EdgeConnect SD-Branch参考设计
本指南的这一部分展示了如何基于客户概况来设计一个EdgeConnect SD-Branch部署。
目录
组件选择
本节介绍如何为各种部署选择合适的设备。请根据以下客户配置文件使用此指南来进行选择。
总部(hub)设备选择 — 需要考虑四个方面:最大隧道数量、从数据中心学习到的路由数量、接口数量和接口类型。
分支(branch)设备选择 — 在决定使用哪种分支网关时,需要考虑三个方面:防火墙会话数、接口数量和接口类型。
请参阅数据表以获取有关SD-WAN网关设备及其详细信息。
许可选项
Foundation - 此许可证涵盖分支机构或总部部署所需的所有SD-Branch功能。
Foundation Base - 此许可证包含基础版的所有功能,但每个分支站点最多支持75台客户端设备。
带安全性的Foundation - 此许可证在分支或总部部署中提供所需的SD-WAN功能,并附加安全性特点。
带安全性的Foundation Base - 此许可证包含带安全性基础版中的所有功能,但每个分支站点最多支持75台客户端设备。
Advanced - 此许可证涵盖了基础版中的所有内容,并额外提供SaaS Express Net Conductor和AI Insights相关的高级特点。
带安全性的Advanced - 此许可证包括高级版本的全部特点,此外还增加了与IPS、IDS、安全仪表盘及反恶意软件相关的额外安全性功能。
虚拟网关 (VGW) 许可- 适用于AWS、Azure和ESXi平台,根据所需带宽进行授权。可用类型包括VGW-500M、VGW-2G和VGW-4G。
有关详细信息,请参阅订购指南。
叠加设计(Overlay Design)
对于以下每个客户配置文件,适用以下一般要求和考虑事项:
- 随着业务迁移到云端,提升用户在使用IaaS(基础设施即服务)和SaaS(软件即服务)应用时的体验。
- 通过遍历IPS/DLP来保护发送到SaaS服务的敏感公司数据。
- 使用Zoom和Microsoft Teams进行实时通信。
- 在托管于数据中心的内部SQL系统上执行实时库存数据查询。
- 使用批量FTP文件传输处理整个环境中托管于数据中心的事务。
- 为Salesforce等SaaS应用程序提供最佳互联网出口。
为了解决这些需求:
- 采用Hub-and-spoke架构叠加方案。
- 为提高SaaS性能,通过本地分流技术优化Salesforce、Zoom和Teams的流量,即使用“SaaS express”。
- 对于库存查询,实施高优先级DPS策略;其他应用程序则采用单独的DPS策略管理。
- 确保应用安全性,启用有状态应用感知防火墙,并配备IPS、网页内容过滤及IP信誉功能。
总部设计(Hub Design)
客户概况包括以下需求和考虑因素:
- 容纳100个分支站点,并预计在未来五年内增长10%。
- 随着业务向云端迁移,提升IaaS(基础设施即服务)和SaaS(软件即服务)应用的用户体验。
- 减少对MPLS的依赖,以降低运营成本,并最终完全淘汰MPLS。
设计概要
| 型号选择 | 最大IP Sec隧道数量 | 考虑因素 |
|---|---|---|
| 9012 (推荐) | 512 | 冗余网关设计能够支持未来8年以上的增长需求。 在故障情况下,单个设备可以处理所有站点的工作。 |
| 9106 (替代方案) | 8k | 冗余网关对,支持未来10年以上的增长。 在故障情况下,一台设备可以处理所有站点的需求。 |
| vGW-2G (未来) | 4096 | 未来的IaaS/SaaS迁移考量因素 |
以下列表总结了Hub设计的关键元素:
- 网关被设置为内联模式。
- 每个网关均连接两种WAN传输方式(INET和MPLS)。
- 网关通过3层网络连接到LAN,进入WAN汇聚块并与OSPF对等。
- 数据中心路由在重新分配到SD-WAN叠加时进行汇总。
分支设计(Branch Design)
根据客户概况,我们设计了三种不同的分支站点,每个站点规模对应三个不同的模板组。中型和大型站点在分支网关上进行标准化,而小型站点则在Microbranch上实现标准化。
大型站点
根据客户概况,大型站点有以下要求:
- 业务对非计划停机没有容忍度。
- 正常运行时间由网关的高可用性(HA)和蜂窝备份保障。
- 某些通过入侵防护系统(IPS)/数据丢失防护(DLP)传输到SaaS服务的敏感公司数据必须受到保护。
- 该站点最多可容纳200名用户。
- 该站点目前使用40 Mbps连接,并计划添加一条200/50 Mbps的商品互联网线路,配备5G LTE备份。
为了解决这些需求:
- 将部署双网关配置。
- MPLS将连接到一个网关,而INET将连接到另一个网关。
- 启用WAN上行链路共享功能。
- 使用LTE作为备用连接方案。
- 网关通过三层网络与局域网(LAN)相连,并与汇聚核心进行OSPF对等互联。
- 分支路由在重新分发至SD-WAN叠加时进行汇总处理。
- 汇聚核心应采用VSF堆叠架构。
- 汇聚核心与接入交换机之间应使用LACP中继链路确保连通性。
- 为交换和无线通信启用隧道模式(UBT)。
| 型号选择 | 防火墙会话 | 考虑因素 |
|---|---|---|
| 9004 LTE (推荐) | 64k | 冗余网关,网关内置LTE 无SFP/SFP+端口 |
| 6300 (推荐) | — | 堆叠核心 |
| 6200 (推荐) | — | 接入交换机 |
| 6100, 6300 (替代方案) | — | 接入交换机 |
中型站点
根据客户概况,中型站点有以下要求:
- 业务对停机时间的容忍度较低。
- 网关高可用性(HA)提供更多正常运行时间,但没有蜂窝备份。
- 该站点最多支持100名用户。
- 使用现有的30 Mbps MPLS连接,并计划增加一个100/10商品互联网线路。
为满足这些要求,将采取以下措施:
- 在线路中放置双网关。
- 将MPLS连接到一个网关,INET连接到另一个网关。
- 启用WAN上行链路共享功能。
- 网关通过三层网络与局域网(LAN)相连,并与折叠核心进行OSPF对等互联。
- 在重新分配到SD-WAN叠加时,对分支路由进行汇总处理。
- 折叠核心应在VSF堆叠中实现,以提高可靠性和性能。
- 折叠核心至接入交换机的连通性应采用LACP干道链路(trunks)。
- 启用用于交换(UBT)和无线通信的隧道。
| 型号选择 | Firewall Sessions | 考虑因素 |
|---|---|---|
| 9004 (推荐) | 64K | Redundant pair of gateways No SFP/SFP+ ports |
| 6300 (推荐) | — | Collapsed Core |
| 6200 (推荐) | — | 接入交换机 |
| 6100, 6300 (替代方案) | — | 接入交换机 |
小型站点
根据客户资料,小型站点有以下需求:
- 业务可以容忍停机时间。
- 该站点最多有10个用户。
- 该站点只需要一个网关,无需设备级高可用性或蜂窝备份。
- 该站点使用现有的5 Mbps MPLS连接,并计划增加50/10 Mbps的普通互联网线路。
为满足这些需求:
- 将单一网关置于在线位置。
- MPLS和INET将连接到网关。
- 网关将作为所有VLAN的默认网关。
- 客户网络将使用互联网分流。
- 分支路由将在重新分配到SD-WAN叠加时进行汇总。
| 型号 | 防火墙会话 | 考虑因素 |
|---|---|---|
| 9004 (推荐) | 64k | 无SFP/SFP+端口 |
| 6100 (推荐) | — | 为本地设备提供额外端口。 |
其他小型站点
为满足这些要求:
- 单个远程接入点将被放置在内联位置。
- INET 将连接到 AP。
- AP 将作为所有 SSID 的默认网关。
- 内部用户的3层网络将进行路由。
- 客人网络的3层 SSID 将进行 NAT 转换。
- 分支线路将重新分配到 SD-WAN 叠加中。
| 型号 | 考虑因素 |
|---|---|
| 500H Series (推荐) | 支持Wi-Fi 6 |
| 303H Series (替代方案) | 不支持下一代Wi-Fi |
| 6100 (推荐) | 为本地设备提供额外端口。 |