作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。

作為一個網路工程師,看到新方案時會有個習慣:你也不用先說那麼多,投影片或白板請把實際的網路流畫出來看一看,這方案的架構與做法大致上也熟悉一半了。各位,大家的心聲我們都聽到了。所以接下來這篇網誌,就要把前面和大家討論的各個不同VeloCloud場景內,網路流到底如何和大家再一次進行說明。

我們會用下面這張圖與大家說明不同的場景,其中

  • Branch Site:企業的外點辦公室或店面,安裝VeloCloud Edge設備,至少具備Internet線路(也可能具備私有線路,圖中不繪出)
  • SaaS:像是Office 365 / Salesforce / Box…這些在雲上的SaaS服務
  • VeloCloud Orchestrator:在Internet上,由Velocloud或是合作的Service Provider所提供的管理入口
  • Enterprise DC / Branch:企業的資料中心或是其他的外點,這些地點都有安裝VeloCloud Edge
  • Cloud NSP:在雲上提供網路及安全加值方案的廠商,如zScaler / Forcepoint (Websense)
  • Enterprise DC with IPSEC only:企業的資料中心,但沒有安裝Edge

場景一:管理層Traffic

設備啟用、組態異動、本地線路頻寬檢測…這類的Traffic在外點管理者將Edge連上Internet後,會自動與雲上的Orchestrator / Gateway接取。這類的Traffic都會受到DMPO通道保護,除非Internet組態設定錯誤或所有線路都斷掉了,不應該有失聯問題。

場景二:與具備Edge的資料中心或其他外點辦公室間的資料傳輸

應用傳輸的兩端都具備Edge設備,因此整個傳輸的過程都會受到DMPO通道的保護與優化。兩個Edge間會透過VeloCloud內的Cloud-VPN機制強制加密,因此沒有資料洩漏的問題。

場景三:與不具備Edge設備的資料中心連通

若企業的某些資料中心端沒有租用Edge設備(不建議,請租),此時這些資料中心可以透過IPSEC的機制,與最近的Gateway建立加密通道。當外點辦公室要和這類的資料中心相通時,Edge會與這些雲端的Gateway建立DMPO Tunnel進行傳輸優化與防護,而網路流於Gateway端則會改以IPSEC機制送往資料中心

場景四:非核心業務的網路流

往臉書或Netflix的Traffic Flow應該不需要優化吧!藉由前面我們提到的VeloCloud應用識別機制,當一個Internet應用被識別為Low Priority / Non-Business的型態時,這類的Traffic就單純地以”Direct”形式,沒有DMPO Tunnel保護的方式,往Internet傳。甚至管理者可以進一步,去針對這類Traffic進行像是限頻等等的管理方式,避免佔用重要頻寬。

場景五:往重要企業SaaS服務的網路流

VeloCloud在全球重要SaaS服務站點前有設置雲端Gateway,因此當外點用戶要連往這些服務時,Edge設備會直接與這些雲端Gateway建立DMPO通道。用戶取用這些業務相關的SaaS服務時,應用均會受到優化以及保護。

場景六:購買Cloud Network Service Provider服務的網路流

企業可能希望租用zScaler / Forcepoint (Websense)這類雲端服務,外點要連到SaaS或是Internet的Traffic,先由Internet送往這些NSP進行相關檢查(網站過濾 / Cloud Firewall / DLP…),再往外送。此時,Edge設備也會與離這些Cloud NSP最近的Gateway建立DMPO Tunnel,讓用戶往SaaS / Internet接取的應用可以用可靠的方式送往Cloud NSP進行檢查

希望透過上面的說明,讓大家對於NSX SD-WAN的傳輸架構有進一步的理解。在下一篇,我們要討論另一個議題:當您想要採用NSX SD-WAN方案時,可以與VMware (VeloCloud)進行租用,但也能夠透過我們所協力的全球線路提供商 (Internet Service Provider)取得這些服務,而兩者有什麼不同呢?