freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

SDWAN在企业中的应用
Coisini10 2023-11-20 17:09:26 248896

1.数字化转型带来的业务变化

根据IDC调研,在2017年, 数字化转型已经成为全行业领军企业的共识,全球67%的1000家大型企业已经把数字化转型作为公司的战略核心。可以说,过去几年数字化转型已经席卷全球,随着新技术的广泛应用,新的机会和价值正在不断被发现和创造。

近些年来,随着数字化转型进程的不断深入,各行业业务种类、业务架构、使用方式也发生了比较明显的变化,主要体现在:

新业务上线迅猛:数字化转型首先带来的就是业务类型的变化,AI、VR、大数据、物联网等技术蓬勃发展,带来了多种如人脸识别、视频会议、视频监控、数字化营销系统等新型业务的应用;

业务广泛上云:随着云计算技术的不断深入,业务架构也发生了比较明显的变化,据相关机构数据显示,截止2018年,中国有将近40%的企业使用了云服务;

分支快速扩张:越来越多的企业遵循“走出去”的发展策略,分支机构快速扩张,业务遍布至全国各地甚至全球;

2.SD-WAN技术诞生背景

在数字化转型背景下,分支机构不但需要灵活高效地与总部进行信息交互,同时还需要流畅获取外部资讯。不同行业用户在使用过程中,除了要求可靠稳定的加密传输,还需要部署VPN设备、交换机、防火墙、上网行为管理和无线AP等来满足不同分支的特异性需求,这在传统组网方案中需要多设备共同参与才能够满足,而这也偏离了业界公认的分支机构IT建设一体化,提高业务访问体验、业务高可用性,快速部署等组网要求,急需更加成熟先进的组网解决方案才能满足数字化转型过程中带来的业务需求,在此背景下,SD-WAN组网技术应运而生。

Software-Defined Wide Area Network(SDWAN),即软件定义广域网络,是将SDN技术应用到广域网场景中所形成的一种服务。这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务,旨在帮助用户降低广域网的开支和提高网络连接灵活性。

3.企业分支组网现状及需求分析

(1)企业分支组网现状

当前分支组网普遍采用传统专线路由器、VPN等设备实现与总部互联,在组网过程中,面临应用访问体验差、IT投入成本高、运维管理复杂等多方面的挑战。

1700469218_655b19e2f2f29239362b8.png!small?1700469220590

  • 应用访问体验差

分支新上线各类人工智能、人脸识别、订单系统、仓储系统、ERP、OA、SAP、视频会议、视频监控等应用,业务种类、数量爆炸性增长。各类应用之间互相抢占有限的带宽资源,导致核心应用访问体验差;

业务广泛云化的过程中,分支机构难以快速敏捷访问到云端资源,而基于互联网访问云端业务,访问质量及访问安全性都面临着巨大挑战;

此外,分支机构多为单条出口线路,一旦发生线路中断、拥堵等故障,导致业务中断;即使部分分支机构采用了多条出口链路,基于路由器路由收敛、VPN手动切换至备用线路等策略,故障恢复时间过长,也难以满足视频会议、交易系统等高连续业务的高可用性需求。

  • IT投入成本居高不下:

基于数据连通及边界安全两方面考虑,每一个分支机构需要部署路由器、交换机、VPN、防火墙、无线AP等多种硬件设备,IT投入成本居高不下;

此外在分支出口线路选择上,MPLS/MTSP等专线成本昂贵,采用互联网访问质量又难以保障,如何保障访问质量的同时,尽可能降低线路成本,也成为了分支组网面临的又一大难题。

  • 运维管理工作量巨大:

分支机构遍布全国各地,地理位置分布零散,数量众多。采用传统VPN设备,部署复杂,业务上线缓慢。采用MPLS专线,部分地区专线不可达,需要较长的的线路部署周期。无论是基于互联网+VPN还是专线实现分支与总部组网互联,都难以满足分支快速扩张的需求;

此外,传统路由器设备基于命令行配置,分支门店机构缺乏专业的IT运维人员,非专业人员难以参与到基本网络管理中;总部又缺乏统一的运维管理平台,无法快速定位故障、远程处置故障,导致运维成本高、运维效率低下。

(2)企业分支组网需求分析

a.务需求分析

在业务数字化转型的浪潮中,如何提高业务访问体验,成为分支门店机构最为紧迫的需求,在此基础上,则需要分支组网设备具备以下能力:

  • 智能识别业务,区分业务种类并进行传输优先级编排,保障核心应用优先传输;

  • 在互联网下,通过传输优化技术,提升应用访问质量;

  • 支持接入MPLS、Internet、4G LTE等多种类型线路,池化WAN资源,通过多种选路传输策略提高带宽利用率;

b.安全需求分析

分支与总部实现组网互联过程中,需要保障数据传输安全及分支边界安全性:

  • 数据传输安全:通过VPN加密技术,在公用网络上建立专用网络,进行加密通讯,提高访问安全性;

  • 分支边界安全:分支应具备防火墙(4层)、访问控制、防DDOS、ARP攻击等功能,保障分支边界安全;

c.运维需求分析

由于分支数量众多、地理位置分布零散且缺乏专业的IT运维人员,在新型组网方案中,则需要在总部构建统一集中的运维管理平台,实现全网极简运维,主要需求包括:

  • 简化部署分支IT设备上线流程,实现0接触部署上线;

  • 通过集中控制器实现全网设备、链路、应用可视化远程运维;

d.成本需求分析

分支IT投入成本是影响分支扩张速度的重要因素之一,如何降低分支机构的IT建设成本,也是新型组网解决方案的重要关注点之一:

  • 尽可能减少分支IT硬件设备的数量,实现IT一体化交付,降低硬件投入成本;

  • 必要情况下,可引入大容量的互联网线路替换成本昂贵的MPLS专线线路,降低线路投入成本;

4.企业分支组网解决方案

采用SD-WAN替换路由器组网解决方案是将SD-WAN技术应用到广域网建设当中的新一代组网方案,具备连接分支、总部、物理数据中心、公有云、SaaS云服务的能力,帮助用户搭建专线级访问体验、运营成本可控的广域网。

分支端:部署SD-WAN安智路由器

分支部署SD-WAN路由器实现IT一体化交付,SD-WAN路由器除提供VPN组网功能,还提供路由、交换、防火墙、流控、WIFI、4G接入等功能,并可接入SD-WAN集中管理平台实现集中可视管理,满足不同分支的个性化需求。

传输端:基于互联网实现链路优化、最优选路及VPN加密
针对业务访问体验不佳问题,SD-WAN路由器可通过内置的sofast加速引擎,自适应FEC丢包重传、调整滑动窗口大小等技术,降低线路丢包,优化传输效率。此外,当分支存在多条外网出口线路时,路由器还支持基于不同应用要求动态选择最优线路进行传输。

传输端:基于互联网实现链路优化、最优选路及VPN加密
针对业务访问体验不佳问题,SD-WAN路由器可通过内置的sofast加速引擎,自适应FEC丢包重传、调整滑动窗口大小等技术,降低线路丢包,优化传输效率。此外,当分支门店存在多条外网出口线路时,SD-WAN路由器还支持基于不同应用要求动态选择最优线路进行传输。
总部端:部署高性能SD-WAN安智路由器设备及集中管理平台
总部端可部署高性能的SD-WAN路由器设备,同分支端建立连接;此外,中心端还可部署SD-WAN集中管理平台,通过易部署策略实现分支分钟级组网上线,并可视化管理全网分支SD-WAN设备,实现分支0运维。

# 网络安全 # 数据泄露 # 企业安全 # SDWAN # 攻防组网
本文为 Coisini10 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
Coisini10 LV.6
网络安全10年从业者
  • 31 文章数
  • 13 关注者
数据安全治理
2023-11-20
化工制造业数字化解读
2023-11-20
企业数据中心建设
2023-11-16
文章目录