随著(zhe)雲計(jì)算(suàn)發展進入到(dào)應用(♠β&₹yòng)普及階段,越來(lái)越多(duō)的(de)企業(yè) ≤♥↓開(kāi)始選擇雲平台部署工(gōng)π↔×作(zuò)負載。這(zhè)也(yě)使β得(de)企業(yè)面臨工(gōng)作(zuò)負載從(cóng)₽★δ≈數(shù)據中心部署演進為(wèi)“無處不(bù)在部∞←® 署”的(de)挑戰。如(rú)何實現(xiàn)雲上(shàng₩¶φ)與衆多(duō)分(fēn)支安全、高(gāo)效、敏捷的§¶≤ (de)互聯成為(wèi)一(yī)個(gè)無法回÷✘避的(de)問(wèn)題。
網絡升級改造采用(yòng)了(le)Fortin•επet安全SD-WAN解決方案,以功能(néng)完備、敏捷靈活的(dα≥π e)SD-WAN組網為(wèi)基礎,借助Fortinet強大(dà)的(>αde)NGFW防護能(néng)力,幫助用(yòng)戶打造安全+網絡融合的±×☆₽(de)防護體(tǐ)系。同時(shí),為(wèi)了(l∑£™e)确保分(fēn)支、數(shù)據中心、多(duō)雲平台δ®之間(jiān)訪問(wèn)質量,采用(yòng)了(le)以骨幹網為(→'wèi)中心的(de)SD-WAN方案。節點部署FortiGat₽¥±☆e設備就(jiù)近(jìn)接入POP點,利用(yòng)高↑>σ(gāo)質量骨幹網确保POP點之間(jiān)underlay網絡質量。π€
低(dī)效複雜(zá)網絡困境
該企業(yè)在全球各地(dì)設有(yǒu)多(duō)個(♥♦gè)辦公室以及廠(chǎng)區(qū)。經過多(duō)年(niá→₩↔¶n)的(de)發展,除了(le)與數(shù)據中心維持核心業(₽☆♣yè)務外(wài),在主流的(de)雲平台如δ≠≈(rú)AWS、阿裡(lǐ)雲、華為(w¥βΩèi)雲等同樣部署了(le)關鍵業(yè)務,形成了(le)數∞(shù)據中心+多(duō)雲的(de)IT基礎架構。₽↔如(rú)何确保全球各地(dì)辦公室與廠(chǎ©✘♥ng)區(qū)能(néng)夠穩定的(de)高(gāo)效互聯,以及δδ☆γ業(yè)務的(de)高(gāo)效、安全、可($∑kě)靠地(dì)訪問(wèn)部署在不(bù)同位置的(de)I"φ♣∏T資産已經成為(wèi)該企業(yè)必須要(yào)解決✘₩的(de)問(wèn)題。
此前,該企業(yè)通(tōng)過租賃運營商MPLS專線實現(xiàn)γ ≥各分(fēn)支機(jī)構與數(shù)據中心之間(jiān)的(↔←®de)連接。辦公室以及廠(chǎng)區(qū)直接通(tōα∞εng)過Internet訪問(wèn)線路(lù)提供I↑×♥♥nternet訪問(wèn)。
該企業(yè)對(duì)網絡的(de)可(kě)靠性、可(kě)用∏β↕(yòng)性要(yào)求極高(gāo),因為(wèi)這(zhè)直σ♦接關系到(dào)業(yè)務的(de)連續性和(hé)穩定性©€<。冗餘備份是(shì)其追求網絡穩定性和(hé)可(kě)用(yòn≠≠g)性的(de)應對(duì)方案。此外(wài),該企業(yè)∑ §還(hái)希望進一(yī)步實現(xiàn)路(lù)β 由級冗餘,也(yě)就(jiù)是(shì)将In£✔φ<et線路(lù)與MPLS專線互為(wèi)備份,任意一(yī)條線路(>♠Ω∑lù)出現(xiàn)故障,另外(wài)一(yī ×)條可(kě)以不(bù)需要(yào)人(rén)工(gōng)幹預無縫接管所有(ε§♣$yǒu)流量,以及對(duì)于不(bù≠')同業(yè)務進行(xíng)精準分(fēn)流等需求¥©也(yě)是(shì)迫在眉睫。面對(duì)這(zhè)些(xiē)層γ→©出不(bù)窮的(de)需求和(hé)挑戰,現(♦✘xiàn)有(yǒu)解決方案弊端顯現(xiàn)。
配置複雜(zá)
首先是(shì)配置複雜(zá)。僅基礎路(lù)徑選擇在一(yī)台路α©(lù)由器(qì)上(shàng)的(de)配置命令就(jiù)超過10₽♦≠≥0條。不(bù)僅如(rú)此,這(zhè)"φφ∞種傳統廣域網方案涉及數(shù)據中心、分(fēn)支、多(duō)雲β∏ε組網的(de)複雜(zá)結構,任何一(yī)處細微(wēi)的(dλ∏§ e)變更都(dōu)需要(yào)進行(xíng)仔細設σ≠α₩計(jì)、論證。
運維效率低(dī)
其次是(shì)運維效率低(dī)。這(zhè)種非原生(shēng♥∞¥♠)的(de)粘合式方案,出現(xiàn)故障♦→→時(shí)涉及的(de)模塊以及協議(↓×™yì)多(duō)、路(lù)由結構複雜(zá)難以排障。同時(shí♥>↓≤),嚴重耦合的(de)模塊,讓內(nèi)部邏輯複雜(zá)導緻變更困難。
使用(yòng)成本高(gāo)
此外(wài),該企業(yè)還(hái)配置了(le)獨立的(de)♥ ↔>防火(huǒ)牆,這(zhè)也(yě)導緻了(le)安∞ ®全與路(lù)由割裂,需要(yào)單獨配置安全與路(lù)由規則,并♠₹↑↔帶來(lái)了(le)使用(yòng)成本高(gāo¶♥®φ)的(de)問(wèn)題。因為(wèi)網絡管理(lǐ)人(rén)↕α員(yuán)需要(yào)同時(shí)精通(tōng)路(lù)由器(qì≠♦ )命令行(xíng)、特性以及腳本以及防火(huǒ)牆配置,學習(xí)成π→♣本極高(gāo)。
資源利用(yòng)率低(dī)
最重要(yào)的(de)還(hái)有(yǒu)資源利用(yòng)率低(d<≈ī)的(de)弊端,因為(wèi)該方案隻能(↕¥φnéng)基于IP地(dì)址作(zuò)為(wèi£)選路(lù)依據、不(bù)支持應用(yòng)識别、不(bù)支持≥↑★ 基于應用(yòng)識别的(de)路(lù)徑選擇,無法精準地(dì)區(qū€±¶')分(fēn)流量、無法最大(dà)化(huà)★§δ帶寬利用(yòng)率以及線路(lù)質量進行(xíng)最優路(↕σ♥♣lù)徑選擇。這(zhè)也(yě)造成了(le)該企業(yè) →¥為(wèi)了(le)确保廣域網架構的(de)可(kě)用(yòng)性、®®γ可(kě)靠性,不(bù)得(de)不(bù)為(wèi♠¶)每個(gè)分(fēn)支部署MPLS專線、Inet線路(lù)帶★β→ε來(lái)了(le)費(fèi)用(yòng)支出高(gāo)的(de)♥→ε現(xiàn)實。
Fortinet提出原生(shēng)安全且以骨幹網為(wèi)中↓∞∏心的(de)SD-WAN架構,借助FortiOS深度融合安全與組網能(nén∏< ♣g)力,在所有(yǒu)邊緣節點(辦公室和(hé)骨÷λ"幹網POP)通(tōng)過原生(shēng)的(de)安全能(néng)力提≠σ£升其安全防護水(shuǐ)平,确保防護強度的(de)一(yī)緻性;同時(sh★★í)利用(yòng)SD-WAN将Inet、MPLS、VPN(Overlay ©DIA)等不(bù)同類型的(de)線路(lù→φ•)整合為(wèi)資源池并進行(xíng)∞§≈統一(yī)編排。通(tōng)過SD-WAN實現(§≠σxiàn)全局流量調度,将用(yòng)戶不(bù)同業(yè¶♦)務流量精準分(fēn)流到(dào)MPLS和(hé)Inet線路(l≈§♣ù)并基于SD-WAN規則最大(dà)化(huà)利用(yòng)≥δ↓←線路(lù)資源,以此為(wèi)基礎精簡掉MPLS專線降低(dī)≈σ∞成本開(kāi)支。
項目方案設計(jì)
骨幹網之間(jiān) 全國(guó)多(duō)個(gè)POP節點上(←₩€♥shàng)部署FortiGate-VM,并利用(yòng)Ω∑高(gāo)質量骨幹網确保POP點之間(j✘< iān)的(de)網絡質量。同時(shí)使用(y•≠✘←òng)了(le)OSPF、BGP作(zuò)為(wèi)↕★≥Underlay 和(hé)Overlay的(de)動态路(lù)由協Ω$☆≈議(yì),實現(xiàn)全網的(de)✔ "路(lù)由可(kě)達。 | 各分(fēn)支之間(jiān) 根據分(fēn)支辦公室/廠(chǎng)區(qū)帶寬φ♣↔不(bù)同,使用(yòng)兩台FortiGate部署為(wèi)₹ ©₹高(gāo)可(kě)用(yòng)架構接入Inet、MPLS專線,替換γπ•原有(yǒu)的(de)兩台路(lù)由器(qì)和(hé)兩台防火(huǒλ ε)牆。各分(fēn)支機(jī)構通(tōn↓∏g)過基于互聯網的(de)Overlay網絡♠'就(jiù)近(jìn)接入主備兩個(gè)POP點訪問(wèn)€×★↑雲上(shàng)資源,也(yě)能(néng)夠通(tōng←σ)過MPLS訪問(wèn)數(shù)據↓ ≥中心的(de)工(gōng)作(zuò)負載,并且兩者能(néng<"©)夠相(xiàng)互備份。 | 設備管理(lǐ) 在雲平台部署FortiManager和(hé)Forti↔∞$Analyzer的(de)虛拟化(huà)∏∞版,集中管理(lǐ)分(fēn)布在數(shù)據中心、±₩分(fēn)支、雲平台不(bù)同型号和(hé)形态的(deσ•)FortiGate。通(tōng)過Fortinet業(yè✔♣ ₽)界領先的(de)單一(yī)面闆管理(lǐ)方式,For™☆tiManager和(hé)FortiAnalyzer的(de)組合實現©φ(xiàn)了(le)安全與網絡集中管理(lǐ)、統一(yī)監控、全∏₩局分(fēn)析,通(tōng)過單一(yī)面闆就(jiù)可(kě€☆)以展示網絡、安全的(de)事(shì)件(jiàn)并進行(≠☆xíng)及時(shí)響應,極大(dà)地(dì)降低(d§¶$ ī)了(le)運維壓力。 |
項目方案收益
Fortinet安全融合網絡SD-WAN同時(shí)±γ "解決原本割裂的(de)單點産品帶來(lái)的(de)高(gāo)投入、低(d• ī)回報(bào)的(de)困局。Fortinet業(yè←€¥)界領先安全能(néng)力确保各級邊緣網絡的(de)安全防護強度的(d£÷e)一(yī)緻性。安全與網絡的(de)融合一(yī)體(tǐ)化(hu♣à)在網絡架構設計(jì)之初就(jiù)将安全與組網深度綁定,确保≈♥≥♥各級邊緣網絡防護執行(xíng)的(de)一(yī)緻性,借助Fort★ ¥inet Security Fabric的(de)集成化¶↓≥(huà)、智能(néng)化(huà)、自(zì)'δ₹動化(huà)能(néng)力,實現(xiàn)安全威脅的(de)快(€•kuài)速發現(xiàn)、分(fēn)析、響應閉環。>♠
在成本節約方面,升級改造後基于Fortinet應用(yòng)、延遲¶±、丢包、抖動多(duō)維度進行(xíng)精準實時(s<γ'±hí)的(de)鏈路(lù)質量判斷機(jī)制α∑(zhì)以及鏈路(lù)優化(huà)能(nén♠↓÷φg)力,确保端到(dào)端的(de)服務質量 ★以及精細化(huà)的(de)流量工(gōng)程。結合動态選路(lù)機(j•π©↓ī)制(zhì)以及多(duō)POP骨幹組網,将原本MSTP業(y•¶•è)務分(fēn)流至DIA減少(shǎo)并裁撤MPLS,未來(lái)可(×→λ kě)以進一(yī)步削減MPLS 的(de)線路(lù)帶寬,降低(dī)€↔ δ每年(nián)的(de)租用(yòng)≈↕線路(lù)成本支出。
Fortinet在用(yòng)更簡潔的(d∞☆ e)産品和(hé)方案踐行(xíng)更易用(yòng)、$∑¥更高(gāo)效和(hé)節約運營成本等産品理(lǐ)念,護航§₹®'企業(yè)新時(shí)代的(de)數(shù)字化(huà)轉型。