云网络时代传统企业网亟待变革
传统的企业网络的连接,特别是远端的分支节点的WAN网络连接发展缓慢。与此同时,企业客户对于带宽的需求却在发生巨大的改变。首先是云计算交付模型从普通消费者向政企市场转移,越来越多的企业开始选择将自己的业务部署在云端,通过部署在云端的应用,企业不仅可以降低其业务的部署成本,也可以增加业务的灵活性,这些应用包括微软的Office365、Salesforce等。这些应用不同于传统的企业应用,需要更大的带宽。企业用户也希望全面直观地了解是哪些应用在消耗WAN链路的带宽资源,并加以合理的管控。
传统政企专线目前仍存在成本高、业务部署缺乏灵活性等问题,逐渐成为企业业务发展的瓶颈。
● 专线部署成本高,无法适应业务发展
传统IP专线成本较高,目前分支机构业务需求多样化,全部由专线承载价格昂贵,且专业部署的节点较少,无法适应分支机构业务快速发展的要求。
● 组网拓扑不易修改,难以适应IT类应用的需求
传统的政企组网需求中,基本都是基于分支-总部的流量模型,但是在新的业务需求环境中,各类应用的流量模型发生了变化,比如分支机构的员工可以作为起始节点发起视频会议业务。这些需求要求分支、总部之间的网络连接能够适应变化,增加灵活性。
● 分支出口设备种类繁多,采购维护成本高
传统政企分支的出口需要部署多台专业设备满足特定业务要求,比如Firewall、WAN加速等。专业的硬件设备需要额外的购买成本以及专业的操作人员。
● 关键业务的安全无法得到保证
关键业务的安全性一直以来是政企客户最为关注的问题。受限于时间或者资金问题,政企客户很多时候安全方案部署不及时或者缺乏安全方案,容易导致企业信息丢失或被窃取,造成巨大损失。
为了适应新型应用的发展,传统企业网亟待变革。
Elastic SD-WAN方案架构
中兴通讯深度融合SDN技术和NFV技术,借助ICT产品架构和强大的综合管理平台,提出Elastic SD-WAN解决方案。Elastic SD-WAN是主要面向大中型企业的WAN网络解决方案,企业业务主要部署在本地节点,只有管理系统部署在云上,因此对网络的控制更加直观和直接。
Elastic SD-WAN方案包括服务Portal层、资源编排管理层、业务管理控制层和基础设施层4个部分(见图1)。服务Portal层主要是面向终端租户业务自选购和运营商管理员网络维护;资源编排管理层主要负责网络资源、云资源的编排管理以及uCPE设备的认证和管理;业务管理控制层主要负责网络自动化开通和业务自动化开通;基础设施层由uCPE、服务器、存储池等设备组成。
Elastic SD-WAN方案具有以下特点:
● 连接随选。用户依据业务需求自定义组网拓扑,支持site-site、site-DC、site-Internet多种连接方案,WAN链路可以依据业务需求灵活选择专线或者互联网链路。
● 业务随选。用户依据自身业务需求,灵活采购VNF,并且按需选择部署的位置。
● 统一编排,一键式自动化部署,缩减业务开通时间,加速网络/业务上线。
Elastic SD-WAN方案特性
WAN链路和组网按需选择
Elastic SD-WAN方案的uCPE设备支持多种类型WAN链路,同时依据业务需求和网络状况,灵活地将不同业务部署在不同的WAN链路上,保证各项业务的最佳体验。比如针对企业分支的需求,关键的SAP、邮件类业务可以选择专线通道,但是分支机构之间的视频流量可以选择加密的互联网通道,而分支机构的互联网流量,无需通过专线承载,直接进入Internet。
此外,Elastic SD-WAN方案还支持分支机构之间的灵活组网,可以按照业务需求灵活部署full-mesh或部分mesh的组网方式,提高云网一体化的协同能力。比如分支机构的视频会议业务中,mesh组网方式可以有效降低分支-总部之间的流量带宽。
通过软件按需增加新的功能特性
新的功能特性不再需要通过专有的硬件实现,而是通过运行在COTS硬件上的软件实现,简化了部署和维护的成本,并且可以通过灵活的商业模式实现“pay as you grow”,避免了前期高昂的投资成本。COTS硬件也可以灵活选择部署的位置,既可以在中心节点也可以部署在分支机构的出口设备上,这样VNF也可以依据应用场景和需求灵活部署。
Elastic SD-WAN解决方案中,业务的统一编排层接收到用户的个性化需求后,只需要简单的几步选择,就可以在任意位置实现业务功能,而且可以通过统一管理形成业务链,满足个性化需求。
All in one box,“Zero Touch”部署,可视化管理界面,简化维护
在Elastic SD-WAN方案中,uCPE设备采用“路由+x86”设备形态,在保证有效的转发性能的同时,通过x86平台可以实现VNF增值功能,比如Firewall、WAN加速,简化了分支机构出口的设备部署,同时也降低了运维的复杂度。
部署在企业分支的uCPE数量大,且分布广,人工安装耗费大量的时间和资金。Elastic SD-WAN方案支持“Zero Touch”部署,用户选购uCPE设备后,只需要简单的上电和接通网络,通过统一的地址规划和上报机制,uCPE即可纳入集中管理节点管理。当然在业务接通之前,还需要对uCPE进行认证。完成认证后的uCPE,可以通过标准的北向接口与管理节点之间建立通道,完成对uCPE设备配置的下发和管理。
Elastic SD-WAN解决方案支持图形化的管理和维护,管理员可实时查看网络状况和VNF的应用情况,通过图形化的界面,客户不仅可以动态调整带宽,还可以针对VNF进行弹性扩缩容,满足性能要求。
接入认证+网络安全+TPM加密,全方位保证业务安全性
为了保证网络的安全性,Elastic SD-WAN方案不仅支持uCPE设备自动上线过程中的Call Home证书加密认证,在uCPE和集中管理节点之间建立连接通道后,uCPE主动发起向集中管理节点的认证请求,通过加密证书的认证方式确认uCPE和集中控制节点之间是否匹配,从而确保集中管理节点和uCPE设备的一致性。在数据转发通道上,uCPE一方面支持通过IPsec等技术保障WAN链路的安全性,另一方面通过应用感知的路由技术,支持基于应用来定制安全策略,全方位保证政企业务接入的安全性。
uCPE集成x86板卡,内嵌TPM2.0的加密技术保证管理面和数据面的加密和安全。可信计算平台模块(TPM)能够基于硬件实现操作系统的完整性保护和文档目录加密,确保网络设备和用户数据的安全。
随着Elastic SD-WAN方案的推出,中兴通讯拥有了完善的政企WAN网络解决方案,针对不同的应用场景可以灵活选择,确保用户在WAN网络上投资的利益最大化。