​Fortinet安保SD

随着云计算开展进入到运行遍及阶段,越来越多的企业开局选用云平台部署上班负载。这也使得企业面临上班负载从数据中心部署演进为“无处不在部署”的应战。如何成功云上与泛滥分支安保、高效、矫捷的互联成为一个不可逃避的疑问。

某国内化物流企业中国区网络更新变革驳回了Fortinet安保SD-WAN处置方案,以性能完备、矫捷灵敏的SD-WAN组网为基础,借助Fortinet弱小的NGFW防护才干,协助用户打造安保+网络融合的防护体系。同时,为了确保分支、数据中心、多云平台之间访问品质,驳回了以主干网为中心的SD-WAN方案。节点部署FortiGate设备就近接入POP点,应用高品质主干网确保POP点之间underlay网络品质。

“胶水粘合”下的网络复杂低效困境

该国内物流企业在中国中原设有多个分支办公室,亚太总部位于中国香港。经过多年的开展,除了自建数据中心维持外围业务运行外,在干流云平台如AWS、阿里云、天翼云等雷同部署了关键业务运行,构成自建数据中心+多云的混合IT基础架构。如何高效、安保、牢靠地访问部署在不同位置的IT资产,以及保障各分支机构与总部之间的高效互联,曾经成为该企业必定要处置的疑问。

此前,该企业经过租赁运营商MPLS专线、MSTP专线成功中原分支之间与香港互联、各分支机构与数据中心之间的衔接。大局部分支办公室领有间接Internet(DIA)访问线路,一方面基于Internet建设DMVPN成功中国区外部互联,另外一方面提供Internet访问。此外,借助跨境访问服务商在DMVPN部署的节点成功跨境业务访问。

该国内物流企业对网络的牢靠性、可用性要求极高,由于这间接相关到业务的延续性和稳固性。冗余备份是其谋求网络稳固性和可用性的应答方案。为达成该指标,该企业各分支本地部署两台路由器区分接入DIA线路与MPLS专线,首先经常使用HSRP协定成功路由器设备级冗余。此外,该企业还宿愿进一步成功路由级冗余,也就是将DIA线路与MPLS专线互为备份,恣意一条线路产生缺点,另外一条可以不要求人工干预无缝接收一切流量。

由于路由器原生性能不可允许该场景,所以该企业只能驳回“胶水粘合”式的方案:经常使用EEM经过“胶水”(脚本)把 “DMVPN(GRE+IPsec+NHRP+Virtual Tunnel)+SLA+Routing”等性能粘合在一同。随着各分支机构带宽扩容、链路参与等需求继续增长,以及中国中原员工开局经常使用Office365、Salesforce、Slack等国内版SaaS运前启动日常办公,提高带宽应用率、基于运行类型的启动精准分流等需求也是迫在眉睫。

面对这些层出不穷的需求和应战,现有处置方案弊病浮现。

1、性能复杂:首先是性能复杂。仅基础门路选用在一台路由器上的性能命令就超越100条。不只如此,这种传统广域网方案触及数据中心、分支、多云组网的复杂结构,任何一处纤细的变卦都要求启动细心设计、论证。

2、运维效率低:其次是运维效率低。这种非原生的粘合式方案,产生缺点时触及的模块以及协定多、路由结构复杂难以排障。同时,重大耦合的模块,让外部逻辑复杂造成变卦困难。

3、经常使用老本高:此外,该企业还性能了独立的防火墙,这也造成了安保与路由割裂,要求独自性能安保与路由规定,并带来了经常使用老本高的疑问。由于网络治理人员要求同时知晓路由器命令行、特性以及脚本以及防火墙性能,学习老本极高。

4、资源应用率低:最关键的还有资源应用率低的弊病,由于该方案只能基于IP地址作为选路依据、不允许运行识别、不允许基于运行识别的门路选用,不可精准地域分流量、不可最大化带宽应用率以及线路品质启动最优门路选用。这也形成了该企业为了确保广域网架构的可用性、牢靠性,不得不为每个分支部署MPLS专线、MSTP专线、DIA线路带来了费用支出高的事实。

Fortinet SD-WAN方案精准“破局”

Fortinet提出原生安保且以主干网为中心的SD-WAN架构,借助FortiOS深度融合安保与组网才干,在一切边缘节点(办公室和主干网POP)经过原生的安保才干优化其安保防护水平,确保防护强度的分歧性;同时应用SD-WAN将DIA、MPLS、VPN(Overlay DIA)等不同类型的线路整合为资源池并启动一致编排。经过SD-WAN成功全局流量调度,将用户不同业务流量精准分流到MPLS和DIA线路并基于SD-WAN规定最大化应用线路资源,以此为基础精简掉MSTP专线降低老本开销。

【名目方案设计】

1、主干网层面:全国多个PoP节点上部署FortiGate-VM,并应用高品质主干网确保POP点之间的网络品质。同时经常使用了OSPF、BGP作为Underlay和Overlay的灵活路由协定,成功全网的路由可达。

2、分支层面:依据分支办公室带宽不同,经常使用两台FortiGate部署为高可用架构接入DIA、MPLS专线,交流原有的两台路由器和两台防火墙。各分支机构经过基于互联网的Overlay网络就近接入主备两个PoP点访问云上资源,也能够经过MPLS访问数据中心的上班负载,并且两者能够相互备份。

3、治理平台层面:在云平台部署FortiManager和FortiAnalyzer的虚构化版,集中治理散布在数据中心、分支、云平台不同型号和外形的FortiGate。经过Fortinet业界上游的繁多面板治理模式,FortiManager和FortiAnalyzer的组分解功了安保与网络集中治理、一致监控、全局剖析,经过繁多面板就可以展现网络、安保的事情并启动及时照应,极大地降低了运维压力。

【名目方案收益】

1、网络安保融合:Fortinet安保融合网络SD-WAN同时处置原本割裂的单点产品带来的高投入、低报答的困局。Fortinet业界上游安保才干确保各级边缘网络的安保防护强度的分歧性。安保与网络的融合一体化在网络架构设计之初就将安保与组网深度绑定,确保各级边缘网络防护口头的分歧性,借助Fortinet Security Fabric的集成化、智能化、智能化才干,成功安保要挟的极速发现、剖析、照应闭环。

2、老本浪费:在老本浪费方面,更新变革后基于Fortinet运行、提前、丢包、颤抖多维度启动精准实时的链路品质判别机制以及链路优化才干,确保端到端的服务品质以及精细化的流量工程。结合灵活选路机制以及多POP主干组网,将原本MSTP业务分流至DIA缩小并裁撤MPLS,未来可以进一步增添MPLS的线路带宽,降低每年的租用线路老本支出。

3、绿色低碳:作为安保网络融合的指导者与后行者,Fortinet的单平台战略为客户带来高性能加持下的网络安保高度融合,从性能角度齐全满足用户大带宽、高吞吐、多线路、强安保的复杂需求,从性能角度将原本网络与安保割裂的单点产品在一个平台上成功,不只降低了治理、运维、商务复杂度与老本,而且节俭机柜空间、带来更低的电力、制冷需求等进一步成功 “绿色低碳” 的指标。

矫捷高效引领SD-WAN开展

作为Gartner WAN Edge魔力象限的指导厂商,Fortinet率先提出了第三代SD-WAN的理念。Fortinet以为,应答目前远程办公等带来的应战,SD-WAN必定蕴含原生的远程访问才干。并且在远程办公上参与ZTNA性能而不再依赖于传统的 VPN架构,同时允许将SD-WAN与云安保编排到整合架构中。

Fortinet一直努力于推进网络与安保才干的深度融合。从融合安保的第二代SD-WAN,到原生远程访问、ZTNA以及与云安保编排到整合架构中的第三代SD-WAN,Fortinet都在用更繁复的产品和方案践行更易用、更高效和浪费运营老本等产品理念,护航企业新时代的数字化转型。

您可能还会对下面的文章感兴趣: