深信服SD-WAN实施方案

#

一、项目背景

XYZ公司是一家国内大型零售业企业,业务遍布全国各地。随着企业数字化转型的深入,XYZ公司的业务种类和网络环境发生了明显变化:

1. 流量激增,带宽压力加大。新兴的视频会议、远程监控、VR应用大幅增加网络流量,对网络带宽提出更高需求。
2. 业务架构云化,连接环境更为复杂。已有超过50%的应用系统上云,网络环境变得更加复杂。
3. 分支机构快速增加,目前已超过100个省区级分支。对网络扩展性能力提出 challenge。

此外,新版密码法要求加强数据传输加密,提高网络安全合规水平。XYZ公司面临如何在不改变网络架构的情况下快速应对业务变革的挑战。经调研,拟采用SD-WAN解决方案来支撑企业网络建设。

二、项目需求

经过调研,XYZ公司网络建设项目的需求确定为:

1. 保证关键业务的高质量接入,尤其是视频会议等新型应用。
2. 简化分支大规模扩张的网络部署难题。
3. 有效利用多种网络资源,降低带宽成本。
4. 提升网络安全防护能力,满足数据加密传输需求。
5. 集中可视化管理网络,降低运维难度。

三、网络拓扑概览

1. 总部机房内部网络概况

总部机房内部为三层网络架构,核心层部署了冗余的思科Catalyst 9200交换机,汇聚层部署了SD-WAN设备和BBC。

2. 实施前网络拓扑架构

XYZ公司目前网络出口采用ISP1和ISP2两条线路。分支通过标准IPsec与总部连接。

3. 实施后网络拓扑架构

在总部部署SD-WAN设备和BBC。分支直接通过SD-WAN隧道接入总部SD-WAN,共享使用ISP1和ISP2两条线路。

四、实施规划

1. 设备及版本选择

考虑需求及100+分支规模,选择SD-WAN方案设备为:

• BBC-1000高可靠集中控制器*2台
• SDW-R2108高端路由器*2台(部署在总部机房)
• SDW-R2208性能路由器 *100台(部署在各分支)

软件版本均选用稳定版本BBC 4.5.1与SDW-R 4.5.1。

2. 拓扑规划

(1)总部规划

在汇聚层,BBC和SDW-R通过独立二层交换机与Catalyst核心交换机连接,同时SDW-R组建HA,BBC组建热备模式。

(2)分支规划

分支上激活SD-WAN设备,默认路由指向SDW-R,通过SD-WAN隧道直接访问总部资源。

(3)出口线路

总部的两台SDW-R设备分别接入ISP1和ISP2两条线路,通过端口映射与分支通信。

3. 地址规划

• 总部SDW-R
  • WAN口:192.168.1.1/24, 192.168.2.1/24
  • HA口:192.168.100.1/24
  • 内网:172.16.10.1/24
• 总部BBC-1
  • 管理口:192.168.15.1/24
  • HA口:192.168.100.2/24
• 总部BBC-2
  • 管理口:192.168.15.2/24
  • HA口:192.168.100.3/24
• 分支SDW-R
  • WAN口:分支ISP接入地址段
  • 内网:172.16.20.1/24

4. 分支部署规划

采用云端开局的零接触部署方案,无需专业人员现场参与,大幅简化部署。

5. 业务规划

视频会议、ERP、CRM确定为高优先级业务,通过SD-WAN的服务质量功能进行带宽保障。

五、实施准备

1. 完成设备采购,机柜电源预检查等准备工作。
2. 完成总部机房内设备布线,标签准备就绪。
3. 对接ISP完成出口IP分配,确保端口可达性。
4. 创建云端开局的分支激活 URL,准备下发给分支管理员。
5. 对接LDAP,准备同步员工目录用于分支设备认证。
6. 完成设备离线配置,加载稳定版本。
7. 准备交换机中间件,实现业务引流。

六、实施步骤

1. 总部SD-WAN部署

(1)架装设备,插入电源。

(2)按照接线规划接入管理网络、WAN口。

(3)配置基础管理参数,如时区、NTP等。

(4)配置WAN口地址,建立HA,检验状态。

(5)接入核心交换机,配置内网地址。

(6)配置出口NAT,接入ISP1和ISP2。

2. 总部BBC部署

(1)架装设备,插入电源。

(2)按照接线规划接入管理网络。

(3)配置基础管理参数,如时区、NTP等。

(4)接入核心交换机,配置管理地址。

(5)搭建BBC双机热备模式。

3. 核心交换机配置

(1)配置VLAN,划分用户网段。

(2)配置中间件,实现业务流量引流到SD-WAN。

4. 分支SD-WAN部署

(1)管理员下发分支开局激活邮件URL。

(2)分支管理员点击URL,设备自动获取配置接入总部。

(3)设备重新启动后,自动接入SD-WAN管理平面。

5. BBC管理平面

(1)添加总部及分支设备到SD-WAN管理中。

(2)配置基础模板,如VPN参数、ACL策略等。

(3)配置智能业务策略,实现线路选择。

(4)下发配置,分支批量接入总部SD-WAN。

七、验证测试

1. 分支与总部隧道连通性检测

分支设备上线后,检查与总部的SD-WAN隧道状态,确认隧道已正常建立。

2. 业务访问检测

在分支内网主机访问总部业务服务器,同时在总部抓包检查流量经过路径。

3. 自动切换检测

模拟断开一条出口线路,检查业务能够自动切换到备用线路的效果。

4. 视频会议测试

从分支发起视频会议,验证会议质量正常。

5. BBC管理平面检测

登录BBC Web界面,检查设备、网络状态信息是否被正常上报。

八、方案优化

1. 根据线路实际质量,调整SD-WAN智能策略。
2. 观察关键业务实际使用情况,适当调整流控策略。
3. 开启BBC的邮件、短信告警功能,及时获知网络异常。
4. 根据网络和业务情况,延长或缩短探测、故障检测的时间参数。

通过SD-WAN解决方案的引入,XYZ公司实现了业务准入快速、网络带宽成本降低、运维管理简化的效果。后续将根据网络情况持续优化SD-WAN部署和配置,实现网络与业务的最佳匹配。

联系我们