簡介
思科® SD-WAN 解決方案是企業級重疊廣域網架構,可推動企業實現全數字化轉型,並過渡到雲。該解決方案可以
在大規模網絡中完全集成路由、安全、集中策略和協調功能,具有多租戶、雲交付、高度自動化、安全、可擴展、
應用感知和豐富的分析等特點。思科 SD-WAN 技術解決了常見廣域網部署的各種問題和挑戰。
本指南介紹思科軟件定義廣域網網絡實施,展示組織常用的一些部署模式和功能。本指南並不會詳盡地介紹所有部
署選項,而只重點介紹最佳實踐,並幫助成功配置和部署思科 SD-WAN 網絡。
示例 SD-WAN 網絡包含一個數據中心(具有兩台思科 vEdge 5000 路由器)和五個遠程站點(混合使用運行 SDWAN 軟件映像的思科 vEdge 1000 路由器、思科 vEdge 100 路由器以及思科 ISR 4351 和 4331 路由器)。利用
我們所介紹的數據中心現有環境部署,可以在從廣域網向軟件定義廣域網遷移期間,通過數據中心連接至非軟件定
義廣域網站點。本指南將介紹遠程站點新環境部署,但是其中的配置概念也適用於現有環境部署。
注意:運行 SD-WAN 軟件映像的思科 ISR 4000 和 1000 路由器以及思科 ASR 1000 路由器也稱為 IOS XE SDWAN 路由器。思科 IOS XE SD-WAN 路由器與思科 vEdge 路由器一起,統稱為思科廣域網邊緣路由器。
開始部署的必備條件:
• 已安裝思科廣域網邊緣路由器,並且這些路由器隨時可進行配置。 IOS XE SD-WAN 路由器應該已從 IOS XE
轉換為 SD-WAN 代碼。有關轉換的信息,請參閱附錄 B。
• 已配置與思科廣域網邊緣路由器鄰接的設備。
• 已使用思科雲託管服務設置並部署 SD-WAN 控制器。
• 理解思科 SD-WAN 解決方案及其相關概念,但無需具備部署經驗。有關 SD-WAN 解決方案的背景信息,請
參閱《軟件定義廣域網設計指南》,網址為:
https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/SDWAN/CVD-SD-WAN-Design2018OCT.pdf。
有關本部署指南中使用的硬件型號和軟件版本,請參閱附錄 A。有關部分配套的網絡設備配置,請參閱附錄 F。有
關 vEdge 設備的配置摘要,請參閱附錄 G 和 H。
有關其他文檔(包括面向 SaaS 的 Cloud onRamp 部署指南),請參閱 http://www.cisco.com/go/cvd 上的設
計區。
SD-WAN 部署概述
為了獲得功能完備的 SD-WAN 重疊,需要執行一系列步驟。下圖展示的是一個工作流程示例
1. 網絡規劃 – 規劃設備佈局、系統 IP 地址和站點 ID;規劃廣域網邊緣設備配置、策略和代碼版本;規劃配
套的設備配置,包括為滿足廣域網邊緣通信需求而必須開放的任何防火牆端口。制定詳細的遷移計劃。
2. 部署軟件定義廣域網控制器 – 應部署 vManage、vSmart 控制器和 vBond 協調器;應安裝證書;並且這些
控制器應相互執行身份驗證。
3. 調整併升級控制器 – 可以驗證軟件定義廣域網控制器狀態,並根據常用最佳實踐配置適當進行調整。必要
時,可以升級這些控制器。
4. 上傳授權序列號文件 – 授權序列號文件包含所有經授權可以進入網絡的廣域網邊緣路由器的序列號和機箱
編號,應上傳到 vManage 中。該文件上傳到 vManage 中或完成同步後,將分發給 vBond 和 vSmart 控
制器。請注意,可以上傳多個授權序列號文件,重複的設備條目會被忽略。
5. 配置功能模板和設備模板 – 配置功能模板和設備模板,並將這些模板與廣域網邊緣設備關聯,必要時為參
數值創建變量。 vManage 會構建完整配置並將其推送到廣域網邊緣設備。建議在部署分支機構之前,先部
署數據中心。
6. 配置本地化策略 – 配置本地化策略,並將該策略與目標設備模板關聯。請注意,如果設備模板已與廣域網
邊緣設備關聯,則需要首先關聯本地化策略,再在功能模板中執行任何策略引用。
7. 配置集中策略 – 使用 vManage 配置所有集中策略,這些策略將下載到網絡中的 vSmart 控制器上。
SD-WAN 部署概述
7
8. 啟動/升級廣域網邊緣路由器 – 啟動廣域網邊緣路由器,以與 vBond、vSmart 和 vManage 設備建立控制
連接。此操作可以通過手動引導配置或自動調配過程完成。自動調配包括適用於 vEdge 路由器的非接觸調
配 (ZTP) 流程,或適用於 IOS XE SD-WAN 路由器的思科網絡即插即用 (PnP) 流程。此外,請根據需要升
級廣域網邊緣路由器,可以通過 vManage GUI 手動執行,也可以在自動調配過程中自動執行。
請注意,上述步驟的順序可靈活調整,但以下幾點例外:
• 網絡規劃和 SD-WAN 控制器部署應首先執行。
• 計劃升級到新代碼版本時,應首先升級 vManage 設備,然後升級 vBond 和 vSmart 控制器,再升級廣域網邊
緣路由器。
• 需要先上傳授權序列號文件,然後才能成功使任何廣域網邊緣路由器上線。
• 必須在 vManage GUI 中將設備模板與廣域網邊緣路由器關聯,才能通過 ZTP 或 PnP 流程成功使這些路由器
上線。
• 本地化策略需與設備模板關聯。如果設備模板已與 vEdge 設備關聯,則必須先關聯本地化策略,然後才可以
在設備模板內引用任何策略組件(路由器策略、前綴列表等)。
標籤: 300-415
科技創新,山西證券打造未來發展新優勢
案例丨科技創新,山西證券打造未來發展新優勢
思科聯天下 2021-11-25 17:00
以下文章來源於金融電子化 ,作者金融電子化
山西證券信息技術部總監 王建國
文 / 山西證券信息技術部總監 王建國
行業技術研究員 徐淵 郝楓
我國資本市場在經曆三十年的不斷創新發展, 市場規模、交易品種、交易方式、信息技術應用等都發生了較大變化。 9月2日,習近平主席在2021年中國國際服貿會上宣佈設立北京證券交易所,打造服務創新型中小企業主陣地,9月3日,北京證券交易所有限責任公司註冊成立,這些新態勢促進了資本市場的健康穩定發展,也對作為資本市場重要參與者的證券公司提出了新要求。
在數字技術應用場景不斷拓寬的大趨勢下,山西證券加大信息技術和科技創新投入,努力夯實金融科技基石,通過數字化轉型提升管理水平,增強合規風控能力,加大力度服務實體經濟,助力資本市場高質量發展。
構建“穩態+敏態”共增長格局
今年是我國“十四五”規劃的開局之年,規劃全文中多次提到加快數字化發展,打造數字經濟新優勢,協同推進數字產業化和產業數字化轉型,營造良好數字生態,建設數字中國,凸顯了數字化發展和數字化轉型的重要作用和意義。
山西證券在公司“十四五”規劃中提出以客戶為中心、“差異化、一體化、平台化、數字化”的戰略綱領,以大量的篇幅闡述瞭如何開展數字化,解決數字化經營痛點,釋放價值,推動轉型與創新。
數據中心是證券公司對數據資源進行規劃與整合的平台,是信息系統發展的基礎和核心。山西證券在戰略上高度重視信息技術資源投入,2020年底開始規劃新建太原澤信街數據中心,著力保障關鍵信息基礎設施的安全穩定運行,打造新一代敏捷彈性混合雲架構,提高跨雲資源利用率和業務敏捷自助能力,更好地服務於業務創新。同時成立了山證科技(深圳)有限公司,致力於將大數據、雲計算、人工智能等技術與業務緊密融合,用科技為業務、管理、客戶賦能,提升公司在金融科技方面的核心競爭力,力爭實現“穩態更穩、敏態更敏”的新發展格局。
推進網絡變革,提升管控能力
在規劃新一代敏捷彈性混合雲架構數據中心的過程中,縱向overlay和underlay網絡和橫向full-mash結構互通變得越來越複雜,傳統穩態網絡與敏捷多雲架構之間如何联動,云網融合變成了亟待解決的橋樑問題。
2020年初,山西證券開始測試Cisco SD-WAN解決方案,通過對線路智能感知、帶寬疊加、應用QoS、數據加密、可視化網管等方面,進行了嚴苛且全面的功能性測試,同時比對了多款同類產品的性能。經測試證明Cisco SD-WAN在云網融合中效果顯著,極具應用價值,而基於SD-WAN的混合雲組網架構可以實現分鐘級的一鍵開局和快速佈網,同時提供了豐富的互聯網組播行情、交易數據低延遲保障、快速的容災保護以及網絡安全審計等多種功能。
01.行情加速
證券公司通常在自建的廣域網匯聚節點上接收來自交易所的行情,並將其複制分發給各個終端。一方面,這種中心化的複制方式對匯聚節點帶寬需求非常高,同時也容易產生單點故障,組播行情災備設計較為困難。另一方面,由於行情都需要繞行到數據中心廣域網匯聚節點再轉發,部分地域行情延遲較大。
使用SD-WAN的方式可以構建基於混合雲的組播行情網絡,通過使用部署在公有云上的虛擬路由器,構建區域性的行情轉發中心,借助公有云的帶寬和高質量鏈路資源進行行情組播轉發。組播雲行情的提供也極大地提高了整個行情網絡的健壯性並降低了延遲,並且云專線帶寬可以根據市場交易熱度需求動態調整帶寬,滿足了業務彈性需求,也降低了原有專線網絡的運維成本。除此之外,採用在公有云虛擬路由器旁掛轉碼服務器的方式構建覆蓋全國的互聯網行情源,投資者可以獲得更加快速穩定的行情。
02.交易穩定
SD-WAN可以動態的根據鏈路服務質量在多條廣域網鏈路上進行負載均衡和容災保護,並可以根據服務等級約定(SLA)規定關鍵業務可傳輸路徑,實現業務流量的精準調度。同時Cisco SD-WAN針對互聯網線路潛在的鏈路丟包可以使用雙平面、奇偶校驗等發送方式進行優化,例如針對關鍵交易應用採用雙平面發送機制,可以在丟包25%的情況下保證傳輸質量,降低80%的延遲抖動,避免了任何重傳帶來的交易影響。通過流量調度器、優先級隊列,以及基於延遲管控的隊列緩衝技術,豐富了QoS功能,為關鍵業務提供了保障,避免了一些高突發場景中業務傳輸風險。
03.網絡安全
網絡安全在混合雲部署中非常重要,除了默認採用IPSec隧道加密的方式傳輸數據外,還需要對業務進行微分段管控,特別是公有云和互聯網等容易遭受攻擊的區域,Cisco SD-WAN採用了傳輸接口和業務接口的方式分離廣域網和業務側。在廣域網側默認僅開啟IPSecVPN所使用的端口,其它端口完全關閉,並且針對不同的業務構建了完全獨立的路由轉發表,形成了天然的安全屏障。
圖3:SD-WAN微分段實現不同業務廣域網傳輸的安全隔離
Cisco SD-WAN控制器內建多種的報表和日誌分析功能,日誌還可以採用標準的Netflow格式導出,通過Netflow採集器可以導入到監控中心進行更加細緻的安全分析並滿足上網行為日誌管理等合規要求。
04.智能運維
Cisco SD-WAN控制器還提供了豐富的北向接口,以及詳細的基於流可視化運維平面,針對每個流也有詳細的延遲丟包信息統計,可以看到該流使用的策略、DPI識別結果、NAT轉換地址等信息。此外,可以通過U盤、郵件等方式,實現分鐘級的動態多點開局和業務彈性部署。
未來展望
新發展格局的構建,供給側結構性改革的深入推進,為資本市場發展提供了堅實支撐。未來,山西證券將打造高質量、低延時、穩定的系統服務,提供快速、高效的交易通道;通過敏捷、多樣化、可迭代的系統服務,升級與客戶的互動模式,有效提升客戶體驗;通過數字化轉型、AI等方面的創新發展,不斷提升自身競爭力,塑造未來發展新優勢,打造特色券商,努力走出一條高質量發展道路。
技術丨思科被評為 2021 年 Gartner《廣域網邊緣基礎設施魔力像限報告》領導者
原創 思科聯天下 思科聯天下 5天前
我們在此宣布一個振奮人心的消息:Gartner 在其發布的《2021 年 Gartner 廣域網邊緣基礎設施魔力像限報告》中,再次將思科評為市場領導者。思科 SD-WAN 解決方案通過打造滿足當下混合辦公需求的安全、可預測式數字體驗,構建動態、智能的辦公空間,以及為各種多雲環境提供保障,賦能客戶更快過渡至基於 SASE(安全訪問服務邊緣)的網絡架構。
如今,運行在網絡上的工作負載比以往任何時候都更加動態和分散,而為這些全新用例提供支持的需求主要體現在廣域網上。 IT 部門不僅要為一種新的用戶類型——混合型用戶,以及關鍵任務雲應用程序和大量互連設備提供連接,還要盡可能優化每一次的交互體驗。作為內部託管、IaaS 託管以及 SaaS 應用程序之間的橋樑,它們需要端到端的安全和治理,才能跨越多個站點為企業數據提供切實保護。隨著越來越多的應用程序流量逐漸遷移到企業邊緣以外,IT 部門還需要通過更強大的解決方案,使可見性和自動故障排除能力貫穿整個數字體驗環節。而這種因工作負載過於分散而導致複雜性的趨勢正在日益加速。
思科 SD-WAN:無縫、安全、優化
為了給廣大客戶打造一個值得信賴的平台並提供領先的技術,思科 SD-WAN 所具備的能力已遠超傳統 SD-WAN(軟件定義廣域網)的範疇。從實現多雲訪問,到保障基礎設施免受最新威脅的攻擊,再到提供優化的洞察力,我們認為思科是企業將卓越網絡體驗覆蓋多個地點的理想之選。
“思科 SD-WAN 讓我們能將 AWS 可靠地用作全球轉接網絡。連接速度非常快……只需要把路由器寄送至遠程站點,整個過程不到一周。”
—Adrien Geniller, ENGIE 首席網絡架構師
多雲環境,無縫接入
首先,思科 SD-WAN 整合了業界領先的多雲技術,提供覆蓋所有主要雲平台的統一策略,盡可能優化 SaaS 應用程序體驗,並通過雲互連繫統自動實現跨雲分支連接。憑藉與 AWS、Azure、Google Cloud、Megaport、Equinix 等供應商廣泛的雲端整合,我們的客戶就能以靈活、安全和可擴展的方式自動無縫連接到任何站點到雲、站點到應用以及站點到站點的配置。
網絡安全,保駕護航
其次,如果本地環境和原生雲 SASE 環境都集成了雲交付的思科 Umbrella®(僅在香港和台灣地區適用),思科 SD-WAN 解決方案即可提供一體化的安全和網絡策略控制,以防止安全盲點和網絡威脅的出現。而這些解決方案正是出自思科 Talos 之手,作為行業領先的可見性、可行性情報和漏洞研究團隊,Talos 致力於為廣大思科客戶提供快速的威脅檢測和保護。我們通過 Viptela 和 Meraki 這兩個系列的 SD-WAN,幫助客戶將安全能力部署到雲邊緣,並幫助他們在採用本地或云管理解決方案時都能實現靈活、高效且一致的策略管理。
擴大洞察,持續優化
最後一點,與思科 ThousandEyes 的整合賦予思科 SD-WAN 更加出色的可見性,這種可見性已經超越傳統網絡邊界,延伸至互聯網、雲以及 SaaS。 ThousandEyes 的技術能讓客戶快速查明網絡問題的根本原因,將應用程序行為與底層網絡性能關聯起來,並將實時數據轉化為具有重要意義的可執行洞察力。
思科 SD-WAN:部署 SASE 的基石
“思科 SD-WAN Security 不僅降低了我們的複雜度,還提升了我們的自動化能力,因此我們可以根據具體需要採用相應的安全控制措施。Catalyst 8000 Edge Platform 又讓整個解決方案錦上添花,這一點讓我們非常興奮。
—Joachim Sinzig, Riedel Networks 產品管理總監
思科始終致力於為客戶提供可滿足他們在整合、部署和管理方面等需求的解決方案,以此來幫助客戶擴展業務,並在不犧牲速度、性能以及用戶體驗的前提下,在用戶所選的任何辦公地點都提供有效的安全保障措施。隨著 SASE 架構的不斷發展,每個組織都會通過自己獨特的方式來部署 SASE。而其中許多組織的 SASE(安全訪問服務邊緣)戰略部署都始於思科 SD-WAN。雖然 SASE 的成功部署取決於架構、性能、經驗需求等多重因素,但是如果能夠找到一家供應商,他不僅能將一流的網絡、安全和可觀察性完美整合,又能通過相應的靈活性和投資保護,幫助您按照自己的節奏向雲過渡,這就意味著您找到了有效部署 SASE 的最快路徑。思科正是通過單一產品整合的方式,為客戶提供 SASE 結構包含的所有構建要素。
能被 Gartner 提名 2021 年廣域網邊緣基礎設施魔力像限象限領導者,思科感到無比榮幸。我們亦會為實現我們的偉大願景而不懈努力,那就是:將思科一流的網絡、安全和可觀察能力完美結合,將無縫、安全的應用程序訪問體驗部署到用戶所在的任何網絡,任何地點。