Contrail 服务编排
Contrail 服务编排 (CSO) 是一个 SD-WAN 编排和管理平台,使用自动化和虚拟化将整个区域内的站点连接在一起,包括必要时的本地分支。CSO 与 SRX 系列和 NFX 系列设备配合使用,提供敏捷的软件定义站点连接方法,支持中心辐射型和动态网格架构。
用户流量通过位于物理底层基础架构上的逻辑叠加网络进行路由。只要面向 WAN 的远程设备具有底层连接,配置或更改叠加 WAN 连接就像将新配置推送到远程设备一样简单。
托管服务提供商可以使用 CSO 为其企业客户提供 WAN 连接解决方案。单个企业可以使用 CSO 为自己的站点配置 WAN 连接,并使用基于意图的策略管理和监控应用 SLA。
CSO 可以以软件即服务 (SaaS) 和可下载的本地安装形式提供:
CSO-as-a-Service (CSOaaS) — 瞻博网络在 AWS 中提供的 SaaS 安装。瞻博网络在 AWS 中高度可扩展的 CSO 安装可供客户通过订阅使用。瞻博网络为用户提供门户访问权限,用户可以在其中登录 CSO 来管理自己的网络。托管服务提供商和个体企业订阅此基于云的服务。
CSO On-Premises — 一个软件包,只需购买一次,即可安装在您自己的计算基础架构上。希望完全控制其安装的托管服务提供商和大型企业选择此选项。
如果您是托管服务提供商,既希望获得 CSOaaS 解决方案的便利性,又希望控制 CSO 本地安装(可能是由于法规或合规性要求),请联系瞻博网络,了解有关专用 CSOaaS 产品的更多信息。
CSOaaS 降低了管理运行 CSO 所需的服务器、虚拟机、编排和管理基础设施的复杂性和开销。如 图 1 所示,瞻博网络负责 CSO 的安装和所有后端 CSO 基础架构。托管服务提供商订阅 CSOaaS,并为企业客户提供 SD-WAN 服务。个别企业订阅 CSOaaS,使用 SD-WAN 管理自己的网络连接。
图 2 显示了本地部署中的 CSO。安装和部署 CSO 的托管服务提供商对整个 CSO 部署拥有完全控制权和责任。
CSO
在这两种情况下,托管服务提供商都会提供自己的 POP 基础架构,包括将客户流量分流到提供商网络的提供商数据中心设备。对于 CSO 本地安装,托管服务提供商还需要提供提供商 OAM 中心,用于终止来自远程站点的安全 OAM 连接,并将隧道化的 OAM 流量转发到 CSO。单个 SRX 系列防火墙可以同时支持提供商数据中心和提供商 OAM 中心角色。
以下是 CSO 解决方案的亮点:
端到端管理和编排 – 功能丰富、可横向扩展、易于使用且基于微服务的编排平台
集成安全性 – 完整的安全套件,包含 NGFW、内容安全等功能,所有流量都在加密隧道中
单一编排器 – CPE 全自动部署、VNF 和 PNF 部署、托管安全、SD-WAN 服务
遵守开放标准 – 非预订式,通过开放式 API 和协议与现有服务提供商和企业基础架构以及第三方 CPE 轻松互作,软件可部署在公共云和私有云上
完整路由和 MPLS 堆栈 – 支持 WAN 和 LAN 上的 BGP/OSPF/IS-IS/MPLS/VRRP 等;具有分布式 SD-WAN 中心的可扩展架构
运营商级设备 – 创新分支设备(NFX 系列),为第三方 VNF 提供服务链支持
CSO SD-WAN
CSO 提供第 3 层连接的自动化以及第 4 层到第 7 层的分布式服务。该实施使用位于分支站点的智能 CPE 设备连接到中枢设备以及其他分支站点。流量可以从分支站点流向中枢站点、分支站点之间直接流动,然后从分支或中枢站点分流到 Internet。
图 3 显示了一个基本的 SD-WAN 模型,其中两个站点通过两个不同的网络连接,两个站点的 WAN 访问都由 SD-WAN 控制器控制。
CSO SD-WAN 解决方案为托管服务提供商和企业带来了类似 SDN 的功能,提供敏捷性、自动化和从故障 WAN 链接中快速自动恢复的功能,同时控制 WAN 服务成本。您可以向现有 IP/MPLS VPN 服务添加连接选项,例如宽带或蜂窝互联网连接,这样您就可以确定连接中关键流量的优先级,并在主链路质量下降到足以危及服务级别协议 (SLA) 时,主动将流量转移到备用链路。
CSO 新一代防火墙 (NGFW)
您可以使用 CSO 在远程分支分支站点部署独立的新一代防火墙 (NGFW) 设备。NGFW 部署通过在辐射站点上使用 SRX 系列防火墙作为客户端设备 (CPE),提供远程网络安全。此解决方案提供针对单个位置的托管安全和 LAN 可见性,而不像 CSO SD-WAN 解决方案那样提供 CSO 托管的站点到站点连接或 VNF。 图 4 显示了简化的 NGFW 部署。
