性以及脚本以及防火墙配置,学习成本极高。
4、资源利用率低:最重要的还有资源利用率低的弊端,因为该方案只能基于IP地址作为选路依据、不支持应用识别、不支持基于应用识别的路径选择,无法精准地区分流量、无法最大化带宽利用率以及线路质量进行最优路径选择。这也造成了该企业为了确保广域网架构的可用性、可靠性,不得不为每个分支部署MPLS专线、MSTP专线、DIA线路带来了费用支出高的现实。
Fortinet SD-WAN方案精准“破局”
Fortinet提出原生安全且以骨干网为中心的SD-WAN架构,借助FortiOS深度融合安全与组网能力,在所有边缘节点(办公室和骨干网POP)通过原生的安全能力提升其安全防护水平,确保防护强度的一致性;同时利用SD-WAN将DIA、MPLS、VPN(Overlay DIA)等不同类型的线路整合为资源池并进行统一编排。通过SD-WAN实现全局流量调度,将用户不同业务流量精准分流到MPLS和DIA线路并基于SD-WAN规则最大化利用线路资源,以此为基础精简掉MSTP专线降低成本开支。
【项目方案设计】
1、骨干网层面:全国多个PoP节点上部署FortiGate-VM,并利用高质量骨干网确保POP点之间的网络质量。同时使用了OSPF、BGP作为Underlay和Overlay的动态路由协议,实现全网的路由可达。
2、分支层面:根据分支办公室带宽不同,使用两台FortiGate部署为高可用架构接入DIA、MPLS专线,替换原有的两台路由器和两台防火墙。各分支机构通过基于互联网的Overlay网络就近接入主备两个PoP点访问云上资源,也能够通过MPLS访问数据中心的工作负载,并且两者能够相互备份。
3、管理平台层面:在云平台部署FortiManager和FortiAnalyzer的虚拟化版,集中管理分布在数据中心、分支、云平台不同型号和形态的FortiGate。通过Fortinet业界领先的单一面板管理方式,FortiManager和FortiAnalyzer的组合实现了安全与网络集中管理、统一监控、全局分析,通过单一面板就可以展示网络、安全的事件并进行及时响应,极大地降低了运维压力。
【项目方案收益】
1、网络安全融合:Fortinet安全融合网络SD-WAN同时解决原本割裂的单点产品带来的高投入、低回报的困局。Fortinet业界领先安全能力确保各级边缘网络的安全防护强度的一致性。安全与网络的融合一体化在网络架构设计之初就将安全与组网深度绑定,确保各级边缘网络防护执行的一致性,借助Fortinet Security Fabric的集成化、智能化、自动化能力,实现安全威胁的快速发现、分析、响应闭环。
2、成本节约:在成本节约方面,升级改造后基于Fortinet应用、延迟、丢包、抖动多维度进行精准实时的链路质量判断机制以及链路优化能力,确保端到端的服务质量以及精细化的流量工程。结合动态选路机制以及多POP骨干组网,将原本MSTP业务分流至DIA减少并裁撤MPLS,未来可以进一步削减MPLS的线路带宽,降低每年的租用线路成本支出。
3、绿色低碳:作为安全网络融合的领导者与先行者,Fortinet的单平台战略为客户带来高性能加持下的网络安全高度融合,从性能角度完全满足用户大带宽、高吞吐、多线路、强安全的复杂需求,从功能角度将原本网络与安全割裂的单点产品在一个平台上实现,不仅降低了管理、运维、商务复杂度与成本,而且节省机柜空间、带来更低的电力、制冷需求等进一步实现 “绿色低碳” 的目标。
敏捷高效引领SD-WAN发展
作为Gartner WAN Edge魔力象限的领导厂商,Fortinet率先提出了第三代SD-WAN的理念。Fortinet认为,应对目前远程办公等带来的挑战,SD-WAN必须包含原生的远程访问能力。并且在远程办公上增加ZTNA功能而不再依赖于传统的 VPN架构,同时支持将SD-WAN与云安全编排到整合架构中。
Fortinet始终致力于推动网络与安全能力的深度融合。从融合安全的第二代SD-WAN,到原生远程访问、ZTNA以及与云安全编排到整合架构中的第三代SD-WAN,Fortinet都在用更简洁的产品和方案践行更易用、更高效和节约运营成本等产品理念,护航企业新时代的数字化转型。