企业信息化建设总是一环套一环,不可能说现在分支互联有SD-WAN需求,未来绝不会有其它需求。比如我看到过的案例中,SaaS加速经常和分支互联加速前后脚出现,总不能为此搞两套方案吧?从保护IT投资的角度,未来SD-WAN方案势必会走向全场景化。
要说体验足够好,并不完全取决于技术实现的广度,更取决于技术实现的深度。我只举一个例子,更贴近业务模型的拨测选路。
现在,我们假设企业有视频会议和数据备份两个关键业务,他们的流量模型以及对线路的品质要求截然不同。视频会议对带宽要求相对较低,但对延迟抖动丢包十分敏感;数据备份通常正相反,需要尽量大的带宽,但对延迟抖动丢包没那么敏感,容忍度也高一些。
这种情况下,最合理的选路逻辑是在每条线路上都针对两种流量模型发不同的探测包,再分别根据不一样的容忍度阈值进行动态调度,才能更好地保障业务品质。遗憾的是,对于市面上大多数分支互联SD-WAN解决方案来说,都只做到在每条线路发固定参数的ICMP探测包,就算参数可以人为设定,显然也与某个关键业务的品质要求无法匹配,品质保障无从谈起。
而Fortinet基于FortiGate防火墙实现的拨测选路,允许用户针对不同业务模型设定不同的探测参数模版,再绑定到需要参与选路的线路上。不同的业务,只要调用对应模版返回的数据,即可达到更精准、更有针对性的选路效果。
.png)
对于市面上大多数SD-WAN解决方案来说,它们的交付都是不可解耦的。想要部署SD-WAN?没问题,请使用我们的全家桶。什么?你只需要一部分设备级SD-WAN功能?对不起,无法交付。在这种情况下,企业部署SD-WAN的门槛自然变得很高,尤其对初创企业或成长型企业来说,基本是不可能的事。
一句话,全家桶虽好,一口吃不下啊。
Fortinet的解决方案则不然,它延续了之前其它方案的松耦合设计,不设置任何强捆绑。除了部署运维维度的管理和统一编排由独立产品实现,Fortinet把其它一切SD-WAN技术特性都装到了FortiGate里,并且不再收取额外的授权费用。这意味着简单的分支互联加速、上云加速和SaaS加速,都仅靠一台设备即可实现,建设成本和使用成本极低。
这是绝大多数SD-WAN解决方案做不到的。
往下够低,还能往上够高。如果企业规模扩大了,需要建立更多分支,可以继续部署更多的FortiGate,并且考虑搭配使用Fortinet的交换机和AP搭建管理能力高、运维成本低的SD-Branch办公网方案;分支多到必须上控制器了,那就再加个Orchestrator编排模块;如果业务上云,不管私有云混合云还是公有云,都可以直接部署虚拟化版本的FortiGate,主流虚拟化环境都有原生支持……总之,不捆绑,不强制,穷能独善其身,达能兼济天下.
实践是检验真理的唯一标准
SD-WAN产品技术市场都很新,很多企业客户还没有足够的了解及经验。在这放一个前一阵刚竣工的具体案例,我全程参与的,希望能给大家提供有价值的参考。
某总部位于北京的知名互联网企业,在全国一线城市设有数个分支机构。他们的关键业务主要包括部署在某公有云海外节点的自研OA系统、部署在总部及多云环境下的开发环境、部署在多云下的生产环境和Microsoft 365海外版、ZOOM等办公协作平台。
之前,他们采用MPLS VPN的方式将分支与总部互联,再通过各分支机构的互联网接入线路起IPSEC VPN组网做为备份;所有流向研发环境和生产环境的流量都送回总部,再从总部申请的上云专线访问。随着业务流量越来越大,MPLS VPN带宽经常被跑满,并且由于采购成本较高,扩容的预算申请又迟迟得不到批复。另一方面,总部是有应用加速专线的,访问Microsoft 365和ZOOM品质没问题;分支没有这个待遇,投诉自然是居高不下。
此外,他们之前使用的传统网络和VPN组网方案也在不断受到挑战,比如内审和研发部门也一直在给IT部门施加压力,要求在网络层做更多、更严格的访问控制,确保访问跳板机的人员权限最小化。再比如远程办公使用的OpenVPN方案不够稳定,经常被员工投诉等等。
扛着这么大的压力,IT部门在今年初却接到行政部门的明确要求:降低IT运营成本。火山爆发。
曲折的博弈过程就不提了,看看他们最终选择Fortinet SD-WAN分支互联方案带来的效果吧。
首先,IT部门在选型测试中发现,Fortinet SD-WAN分支互联方案基于普通企业专线/宽带的组网品质,就已经能够满足关键业务的体验要求。所以他们在部署阶段,将分支机构的互联网接入线路调整到两条,在充分满足带宽需求的情况下提升了可靠性。如果试运行阶段保持稳定,MPLS VPN到期后将不再续约,省下的都是真金白银。
他们并没有上Orchestrator(也就是Fortinet的控制器),只部署了FortiManager集中管理平台。毕竟现阶段分支数量不多,又没有需要调度的复杂流量,设备级SD-WAN就够用。另外就算现在上了控制器,能有点体验加成,但与投入也不成正比。需要的时候再说吧。
基于Fortinet SD-WAN方案的SaaS加速能力,IT部门还成功实现了将分支机构Microsoft 365和ZOOM的流量送回总部。这些流量从总部统一走应用加速FortiGate本身就是优秀的下一代防火墙,其VPN性能及兼容性也久经考验,使得IT部门也借此机会解决了其它两个问题。他们将先前基于VLAN/IP段的访问控制策略升级为基于部门加应用的访问控制策略,满足了内审和研发部门的诉求,并且让运维管理变得更简单。而远程办公方案从OpenVPN切换到FortiGate的SSL VPN后,针对断线或稳定性的投诉频率从一两天下降到一两个月。
不过在这个过程中,他们也遇到一些挑战。最严重的一个问题就是,做为OA的一个大模块,他们的认证系统也是自己开发的,数据传输采用了私有协议,很难与通用商业方案对接。这也是他们之前办公网络始终没有打通认证平台的一个重要原因,并且在选型测试中也浪费了不少时间。而Fortinet的FortiAuthenticator统一认证平台具有足够多的开放接口及二次开发能力,让他们成功和自研认证系统对接,第一次将网络认证和平台认证融为一体,实现了单点登录。
比起SD-WAN、访问控制之类的地下工作,提升全体员工的上网体验才真正让IT部门站在了镁光灯下。
到此为止,SD-WAN方案在分支互联场景中已经体现了足够多的价值。但在IT部门眼中,他们似乎看到了更光明的未来。
优秀的下一代防火墙,其VPN性能及兼容性也久经考验,使得IT部门也借此机会解决了其它两个问题。他们将先前基于VLAN/IP段的访问控制策略升级为基于部门加应用的访问控制策略,满足了内审和研发部门的诉求,并且让运维管理变得更简单。而远程办公方案从OpenVPN切换到FortiGate的SSL VPN后,针对断线或稳定性的投诉频率从一两天下降到一两个月。
不过在这个过程中,他们也遇到一些挑战。最严重的一个问题就是,做为OA的一个大模块,他们的认证系统也是自己开发的,数据传输采用了私有协议,很难与通用商业方案对接。这也是他们之前办公网络始终没有打通认证平台的一个重要原因,并且在选型测试中也浪费了不少时间。而Fortinet的FortiAuthenticator统一认证平台具有足够多的开放接口及二次开发能力,让他们成功和自研认证系统对接,第一次将网络认证和平台认证融为一体,实现了单点登录。
比起SD-WAN、访问控制之类的地下工作,提升全体员工的上网体验才真正让IT部门站在了镁光灯下。
到此为止,Fortinet的SD-WAN方案在分支互联场景中已经体现了足够多的价值。但在IT部门眼中,他们似乎看到了更光明的未来。
