一、多分支组网建设背景
多分支一般是指行政上由总部和分支单位组成,总部和各分支处在地域不同的区域;由于业务访问需要,组网要求“总部-分支”互联打通。多分支网络组网方案主要针对的是总分企业、金融网点、连锁酒店、连锁门店、商超地产、仓储物流、医卫健康等跨地域统一组网的场景。
后疫情时代,随着经济回暖、新零售的发展,业务规模、连锁分支也在迅速扩张。同时,企业数字化转型和业务上云,也使得多分支网络建设出现一些新的特点和趋势。
1、业务调整与扩张,基础设施向边缘扩展
据2020年IDC的报告,到2023年,基础架构增长13%,分支边缘OT设备增长50%,物联网在边缘增长70%,整体应用在边缘会增加800%。业务扩张、分支增加,这需要IT决策者考虑分支建设需要更加弹性,保障ICT基础设施能基于业务迅速调整。
2、越来越多企业上云,云网融合趋势明显
传统架构下数据中心在总部,分支通过专线或VPN访问。现在很多企业总部转变成了行政总部,所有业务数据上云,总部和分支通过专线或VPN访问云上业务,这就要求分支网络需要自动化、智能化调整以匹配业务需要。
二、多分支组网建设挑战
1、分支业务越来越多,提升用户体验成难点
业务层面,大量视频会议、线上活动导致WAN流量激增;终端层面,除有线外无线与物联网的终端越来越多;成本层面,运营商选择不同,广域网链路多种多样……如何在保障用户体验下,进行分支网络的投入成为建设难题。
2、分支安全成全网短板,加固网络安全成关键
多分支组网中,分支安全远不及总部和云。传统模式下分支只有网络设备,安全能力缺失,为了保障分支安全,投入大量安全设备,产出收益也很低。因此,分支网络建设既要满足业务需求,更要补齐安全短板。
3、传统分支组网复杂,部署与运维简单成必须
分支数量多且地理位置零散,上线部署周期长。多个设备管理平台无法统一调度,并且传统命令行配置方式的增加了运维管理的难度。并且随着规模越来越大、分支越来越多,分支大多缺少专业的IT人员,如何简单、高效的运维管理是必须要考虑的问题。
三、SD-Branch多分支组网方案设计
1、什么是SD-Branch?
SD-Branch(Software?Defined Branch)软件定义分支,是一种将SDN软件定义网络的原理扩展到分支的方法,是信锐针对多分支应用设计的组网方案。
SD-Branch的特点是简化的硬件生态系统,远程集中式管理以及通过软件定义的方式实现自动化运维管理。
2、SD-Branch多分支组网方案
根据未来网络技术的发展趋势,信锐技术SD-Branch方案将SDN技术深入应用到多分支场景,将SD-WAN进一步延伸,实现管理分支中的所有有线、无线、出口、物联网等IT基础设备。SD-Branch多分支组网方案包含了整体分支WAN和LAN侧,具有SD-WAN、路由、有线、无线、物联网、安全以及管理平台等。
3、SD-Branch多分支组网络拓扑
中心端基于业务部署区分。根据总部业务的部署模式,支持私有云部署、混合云部署,以及公有云/托管云部署,满足不同部署模式业务需求。分支端基于业务规模区分。业务种类多、用户数量多、业务流量大的分支,部署网关(NAC或SFG)+有线+无线+物联网上线;用户数中等,业务流量一般的中型分支,以有线和无线需求为主,部署网关+有线+无线上线;用户数不多,业务流量很小的的小型分支,只需部署网关+无线即可。
四、SD-Branch多分支组网方案优势
1)融合管理
WAN+LAN+WLAN+IoT等分支基础设施深度融合,所有分支设备统一管理。支持通过NMC管理包括分支极智融合网关/安视交换机/AP等所有设备。全WEB化,架构逻辑清晰易操作,中心端控制器可以统一展示所有分支的状态,包括分支设备在线/离线状态,接入的用户数等;
分支设备零接触开箱上线。总部提前导入设备SN码、配置好分支网关,分支只需要给设备开箱上电、连接默认SSID,即可实现分支设备零接触上线、统一接入管理平台。
终端匹配预设策略快速接入网络。边缘接入设备支持终端识别(笔记本、PAD、手机、打印机、扫码枪、POS机、生产终端),可一键审批入网,并自动归属网段(办公网段、生产网段、访客网段)减轻管理难度。
2)极致体验
关键业务流量带宽保障。NMC网管中心支持基于用户角色/应用类型/目的IP进行流量管理,可设置多级流控子通道并区分优先级,可以预留带宽保障关键业务的使用体验。
统一认证授权,全分支业务随行。用户统一认证后,所有访问业务权限平台完成分配,后续分支间漫游不需要再重复认证,并且业务访问权限保持一致。
多链路业务及负载冗余。网关支持多链路业务,链路间负载均衡,并且具备冗余能力,当互联网线路发生故障,可以立即切换到另一条正常的互联网线路;
3)云网安全
分支边缘东西向流量安全。分支内部所有接入设备支持东西向流量安全,保障分支边缘安全,防止风险横向扩散导致业务大面积终端。
小微分支无线AP本地审计。传统模式下分支无法进行审计或需要增加审计设备实现,SD-Branch方案小微分支可通过无线AP进行本地审计,审计数据通过总部管理中心统一对接至网监平台。
SASE订阅式云安全按需保护。传统部署模式下分支对接网监成为难题,通过加安全设备投入产出比不高,SD-Branch方案通过NMC对接网监,分支无需采购安全设备,按需开通SASE云安全服务,订阅式采购,小时级交付。
4)智简运维
全网面的WebGUI。通过NMC网管平台可视化界面,无需复杂命令行,即可实现SD-WAN、SD-LAN、SD-WLAN统一运维管理。同时,支持移动APP便捷管理,极大降低分支网管运维管理难度。分级分权多角色提升运维效率。支持总部-分支-网点等多级角色分权限管控,提升运维管理效率。
设备故障快速定位,一键替换。传统组网模式无法感知网络故障,更多的是故障发生后被动响应,SD-Branch方案支持快速定位故障、一键替换故障设备,大大提升故障处理效率。