SD-WAN为企业构建全球高速互联网络

发布时间: 2021-09-10      作者:并擎科技



建立高效的云连接并不容易。公有云厂商都具有其自己的网络结构、特性与管理接口。无论将分支机构还是本地数据中心连接到公有云,或只是墨守陈规地在每个提供商的控制台上开展工作,那么配置正确的路由以及设置和维护VPN就会变得既费时又乏味。


且多数企业采用的多云部署,将不得不管理来自不同接口的连接(例如一个用于亚马逊云科技,一个用于Azure,一个Google云等),运营挑战加倍。如果把工作负载或者服务从一个公有云连接到另一个,那么,又是另一种管理与运维局面。

 

超越分支机构应用的SD-WAN


SD-WAN技术最初进入市场是为了用绑定多个连接的方式帮助分支机构保持高可用WAN连接,它也完全可以在云连接中发挥作用。SD-WAN网关,无论是物理的还是虚拟的,都可以集中进行管理和编排,通过策略定义的链接导流应用程序,自动设置和维护通向公共云以及跨公共云的IPSec隧道。


上面提到的三大云供应商均已采取措施简化了SD-WAN网关的接入。例如,亚马逊云科技的Transit Gateway Connect就是专门为SD-WAN实例连接到Transit Gateway而设计。与此同时,谷歌云最近宣布的网络连接中心也为分支机构和数据中心网络连接到谷歌云上的VPC提供了更多可靠的选项。


最终成效如何?SD-WAN可以帮助您将分支机构连接到云服务,将多个公有云相互连接,甚至是连接单个公有云中的工作负载。网络工程师和安全专业人员可以将SD-WAN用在多云叠加的网络,通过一个通用接口为其物理和虚拟网关设置访问和安全策略,查看应用流量并监控性能。


通过Fortinet SD-WAN构建多云安全互联


Fortinet拥有安全SD-WAN解决方案组件可以帮助企业进行SD-WAN部署管理混合和多云环境的安全连接。


使用Fortinet建立SD-WAN连接,将分支机构和数据中心连到公有云上,主要有两个方面的关键组件。


FortiGate安全SD-WAN


FortiGate是由FortiOS软件驱动,内置有下一代防火墙(NGFW)、SD-WAN和高级路由。FortiGate具有多种部署形式包括硬件、VM、多云和SASE。FortiGate可以作为硬件设备或虚拟实例交付,将应用安全与SD-WAN功能结合在一起。在连接的各端均使用FortiGate,就可以设置和管理IPSec VPN,同时执行安全策略和检查流量——包括加密流量。同时FortiGates还支持BGP,允许动态路由以满足特定网络要求。


Fortinet硬件包括专用的ASIC用于安全和内容处理。这些ASIC芯片使FortiGate设备能够支持数百万个连接,包括在激活加密/解密、IPSec VPN、威胁检查等多个安全功能的情况下提供强大的安全保护。Fortinet还研发了虚拟安全处理器 (vSPU) 来提升虚拟FortiGates的性能。vSPU利用DPDK等技术来加速通用CPU对数据包的处理,配合诸如英特尔的QuickAssist(QAT)适配器,使虚拟FortiGate可以支持高达20Gbps吞吐量的IPSec隧道。


虚拟FortiGates可以支持主流公有云云市场中进行配置。虽然您还是得进入各个云的控制平台,在VPC或AWS Transit Gateway中启动这些实例,但是Fortinet提供的脚本可以帮助加速部署。Fortinet还为那些使用基础设施即代码(IAC)的公司和机构提供Terraform支持。


FortiManager集中管理与编排


在云界面中完成所有配置后,您还可以通过FortiManager集中管理所有的FortiGate实例,无论是硬件还是软件,无论是在本地还是在公有云中。FortiManager是我们的第二个关键组件。


FortiManager是Fortinet面向其所有设备(包括FortiGate)的集中管理平台。网络和安全管理员可以从统一管理平台配置SD-WAN功能、设置IPSec VPN和静态路由,以及设置监控安全策略。这种全局式视图非常适于管理混合云和多云隧道的组织,因为它可以将分布在多个分支机构和公共云之间的所有连接一览无余。


FortiManager还能备份设备配置,跟踪配置更改,提供RBAC并确保网络和安全管理员对更改具有适当等级的可见性和控制权。


另外,以FortiGate为中心,Fortinet的Security Fabric安全平台提供了丰富的扩展性以及开放性,它集成了各种域的安全功能,包括有线和无线网络、端点、Web应用和云等等。Fortinet可以分析所有这些安全产品的日志和事件,关联警报干扰与警报,为事件提供更多情境信息。它还可以编排跨域响应:例如,更新交换机和AP策略来隔离端点,同时在该设备上开启恶意软件扫描。


Fortinet还能与自身产品组合之外的各类第三方安全网络产品协同运作,实现更可靠的监控和可视化。


充分利用公有云的高速主干网络


虽然大多数公共云应用案例都侧重于应用和工作负载,但是云供应商建成的高速网络主干也是客户可以加以充分利用的,理由有很多,包括性能、安全和配置速度等等。


例如,如果一家公司在不同地区的两个分支机构之间有高性能、低延迟网络连接的业务需求,那么他们就可以利用云供应商的主干网络作为传输系统。


您可能已经猜到,这就是SD-WAN的另一个用例,这里每个分支机构和公共云中的安全SD-WAN都可以在云供应商主干网络上设置IPSec隧道。Fortinet目前支持与AWS Transit Gateway、Azure vWAN和Google Cloud网络连接中心的无缝集成。


SD-WAN支持多云连接


将SD-WAN部署在分支机构和远程办公场所来访问公共云,这一点是很好理解的。随着越来越多的组织接受多云(或是不得已而为之),他们也可以其SD-WAN资产加以扩展来支持混合云和多云连接。


将Fortinet的安全SD-WAN作为一种多云高速公路带来很多好处,包括不会受到与公共云连接方式影响的集中监控和网关管理,使用IPSec隧道保护流量,以及将Fortinet专有的security fabric扩展到云中。


参考链接:

https://packetpushers.net/build-a-multi-cloud-freeway-with-sd-wan


文章来源Fortinet防特网公众号