思科SDWAN和阿里云混合组网案例

最近几个月忙的一件事情终于落地了, 感谢思科研发中心的同事和阿里云的同学们~ 思科SDWAN将于今日发布的IOS XE 17.5.1版本正式支持阿里云. 这里做个非官方发布~

为什么需要云虚拟路由器

很多人会问, 公有云都有一些自己的VPN网关,为什么还需要厂家的云虚拟路由器? 其实有很多场景需要在云网融合的过程中做很多特殊的处理，例如云灾备、流量工程、安全审计这些都是对传统的星型IPSec VPN互联结构的增强。因此很多场景中都是由厂商提供虚拟路由器和云端VPN网关互联的方式构建混合云架构。

云网融合场景下的为SDWAN提供了更多的需求，需要SDWAN支持按需部署(on-demand)，像业务(as-a-service)那样一键开通(on-click)几分钟(ready-in-minutes)就能上线，支持多云连接(multi-cloud & cloud agnostic)，支持更加丰富的安全特性(SASE).. 下面分享给大家几个常见的部署场景。

覆盖全国的弹性云专线网络

随着数字化转型越来越深入，很多行业都需要构建一个覆盖全国的骨干网络，通常我们会采用层次化的方式在各个区域构建POP点的方式搭建。在前期测试中，我们推荐给了一些客户在阿里云北京、上海、杭州、深圳、河源、张家口、河源、成都建立了8台虚拟路由器，八台路由器通过阿里云专线互联构成一个云骨干网架构，各分支机构路由器可以在原有Underlay网络的基础上增加一个云专线传输平面，获得异构网络容灾和弹性带宽需求的能力，可以非常便捷的完成分钟级的链路扩容优化。

云组播

在线教育、视频会议、证券行情等都可以使用组播的方式节省带宽，但是组播最大的缺陷就是无法跨越Internet传输。我们可以通过在阿里云上构建虚拟路由器的方式，将组播源信息通过阿里云专线发送到全国各个阿里云的区域，分支机构路由器可以通过预配置的经纬度信息就近选择阿里云的虚拟路由器节点加入组播组，这样就减小了广域网上跨区域的链路带宽消耗。

全球加速

在华外企或者我国企业的海外机构通常需要能够将自己的分支机构和全球网络连通，传统的方式需要使用运营商备案的专线实施，而我们可以通过在阿里云上部署多个节点，企业在阿里云备案后即可开通阿里云全球加速业务，配合思科SDWAN的路由策略即可将全球各地的网络便捷快速的连在一起。

弹性迁移

另一个业务场景是很多工作流量需要IP地址不变的情况下迁移到云端，例如一些计算任务原有本地服务器可以进行处理，但是由于某个特殊的计算需求，需要云端的HPC或者大量GPU资源处理，而本地的数据库等业务都有严格的地址访问管控或者网络拓扑约束，我们可以通过基于LISP的方式在阿里云和本地构建一个弹性迁移网络，任何机器都可以在阿里云和本地采用相同的IP地址部署，这样弹性的异构连接极大的方便了应用开发人员。

项目实施文档:<构建二层混合云连接：无缝迁移工作负载>

安全互联网出口

很多企业因为合规要求或者应用部门的约束还是希望将业务处理放置于本地，但是又面临连接专线带宽弹性不够或者被DDoS等其它手段攻击的担忧，我们可以采用如下方式，利用阿里云的DDoS防护能力、WAF能力和弹性带宽能力，在云端为业务保驾护航，而将正常的业务处理通过隧道转移到本地处理。

项目实施文档:<明修栈道~ 业务本地部署，云端访问>

云网安全

网络安全在混合云部署中非常重要，除了默认采用IPSec隧道加密的方式传输数据外，我们还需要对业务进行微分段管控，特别是公有云和互联网等容易遭受攻击的区域，本次测试的SDWAN采用了传输接口和业务接口的方式分离广域网和业务侧，在广域网侧默认仅开启IPSecVPN所使用的端口，其它端口完全关闭，并且针对不同的业务构建了完全独立的路由转发表，形成了天然的安全屏障。

针对业务侧，SDWAN内置了防火墙和入侵防御检测功能，支持基于内容的过滤，同时还内置了高级恶意软件检测功能，提供多维度的安全保障。

同时，我们还可以将安全日志直接发送到阿里云的ElasticSearch集群进行在线的安全审计和分析：

一键开局

针对云网融合的场景，传统的网络设备也需要采用IaC(基础设施即代码)的方式运维，我们已经完成了云端虚拟路由器的cloud-init支持，并且可以借助它实现五分钟一键上线。同时我们也在开发vManage等控制器的一键部署的功能，包括控制器配置的快速备份、迁移等，接下来会逐渐发布出来供大家使用：）