引言

当今具有多分支机构的大型企业,都已普遍部署底层基础网络,初步实现了分支机构的内网互联。在现今的IT大环境下,多种复杂软件的海量数据实时同传、灾备等场景不断涌现!很多企业集团越来越讲究以数字关键业务模式,但随之而来的在实际使用中出现的糟糕传输体验,很让人头疼。

业务场景简介

某传统制造企业目前使用传统MPLS与Internet在总部与国内23家分支机构又3处大型仓库之间组网,总部与重要分支系双线冷备份,与非重要分支只是靠Internet IPsec VPN单线组网。去年企业在国内业务战略改变为使用较低的运营成本保持现有的高增长,也就是开源节流。开源好理解,销售与市场团队更加精进。如何节流?这是留给企业内部支撑团队的题目,IT与网络团队,正是重要的支撑团队之一!因此,精细化管控,高效运作,是IT团队的主要策略。而现有各分支目前组网架构已然落后于业务要求。

1.1企业痛点

  • 整体网络性能不能很好地支持关键业务数据畅通互传重要的视频会议,ERP、数据分析、OA、Email等关键业务数据的流量全部运行在MPLS线路(30M),随着业务的发展导致MPLS的带宽饱和,各应用体验变差,集团内各层面对此多有不满。而如果升级各个分支点的带宽是笔高成本的支出,如何低成本提升用户体验?

  • 备用互联网带宽(50M)流量不多,大部分处于长期闲置状态,可费用必须按时支出,是否能充分利用?

  • 业务连续性,基础设施要时时处在高可用模式

  • 随着业务拓展,需要在全国增设7个新的销售分支机构,既要预留传统网络硬件,如防火墙、路由器、负载均衡等设备,还需要IT部门加班加点部署和设计网络方案。不菲的硬件费用和人工成本,如何节省成本且快速部署?

  • 全国各分支机构,很多都在当地采购线路与网络设备,部署良莠不齐,品牌、版本差异严重,安全隐患较大,而且非常不易管理,总部IT基本是两眼一抹黑,全屏地方同事描述!如果描述有偏差,就会导致判断错误,操作错误。如何花费较低成本,同时确保集中化、精细化管理?与统一安全?

  • IT人员比较少,在日常维护和管控分支机构时运维工作量分散、琐碎、繁重,需要人员登陆到所有设备上进行策略配置,甚至出差到现场去调配,无法实现宏观的勘察所有分支的网络状态。企业希望这些IT人员可以做一些更高级的规划工作。如何让IT团队简易部署与管理,解放IT生产力,聚焦更核心的工作?

下图为该企业传统架构的拓扑原理。由于网络拓扑涉及该企业内部信息,这里只提供原理图。

图1 原有网络架构(原理图)

凌锐蓝信睿智通 iConnect 优化、梳理企业现有网络资产_Java

1.2企业需求

  • 尽可能保留现有线路,不要大动现有架构

  • 提升应用数据传输性能,提高用户体验

  • 高可用,保证业务连续性

  • 确保全网安全

  • 更加细腻、高效的控制与管理,不仅能够实时监控,还可以远程干预

  • 部署过程尽可能快速,简单,讲究业务敏捷力

  • 运维简单化,减少IT人员繁琐的工作,提高人员效率

  • 整体运营成本较传统模式下降至少30%

  • 升级过程尽可能做到前端业务低感知,确保工作流程顺畅

1.3企CIO的诉求

“我们需要一种全新的网络状态,在加快工作效率的基础上,强力支撑业务数据的传输,进而支持企业顶层战略。对复杂网络结构进行统筹梳理,优化及简化整体架构与运维工作,降低企业网络的安全风险,是我考虑的关键问题。因此选择凌锐蓝信的SD-WAN方案去整合现有网络形式。”

凌锐蓝信 iConnect解决方案

2.1睿智通iConnect 方案解析

下图2与3,向读者展现凌锐蓝信 iConnect方案,是如何具体工作的。

第一步,现有的MPLS与Internet通过终端硬件CPE接入,分支机构与中心节点各安装一台,即插即用。中心节点可只安装一台高吞吐量的设备,支持多个分支机构。用户只需插网线,开电源,安装部署工作即结束。如果在云平台部署,则需要开虚机安装vCPE(virtual CPE),可直接技术调用云底层线路,无需与任何线路商交涉。CPE硬件终端,也支持4G与即将到来的5G信号。

第二步,一旦所有节点连线成功,客户可通过统一图形界面操作任何事情,如网络策略。用户可自定义的特殊业务场景,系统中ISA(垂直行业场景适配)可以根据这个要求自动获取其他功能模块进行精准适配。

第三步,业务场景下的应用数据,在传输过程中可以被优化(如重删或压缩),同时也会被系统监控状态,随时形成报告呈现给管理员,如某应用的带宽使用情况、使用时间、优化率等等。

第四步,系统根据以上业务层与应用层的梳理与优化,再自动调用网络功能模块,如智能路由,SLA导向负载均衡,智能QoS,FEC前向纠错,TCP或UDP优化,UTM防火墙等等。这一步是为了逻辑绑定现有MPLS与Internet,成为高可用(active-active)带宽资源池,最大限度利用现有资源,确保传输的安全、稳定、高性能,节省成本。

图2 iConnect 功能架构图

凌锐蓝信睿智通 iConnect 优化、梳理企业现有网络资产_Java_02

图3 iConnect内部工作流

凌锐蓝信睿智通 iConnect 优化、梳理企业现有网络资产_Java_03

第五步,可在集团的IDC与指定云平台,同时部署两套策略控制器,灾备模式。同时下发iConnect终端宝设备至各分支(云平台部署vCPE),MPLS + internet被完全合并成为统一的高可用带宽资源池,再经由软件控制层的指令下发策略到分支,实时调用资源池的各条线路,实现总控体系运行。全网部署UTM级别的安全模块,确保统一安全性。如图4所示,拓扑非常简单,通过强大的软件快速部署到位,提供安全、稳定、高可用、高性能的网络能力!

图4 部署拓扑(原理图)

凌锐蓝信睿智通 iConnect 优化、梳理企业现有网络资产_Java_04

2.2风险与规避

企业潜在风险

对于iConnect而言,这是典型旧城改造升级项目,并不是难题。然而,任何一种对原有架构的升级改造,都或多或少伴随着风险。有风险是正常的,而无法规避或排除才是问题!我们要做的就是要仔细分析潜在风险,并在未来实施过程中规避,确保万无一失。归纳起来,企业应注意以下关键情况:

  • 确保业务连续性,尽量避免业务中断,特别是主要分支节点

  • 不要存在单点故障

  • 升级的平滑性,确保新旧技术的兼容

  • 全程确保网络安全,同时要关注与原有防火墙设备的对接

凌锐蓝信方案的风险规避

  • 总部和MPLS分支均采用旁路模式部署,用户只需要提供三个不同VLAN对于Internet,MPLS,LAN接口,确保流量走向正确

  • 中央策略控制器HA部署模式

  • iConnect物理终端与云VM终端,都进行HA模式部署

  • 该企业MPLS CE和Core Switch之间使用了EIGRP协议,将BGP学到的路由重分布进了EIGRP,对于iConnect而言,MPLS作为一个underlay的线路资源

  •  迁移过程中,可以保持EIGRP不变,当一个分支迁移到SD-WAN架构后,用户只需要通过静态或动态路由协议(只需要保证优先于EIGRP路由即可),增加明细路由,将去往SD-WAN(iConnect)分支的路由,指向终端的LAN口,其他未指定的依旧通过EIGRP走

  • 如果需要iConnect与Core Switch之间运行动态路由协议,可以先保持明细路由不动,等所有分支都完成后,直接进行无缝迁移

  • iConnect支持NGFW,UTM等高级防火墙,全网统一部署

集团收益

3.1安全稳定、终端用户无感知

  • UTM最高阶安全模块,确保全网统一安全,并为企业节省成本

  • 根据需要自动建立IPsec,保证传输的安全性

  • 根据SLA设定,预测链路状态,并自动提前改变策略,确保传输的稳定性

  • 升级过程简易,业务用户无感知,正常运营

3.2高性能

  • 优化业务数据,提升性能与用户体验

  • 智能识别多达4000种企业软件,即时定义并根据优先级排序进行优化

  • 丢包抖动优化,全网共26个节点,传输仅0.1%的丢包率

  • iConnect逻辑捆绑企业现有的主备线(MPLS 30M + Internet 50M),形成高可用带宽资源池,根据业务需求实时调配,用户实际上可以用到80M带宽传输关键数据!

3.3业务敏捷力,高体验,灵活扩展性

  • 可视化的后台界面一键操控,简化IT人员的运维工作

  • 大数据模块,自动实时分析应用层与网络层状态,即时支持控制器的网络调配策略,实时适应业务软件层的网络需求

  • 分支机构0接触部署与运维,IT部门无需现场部署或运维,简化工作量,提高业务效率,降低额外费用

3.4降低成本

  • 整体运营成本降低36%

  • 直接使用现有MPLS + Internet,合并链路高可用,节省3年升级带宽成本

  • 无需额外采购其他硬件设备,节省采购成本

  • 分支机构0接触部署与运维,节省运维成本

凌锐蓝信核心团队,平均垂直行业经验超过17年,深刻理解业务场景与行业诉求。针对集团和国内外多分支机构大型企业繁杂的网络状况,睿智通iConnect应运而生,业务场景应用数据为导向,用户体验为中心,帮助客户整合优化现有网络资产,提高效率,增强业务敏捷力,深度挖掘集团企业IT部门的潜在价值,降低整体运营成本,从而提升企业在市场中的核心竞争力!

问题来了,睿智通iConnect这么好用,会不会很复杂?用户到底需要做什么?

  • 确认需部署的各分支机构数量

  • 确认现有线路与设备资产

  • 终端宝设备只需接入电源与网线,即可使用

  • 所有策略配置或其他参数都通过可视化图形界面,远程操作即可

  • 运维也可以可视化远程哦!

作为用户,您

  • 无需额外采购分支机构各种硬件设备

  • 充分利用备线资源

  • 无需担心不同品牌产品的兼容适配性

  • 无需改变原有架构与安全防护

  • 无需当地人员或派员到机房或分支现场操作

  • 只需打开统一的管控界面,部署iConnect终端

案例见证 – 中国化工集团

中国化工集团,采取iConnect方案,将原有主流运营商线路与互联网备线,逻辑合并成为高可用带宽资源池,达到实时高可用模式,大大提升业务数据的传输带宽。同时通过iConnect可视化界面,远程部署、管控国内外超过30家分支节点的网络资产,做到集中化管理,简易部署运行,提高效率,降低运营成本。

企业级的iConnect部署成功,实现OA/CRM/ERP/视频会议…多种应用顺畅传输与数据同步,全网状态一切尽在掌控!

凌锐蓝信iConnect,就是这么简单高效!

作者简介

顾玮,作为凌锐蓝信科技(北京)有限公司创始人,硕士学位,专注IT行业20年,深刻理解并实践过IT软硬件、虚拟化、云计算、IDC等业务领域,曾在业界国内外知名公司如IBM,RedHat,华为(北美)等公司任职。

凌锐蓝信科技,于2014年成立,一直专注于SD-WAN技术与服务,5年来持续深耕垂直行业,服务了国内外超过370家企业用户,包括全球或全国500强企业,解决国内外高性能组网,精细化管控网络资产等需求。凌锐蓝信,并是微软中国Co-Sell-Ready合作伙伴,顾玮本人也接受过Microsoft Inspire 2019 封面故事采访。