先來(lái)一份檔案背景:項目合同額3500W+;企業(yè)類(lèi)別:某大型國有企業(yè);網(wǎng)絡(luò )背景:該企業(yè)原在全國有北方、華中、華東、西南、西北五個(gè)區域匯聚點(diǎn),全國分支機構按照區域劃分通過(guò)MV或MSTP專(zhuān)線(xiàn)就近接入5個(gè)區域中心,包含異地災備(本次不討論災備),同時(shí)各個(gè)分支結構都有自己的互聯(lián)網(wǎng)出口;客戶(hù)痛點(diǎn)(也是很多企業(yè)的痛點(diǎn)):因為互聯(lián)網(wǎng)出口眾多,暴露面防不勝防,在HW專(zhuān)項行動(dòng)中被攻破出局,同時(shí)各個(gè)分支機構管理人員參差不齊,甚至有的機構出現只有使用無(wú)人管理的情況,帶寬使用成本、硬件設備成本連年攀高,分支機構也由原來(lái)的幾十家發(fā)展到一百多家,總部無(wú)法實(shí)現對分支機構網(wǎng)絡(luò )出口調整也做不到對分支機構出口的統一監管和資源調度,帶寬利用率無(wú)法充分發(fā)揮,無(wú)法做到全國一張網(wǎng),每年各個(gè)分支機構還要產(chǎn)生相應的運維服務(wù)費用,導致成本不斷增加,網(wǎng)絡(luò )安全挑戰越來(lái)越大,業(yè)務(wù)部門(mén)體驗越來(lái)越差。建設需求:在充分利舊的原則下,將目前只有5個(gè)匯聚節點(diǎn)的廣域網(wǎng)升級為在每個(gè)省會(huì )城市都有接入點(diǎn)的MPLS高速帶寬企業(yè)骨干網(wǎng);服務(wù)商選擇在南北各一處區域建設兩個(gè)吞吐量在15-20G的互聯(lián)網(wǎng)出口滿(mǎn)足全國分支機構互聯(lián)網(wǎng)訪(fǎng)問(wèn)需求,各分支單位不再保留互聯(lián)網(wǎng)出口,總部保留互聯(lián)網(wǎng)出口,同時(shí)南北兩區域中心要按照等保2.0三級標準進(jìn)行建設,全國一張網(wǎng),帶寬資源充分利用,可通過(guò)技術(shù)手段優(yōu)先保障業(yè)務(wù)流量,部分業(yè)務(wù)互訪(fǎng)較大的省份之間可以直接發(fā)起互訪(fǎng),原則上北方單位走北方出口,南方單位走南方出口,同時(shí)兩個(gè)出口互為備用避免單點(diǎn)故障。
提供方案:首先當前企業(yè)廣域網(wǎng)傳統架構面臨著(zhù)諸多困境,同時(shí)也是該企業(yè)所面臨的困境:
給客戶(hù)推薦使用SD-WAN解決方案來(lái)實(shí)現該企業(yè)廣域網(wǎng)的整體升級重構,將SD-WAN技術(shù)應用于企業(yè)廣域網(wǎng)場(chǎng)景,用于連接廣闊地理范圍的分支網(wǎng)絡(luò )、數據中心、互聯(lián)網(wǎng)應用及云服務(wù),幫助企業(yè)降低廣域網(wǎng)投入、提高管理運維效率、加固廣域網(wǎng)安全,同時(shí)能夠實(shí)現全國一張網(wǎng),完成網(wǎng)絡(luò )資源調度架構重組,實(shí)現總部監管,降低分支機構運維人員工作量,提升對企業(yè)業(yè)務(wù)的支撐效率。
整體項目建設方案目標:
方案整體設計架構說(shuō)明:
根據客戶(hù)需求及建設目標,本項目總體采用網(wǎng)形組網(wǎng)結構,二個(gè)互聯(lián)網(wǎng)出口數據中心(一級節點(diǎn))加總部作為互聯(lián)網(wǎng)訪(fǎng)問(wèn)匯聚節點(diǎn),各二級節點(diǎn)(本次接入的二、三級單位)訪(fǎng)問(wèn)互聯(lián)網(wǎng)可以通過(guò)二個(gè)數據中心或總部(一級節點(diǎn))做流量中轉,也可以通過(guò)MPLS-VPN廣域網(wǎng)進(jìn)行直接的業(yè)務(wù)互訪(fǎng),從而減輕總部壓力。
一、二級節點(diǎn)間通過(guò)MPLS-VPN骨干網(wǎng)實(shí)現互聯(lián)互通,并采用“Full-Mesh”組網(wǎng)模型。另外,為實(shí)現對廣域專(zhuān)網(wǎng)的統一、智能、靈活的管理與監控,需建設網(wǎng)絡(luò )管控平臺,部署網(wǎng)絡(luò )監控平臺與SD-WAN控制平臺,與各節點(diǎn)進(jìn)行對接,建立管控隧道(EVPN)。
本次項目建設范圍為一級節點(diǎn)三個(gè)(北方節點(diǎn)、南方節點(diǎn)、總部)互聯(lián)網(wǎng)出口、二級節點(diǎn)(60家二級單位、80家三級單位)。后續,可基于本次項目建設模式與經(jīng)驗,實(shí)現廣域網(wǎng)的快速擴展與復制應用到四級五級單位(四、五級單位接入組網(wǎng)模式需要根據具體情況制定)。
項目整體技術(shù)架構邏輯示意圖:
一級節點(diǎn)側(南北方數據中心)架構圖設計:
二級節點(diǎn)(二、三級單位) 側架構設計:
南北區域中心互為保障:
流量收斂:各區域單位所有互聯(lián)網(wǎng)訪(fǎng)問(wèn)流量統一通過(guò)廣域接入網(wǎng)收斂至區域/數據中心,通過(guò)區域/數據中心實(shí)現流量出局,區域/數據中心自身互聯(lián)網(wǎng)流量本地出局;保障機制:當某個(gè)區域中心互聯(lián)網(wǎng)訪(fǎng)問(wèn)出現故障時(shí),本區域內區域單位互聯(lián)網(wǎng)流量將就近從其它區域中心出局
業(yè)務(wù)流量走向示意圖:
SD-WAN帶來(lái)的服務(wù)體驗:
智能選路:
總結:在網(wǎng)絡(luò )安全形勢愈演愈烈的環(huán)境下,面對多分支機構,靈活廣域網(wǎng)組網(wǎng),一站式安全管理網(wǎng)絡(luò )等需求場(chǎng)景,SD-WAN無(wú)疑提供了一套成熟的解決方案。減少互聯(lián)網(wǎng)暴露面不僅是國家的安全導向,同時(shí)也是大型企業(yè)必須要走的路徑,SD-WAN提供了安全可靠的減小互聯(lián)網(wǎng)暴露面的方案,無(wú)論是大型企業(yè)、中小型企業(yè)都可以使用,可以自建SD-WAN組網(wǎng),也可以通過(guò)運營(yíng)(POP)的方式實(shí)現自身SD-WAN網(wǎng)絡(luò )的組網(wǎng)建設。