随着雲計算發展進入到(dào)應用普及階段,越來(lái)越多的(de)企業開始選擇雲平台部署工作負載。這(zhè)也(yě)使得企業面臨工作負載從數據中心部署演進爲(wéi / wèi)“無處不(bù)在(zài)部署”的(de)挑戰。如何實現雲上(shàng)與衆多分支安全、高效、敏捷的(de)互聯成爲(wéi / wèi)一(yī / yì /yí)個(gè)無法回避的(de)問題。
網絡升級改造采用了(le/liǎo)Fortinet安全SD-WAN解決方案,以(yǐ)功能完備、敏捷靈活的(de)SD-WAN組網爲(wéi / wèi)基礎,借助Fortinet強大(dà)的(de)NGFW防護能力,幫助用戶打造安全+網絡融合的(de)防護體系。同時(shí),爲(wéi / wèi)了(le/liǎo)确保分支、數據中心、多雲平台之(zhī)間訪問質量,采用了(le/liǎo)以(yǐ)骨幹網爲(wéi / wèi)中心的(de)SD-WAN方案。節點部署FortiGate設備就(jiù)近接入POP點,利用高質量骨幹網确保POP點之(zhī)間underlay網絡質量。
低效複雜網絡困境
該企業在(zài)全球各地(dì / de)設有多個(gè)辦公室以(yǐ)及廠區。經過多年的(de)發展,除了(le/liǎo)與數據中心維持核心業務外,在(zài)主流的(de)雲平台如AWS、阿裏雲、華爲(wéi / wèi)雲等同樣部署了(le/liǎo)關鍵業務,形成了(le/liǎo)數據中心+多雲的(de)IT基礎架構。如何确保全球各地(dì / de)辦公室與廠區能夠穩定的(de)高效互聯,以(yǐ)及業務的(de)高效、安全、可靠地(dì / de)訪問部署在(zài)不(bù)同位置的(de)IT資産已經成爲(wéi / wèi)該企業必須要(yào / yāo)解決的(de)問題。
此前,該企業通過租賃運營商MPLS專線實現各分支機構與數據中心之(zhī)間的(de)連接。辦公室以(yǐ)及廠區直接通過Internet訪問線路提供Internet訪問。
該企業對網絡的(de)可靠性、可用性要(yào / yāo)求極高,因爲(wéi / wèi)這(zhè)直接關系到(dào)業務的(de)連續性和(hé / huò)穩定性。冗餘備份是(shì)其追求網絡穩定性和(hé / huò)可用性的(de)應對方案。此外,該企業還希望進一(yī / yì /yí)步實現路由級冗餘,也(yě)就(jiù)是(shì)将Inet線路與MPLS專線互爲(wéi / wèi)備份,任意一(yī / yì /yí)條線路出(chū)現故障,另外一(yī / yì /yí)條可以(yǐ)不(bù)需要(yào / yāo)人(rén)工幹預無縫接管所有流量,以(yǐ)及對于(yú)不(bù)同業務進行精準分流等需求也(yě)是(shì)迫在(zài)眉睫。面對這(zhè)些層出(chū)不(bù)窮的(de)需求和(hé / huò)挑戰,現有解決方案弊端顯現。
配置複雜
首先是(shì)配置複雜。僅基礎路徑選擇在(zài)一(yī / yì /yí)台路由器上(shàng)的(de)配置命令就(jiù)超過100條。不(bù)僅如此,這(zhè)種傳統廣域網方案涉及數據中心、分支、多雲組網的(de)複雜結構,任何一(yī / yì /yí)處細微的(de)變更都需要(yào / yāo)進行仔細設計、論證。
運維效率低
其次是(shì)運維效率低。這(zhè)種非原生的(de)粘合式方案,出(chū)現故障時(shí)涉及的(de)模塊以(yǐ)及協議多、路由結構複雜難以(yǐ)排障。同時(shí),嚴重耦合的(de)模塊,讓内部邏輯複雜導緻變更困難。
使用成本高
此外,該企業還配置了(le/liǎo)獨立的(de)防火牆,這(zhè)也(yě)導緻了(le/liǎo)安全與路由割裂,需要(yào / yāo)單獨配置安全與路由規則,并帶來(lái)了(le/liǎo)使用成本高的(de)問題。因爲(wéi / wèi)網絡管理人(rén)員需要(yào / yāo)同時(shí)精通路由器命令行、特性以(yǐ)及腳本以(yǐ)及防火牆配置,學習成本極高。
資源利用率低
最重要(yào / yāo)的(de)還有資源利用率低的(de)弊端,因爲(wéi / wèi)該方案隻能基于(yú)IP地(dì / de)址作爲(wéi / wèi)選路依據、不(bù)支持應用識别、不(bù)支持基于(yú)應用識别的(de)路徑選擇,無法精準地(dì / de)區分流量、無法最大(dà)化帶寬利用率以(yǐ)及線路質量進行最優路徑選擇。這(zhè)也(yě)造成了(le/liǎo)該企業爲(wéi / wèi)了(le/liǎo)确保廣域網架構的(de)可用性、可靠性,不(bù)得不(bù)爲(wéi / wèi)每個(gè)分支部署MPLS專線、Inet線路帶來(lái)了(le/liǎo)費用支出(chū)高的(de)現實。
Fortinet提出(chū)原生安全且以(yǐ)骨幹網爲(wéi / wèi)中心的(de)SD-WAN架構,借助FortiOS深度融合安全與組網能力,在(zài)所有邊緣節點(辦公室和(hé / huò)骨幹網POP)通過原生的(de)安全能力提升其安全防護水平,确保防護強度的(de)一(yī / yì /yí)緻性;同時(shí)利用SD-WAN将Inet、MPLS、VPN(Overlay DIA)等不(bù)同類型的(de)線路整合爲(wéi / wèi)資源池并進行統一(yī / yì /yí)編排。通過SD-WAN實現全局流量調度,将用戶不(bù)同業務流量精準分流到(dào)MPLS和(hé / huò)Inet線路并基于(yú)SD-WAN規則最大(dà)化利用線路資源,以(yǐ)此爲(wéi / wèi)基礎精簡掉MPLS專線降低成本開支。
項目方案設計
骨幹網之(zhī)間 全國(guó)多個(gè)POP節點上(shàng)部署FortiGate-VM,并利用高質量骨幹網确保POP點之(zhī)間的(de)網絡質量。同時(shí)使用了(le/liǎo)OSPF、BGP作爲(wéi / wèi)Underlay 和(hé / huò)Overlay的(de)動态路由協議,實現全網的(de)路由可達。 | 各分支之(zhī)間 根據分支辦公室/廠區帶寬不(bù)同,使用兩台FortiGate部署爲(wéi / wèi)高可用架構接入Inet、MPLS專線,替換原有的(de)兩台路由器和(hé / huò)兩台防火牆。各分支機構通過基于(yú)互聯網的(de)Overlay網絡就(jiù)近接入主備兩個(gè)POP點訪問雲上(shàng)資源,也(yě)能夠通過MPLS訪問數據中心的(de)工作負載,并且兩者能夠相互備份。 | 設備管理 在(zài)雲平台部署FortiManager和(hé / huò)FortiAnalyzer的(de)虛拟化版,集中管理分布在(zài)數據中心、分支、雲平台不(bù)同型号和(hé / huò)形态的(de)FortiGate。通過Fortinet業界領先的(de)單一(yī / yì /yí)面闆管理方式,FortiManager和(hé / huò)FortiAnalyzer的(de)組合實現了(le/liǎo)安全與網絡集中管理、統一(yī / yì /yí)監控、全局分析,通過單一(yī / yì /yí)面闆就(jiù)可以(yǐ)展示網絡、安全的(de)事件并進行及時(shí)響應,極大(dà)地(dì / de)降低了(le/liǎo)運維壓力。 |
項目方案收益
Fortinet安全融合網絡SD-WAN同時(shí)解決原本割裂的(de)單點産品帶來(lái)的(de)高投入、低回報的(de)困局。Fortinet業界領先安全能力确保各級邊緣網絡的(de)安全防護強度的(de)一(yī / yì /yí)緻性。安全與網絡的(de)融合一(yī / yì /yí)體化在(zài)網絡架構設計之(zhī)初就(jiù)将安全與組網深度綁定,确保各級邊緣網絡防護執行的(de)一(yī / yì /yí)緻性,借助Fortinet Security Fabric的(de)集成化、智能化、自動化能力,實現安全威脅的(de)快速發現、分析、響應閉環。
在(zài)成本節約方面,升級改造後基于(yú)Fortinet應用、延遲、丢包、抖動多維度進行精準實時(shí)的(de)鏈路質量判斷機制以(yǐ)及鏈路優化能力,确保端到(dào)端的(de)服務質量以(yǐ)及精細化的(de)流量工程。結合動态選路機制以(yǐ)及多POP骨幹組網,将原本MSTP業務分流至DIA減少并裁撤MPLS,未來(lái)可以(yǐ)進一(yī / yì /yí)步削減MPLS 的(de)線路帶寬,降低每年的(de)租用線路成本支出(chū)。
Fortinet在(zài)用更簡潔的(de)産品和(hé / huò)方案踐行更易用、更高效和(hé / huò)節約運營成本等産品理念,護航企業新時(shí)代的(de)數字化轉型。