雨滴科技yudear.com

看软路由神厂Panabit提供专业化 SD-WAN 组网方案,实现分支互联互通

1. 项目概况

1.1 项目背景

XX 自动化有限公司未来会在全国各地建立多个分支单位,各单位之间需要通过 SD-WAN网络进行互联,目前集团总部需要先与 A 分公司通过 SD-WAN 网络实现互联互通,保证集团与分支办公业务数据实时传送。

1.2 项目需求

目前集团中心平台与 A 分公司节点之间暂时还没有使用专线或者 VPN 进行交互。A 分公司节点的某些关键业务,如办公业务资源的访问流量需要回到集团中心,其他的流量则可以通过互联网访问。

根据目前的现状分析,有如下主要需求:

● 集团中心平台与 A 分公司节点搭建 SD-WAN 专属广域网,通过设备与设备之间建立专属的 iwan 隧道,实现企业多分支互联,保障办公业务的传输,更好的支撑业务与服务。

● 实现内外网访问管控,内网一部分用户可以访问外网,其他用户只能访问内部网络。

● 实现对集团中心和 A 分公司节点所有用户的上网行为管理。

● 实现对集团中心和 A 分公司点关键性应用带宽保障(办公业务、视频会议等)以及非关键性应用的管控和阻断。

● 实现对集团中心和 A 分公司节点所有应用的 1:1 全流量采集、网络全协议识别和还原、网络行为知识库等功能,通过对网络流量日志、事件日志、账号日志的全面记录,实现对网络行为的检测、分析与发现能力,满足公安部、监管部门和网络安全维护部门对网络监管的要求。

● 实现集团中心和 A 分公司节点所有应用的网络性能管理(NPM),NPM 应用质量检测功能,进行实时和按需的质量探测,通过吞吐、抖动、时延等多维度监控各类应用的质量,做到变被动响应为主动监测,优化运维效率。

通过了解用户的现网情况及根据客户需求,本着为客户服务的宗旨及解决客户网络痛点问题,计划通过 Panabit 的 SD-WAN 解决方案,为客户提供更安全、更高效的网络,同时简化运维管理,提升客户效率的方案。

2. 项目设计方案

2.1 整体场景方案

针对客户的需求,目前本项目采用 Panabit 多应用系统(含 SD-WAN 技术方案)的解决方案来实现中心与分支互联互通,同时实现网络优化并提升网络可用性和稳定性,具体部署需要在集团中心网络出口部署一台 Panabit POP 设备,同时在 A 分公司分支的网络出口分别部署Panabit 客户端设备,通过 SD-WAN 解决方案,A 分公司分支所有用户访问集团中心资源的流量均通过 Panabit 的 iWAN 快速组网技术实现,同时其他流量则通过互联网访问。此外,在集团中心部署一台 Panalog 日志审计大数据系统,收集并存储中心及 A 分公司分支的日志数据,A 分公司分支的日志数据也可通过 SD-WAN 传输到集团中心的日志服务器。便于运维人员统一管理,并且整体提升网络稳定性及可控性。

2.2 整体网络架构

网络拓扑图:

总部及分部设备详细部署流程介绍:

1) 在集团中心网络出口部署一台 Panabit 智能网关,互联网 100M 专线接入到 Panabit智能网关上,Panabit 智能网关下联核心交换机,Panabit 智能网关可以实现与 A 分公司分支 SD-WAN 互联、NAT 转发、路由转发、防火墙 ACL 访问控制、上网行为管理、流量控制、日志审计、流量可视化、业务质量分析与故障定位。

2) 在 A 分公司分支网络出口同样部署一台 Panabit 智能网关,分支出口可以使用专线也可以使用 ADSL 家宽线路接入到 Panabit 智能网关上,家宽线路通过 Panabit 智能网关同样也可实现 SD-WAN 组网,Panabit 智能网关下联核心交换机,Panabit 智能网关可以实现 SD-WAN 互联、NAT 转发、路由转发、防火墙 ACL 访问控制、上网行为管理、流量控制、日志审计、流量可视化、业务质量分析与故障定位。

3) 在核心交换机旁以旁路镜像模式部署一台 Panabit 日志设备,对内部所有流量进行分析、审计、存储,对后续内网用户违规上网进行 IP 精确溯源,满足网络安全法相关要求。

3. 本次方案优势及价值

3.1 SD-WAN 高可用

通过 Panabit 的 SD-WAN 快速组网技术,将总部与各分支接入点通过私有 VPN 技术连接,并且通过 Panabit 的七层应用识别功能,将内网业务及需要重点优化的业务疏导到 SD-WAN专网内,同时将分支的日志数据全部疏导到总部的 Panalog 日志审计大数据系统进行审计及优化。此外,其他流量仍然走分支当地互联网出口。

Panabit 具有自主研发的广域网加速隧道协议 iWAN。原有的一些隧道协议并非针对SD-WAN 场景设计,很多特性无法适配广域网上多重 NAT 场景,在稳定性和重连能力上均有很大缺失。iWAN 对比传统 VPN 有如下优势:

3.2 流量可视化

通过 Panabit 网关,可以实现上网应用可视化管理。通过对不同应用的流量监控,能了解各种应用在网络流量中带宽占用情况,同时能监控应用是否正常运行,监视服务器的运行状态并提供相应的统计报表及日志。监控统计提供了各种丰富的应用监控与分析功能,包括基于所有优先级的应用流量报表、所有基于配置策略的应用流量报表以及按照源 IP 地址、目的 IP 地址、源端口、目的端口、协议等生成各种格式的应用流量报表。可根据带宽大小、带宽百分比、总字节数、总包数、连接数等生成报表。以直观的分析图形和报表展示网络运行的流量分布情况,业务应用、网络状态一目了然。

3.3 关键应用带宽保障

在传统的 IP 网络中,所有的报文都被无区别的等同对待。每个路由器都对所有报文采取先进先出( FIFO, First In First Out)的策略进行处理,它尽最大的努力( Best-Effort)将报文送到目的地,但对报文传送的可靠性、传输延迟等不做任何保证。在一个网络中, 不同的人员对带宽的使用是不均衡的,有人使用得多,那么留给别人的带宽就少,如果某些人员使用 BT、迅雷下载文件或者使用 PPStream、PPLive 在线收看网络电视,那么这些人员就会占用大量带宽,并将持续占用甚至耗尽出口带宽资源,造成网络速度和性能明显下降, 使其他用户的正常网络应用比如 Web 访问、收发 E-mail、微信聊天、股票查询、视频会议出现延迟、停顿、掉线等现象。与类似产品单纯通过对 P2P 及其他特定流量进行带宽控制来变相“ 保障”正常应用的方式不同,Panabit 同时提供基于应用、域名或基于 IP 的“ 带宽控制”、“ 带宽预留”、“ 带宽保证” 三种机制,为用户灵活调控网络带宽资源提供更方便的功能。

● 带宽限制

根据策略对特定 IP/IP 组、应用协议、或是域名进行带宽限制,避免这些 IP/IP 组、应用协议或是域名过度使用带宽而影响他人和整个网络。

● 带宽预留

预留出一定的带宽给特定的 IP/IP 组、应用协议或是域名使用。比如:假设网络出口的总带宽为 100M,如果为某些 IP、 IP 网段、应用协议预留了 10M 带宽,那么其他所有 IP、应用协议可使用的总带宽即为 90M。预留出的 10M 带宽始终属于规定的 IP、 IP 网段、应用协议所有,其他任何 IP、应用协议无论如何都不能占用。

● 带宽保证

带宽保证与带宽预留类似。 所不同的是, 带宽保证在其保证的带宽不能满足要求的时候,会从剩余的总带宽里借用所需带宽。以上面“带宽预留”中提到的例子为例,如果做一条带宽保证策略,分配 10M 带宽给某 IP 组,那么当某个时刻该 IP 组所需要的带宽大于 10M,比如 15M,那么 Panabit 就会从其余的 90M 带宽中借出 5M 给该 IP 组以满足其使用。

3.4 NPM 协助精确故障定位

众所周知,网络中端到端模型涉及的环节有很多,不过大致可以分为几段:内网侧,出口网关侧,运营商 CPE,运营商传输网,业务服务器侧等。

当出现问题之后,网络管理者必须要很快的响应故障,发现问题,解决问题。才能避免用户因体验变差而投诉。Panabit 提供了 NPM 模块帮助网络管理者能够快速定位故障所在,如下图:

NPM 通过提供客户时延、服务时延及应用时延,网络管理者可通过这些信息,快速定位故障是在总部、传输侧或是分支侧。

此外,Panabit 的日志分析可以将网络中发生过的每一件事,每一个会话都原原本本的记录下来。

具备了这个能力之后,就可以将出现上网慢那个时刻的所有会话还原出来。借助多维的分析手段,可以很快定位出上网慢的原因。

3.5 上网行为审计

《网络安全法 151 号令》第二十八条规定: 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。同时,《网络安全法》第二十一条规定采取监测、记录网络运行状态、网络安全事件的技术措施,并留存网络日志不少于六个月。

运营网络应该具备能够提供网络安全事件管理和分析系统评估报告系统,及时发现网络安全事件,配合公安机关取证,协助管理员掌握网络运行情况对安全事件及时处理。Panabit 提供了一套与之配套的专业日志审计系统,性能出众,上线简单,无需额外投入相关分流和数据镜像的功能交换机费用,降低成本。能够协助公安部门查阅 NAT 五元组信息,和 QQ/微博等帐号的登录信息以及 URL 访问等记录信息,落实了只执行 IP 落地无需采集内容的职责。

Panalog 日志分析系统可分析通过此设备入网的所有用户的 QQ、微信 ID、POP 邮箱、新浪微博、淘宝账号、手机 IMEI 信息等,若有用户在上网期间发布违法信息,可快速追踪定位到具体用户,做到精准的 IP 溯源及定位。

3.6 集中管理平台,便捷运维

为了方便管理,Panabit 开发了云平台,IT 运维人员可以通过云平台同时管控多个分支的网络环境,从而大大提高管理效率,方便网络管理人员使用于监管。同时 panabit 的网关设备可以采集到终端用户行为,通过 panalog 和云平台实现各分支设备的统一管理,下图云平台管理界面示意图。通过云平台,可以访问在线的所有 Panabit 设备,大大节省运维人员精力,并且高效管理网络。

如下面两张图所示,为 Panabit 态势感知平台界面及网络性能感知界面,通过这两台大屏可将网络内部情况清晰展现,方便运维人员管理及维护。

发表回复