原文链接:
目标受众:零售、电子商务、物流、制造
成功案例分享
行业:东南亚领先的国际电子商务运营商之一
背景资料
客户是东南亚最大的电子商务提供商之一。在全球设有许多办事处和分支机构。分支机构与各自私有云(数据中心)和公共云(阿里巴巴云)之间的大多数现有连接仍然采用非常传统的设置,整个网络依赖于 WAN。然而,随着分支机构用户和阿里云上数据/工作负载的增长,对网络性能以最小延迟和丢包进行优化提出了严格的要求。
客户挑战
由于客户的分支机构和办事处仍在利用传统的 WAN、MPLS 和 IP-Sec 设置,因此网络性能存在很多问题,因为每当涉及跨区域连接时,数据传输可能会很慢。从一个交易到另一个交易的任何交易都应该尽可能快,因此即使是轻微的停机时间(几秒钟)也可能导致业务中断,特别是当存在正在进行的实时交易时。
此外,由于每个国家都有自己的物流(生产)和办公室(企业),它们依赖于单个 WAN,因此如果 WAN 出现故障或受到攻击,可能会存在风险。客户的目的是分离物流和办公网络,并建立一个强大、安全和可靠的网络解决方案来解决这个问题,同时为最终用户提供良好的客户体验。
目标方案
为新加坡和印度尼西亚地区中心的 2 个分支机构(泰国和越南)新解决方案架构设计
解决方案简介
考虑到技术和商业方面,上述新的解决方案设计已被成功采用,并被证明是最大限度地减少故障转移期间不必要的停机时间并同时最大限度地提高网络性能的最佳方法之一。新加坡枢纽将作为主要枢纽,而印度尼西亚枢纽将作为次要枢纽。
让我们将其分为 5 个阶段,以便更好地详细了解该解决方案。为了更详细地理解这一点,让我们以新加坡枢纽为例,如下所示。印度尼西亚中心将是完全相同的概念。
阶段1
分支视角(VPC - spoke)
i.概述
从左侧我们可以清楚地看到,越南和泰国分支机构部署了 FortiGate 防火墙,每个分支机构都有一对互联网服务提供商 (ISP)。这些 ISP 中的每一个都将与部署了一对 FortiGate 防火墙的新加坡中心建立连接。双方之间的连接基于 eBGP over IP-Sec 连接进行配置,SDWAN 根据抖动特性进行配置,以便在任何故障转移期间选择最佳链路。就网络接口总数而言,将为 IP-Sec 隧道分配 2 个公共 IP (EIP),以用于到集线器的 IP-Sec 隧道。可以创建更多接口用于其他目的,例如 FortiGate 内部或管理端口。
ii.技术方面(实践)
- 为两端连接配置 IP-Sec 隧道
- 多点 VPN 的 VPN 接口配置
- 配置eBGP进行动态路由学习
- 配置 SD-WAN 以实现最佳链路选择
- 流量策略防火墙配置
参考:https ://docs.fortinet.com/document/fortigate/6.4.0/administration-guide/453982/branch-configuration
阶段2
云视角(VPC - hub)
i.概述
在中间,我们可以看到新加坡中心部署了一对 FortiGate 防火墙。这些防火墙在 2 个不同区域中配置了主动/主动设置,以实现高可用性。还启用会话同步 (ECMP) 来同步两个会话,以避免任何会话丢失,尤其是返回流量。在接口数量方面,总共有 4 个接口,其中 2 个接口将与各自的公共 IP (EIP) 绑定,用于到分支的 IP-Sec 隧道。
- 连接到 Branch 需要端口 1(带有 EIP)
- 连接阿里云VPN网关需要端口2(带有EIP),稍后我会解释
- 2 个 FortiGate 之间的会话同步需要端口 3
- 内部/管理端口需要端口 4,FortiManager 可以通过该端口进行集中策略管理
ii.技术方面(实践)
- 为两端连接配置 IP-Sec 隧道
- 多点 VPN 的 VPN 接口配置
- 配置环回以从 SD-WAN 成员确定最佳路由
- 配置eBGP进行动态路由学习
- 流量策略防火墙配置
- 连接丢失时黑洞路由的配置
参考:https ://docs.fortinet.com/document/fortigate/6.2.9/cookbook/543607/datacenter-configuration
第三阶段
阿里云VPN网关+CEN视角
i.概述
在中间,我们可以清楚地看到A区和B区有一个VPN网关。这个VPN网关的目的是建立新加坡中心的FortiGate防火墙。每个 VPN 网关都将作为专用隧道连接到同一区域的防火墙。例如,A 区 VPN 网关将通过 IP-Sec VPN 连接到 A 区 SG Hub FGT 防火墙,B 区也是如此。由于计划还允许 VPN 网关自动学习路由,因此 BGP 将配置在 VPN 之上网关。之后,由于VPN网关需要与本地(右侧)通信,因此还必须将该VPN网关附加到阿里云云企业网(CEN)。
ii.技术方面(实践)
- BPG + IP-Sec VPN 配置
- CEN配置(实例、TR、VPN附件)
IP-Sec + BGP : https://www.alibabacloud.com/help/en/vpn-gateway/latest/connect-a-data-center-to-a-vpc-and-enable-bgp-dynamic-routing
CEN :https://www.alibabacloud.com/help/en/cloud-enterprise-network/latest/create-an-cloud-enterprise-network-instance
第四阶段
阿里云VBR+CEN视角
i. 概述
在右侧,我们可以清楚地看到新加坡和印度尼西亚虚拟边界路由器(VBR)是在需要连接到本地办公室时创建的。此 VBR 的目标是建立从本地到 VPC 的租用线路连接。但要实现这一点,本地办公室需要一条专线连接到VBR并挂载到阿里云CEN。 VBR 附加到 CEN 后,CEN 还能够与附加的 VPN 网关通信,随后将流量路由到各个区域的 VPC。
ii.技术方面(实践)
- 配置专线(需要时间进行设置,具体取决于专线类型是共享还是独享)
- 配置边界路由器
边界路由器:https://www.alibabacloud.com/help/en/cloud-enterprise-network/latest/h57c4t
第五阶段
管理视角
i.概述
在右上角,我们可以清楚地看到 FortiManager 被添加到该解决方案设计中,因为它为 FortiGate、FortiWiFi 和 FortiMail 设备以及 FortiClient 端点安全代理提供集中的基于策略的配置、设备配置和更新管理作为端到端网络监控和设备控制。然而,此 FortiManager 的目标是管理所有分支和集线器 FortiGate 设备,以降低管理成本、简化配置并自动化设备配置。
ii.技术方面(实践)
- 配置FortiManager进行集中管理
参考:https://docs.fortinet.com/document/fortimanager/6.2.0/cookbook/585894/adding-fort igate-devices-to-fortimanager
结论/测试
完成这 5 个步骤后,我们就可以测试连接了。您可以在各自的分支机构创建FTP服务器来测试连接。例如,关闭任一 FortiGate 防火墙以刺激故障转移测试,并尝试不断从分支端点 ping 到本地端点(一直位于图的右侧)。结果应该是平滑的,只有非常短的停机时间/峰值。
