SDWAN方案技术说明
(1)总部IDC数据中心业务网络出口位置部署台SDWAN专线装备作为全国分支专线接入的服务器端,由其来承载团体总部各种重要业务系统,并通过远程利用发布的方式,来实现分支用户使用各种智能端终安全快速的接入访问;同时,后续可在总部部署两台SDWAN专线装备互为备份,到达冗余保障的要求,提供高稳定性的服务和数据交付;
(2)总部数据中心单臂方式部署SC集中管理平台,全网装备统一接入集中管理;
(3)利用总部的专线服务器中的ipsec核心模块和各分支的MIG小装备进行SDWAN隧道建立、通讯;
(4)各分支部署MIG多功能专线网关装备,在各分支网关出口处都对私网IP段做隧道内NAT,解决各分支访问IDC机房时的IP冲突问题,同时根据各分支需要MIG装备还支持WIFI接入功能;
SDWAN组网说明
SDWAN方案中团体总部和各分支之间通过SDWAN建立高速安全的专线隧道,整网信息相当于局域网的传输,SDWAN具有以下特点:
(1)基于安全的IPSec协议、完备的接入鉴权机制
MIG网关遵守的是IPSec协议,IPSec是目前最为安全专线协议。MIG加密使用AES128位加密算法,该加密算法是美国国防部采取的标准,比同等级别的3DES快3倍。
(2)细致的专线用户权限划分及隧道内流控技术
MIG网关采取专线权限粒度分析技术,可以简单灵活的指定每一个专线用户的具体权限,可以细致到端口级别的权限,通过这项技术可使得指定的资源只有授权的用户才能访问。同时为了保障组织带宽公道分配,专线连接的稳定可靠,MIG增加了隧道内流控功能,在总部专线装备上对专线账户或组设定【发送/接受流量上限】,分支接入时此策略下发到分支或移动,分支或移动根据下发的策略进行流控,超过限制的包将被抛弃。
(3)便捷的SDWAN隧道内NAT技术
隧道内NAT可以实现在两个或多个分支间产生子网冲突的时候,对其中几个分支子网地址启用虚拟IP段进行NAT,保证访问总部的子网地址都是不同网段。其原理是:在两个或多个分支间产生子网冲突的时候,对其中几个分支子网地址进行NAT,对有冲突的分支账户启用虚拟IP段(可按需求配置多个虚拟IP网段),分支对虚拟网卡送来的数据先替换源IP为虚拟IP(即便用SNAT),主机号保持不变,以后发送到总部,对总部送回的数据根据之前的替换映照关系还原源IP以后在发送到虚拟网卡。这样有相同内网段的几个分支都可以同时连上总部。
