查看原文
其他

通过 SD-Branch, 解决业务云化带来的网络挑战!

张昊 CSDN 2022-04-06

作者 | 张昊

1998年,一股名为“互联网”的旋风席卷了整个世界。无数企业如同战士一般开启了挥刀断臂的转型之路,“拥抱互联网”在一时之间成为了红遍全球的口号。今年是2021年,彼时彼刻恰如此时此刻,只不过这次的主人公换成了“云”。
随着企业互联网化的程度逐渐加深,无论是基础设施、平台系统、业务应用,亦或是最本质的数据,其数量级的提升与对于敏捷性的苛求使得困守于传统网络结构下的IDC机房难以为继,于是企业“上云”就成为了物竞天择般的自然选择。
所谓“企业上云,网络为先”,如果固守着传统的网络架构,无论口号喊得多么热烈,上云的进度条却大概率始终为零。提到云与网络架构,很多人的第一反应往往是SD-WAN,但却鲜有人了解SD-Branch(软件定义分支机构)。如果说SD-WAN是企业广域网络实现蜕变的工具,那么SD-Branch则是对应着企业云网这一并进过程的本身。
在12月举办的公开课上,Fortinet的技术专家揭开了SD-Branch的神秘面纱,向我们展示了这一向云而生,为云而动的理想架构的独到之处。
 
为何企业上云,SD-Branch是首选?
 
格物资讯创始人韩勖带来了主题为《传统网络过时了,你需要的是SD-Branch》的演讲:
对于企业网络而言,“上云”其本质在于企业流量枢纽的一次重大变更,即从内部迁移至外部,从IDC总部迁移至云与数据中心。如何保障云与数据中心的品质?如何在共生下的网络与业务敏捷性之间谋取最高的运营效率?如何将运维边界扩展至云与数据中心?对于这些挑战,企业网络的唯一应对方法就是也云化重构,变成以云和数据中心为骨干节点的企业网络,而这就是企业云网的雏形。
SD-Branch就是面向企业云网场景而生的组网方案,虽然业界对于这一全新的概念众说纷纭,但也能从其中总结出四点共通的关键能力:
  • 完整组网能力
SD-Branch是一套完整的企业网络方案,要具备独立组网的能力。从有线和无线接入开始,到分支的边缘,再到广域网,最后到云的边缘,这些都要包括在SD-Branch方案所提供的的能力范围内。
  • 集成安全能力
对于业务上云的企业而言,数字即资产,也是公司核心价值的具体体现。故安全是自内而外衍生出的核心需求。相较传统组网方案,SD-Branch将与时俱进的将安全能力下沉到所有边界,并做深做强。
  • 统一的管理运维能力
企业云网所触达的边界越广,对于管理运维的难度提升就越大。所以在SD-Branch的产品定义中,明确要求在技术层面为部署运维赋能,帮助IT管理者提升部署运维效率。
  • 简化部署复杂度
企业云化,虽然扩大了业务的边界,但同时也代表着其责任空间的增加与工作事务的繁杂化。人员、成本,将成为悬在企业主头顶的两把利剑,而唯一的缓解方式,只能依赖于产品方案敏捷性方面所带来的赋能。
在演讲中,韩勖列举了科技制造业新贵企业的网络云化转型案例,并对SD-Branch方案在不同场景中的部署及能力进行了深度还原。
在企业案例中,最初该企业的网络结构为传统的组网思路,IDC遍布于所有的生产环境,不论是总部研发、工厂制造还是门店销售和服务都需要实时的访问部署在IDC里面的业务平台。同时针对需要普遍访问,数据密集度不高的部分业务,该企业选择了上云的方式进行部署,而内部的办公网则是常见的多分支互联与远程接入场景。在这个看似完善的网络结构中,其实暗藏了很多实际运行上的痛点。
第一个痛点是线下门店的建设和运维效率问题。其难点在于,异构组网的复杂性注定了IT人员需要在现场驻留更多的时间,无法适应公司制定的高速开店计划。同时,云管理平台由于缺少网络边缘的数据,在智能运维的能力上受到了很大的限制。第二个痛点则是IT部门被要求实现门店接入的降本增效,以及对于跨平台生产数据交互的需求难以满足。第三个痛点来源于分支办公区访问业务平台和海外SaaS的体验问题,相对于分布距离较远的分支与海外SaaS,延迟问题为IT人员带来了巨大的工作量提升。第四个痛点是远程接入的品质问题,由于面临远程办公的情况,将终端的所有流量拉回总部为总部带宽带来了巨大的压力,同时员工也对远程办公的延迟体验有了很大的意见。
其实上述痛点是传统组网模式下的企业面对业务云化过程中必然会面临的问题,于是该企业进行了大刀阔斧式的网络架构调整。那么SD-Branch又在其中发挥了什么样的作用呢?首先针对门店网络问题,SD-Branch从架构上要优于异构组网方案,在建设管理与运维效率上都会呈现相应的提升。在接入成本与品质上,SD-Branch中的SD-WAN网络能够帮助企业将大流量业务优先跑在带宽更大,成本更低的DIA链路上面。同时在全网SD-WAN互联的情况下,企业可以根据业务对链路品质的要求,制定合理的选路策略,这从根本上也解决了分支办公区访问业务平台、海外SaaS中存在的问题。最后在云网架构下,通过将SSLVPN网关部署在laaS和IDC,可以从一定程度上缓解远程办公的压力。
韩勖在演讲中表示:在SD-Branch加持的企业云网架构下,对于业务的定义再也无需依靠人肉,对于主流商业SaaS的流量编排在SD-Branch方案里面就应该是点点鼠标那么简单。
为了更好的验证SD-Branch在场景中的实际价值,韩勖根据案例中的实际情况将家中的网络进行了改造,搭建了一套最小化的云网验证需求。他的云网核心在北京AWS和广州的某IDC,采用的都是虚拟化部署的FortiGate防火墙,同时在北京和上海还有两套Fortinet 的SD-Branch方案的关键组件包括防火墙、交换机及AP作为测试分支。Fortinet 的SD-Branch方案在防火墙一端实现了本地有线、无线的一体化管理运维,同时还具备了Wi-Fi终端的排障能力,能够在一个界面下将终端的一层到七层数据一览无余。
同时为了满足SD-Branch的定义要求,还部署了FortiManager统一管理平台作为SD-Branch的管理平台,并通过虚拟化部署FortiAnalyzer,实现整体的安全和流量端的回溯分析。在满足了云、网、产品的构建后,最后在业务层面韩勖在北京AWS上起了一个企业网盘,在广州IDC起了一个对象存储作为测试业务,构建了核心要素齐备的企业云网Demo。
在Demo中实现了基于SD-WAN的全网动态选路,不论是骨干还是分支,每个节点中都有足够多的DIA接入资源。在做SD-WAN策略时,通过调用FortiGate内置的应用特征和业务的IP库,可以轻松实现海外SaaS的流量调度。同时该Demo还解决了远程接入时的SaaS分流问题,由于FortiGate本身内置了SSLVPN的接入能力,FortiClient SSLVPN客户端又支持包括Windows、Mac OS、iOS、安卓在内的几乎所有的主流平台,其中的FortiClient EMS平台可以将应用和主流SaaS的特征推给终端,因此通过FortiClient,可以直接实现在终端侧的流量调度,这也就直接解决了案例中为了实现远程接入的SaaS加速访问,不得不将所有流量送回隧道的问题。
 
Fortinet SD-Branch:倚“墙”而立,向“云”而生
 
如果说韩勖演讲中的Demo如一叶知秋般向我们展示了SD-Branch的优越之处,那么如果我们上升至企业组网整体解决方案的高度,对于走上云端的企业而言,他们需要一个怎么样的解决方案呢?
“既融入了安全性,又融入了有线、无线的接入以及广域网的接入,同时还要保障整体方案的高效。通过高性能硬件系统打通网络瓶颈的同时,还可以保障方案在云上进行扩展和交付的能力。”Fortinet售前工程师韩晔通过寥寥数语定义了SD-Branch解决方案所需要具备的所有特质,他表示:Fortinet的愿景就是帮助用户搭建一个这样通过安全驱动网络的解决方案,这一方案就是Fortinet 安全SD-Branch企业安全组网解决方案。在Fortinet SD-Branch解决方案里,其核心就在于通过防火墙这样的设备来提供统一的操作界面,在防火墙上不但要统一的管理,还要进行统一的安全方面的控制,对内部的用户实现一个安全策略的统一管理,对于有线、无线的接入也要纳管在防火墙当中。防火墙作为一个核心设备,可以对整个安全、接入进行统一的管理。
作为网络和安全领域的领军者,Fortinet在近期公布的Gartner魔力象限中,在安全、广域网接入SD-WAN以及有线无线用户接入三大领域中Fortinet都进入了对应的Gartner魔力象限,并在网络防火墙和SD-WAN及广域网边界架构魔力象限中处于领导者象限。同时在Gartner发布的关键能力报告中,Fortinet在小型分支广域网的使用、安全敏感型的广域网使用以及远程用户接入的场景中位居第一。
作为一个一站式的解决方案,Fortinet SD-Branch在防火墙端实现了安全与SD-WAN广域网接入问题。对于内网用户,通过扩展FortiSwitch即可以实现内网有线用户的接入。而对于无线用户再扩展FortiAP就可以实现内网无线用户的接入。即通过一个防火墙,Fortinet便实现了有线与无线统一接入以及安全与运维管理的三大功能。同时SD-WAN将作为FortiGate硬件的自带的功能模块,无需额外的费用,极大地降低了企业用户的成本。将SD-WAN集成到FortiGate NGFW之上,FortiGate可以不断地探测多条链路的质量,从而实现关键业务与优质链路之间的良好对接。
有线管理模块下,将FortiGate设置在出口与交换机相连后,用户可以直观的看到交换机所有的接口连接状态,这也就实现了无需登录交换机,直接在防火墙上对交换机的VLAN、Trunk 、链路聚合等参数进行配置。而无线管理模块,在用户拿到FortiAP之后插在FortiSwitch交换机的POE供电接口上,防火墙就能够自动接管所有的FortiAP的管理,所以FortiGate防火墙也可以完成AC无线控制器的功能。
常规的防火墙方案一般只能实现南北向流量的过滤,而对于东西向流量的过滤毫无办法。而在FortinetSD-Branch的解决方案里,如果使用了FortiGate+FortiSwitch+FortiAP这种方式,无论是在有线还是无线的环境中,FortiGate都将可以实现非常细粒度的全方位流量安全。
在硬件架构方面,Fortinet自研的ASIC主要由两块芯片构成,其中NP负责高效的网络层数据包转发,而CP负责数据包的IPS、防病毒等处理。通过这种硬件架构方式,即便开了多任务,网络又有大流量的情况下,FortiGate也能保持一个高速稳定的运行。同时,当需要使用IPsec 或SSL VPN的时候,Forti ASIC NP和CP的芯片也负责加解密操作的处理。
在演讲中,韩晔还重点介绍了Fortinet SD-Branch所能提供的零接触部署功能。即在分布式企业进行面临大量分支开通时,通过云模式完成预部署;无需让专业的IT人员前往分支进行网络设置,就能够开通其网络业务。
此外,如果企业用户需要更加丰富的功能,在Fortinet SD-Branch解决方案中也可以进行功能扩展。例如在最新的FortiOS7.0版本中,Fortinet已经集成了网络准入控制(NAC)功能,能够满足一般基础的准入需求。而对于更加高级、负复杂化的准入需求,也可以将FortiAuthenticator与FortiToken结合,以动态口令的方式实现最安全的双因素认证。同时,在全新的FortiOS7.0版本中,Fortinet还新增了零信任网络访问功能。
互联网时代,拼的是视野的广度;而云时代下,拼的是转型的速度。如果说SD-WAN的出现验证了云时代下网络变革的可能性,那么SD-Branch则是为企业云网搭建了切实可行的发展道路。如果你正处于企业上云的十字路口上四顾茫然,那么Fortinet的 SD-Branch解决方案或许是一个不错的选择。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存