使用 Fortinet 安全 SD-WAN 解决方案进行全球跨国公司网络设计的最佳实践

本文涉及的产品
传统型负载均衡 CLB,每月750个小时 15LCU
私网连接 PrivateLink,5万GB流量 1.5万小时实例时长
公网NAT网关,每月750个小时 15CU
简介: 使用 Fortinet 安全 SD-WAN 解决方案进行全球跨国公司网络设计的最佳实践

原文链接:

https://www.alibabacloud.com/blog/global-mnc-network-design-with-fortinet-secured-sd-wan-solution_599924

目标受众:零售、电子商务、物流、制造

成功案例分享

行业:东南亚领先的国际电子商务运营商之一

背景资料
客户是东南亚最大的电子商务提供商之一。在全球设有许多办事处和分支机构。分支机构与各自私有云(数据中心)和公共云(阿里巴巴云)之间的大多数现有连接仍然采用非常传统的设置,整个网络依赖于 WAN。然而,随着分支机构用户和阿里云上数据/工作负载的增长,对网络性能以最小延迟和丢包进行优化提出了严格的要求。

客户挑战
由于客户的分支机构和办事处仍在利用传统的 WAN、MPLS 和 IP-Sec 设置,因此网络性能存在很多问题,因为每当涉及跨区域连接时,数据传输可能会很慢。从一个交易到另一个交易的任何交易都应该尽可能快,因此即使是轻微的停机时间(几秒钟)也可能导致业务中断,特别是当存在正在进行的实时交易时。

此外,由于每个国家都有自己的物流(生产)和办公室(企业),它们依赖于单个 WAN,因此如果 WAN 出现故障或受到攻击,可能会存在风险。客户的目的是分离物流和办公网络,并建立一个强大、安全和可靠的网络解决方案来解决这个问题,同时为最终用户提供良好的客户体验。

目标方案
为新加坡和印度尼西亚地区中心的 2 个分支机构(泰国和越南)新解决方案架构设计

image.png

解决方案简介

考虑到技术和商业方面,上述新的解决方案设计已被成功采用,并被证明是最大限度地减少故障转移期间不必要的停机时间并同时最大限度地提高网络性能的最佳方法之一。新加坡枢纽将作为主要枢纽,而印度尼西亚枢纽将作为次要枢纽。

让我们将其分为 5 个阶段,以便更好地详细了解该解决方案。为了更详细地理解这一点,让我们以新加坡枢纽为例,如下所示。印度尼西亚中心将是完全相同的概念。

image.png

阶段1

分支视角(VPC - spoke)

i.概述

从左侧我们可以清楚地看到,越南和泰国分支机构部署了 FortiGate 防火墙,每个分支机构都有一对互联网服务提供商 (ISP)。这些 ISP 中的每一个都将与部署了一对 FortiGate 防火墙的新加坡中心建立连接。双方之间的连接基于 eBGP over IP-Sec 连接进行配置,SDWAN 根据抖动特性进行配置,以便在任何故障转移期间选择最佳链路。就网络接口总数而言,将为 IP-Sec 隧道分配 2 个公共 IP (EIP),以用于到集线器的 IP-Sec 隧道。可以创建更多接口用于其他目的,例如 FortiGate 内部或管理端口。

ii.技术方面(实践)

  1. 为两端连接配置 IP-Sec 隧道
  2. 多点 VPN 的 VPN 接口配置
  3. 配置eBGP进行动态路由学习
  4. 配置 SD-WAN 以实现最佳链路选择
  5. 流量策略防火墙配置

参考:https ://docs.fortinet.com/document/fortigate/6.4.0/administration-guide/453982/branch-configuration

阶段2

云视角(VPC - hub)

i.概述

在中间,我们可以看到新加坡中心部署了一对 FortiGate 防火墙。这些防火墙在 2 个不同区域中配置了主动/主动设置,以实现高可用性。还启用会话同步 (ECMP) 来同步两个会话,以避免任何会话丢失,尤其是返回流量。在接口数量方面,总共有 4 个接口,其中 2 个接口将与各自的公共 IP (EIP) 绑定,用于到分支的 IP-Sec 隧道。

  1. 连接到 Branch 需要端口 1(带有 EIP)
  2. 连接阿里云VPN网关需要端口2(带有EIP),稍后我会解释
  3. 2 个 FortiGate 之间的会话同步需要端口 3
  4. 内部/管理端口需要端口 4,FortiManager 可以通过该端口进行集中策略管理

ii.技术方面(实践)

  1. 为两端连接配置 IP-Sec 隧道
  2. 多点 VPN 的 VPN 接口配置
  3. 配置环回以从 SD-WAN 成员确定最佳路由
  4. 配置eBGP进行动态路由学习
  5. 流量策略防火墙配置
  6. 连接丢失时黑洞路由的配置

参考:https ://docs.fortinet.com/document/fortigate/6.2.9/cookbook/543607/datacenter-configuration

第三阶段

阿里云VPN网关+CEN视角

i.概述

在中间,我们可以清楚地看到A区和B区有一个VPN网关。这个VPN网关的目的是建立新加坡中心的FortiGate防火墙。每个 VPN 网关都将作为专用隧道连接到同一区域的防火墙。例如,A 区 VPN 网关将通过 IP-Sec VPN 连接到 A 区 SG Hub FGT 防火墙,B 区也是如此。由于计划还允许 VPN 网关自动学习路由,因此 BGP 将配置在 VPN 之上网关。之后,由于VPN网关需要与本地(右侧)通信,因此还必须将该VPN网关附加到阿里云云企业网(CEN)。

ii.技术方面(实践)

  1. BPG + IP-Sec VPN 配置
  2. CEN配置(实例、TR、VPN附件)

IP-Sec + BGP : https://www.alibabacloud.com/help/en/vpn-gateway/latest/connect-a-data-center-to-a-vpc-and-enable-bgp-dynamic-routing
CEN :https://www.alibabacloud.com/help/en/cloud-enterprise-network/latest/create-an-cloud-enterprise-network-instance

第四阶段

阿里云VBR+CEN视角

i. 概述

在右侧,我们可以清楚地看到新加坡和印度尼西亚虚拟边界路由器(VBR)是在需要连接到本地办公室时创建的。此 VBR 的目标是建立从本地到 VPC 的租用线路连接。但要实现这一点,本地办公室需要一条专线连接到VBR并挂载到阿里云CEN。 VBR 附加到 CEN 后,CEN 还能够与附加的 VPN 网关通信,随后将流量路由到各个区域的 VPC。

ii.技术方面(实践)

  1. 配置专线(需要时间进行设置,具体取决于专线类型是共享还是独享)
  2. 配置边界路由器

高速通道:https://www.alibabacloud.com/help/en/express-connect/latest/what-is-a-connection-over-an-express-connect-circuit

边界路由器:https://www.alibabacloud.com/help/en/cloud-enterprise-network/latest/h57c4t

第五阶段

管理视角

i.概述

在右上角,我们可以清楚地看到 FortiManager 被添加到该解决方案设计中,因为它为 FortiGate、FortiWiFi 和 FortiMail 设备以及 FortiClient 端点安全代理提供集中的基于策略的配置、设备配置和更新管理作为端到端网络监控和设备控制。然而,此 FortiManager 的目标是管理所有分支和集线器 FortiGate 设备,以降低管理成本、简化配置并自动化设备配置。

ii.技术方面(实践)

  1. 配置FortiManager进行集中管理

参考:https://docs.fortinet.com/document/fortimanager/6.2.0/cookbook/585894/adding-fort igate-devices-to-fortimanager

结论/测试

完成这 5 个步骤后,我们就可以测试连接了。您可以在各自的分支机构创建FTP服务器来测试连接。例如,关闭任一 FortiGate 防火墙以刺激故障转移测试,并尝试不断从分支端点 ping 到本地端点(一直位于图的右侧)。结果应该是平滑的,只有非常短的停机时间/峰值。

目录
相关文章
|
1天前
|
存储 安全 网络安全
云计算与网络安全:探索云服务的安全挑战与策略
【7月更文挑战第13天】随着云计算技术的快速发展,越来越多的企业和个人开始依赖云服务来存储和处理数据。然而,这也带来了一系列的网络安全问题,包括数据泄露、服务中断和恶意攻击等。本文将深入探讨云计算环境中的网络安全挑战,并提出相应的防护措施和最佳实践,旨在帮助读者更好地理解和应对这些安全风险。
|
9天前
|
人工智能 安全 算法
数字时代的守护者:网络安全漏洞与加密技术的较量
在数字化浪潮的推动下,网络安全成为了维系现代社会运转的关键。本文深入探讨了网络安全的薄弱环节——安全漏洞,以及对抗网络威胁的盾牌——加密技术。通过分析当前网络安全面临的挑战,本文旨在提升公众的安全意识,并分享防范网络攻击的有效策略。
|
8天前
|
存储 安全 网络安全
云计算与网络安全:技术融合下的安全挑战与对策
随着云计算技术的飞速发展,其在提供便利和效率的同时,也带来了前所未有的安全风险。本文将深入分析云计算服务中的网络安全威胁,并探讨信息安全领域的应对策略,以期为云服务用户提供一个更加安全的网络环境。
|
3天前
|
SQL 人工智能 安全
数字时代的守护者:网络安全漏洞、加密技术与安全意识的深度剖析
在数字化浪潮中,网络安全的重要性日益凸显。本文将深入探讨网络安全漏洞的形成机制、加密技术的演进路径以及提升全民网络安全意识的策略。通过分析最新的网络攻击案例和统计数据,揭示网络安全面临的挑战和发展趋势。同时,本文还将介绍当前最先进的加密算法和安全协议,并讨论如何将这些技术应用于日常的网络安全防护中。最后,文章将提出一系列创新性的建议,旨在提高个人和组织的网络安全意识,构建更加稳固的信息安全防线。
|
4天前
|
存储 安全 网络安全
云计算与网络安全的协同演进:挑战与解决方案
【7月更文挑战第10天】本文深入探讨了云计算与网络安全之间的紧密联系,并分析了随着云服务模型的普及,网络安全所面临的新挑战。文章首先概述了云计算的基本概念及其在现代企业中的应用,随后详细讨论了云环境中的网络安全威胁,包括数据泄露、服务中断和身份盗用等。最后,提出了一系列针对性的解决方案,旨在提高云计算环境的安全性,包括采用先进的加密技术、实施严格的访问控制策略和进行定期的安全审计。通过这些措施,可以有效缓解云计算带来的安全风险,确保企业和用户的数据安全。
|
4天前
|
安全 网络安全 数据安全/隐私保护
智能家居安全:保护你的智能设备免受网络威胁
【7月更文挑战第10天】本文将深入探讨智能家居系统面临的网络安全挑战,并分享实用的防护策略。我们将从智能设备的漏洞分析入手,进而讨论如何通过强化密码管理、更新固件、使用VPN和防火墙等方法来加固家庭网络的安全防线。最后,文章将提供一些额外的小贴士,帮助读者进一步提升智能家居的安全性。
|
9天前
|
安全 NoSQL Java
网络安全-----Redis12的Java客户端----客户端对比12,Jedis介绍,使用简单安全性不足,lettuce(官方默认)是基于Netty,支持同步,异步和响应式,并且线程是安全的,支持R
网络安全-----Redis12的Java客户端----客户端对比12,Jedis介绍,使用简单安全性不足,lettuce(官方默认)是基于Netty,支持同步,异步和响应式,并且线程是安全的,支持R
|
1月前
|
网络协议 算法 Linux
【嵌入式软件工程师面经】Linux网络编程Socket
【嵌入式软件工程师面经】Linux网络编程Socket
47 1
|
2天前
|
Linux
linux网络统计信息和端口占用情况基本语法
linux网络统计信息和端口占用情况基本语法
|
9天前
|
网络协议 安全 Ubuntu
7 个有用的免费 Linux 网络隧道
【7月更文挑战第4天】
41 0
7 个有用的免费 Linux 网络隧道