众所周知,思科具备两套 SDWAN 解决方案,一套是面向运营商和大中型企业客户的 Viptela SDWAN 专业级方案,另一套是面向一般企业客户的 Meraki SDWAN 方案,但实际上还是有一部分用户需要一种既能够提供广域网边界专业的安全功能,在本地进行统一部署和管理,又具备 SDWAN 选路策略的 SDWAN 方案。这也就是本文介绍的主要内容。 SDWAN 是基于自动化构建 overlay 通道,由控制器统一调度业务流量按需通过不同的 overlay 通道转发,从而实现监控、保障业务可靠性、安全性和服务质量的广域网解决方案。因此 SDWAN 的方案最基本的有三个要素,一是构建 Overlay 通道,二是选路和服务备份保障策略,三是全局统一的管理和控制。当然这只是面向广域网的三个基本要素,作为边缘设备还需要具备优秀的安全能力。 通过 FMC 的统一管理,NGFW(下一代防火墙)支持基于 VTI 接口构建 overlay 拓扑,支持 P2P,Hub-Spoke,Full Mesh 等多种拓扑形态,从而满足各种业务需求。通过这些 overlay Tunnel,可以形成多个可选的转发路径,而 Overlay Tunnel 的底层可以是互联网,也可以是专线或者部分互联网+部分专线,因此不同路径的带宽、延迟、抖动等属性存在差异。在 Tunnel 中传输的数据都是经过加密的,不论采用何种底层物理线路,都可以保障整体通信安全。 NGFW 支持基于路径检测的策略路由,该功能使得用户可以对自定义的流量根据特定的选路原则来转发数据。上述自定义的流量除了我们常规的流量五元组和应用外还可以基于用户和 SGT 标签,选路原则可以基于接口优先级,链路的 RTT、Jitter、丢包等统计值,也可以手工定义优选和备份路径。值得一提的是这种基于路径监测的策略路由不仅可以在 overlay 路径选择中部署,对于物理路径可同样适用,对于部分采用专线构建广域网的用户,可能更加习惯直接基于物理路径进行选路原则的设计。 FMC 不仅用于全网 NGFW 的统一配置和部署,同时还具备了监控、管理和排错的能力。通过 FMC 的图形化界面可以直观地展示链路和 overlay 的状态和相关统计信息,通过内嵌的各类工具进行调试和排错等操作。 在 SDWAN 的组网下,NGFW 依然保持了各种专业安全功能和 HA 部署的能力,应用识别和控制,IPS,AMP,DNS 乃至 SASE 等关键的安全功能对于特别注重边界安全、云安全和数据安全的用户至关重要。
服务热线
1391-024-6332
