某國際化物流企業(yè)中國區網(wǎng)絡(luò )升級改造采用了Fortinet安全SD-WAN解決方案,以功能完備、敏捷靈活的SD-WAN組網(wǎng)為基礎,借助Fortinet強大的NGFW防護能力,幫助用戶(hù)打造安全+網(wǎng)絡(luò )融合的防護體系。同時(shí),為了確保分支、數據中心、多云平臺之間訪(fǎng)問(wèn)質(zhì)量,采用了以骨干網(wǎng)為中心的SD-WAN方案。節點(diǎn)部署FortiGate設備就近接入POP點(diǎn),利用高質(zhì)量骨干網(wǎng)確保POP點(diǎn)之間underlay網(wǎng)絡(luò )質(zhì)量。
“膠水粘合”下的網(wǎng)絡(luò )復雜低效困境
該國際物流企業(yè)在中國內地設有多個(gè)分支辦公室,亞太總部位于中國香港。經(jīng)過(guò)多年的發(fā)展,除了自建數據中心維持核心業(yè)務(wù)應用外,在主流云平臺如AWS、阿里云、天翼云等同樣部署了關(guān)鍵業(yè)務(wù)應用,形成自建數據中心+多云的混合IT基礎架構。如何高效、安全、可靠地訪(fǎng)問(wèn)部署在不同位置的IT資產(chǎn),以及保證各分支機構與總部之間的高效互聯(lián),已經(jīng)成為該企業(yè)必須要解決的問(wèn)題。
此前,該企業(yè)通過(guò)租賃運營(yíng)商MPLS專(zhuān)線(xiàn)、MSTP專(zhuān)線(xiàn)實(shí)現內地分支之間與香港互聯(lián)、各分支機構與數據中心之間的連接。大部分分支辦公室擁有直接Internet(DIA)訪(fǎng)問(wèn)線(xiàn)路,一方面基于Internet建立DMVPN實(shí)現中國區內部互聯(lián),另外一方面提供Internet訪(fǎng)問(wèn)。此外,借助跨境訪(fǎng)問(wèn)服務(wù)商在DMVPN部署的節點(diǎn)實(shí)現跨境業(yè)務(wù)訪(fǎng)問(wèn)。
該國際物流企業(yè)對網(wǎng)絡(luò )的可靠性、可用性要求極高,因為這直接關(guān)系到業(yè)務(wù)的連續性和穩定性。冗余備份是其追求網(wǎng)絡(luò )穩定性和可用性的應對方案。為達成該目標,該企業(yè)各分支本地部署兩臺路由器分別接入DIA線(xiàn)路與MPLS專(zhuān)線(xiàn),首先使用HSRP協(xié)議實(shí)現路由器設備級冗余。此外,該企業(yè)還希望進(jìn)一步實(shí)現路由級冗余,也就是將DIA線(xiàn)路與MPLS專(zhuān)線(xiàn)互為備份,任意一條線(xiàn)路出現故障,另外一條可以不需要人工干預無(wú)縫接管所有流量。
由于路由器原生功能無(wú)法支持該場(chǎng)景,所以該企業(yè)只能采用“膠水粘合”式的方案:使用EEM通過(guò)“膠水”(腳本)把 “DMVPN(GRE+IPsec+NHRP+Virtual Tunnel)+SLA+Routing”等功能粘合在一起。隨著(zhù)各分支機構帶寬擴容、鏈路增加等需求持續增長(cháng),以及中國內地員工開(kāi)始使用Office365、Salesforce、Slack等國際版SaaS應用進(jìn)行日常辦公,提高帶寬利用率、基于應用類(lèi)型的進(jìn)行精準分流等需求也是迫在眉睫。
面對這些層出不窮的需求和挑戰,現有解決方案弊端顯現。
- 配置復雜:首先是配置復雜。僅基礎路徑選擇在一臺路由器上的配置命令就超過(guò)100條。不僅如此,這種傳統廣域網(wǎng)方案涉及數據中心、分支、多云組網(wǎng)的復雜結構,任何一處細微的變更都需要進(jìn)行仔細設計、論證。
- 運維效率低:其次是運維效率低。這種非原生的粘合式方案,出現故障時(shí)涉及的模塊以及協(xié)議多、路由結構復雜難以排障。同時(shí),嚴重耦合的模塊,讓內部邏輯復雜導致變更困難。
- 使用成本高:此外,該企業(yè)還配置了獨立的防火墻,這也導致了安全與路由割裂,需要單獨配置安全與路由規則,并帶來(lái)了使用成本高的問(wèn)題。因為網(wǎng)絡(luò )管理人員需要同時(shí)精通路由器命令行、特性以及腳本以及防火墻配置,學(xué)習成本極高。
- 資源利用率低:最重要的還有資源利用率低的弊端,因為該方案只能基于IP地址作為選路依據、不支持應用識別、不支持基于應用識別的路徑選擇,無(wú)法精準地區分流量、無(wú)法最大化帶寬利用率以及線(xiàn)路質(zhì)量進(jìn)行最優(yōu)路徑選擇。這也造成了該企業(yè)為了確保廣域網(wǎng)架構的可用性、可靠性,不得不為每個(gè)分支部署MPLS專(zhuān)線(xiàn)、MSTP專(zhuān)線(xiàn)、DIA線(xiàn)路帶來(lái)了費用支出高的現實(shí)。
Fortinet SD-WAN方案精準“破局”
Fortinet提出原生安全且以骨干網(wǎng)為中心的SD-WAN架構,借助FortiOS深度融合安全與組網(wǎng)能力,在所有邊緣節點(diǎn)(辦公室和骨干網(wǎng)POP)通過(guò)原生的安全能力提升其安全防護水平,確保防護強度的一致性;同時(shí)利用SD-WAN將DIA、MPLS、VPN(Overlay DIA)等不同類(lèi)型的線(xiàn)路整合為資源池并進(jìn)行統一編排。通過(guò)SD-WAN實(shí)現全局流量調度,將用戶(hù)不同業(yè)務(wù)流量精準分流到MPLS和DIA線(xiàn)路并基于SD-WAN規則最大化利用線(xiàn)路資源,以此為基礎精簡(jiǎn)掉MSTP專(zhuān)線(xiàn)降低成本開(kāi)支。
【項目方案設計】
- 骨干網(wǎng)層面:全國多個(gè)PoP節點(diǎn)上部署FortiGate-VM,并利用高質(zhì)量骨干網(wǎng)確保POP點(diǎn)之間的網(wǎng)絡(luò )質(zhì)量。同時(shí)使用了OSPF、BGP作為Underlay和Overlay的動(dòng)態(tài)路由協(xié)議,實(shí)現全網(wǎng)的路由可達。
- 分支層面:根據分支辦公室帶寬不同,使用兩臺FortiGate部署為高可用架構接入DIA、MPLS專(zhuān)線(xiàn),替換原有的兩臺路由器和兩臺防火墻。各分支機構通過(guò)基于互聯(lián)網(wǎng)的Overlay網(wǎng)絡(luò )就近接入主備兩個(gè)PoP點(diǎn)訪(fǎng)問(wèn)云上資源,也能夠通過(guò)MPLS訪(fǎng)問(wèn)數據中心的工作負載,并且兩者能夠相互備份。
- 管理平臺層面:在云平臺部署FortiManager和FortiAnalyzer的虛擬化版,集中管理分布在數據中心、分支、云平臺不同型號和形態(tài)的FortiGate。通過(guò)Fortinet業(yè)界領(lǐng)先的單一面板管理方式,FortiManager和FortiAnalyzer的組合實(shí)現了安全與網(wǎng)絡(luò )集中管理、統一監控、全局分析,通過(guò)單一面板就可以展示網(wǎng)絡(luò )、安全的事件并進(jìn)行及時(shí)響應,極大地降低了運維壓力。
【項目方案收益】
- 網(wǎng)絡(luò )安全融合:Fortinet安全融合網(wǎng)絡(luò )SD-WAN同時(shí)解決原本割裂的單點(diǎn)產(chǎn)品帶來(lái)的高投入、低回報的困局。Fortinet業(yè)界領(lǐng)先安全能力確保各級邊緣網(wǎng)絡(luò )的安全防護強度的一致性。安全與網(wǎng)絡(luò )的融合一體化在網(wǎng)絡(luò )架構設計之初就將安全與組網(wǎng)深度綁定,確保各級邊緣網(wǎng)絡(luò )防護執行的一致性,借助Fortinet Security Fabric的集成化、智能化、自動(dòng)化能力,實(shí)現安全威脅的快速發(fā)現、分析、響應閉環(huán)。
- 成本節約:在成本節約方面,升級改造后基于Fortinet應用、延遲、丟包、抖動(dòng)多維度進(jìn)行精準實(shí)時(shí)的鏈路質(zhì)量判斷機制以及鏈路優(yōu)化能力,確保端到端的服務(wù)質(zhì)量以及精細化的流量工程。結合動(dòng)態(tài)選路機制以及多POP骨干組網(wǎng),將原本MSTP業(yè)務(wù)分流至DIA減少并裁撤MPLS,未來(lái)可以進(jìn)一步削減MPLS的線(xiàn)路帶寬,降低每年的租用線(xiàn)路成本支出。
- 綠色低碳:作為安全網(wǎng)絡(luò )融合的領(lǐng)導者與先行者,Fortinet的單平臺戰略為客戶(hù)帶來(lái)高性能加持下的網(wǎng)絡(luò )安全高度融合,從性能角度完全滿(mǎn)足用戶(hù)大帶寬、高吞吐、多線(xiàn)路、強安全的復雜需求,從功能角度將原本網(wǎng)絡(luò )與安全割裂的單點(diǎn)產(chǎn)品在一個(gè)平臺上實(shí)現,不僅降低了管理、運維、商務(wù)復雜度與成本,而且節省機柜空間、帶來(lái)更低的電力、制冷需求等進(jìn)一步實(shí)現 “綠色低碳” 的目標。
敏捷高效引領(lǐng)SD-WAN發(fā)展
作為Gartner WAN Edge魔力象限的領(lǐng)導廠(chǎng)商,Fortinet率先提出了第三代SD-WAN的理念。Fortinet認為,應對目前遠程辦公等帶來(lái)的挑戰,SD-WAN必須包含原生的遠程訪(fǎng)問(wèn)能力。并且在遠程辦公上增加ZTNA功能而不再依賴(lài)于傳統的 VPN架構,同時(shí)支持將SD-WAN與云安全編排到整合架構中。
Fortinet始終致力于推動(dòng)網(wǎng)絡(luò )與安全能力的深度融合。從融合安全的第二代SD-WAN,到原生遠程訪(fǎng)問(wèn)、ZTNA以及與云安全編排到整合架構中的第三代SD-WAN,Fortinet都在用更簡(jiǎn)潔的產(chǎn)品和方案踐行更易用、更高效和節約運營(yíng)成本等產(chǎn)品理念,護航企業(yè)新時(shí)代的數字化轉型。
關(guān)于Fortinet
Fortinet(NASDAQ:FTNT),作為全球網(wǎng)絡(luò )安全領(lǐng)域的領(lǐng)導企業(yè);以全面覆蓋、深度集成和動(dòng)態(tài)協(xié)同理念構建的Security Fabric安全架構,為客戶(hù)提供覆蓋云、管、端的全面保護以及情報共享、協(xié)同聯(lián)動(dòng)的安全能力,護航企業(yè)數字化轉型之旅。基于核心旗艦產(chǎn)品FortiGate,Fortinet成為唯一使用一個(gè)平臺獲得Gartner網(wǎng)絡(luò )防火墻和廣域網(wǎng)邊緣基礎設施兩大魔力象限領(lǐng)導者的廠(chǎng)商。Fortinet在全球安全設備出貨量中排名第一,超過(guò) 56萬(wàn)名客戶(hù)選擇 Fortinet保護其業(yè)務(wù)。
