SANGFOR-SD-WAN-2018初级能力成长-成功故事3

SD-WAN成功故事——初级课程培训SD-WAN客户场景定位1SD-WAN客户案例甄别与分享2客户场景定位安全组网软件定义分支微型组网三大组网应用场景分支IT建设有业务、网络、存储的需求可一体化交付，快速上线软件定义分支企业搭建分支快速搭建VPN组网线路主要包含WOC,AC,AF三种组网类型安全组网小型连锁门店、办事机构、3G/4G场景即插即用快速上线具备远程运维能力微型组网客户案例甄别和分享安全组网-链家地产链家目前的两个数据中心及其分支门店作为业务系统重要承载者，是目前链家IT建设的重中之重，在保证分支与总部业务连通性的情况下，也要保证数据信息安全，接入安全，传输安全等。并且，链家网站和LINK系统作为关键信息基础设施需要对整体网络进行三级等保评级认定背景链家在五年内的高速发展阶段，全国门店数量激增至8000家，对于房源数据及财务数据的安全传输是公司在战略层面首要考虑的IT建设之一，同时考虑到不同分支类型特点，选择不同的组网产品类型贴合分支端需求进行全国组网。其中中心端双活数据中心同时使用4台WOC-9250作为VPN中心端设备，每台设备独立接入不同互联网线路，避免因单一设备故障或单一数据中心出口断线而导致的业务停滞，同时使用SC进行全网统一管理及策略下发大型分支采用NGAF-1020+AC-1120进行组网，针对分支的僵尸网络风险进行防护，并管控内部上网行为中型分支采用WOC-1050进行组网，由于数据业务量较大，需提升分支业务访问体验并对内部上网进行流量控制，保证业务数据的流畅性和稳定性小型分支使用MIG-1110进行组网，保证分支的IT一体化，在无分支端运维的情况下总部端统一策略下发，门店快速上线，业务及时启动。分支端设备使用大量协议信息与链家自研统一网管平台“魂斗罗”实时互通，用IT层面对分支进行管理，真正让It价值最大化方案概述安全组网-海底捞海底捞作为同行业的领军单位，在经营理念、采用技术等方面都具备较前的意识，IPAD点餐、顾客店内上网、包括店中视频会议等都将给顾客带来全新的体验。门店客户体验类应用的速度如何保障是必须解决的问题；而从网络管理部门的角度考虑，网络建设涉及多个分支，如何保障海底捞统一的IT政策执行，如何高效的管理网络也是建设考虑的重点。为了保障点餐速度，海底捞将点餐系统（天子星）部署在每个门店，每天将数据向总部IDC同步，同时各门店需要访问总部的天子星应用、视频应用，用户比较关注业务系统稳定性、安全及使用体验。背景根据实际业务的需求，针对不同情况进行整体方案设计1、海底捞高带宽分支，采用AF-3020与总部建立IPSECVPN连接，北方及一些带宽较低的门店则采用WOC-4050与总部建立加速IPSECVPN连接，并实现对各门店网络的带宽规划及管控，移动用户则通过SSLVPN访问总部业务系统。2、总部互联网出口部署AD-1800，实现IDC的入站链路负载功能，网桥模式部署深信服下一代防火墙，实现对内网所有业务系统的安全防护，旁路模式部署深信服SSLVPN-3050、广域网优化控制器及集中管理平台设备SC-550，分别实现移动人员拨号接入，各门店ipsecVPN对接，与针对分支AF及WOC设备的统一管控。3、深信服为海底捞量身打造的广域网整体解决方案，基本上已解决海底捞整体网络所遇到的绝大部分问题。方案概述Internet上网行为管理WOCAF网络接入区服务器区总部分店1AFWOCWOC下一代防火墙SC统一管理分店2分店3分店N微型组网-京东物流京东物流作为京东电商零售的核心竞争力，以其快速性享誉全国，其中，自营可以说是京东物流最核心的特点。从仓储到末端配送人员，均采用自营模式。京东仓配现有70000多人，近8000仓储网点。在京东战略方向中，所有网点在全国范围要实现统一的操作和管理标准，最大程度确保运营质量，提升效率，优化成本。其中，全国组网建设成为IT的建设的重点，对于组网网络成本，高可用性，分支一体化的考量，在众多厂商的比拼中，选择了深信服组网方案背景京东在定义了大量标准化物流场景中，对于分支IT建设的要求是简而精1，在配送站点建设中，网关设备满足基础路由器的同时，要支持分支无线终端接入，有线无线网络备份的高冗余性，无固网线路的偏远地区4G接入，MIG的一体化解决方案完美的解决了分支需求2，在中心端，为保证全网高可用性接入，防止最高地域级别灾害而导致的断网风险，6台高端SSLVPN-8150组成的三活数据中心保证组网的强可靠性3，为保证物流等高敏感数据的“0”泄露风险，不仅使用VPN进行加密和权限控制，还在中心端后使用AC-12000进行VPN隧道内的认证与审计，保证人员访问的可信与事后泄密追溯方案概述Internet京东IDC中心机房灾备机房2SC灾备机房1站点审计VPN集群专线InternetInternet有线网4G网广域网配送站点VPN集群站点审计VPN集群站点审计专线微型组网-广西人社厅背景1，万级别的大并发组网，对中心端设备的性能及成熟度要求极高，除了技术维度，售后能力也成为获得用户青睐的关键之一。2，人社厅网络运维人员只有几个，但需要管理14000个村公所的全部IT问题，运维压力非常大，原来使用我司SSL

VPN方案的USBKEY与硬件特征码认证，但后期因为丢失，损坏，验证等运维问题的数量巨大，引导客户使用一体化VPN网关设备MIG，SC的统一管理解决了绝大部分的运维问题，满足了既可以安全接入，也可以简单运维这一困扰客户多年的难题3，总部端使用AD在SSL

VPN前端进行负载均衡，达到与SSLVPN集群相同效果，满足大并发场景下的IPsecVPN冗余性保障，当任意设备出现问题，其它设备随时接替工作4，SC进行统一管理与策略下发，运维140000点只需一人方案概述村公所人社厅总部村公所IPsec

VPNIPsec

VPNSCSSL

VPN集群负载均衡基层劳动就业社会保障公共服务平台和网络是推进落实人力资源社会保障政策、统筹城乡人力资源社会保障事业发展、更好地服务城乡居民的重要载体。基层劳动就业社会保障公共服务平台和网络是人力资源和社会保障部门直接向用人单位和人民群众提供公益性服务的载体和平台。为了方便人民办理社保、就业相关业务，建立覆盖范围至村的14000个村公所网点，直接在相应网点即可办理相关业务，无需再入城入乡统一办理。SDN-河北大学附属医院医联体背景1，医联体场景要求分支端设备需要总部统一运维与统一管理，需要承载数据采集前置机系统，进行一体化的快速交付，在中心端对全网分支状况实时监控2，每个乡镇/社区医院部署aBOS一体机，KVM开启vSSL

VPN模块与和河北大学附属医院进行医联体组网，通过VPN传输高敏感的远程会诊、远程教育、区域医疗协同数据，主体中心采用BBC对所有分支医院aBOS一体机进行集中策略配置。方案概述建立以河北大学附属医院为核心，覆盖16家区县医疗机构，打造区域远程医疗服务和分级诊疗联动体系。通过部署先进的数字化远程会诊设备和医联体应用系统软件，通过互联网在院间开展远程会诊、远程教育、区域医疗协同等业务，向下为16家县级医疗机构提供协同服务和技术帮带，向上可以获取河北大学附属医院专家的会诊、教育资源，在医学专家和患者之间建立起全新的联系，全面提升基层医疗卫生水平，提高医院区域影响力，打造河北大学附属医院为核心的分级诊疗的联动体系。SDN-青海大通县教育局背景1，教育局在IT健身中提出以下思考

1，如何简化全县中小学的IT运维。

2，如何规范上网行为，实现安全合规

3，如何实现中小学It简单标准化交付2，总部端部署BBC运维平台，全网运维可视化、智能监控分支、远程接入分支、配置下发、丰富的报表分析，实现总部敏捷管理。中小学端部署aBOS一体机，实现上网应用控制、流量管理、七层安全防护，同时提供后期业务虚拟机扩展性需求。总部端还会部署深信服BA行为感知系统，实现敏感数据、言论、校园裸贷、网贷等风险规避。3，在每个中小学网关集群部署2台aBOS分支一体机，教育局信息中心部署BBC运维平台、BA行为感知系统，实现23所中小学与教育局IPSECVPN安全组网。方案概述青海省大通县教育局，管理指导全县学校电化教育工作，推广应用现代教育技术；负责大通县教育信息网的建设、管理和维护，指导各校园网的建设、管理和维护；管理和指导全市学校教育教学网络资源