企业多分支组网
2023-10-08 15:50:31
打破远销壁垒、扩大销售范围、延伸产业链……在发展壮大的道路上,每一家企业都逃不开设立分支机构的命运。当分支机构越来越多,分布范围越来越广,分支与总部、分支与分支之间的互联互通就变得越来越复杂。与此同时,云计算、经济全球化、数字化转型浪潮的涌来以及移动办公、视频会议等需求的剧增,都为多分支企业的跨区域组网造成更多挑战。
一是复杂网络架构下,高质量的业务保障是关键。
多分支架构下,企业分支机构与总部、经销商、合作伙伴、客户以及外地出差人员,乃至与数据中心、云端等需要实现跨地域、跨时空的信息交流,异地办公、视频会议、远程桌面等实时应用在多个节点间传递。面对复杂的全场景互联互通需求,如何更好地确保企业的业务体验,显然是多分支企业跨区域组网首要突破的关卡。
二是随时随地新设分支机构,简单快速的网络部署成为刚需。
在充满不确定性的后疫情时代里,更加灵活富有弹性的IT基础设施,是企业在瞬息万变的市场环境中始终保持高度应变能力的基础。对于多分支企业来说,面对随时随地可能出现的分支机构新设、撤销、收购等不确定性,简单便捷的网络部署成为多分支企业应对“新常态”运营的刚需。
三是多样化接入场景,网络安全面临严峻考验
随着分支机构、总部、数据中心、云端、移动端、远程办公等接入场景的增加,多分支企业面临的网络风险陡然提升,来自任何时间任何地点的访问者,随时都可能给企业带来“致命一击”的潜在风险。
四是分支机构数量多、分布广,网络建设成本压力倍增。
作为企业业务延伸的触角,分支与总部、分支与数据中心、分支与云之间需要建立高效可靠的网络连接,与之相对应的便是高昂的线路建设与维护成本,并且随着企业的数字化转型加快、应用上云提速、分支快速拓展与日俱增。
企业多分支组网
企业多分支的组网,就是企业的多个分支,通过虚拟专用网络技术,以Internet网络为基础,进行私有网络互联。通常,采用运营商网络、MPLS专线等多种技术,构建企业自己的私有网络。
实际企业多分支的组织架构总体都是总分的结构,对应的广域网的建设也是类似,大多以星型方式实现组网。
如上图所示,企业广域网主要以企业总部为主体,数据中心或公有云承载核心业务系统,分支机构通常采用专线或互联网链路实现与总部核心业务系统之间的互联对接。
该场景的数据路径通常分为两种:
● 分支只与总部有数据交互,分支之间并不需要业务互通。
● 分支之间需要数据互通,需要总部中转。
从数据路径上分析,分支之间需要数据互通的缺点很明显,所有连接需要到总部进行中转,代价是浪费带宽资源,浪费总部设备资源,延长数据路径,增加故障点。
而且随着企业规模的逐渐扩大,业务的日益增长,传统的广域组网面临着诸多挑战。
传统的IPSec VPN组网
企业发展初期人数较少,分支不多。受限于客观条件,实际采用的是公司总部与分支机构通过点到多点IPSec VPN互通,典型组网如下图所示:
作为上世纪末兴起的IPSec VPN技术,它的安全性比较高,但是也存在配置复杂、安装维护困难等缺陷。
当分支较少的时候,还能应付过来,但是分支一旦增多,IPSec VPN就难以满足需求了。
昂贵的MPLS VPN组网
企业经过发展,公司体量和规模都有较大成长,因此也对网络组网有更高的要求。
此时建构在运营商基础网络之上的MPLS VPN似乎是更好的选择。MPLS的稳定性较高,接入方便,服务质量更高。但是也存在价格昂贵、开通周期长等缺陷。
一、专线使用成本高
二、部署周期长
专线组网:申请安装专线之后,运营商内部要走流程,还需要人工上门进行终端安装和配置。整个的安装时间周期就很长,一般要一周到一个月的时间。
VPN组网:VPN 配置复杂,对运维人员技术要求高、人力成本高,后续分支机构单位增多,上线效率低。
三、业务链路质量差
专线组网:分支机构出口具备主备两条专线时,当出现链路故障,无法实现链路的自动切换,业务连续性无法保证;由于链路为主备模式,链路利用率较低,容易造成单线拥堵;并且只能根据IP进行流量分配,业务流量分配不灵活,关键业务访问质量难以保障。
VPN组网:受运营商网络环境的影响,传统的VPN网络质量会由于网络抖动、丢包、延迟等问题出现链路质量不佳的情况,影响各分支机构与总部之间的访问通信。
四、运维管理难
网络组网完成后,无法做到集中管理和链路建立,设备及链路状态无法感知,安全威胁无法控制。
分支机构一般不会配备专门的IT工程师,一旦出现故障,无法及时响应,定位周期长,恢复时间更长,直接影响分支机构正常工作开展。
五、安全能力弱
分支机构出口网关缺乏丰富的安全防护能力,安全问题较多,如垃圾邮件传播、恶意漏洞攻击、风险IP、僵尸主机等,面对日增长的网络安全威胁,难以形成各分支机构与总部之间端到端的安全防护能力。
WAN组网转型方案——SD-WAN
SD-WAN,即软件定义广域网络,是将SDN技术应用到广域网场景中所形成的一种方案。这种方案用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务,旨在帮助用户降低广域网的开支和提高网络连接灵活性。
SD-WAN方案通过一套可视化的SDN控制器(一般部署于总部),将所有广域网关设备与之互联,对设备进行统一管理和控制,从而实现广域网的控制平面和转发平面分离。所有的设备配置、隧道建立、状态监控等操作都可以通过控制器完成而无需登录每台设备进行操作,这样便能灵活便捷地使用网络资源,高效组建、运营和运维整个广域网。
采用SD-WAN组建广域网可以很好的实现降本增效。
通过综合性统计,SD-WAN组网可以大幅降低线路成本,较传统MPLS广域网专线降低70%以上;
其次应用性能显著提升:与传统广域网相比,链路性能提升50%以上;
此外可快速实现业务响应:基于SD-WAN组网,开通分支与总部的连接仅需分钟级别,支撑业务快速发展;
最后,管理效率也提升明显:可视化运维使管理员对链路状态一目了然,高效实现故障定位。
SD-WAN组网解决方案优势
灵活接入,降低线路成本
方案支持专线、互联网、4G/5G等多种链路接入方式,实现低成本的互联网链路与专线链路的混合接入,链路质量采用SD-WAN控制器实现优化,在保证链路可靠性的同时,极大得降低了专线成本,满足更多偏远分支机构的网络接入需求。
零配置开局,快速组网
方案支持ZTP零配置开局功能,分支机构无需专业的运维人员,通过控制器下发策略对CPE设备进行初始化配置,实现出口设备的快速部署和上线,大幅缩减分支节点开局时间。
按需编排,灵活组网
方案可根据分支组网实际业务场景灵活进行SD-WAN组网,支持星型组网、Mesh组网。星型组网满足传统总部-分支网络架构,构建总部与分支之间的互联广域网,覆盖70%的应用场景;Mesh组网实现分支之间的高效互联,分支互访无需通过总部即可实现直连通信。
统一监控告警,实现运维闭环
当构建完SD-WAN广域网之后,运维人员就需要高效的对整网进行精细智能化的运维管控,实时了解当前整网设备的运行情况和链路状态,第一时间发现问题,做出高效运维决策。
应用灵活选路,合理分配链路
方案支持应用精准识别及灵活流量控制,采用深度应用识别技术,根据协议特征、行为特征及关联分析等准确识别数千种网络应用,基于应用策略路由,实现应用引流,保证链路合理分配。
故障切换及负载均衡,链路质量保证
传统广域组网中,当分支出口链路出现故障时,通常需要通过手动配置实现链路切换,捷普SD-WAN方案支持智能链路切换功能,当出口单条链路故障时,安全网关迅速监测到这一情况,并将链路上的流量快速引流到其他正常链路,从而保障用户访问业务的连续性。
领先防护能力,满足安全合规
SD-WAN所有节点设备均采用安全架构,从核心节点防火墙,到分支防火墙,再到部署于云端的虚拟化防火墙,都可以为SD-WAN组网提供业界领先的L2-L7层的安全防护能力,帮助用户建云上云下一体化的网络安全和数据安全体系,满足广域组网安全合规需求。
北京算立科技有限公司
数字化驱动转型,成就企业更优价值
北京算立科技有限公司成立于2016年,是一家致力于提供IT综合服务的高科技企业。公司拥有从基础网络规划架构到软件定制研发的技术实力,是国家信息化项目的重要参与者,并被政府认定为"国家高新技术企业"、"中关村高新技术企业"。
公司坚持科研创新的自我要求、诚信立业的经营原则,将国内外先进的信息化技术、管理方法及经验与国内企业的具体实际相结合,为企业提供一条龙的信息化解决方案,助力政企用户实现数字化转型,提高工作效率,完善企业内外管理体系,深入职能办公、智能监管、智能服务到智能决策四大领域,实现"数据智能"时代的腾飞。
