信达网安SD-WAN-解决方案v1.0

SD-WAN-解决方案信达网安2019.12目录1.概述.................................................................................................................................................................32.广域网现状...................................................................................................................................................33.信达网安SD-WAN技术优势.................................................................................................................53.1.提供多种硬件规格........................................................................................................................53.2.安全合规..........................................................................................................................................53.3.集中管控，快速部署...................................................................................................................63.4.流量实时监控.................................................................................................................................63.5.云网融合，安全协同...................................................................................................................73.6.支持隧道内IP映射......................................................................................................................73.7.支持SD-WAN通道作为逻辑接口..........................................................................................83.8.基于链路实时质量的智能多路径选择...................................................................................83.9.数据冗余备份.................................................................................................................................83.10.指定主备线路..............................................................................................................................93.11.负载均衡，实现带宽叠加........................................................................................................93.12.融合网络安全技术，保证传输可靠...................................................................................103.13.融合行为审计功能...................................................................................................................103.14.通过VRRP实现高可靠性HA...............................................................................................103.15.部署方式......................................................................................................................................111.概述（一）随着大数据时代来临，企业数字化战略的深入，越来越多的企业业务数据存储在云端，云网协同和数据的安全性备受关注；同时，在互联网创新时代，企业发展速度加快，企业站点变动频繁，须在1-2天内完成快速组网。传统企业专线和企业应用模式下，业务开通慢，从申请到业务开通需要30天，无法满足企业业务快速发展需求；业务部署和运维困难，中大型企业业务复杂，本地应用需部署数十种以上独立设备，包括安全防火墙、上网行为管理、无线AP管理、广域网加速等，硬件投资大，而且长期依赖专业运维团队；专线费用高，企业专线费用占企业ICT的OPEX的50%-70%，并且企业还需要花费大笔投资一次性购买带宽和业务设备，维护费高，总成本居高不下。而SD-WAN的出现不仅解决了互联网不稳定、专线造价昂贵的问题，最重要的是能够极大程度上满足这些应用即时性和实时性的要求。2.广域网现状数据大集中的需要，使得企业分支与总部之间的网络建设日渐完善，然而随着应用的发展，特别是视频类业务的发展，传统的网络接入方案正面临更大的挑战。•带宽的瓶颈对于用户的应用来说，永远希望获得更宽的带宽，然而无论是Internet接入还是运营商专线，价格依然十分昂贵。在面临扩充带宽问题时，10条100M链路的价格远远低于一条100M专线的价格，这让一些用户倾向于采购多条链路，并通过部署链路优化设备来实现链路冗余。•无法容忍的网络延迟在局域网中，网络延迟通常是可控的，基本是毫秒级别，但在广域网中，网络延迟变得不可控，无论是跨运营商线路的访问限制，还是穿越多台网络设备造成的延迟和丢包，对应用造成的影响就更加明显。延迟给用户带来的最直观感受就是应用响应慢，一些对延迟敏感的业务，如视频类业务，一旦出现少量的延迟、丢包就会导致花屏、声音断续，非常影响用户体验。•视频类协议的优化困窘企业中户用随着业务的增长，视频类业务日益增多，无论是视频监控还是视频会议，都对视频类业务的保障提出了更高的要求。视频业务对网络传输的延迟、丢包敏感，但由于视频流本身已经采用了相关的优化算法，传输又是基于UDP协议，传统设备很难对其进行进一步的优化，只能通过传统QOS来实现带宽保障，优先级调整等功能，在实际部署中，效果十分有限。•传统路由器的部署、运维困难传统路由器的部署方式在企业分支结构中占有主导地位，但在双链路场景中，路由器由于是基于数据包的转发，一旦存在双链路，就容易出现一个业务流分别从多条链路发送到对端的情况，导致业务路径不一致引发问题，因此实际部署双链路场景中，只能采取主备模式，一条链路能承载业务，而另一条链路空闲，造成资源浪费；另外对链路质量的探测、切换过于简单，只能实现简单的通断探测，无法针对链路的延迟、抖动、丢包的情况实现准确的链路切换，对缺乏技术能力的分支机构，当业务故障时，对路由的排查要耗费很多时间，运维效率极低。•网络设备功能单一，业务扩展性差几十年来，广域网（WAN）的发展都是在硬件方面不断提升网络的速率和容量，网络设备仍然大量使用单一功能单一硬件，功能扩展需要增加新的硬件设备，扩展性差，部署周期长。•无法适应云业务的发展企业的IT基础设施和软件的投资已经开始向云迁移，云资源动态迁移、灵活扩展，对网络提出新的诉求：网络功能软件化，网络随着业务调整自动调整。传统的WAN架构以硬件设备为中心，已经无法适应云业务的发展。3.信达网安SD-WAN技术优势企业对于商用网络环境的需求是多方面综合性的，面向分支节点，数据中心节点，云节点之间多WAN链路互联而设计，通过隧道捆绑，带宽叠加，数据冗余，丢包/延迟/抖动实时监测，多种选路算法及优先级设置等实现业务数据跨广域网传输的可靠性及高效率，同时支持集中管控平台实现分支设备零配置快速上线。3.1.提供多种硬件规格提供MIPS入门级、ARM中端、X86高端的多种系统硬件平台形态，以使不同客户根据自身网络规模来寻求性价比最高的SD-WAN产品，为企业节约成本。3.2.安全合规管理平台集中管理构建网点间、网点与数据中心、企业总部与分支的互联互通，从网点设备接入认证、用户接入认证、设备防攻击、用户访问网络权限控制、传输隧道通过使用AES（128位和256位）加密传输保证数据的安全、管理平台自身安全防护到管理平台的权限管理打造立体防护网。3.3.集中管控，快速部署运维人员通过部署在数据中心的集中管理平台管理各分支分布和接入情况，支持多种网络拓扑类型：点到点、网络拓扑、星型拓扑和自定义类型。满足企业站点间互联，数据中心互联，多云互联的应用场景。支持设备端零配置部署，平台配置设备端地址，设备端通过邮件或零配置URL下载配置，方便灵活，快速接入。平台端直接可定义网点端上网方式：可通过本地上互联网，也可以通过指定接入点实现上网，方便总部对分支机构上网权限的控制。支持设备、网络状态的图形可视化呈现，网络故障实时呈现，一目了然。3.4.流量实时监控管理平台具有流量实时监控模块，在用户界面，客户可以看到：（1）接入点的实时状态、网络质量和上下行的实时速率以及流量趋势；（2）通道的实时状态、网络质量和上下行的实时速率以及流量趋势；（3）应用的实时状态、网络质量（延迟/抖动/丢包率）和上下行的实时速率以及统计图；（4）流量统计：自定义筛选时间范围内的接入点流量排名统计，通道流量排名统计以及应用流量排名统计。3.5.云网融合，安全协同信达网安SD-WAN将整合LAN网络、WAN网络、数据中心网络、应用服务器、私有云、公有云等的IT基础设置，不断增强网络+云+应用的整体协同，实现面向业务的端到端的网络在线开通，网络随业务调整自动调整。最终云、网络及应用变成有机的一体。3.6.支持隧道内IP映射用户本地网络已经部署，且网段已经规划好了，客户不想变更网络网段，针对这种情况，隧道NAT将本地网段映射到SD-WAN网段，做IP地址的一对一映射，这样达到本地网点用户无需更改自身分配好的网段，仍然能够与总部或其他网点间实现网络互联互通。避免组网时对网络重新规划部署需要大量更改内网用户和服务器IP的而带来不必要的麻烦。3.7.支持SD-WAN通道作为逻辑接口每两个SD-WAN网点之间的通道，都作为一个逻辑接口存在，可以被策略引用个，支持被NAT引用，支持被安全策略引用，支持被流控策略引用。3.8.基于