《304 王开创-云网融合场景下华智达ANP SD-WAN的技术与实践(18页).pdf》由会员分享,可在线阅读,更多相关《304 王开创-云网融合场景下华智达ANP SD-WAN的技术与实践(18页).pdf(18页珍藏版)》请在三个皮匠报告上搜索。
1、云网融合场景下华智达ANP SD-WAN 的技术与实践华智达 ANP SD-WAN产品&技术内涵服务发现节点认证节点自举智能优化和故障自愈业务自动化软件自动升级智能化&自动化连接安全优化智能化SD-WAN虚拟专有网络多链路自动切换加密传输零信任防护安全网络边缘SASE基于应用的质量优化基于应用的链路选择零接触上线自动化编排智能分析故障自愈Network As a Service技术层面商业模式层面Network Security As a Service业内新的Marketing术语:SASE云化企业网络设计理念,构建多租户、可运营服务化的WAN网络,一套架构支持多种场景分支-总部互联企业一跳
2、入云和混合多云互联员工-企业,远程办公多企业合作伙伴互联一套架构支持私有化部署和运营组网,有骨干网、无骨干网两种组网方案均可支持,支持分层组网支持Hub-Spoke、full-Mesh组网,VXLAN Over IPSec隧道连接,全面支持多租户、NAT穿越汇聚层可以采用硬件也可以采用云端vPOP、vCPE虚拟化方式部署客户节点提供不同形态,不同性能规格的硬件CPE软件VPN客户端产品以支持PC及移动端接入云化企业网络愿景华智达 ANP SD-WAN整体解决方案多租户网络控制及运营系统ANPSD-WAN控制器ANPC/ANPM3G/4G/5GInternetMPLSASG2000vPOP点AS
3、G2000vPOP点ASG2000vPOP点SD-WAN骨干网ANP SD-WAN汇聚层分支办公网分支办公网移动办公用户VPN客户端安全接入SD-WAN管控平台SD-WAN骨干网SD-WAN企业汇聚SD-WAN接入层ASG2000IDC/总部SD-WAN安全网关公有云/私有云ASG2000vSDN/SD-WAN通过提供全局的业务模型和全局视图简化网络的业务配置,实现充分的自动化网络虚拟化模型应用识别策略模型安全组模型资产模型节点安全业务策略模型物理资产模型和云网络模型同源,支持海量多租户基于组的安全策略,单点配置下发,简化安全策略管控识别-标记-策略执行三步走,支持多识别引擎为了支持可运营特性
4、,借鉴移动网络设计,将身份标识和物理设备分离010203华智达 ANP SD-WAN:基于全局视图的模型驱动01云网融合的前提-海量多租户海量多租户可运营架构租户1POP1租户2管理控制层租户NVRF1VRF2VRF3.VRF.VRFVRFVRFVRFVRFVRFVRFVRFVRFPOP.POPnPOP汇聚层VRF1VRF1VRF2VRF3VRF1VRF3接入层 管理控制层支持4K以上的租户管理 支持按租户、站点、设备的分权分域管理 支持单租户多VRF、多网络平面 POP资源池化,1KPOP设备,多租户共享。每个租户可以分配多个POP设备,每个POP可以服务多个租户 CPE、PC客户端上线认证
5、通过控制器,由控制器动态指派,类似于移动网络MME/AMF指派xGW/UPF POP间通过VXLAN按需互联,也可以BGP/OSPF对接骨干网 每个CPE可以支持多VRF,支持生产网、监控网、办公网互相隔离 PC客户端和SD-WAN共享POP点,支持多租户架构SD-WAN网络虚拟化模型设备在发货前必须导入系统,形成设备资产库,包括CPE和服务节点(服务节点不需发货),租户开通后才会将设备归属于某个租户的某个站点。服务节点不属于任何一个租户系统维护一个地理位置信息库,标记城市/区的GPS位置信息,租户的站点将归属于一个城市/区地理位置信息,以方便进行距离计算系统维护一个IP地址段-地理位置/IS
6、P的对照关系表,以方便计算CPE到服务节点,服务节点-服务节点之间的网络拓扑距离系统持续测量服务节点之间的路径质量,用于路径优化计算。每个租户分配唯一的VRF,地址空间隔离每个租户可以自定义安全策略、应用识别策略,在全部设备上自动生效每个租户下挂多个站点,每个普通站点1个或2个设备,2个设备是冗余的情况;POP站点多设备站点租户客户设备接口静态路由隧道VRFVNET1.N1.N111.N1.N0.N接口地址10.N111.N租户逻辑模型全局数据模型设备资产库全局应用识别策略地理位置信息系统参数配置10.110.NIP地址段-地位位置/ISP归属路径质量VNET绑定到设备,即L3到CPE;不绑定
7、任何设备,即大二层L3虚接口地址10.N多个客户的VPC共用一个vCPE设备,采用VXLAN或VXLAN Over IPSec互联,支持多租户需要每个vCPE占用一个公网IP,或者做DNAT,占用UDP 4789端口进行映射;每个vCPE根据流量规划占用2vCPU8个vCPU不等vPC5vCPEvPC6vPC1vPC2vCPEvPC3vCPEvPC4DC1DC3DC2VXLAN隧道或VXLAN Over IPSec隧道ANP控制器vCPE以管理员身份创建,挂接在共享网络上,VPC通过共享网络连接到vCPE上多云互联方案二 多VPC共享vCPE方案InternetLTE/5G分支办公室华智达运营
8、平台远程桌面客户端vPOP总部核心业务系统ANP控制器VXLAN Over IPSecIPSec VPNSD-WAN CPESD-WAN CPE终端安全 VPN客户端软件采用证书+用户名密码双重认证,确保是授权客户端、授权用户才可以接入网络 客户端和设备终端绑定,只有授权设备才可登录企业内网传输安全 网络端到端IPSec加密,保证用户数据私密性。动态密钥协商、客户端漫游接入,避免单点故障和数据窃听访问安全 自定义应用规则、客户端子网注入,本地安全分流 服务端共享POP,多租户隔离 基于用户名的ACL防护策略,基于身份认证受限访问企业网络多租户共享POP,统一融合架构远程办公02云网融合的基础安
9、全访问控制安全组安全规则设备0.N0.N租户110.N1IP地址段0.N用户帐号类型:防护、授权防护:入向黑底,出向许可;入向白名单授权:出向黑底,入向许可;出向白名单0.N安全防护防火墙接入授权SDP安全组策略模型 网络级视图安全组:安全组分为安全组、安全组成员、安全组规则三个管理子模块先根据接口、报文地址等信息匹配安全组成员配置,确定其所属安全组;再依次匹配安全组内的黑白名单规则黑名单是白底,白名单是黑底策略组:策略组内规则是普通的基于五元组的规则,动作包括丢弃、QoS、重定向等策略组可以多次绑定到不同的端口、VRF上,达到同一份规则可以重复使用的目的时间段策略可以配置策略组生效的时间,实
10、现规则按时间自动加载、删除安全组安全组管理安全组成员管理安全组规则管理黑名单白名单转发平面策略组策略组管理策略组绑定策略组规则管理基于五元组的ACL转发平面时间段策略关键模块设计-安全模块应用识别规则10.N用户自定义规则应用分类用户自定义应用分类策略全局应用识别规则全局应用分类租户级策略允许/禁止访问QoS优先级,DSCP Remark带宽限速SLA策略选路强制策略路由应用预定义策略10.N应用SLA要求每个应用类别的时延、丢包、抖动要求链路实时质量测量结果时延、丢包、抖动符合应用SLA要求的链路策略模型智能选路应用应用识别策略模型和智能选路报文 复用当前的应用识别策略框架,识别的结果是标记
11、应用的类别、大类,供下一级流水使用 区别在于识别规则的生成,TADK的规则由离线对加密流量的机器学习识别而形成,应抓取大量的加密流量,经由TADK训练引擎抽取特征,并标记为ANP内置的应用类型。按需要在CPE内置在线训练引擎转发流水运行时OVS流水策略执行引擎预定义特征报文特征库自定义特征库ANP控制器在线训练引擎管理面配置和训练Egress处理入向报文Intel TADK未知报文采样允许/禁止访问QoS优先级,DSCP Remark带宽限速SLA策略选路强制策略路由报文标记分类支持加密报文识别和标记CPEIntel TADKTADK RuntimeHyperscan库离线训练基于TADK的加
12、密流程识别03云网融合的未来云能力集成 ANP SASE架构CPE、POP点采用不同的分工,CPE始终具备基本的应用识别、基础防火墙和QoS优化能力,其它随需而定ANPOS内置VXLAN/IPSecVPN、应用识别、基础防火墙和QoS能力,将IPS、SWG、NGFW、Cache、CASB作为微服务加载和编排ANPM具备业务编排能力,包括管理每个vPOP的能力,按照vPOP处理能力和负载调度CPE连接到不同的vPOP上导入vPOP节点时,定义每个POP的VPN、IPS、SWG、FW等能力;对于每个分支CPE导入,签约业务,根据每个CPE能力和现有vPOP的负载,进行负载均衡调度ANP控制器转发引擎内置应用识别&基础防火墙&QoSCacheIPSCPE转发引擎内置应用识别&基础防火墙&QoSNGFWSDPvPOPIPSNGFW安全资源池SWGPOP节点云SASE编排器CASB安全控制器DLP 集中安全服务模型下的典型业务流量路径CPEInternetPOPSWGPOP节点SDPNGFWPOP节点总部用户分支远程客户分支集中上网远程办公访问内网CPESaaS业务POPCASBPOP节点用户分支SaaS业务访问DLPCacheNGFWTHANKS