Abstract : during the epidemic stage, all kinds of enterprise leaders are considering telecommuting / collaborative work in order to maintain the normal operation of the company's business.?At present, major enterprises have also launched their own telecommuting / collaborative office platforms, such as Ali's DingDing, Tencent's WeChat Work, ByteDance’s Fei Shu and so on.?However, according to research, more demand of enterprises is that employees can directly access the internal business system at home and can directly access the office computer to complete the development of business work, which is not easy to achieve in the current common collaborative office platform.?In order to realize the voluntary demand for direct access to the internal business system, it is necessary to establish the corresponding network connection service, and at the same time provide a fixed accessible IP address for direct access.
關鍵詞 :疫情,遠程辦公,協同辦公,網絡連接
自2019年12月爆發新冠肺炎(COVID-19)以來,尤其是過完春節假期,遠程辦公需求就大量爆發了。對此,市場上湧現出大量的遠程辦公/協同辦公平臺,各大互聯網廠商相繼下場,以期占領這個突然爆發的並不算新興的市場。
但是通過筆者對這些協同辦公平臺的試用結果來看,都不是特別能夠滿足個人需求。當前市場上所湧現出的這些遠程辦公平臺,更多傾向於協同文檔、視頻會議等應用場景,而並未充分考慮遠程訪問企業內部業務系統和辦公資源這壹場景。
經過多輪的認證分析之後,筆者認為要想實現對企業內部業務系統和辦公資源的訪問,還需要滿足3點要求:(1)具備公***網絡訪問能力;(2)至少有1個固定IP地址,以綁定相關的業務系統;(3)支持配置虛擬網絡連接服務。
筆者建議企業在建設遠程異地訪問內部業務系統和辦公資源綜合網絡時,充分考慮使用SDN(Software Defined Network,軟件定義網絡)和NFV(Network Function Virtualization,網絡功能虛擬化)技術,以實現上述3點要求。
而綜合考慮,虛擬化SD-WAN服務能夠最大限度地滿足這些要求,虛擬化SD-WAN服務可在不增加額外的軟硬件系統的基礎上,充分實現企業辦公室設備和員工家庭設備之間的快速智慧連接,完成辦公綜合網絡的建設工作。
要想了解虛擬化SD-WAN服務,那就必須要對SD-WAN服務有著壹定的了解。
SD-WAN全名即Software-Defined Wide Area Network(軟件定義廣域網),其服務基於高品質的公***網絡資,利用SDN/NFV技術重新構建骨幹網絡,助力企業用戶快速實現總部與分支機構互連、數據中心互連和雲服務互連。
簡單來說,SD-WAN由兩部分組成:SDN Router(簡稱白盒終端)和SDN Controller(SDN控制器),其中SDN Router負責數據流量的轉發工作,SDN Controller負責數據流量轉發的路徑計算。兩者的密切結合,實現了傳統網絡架構所不具備的轉控分離(數據轉發平面和路徑控制平面)功能,將原本Router或Switch的功能進行分離,在SDN Router僅保留數據流量轉發能力,而將路徑選擇、路由計算能力交給SDN Controller處理。
這樣的設計結構,使得SD-WAN服務在網絡連接、數據轉發方面的效率大幅提高,能夠做到及時的路徑路由調整,對網絡擁塞有著相當的提前預判和管控能力。
SD-WAN服務需要在各連接機構、單位部署SDN Router,所以壹般來說SD-WAN更多應用於企業互連。對於疫情階段個人用戶的適用性並不強,為每個員工安裝壹臺SDN Router同時建立IPsec隧道連接的成本過於高昂。
基於此,SD-WAN服務虛擬化的需求大幅提升。如何將SDN Router實現的功能虛擬化在X86或ARM架構的機器上,就成了疫情期間SD-WAN服務商需要考慮的大事情。應對如此局面,多數企業選擇將以往部署在服務器端的vCPE安裝在員工家用PC機,但這樣的方案對員工家用PC機以及個人IT技能素質提出了相對較高的要求:(1)硬件系統配置要求相對較高;(2)軟件系統需要Linux環境,意味著要麽將原本的非Linux操作系統重裝成Linux系統,要麽安裝虛擬機;(3)部署過程對員工的IT技能要求相對較高,既要懂得IT網絡知識,又要懂得Linux操作命令等。
如何將SD-WAN服務能力簡單的虛擬化,並且支持在多種操作系統(桌面端:Windows/Linux/MAC OS,移動端:Android/iOS)簡單安裝即可使用,就成了研究的新方向。
虛擬化SD-WAN服務無需為每個用戶部署壹臺SDN Router,也無需將傳統對配置要求有較高要求的vCPE部署在客戶機器,只需要簡單安裝壹款軟件,即可在客戶機上生成壹張虛擬網卡,並且通過雲端SDN Controller為其分配壹個虛擬的私有網絡IPv4地址,用以連接對等的其他虛擬SDN Router,完成整個虛擬化SD-WAN服務的建立。
江蘇澳雲軟件技術有限公司(JAST)在新冠肺炎疫情期間推出了面向企業和個人的虛擬化SD-WAN服務——雲域網(JASTVIN)。該服務由SDN Controller(Virtual Segmentation Platform,VSP)和VIN Connect Client兩部分組成。
雲域網(JASTVIN)是壹款基於SDN/NFV技術開發的虛擬化SD-WAN服務,經由雲域網(JASTVIN)傳輸的數據流量不會經過第三方服務器,采取Full-Mesh網絡結構,安裝有VIN Connect Client的對等實體相互之間點對點(Point-to-Point,P2P)連接。基於企業內部辦公網絡或個人家庭寬帶網絡,在部署雲域網(JASTVIN)服務時,無需重新布線、無需新增硬件系統,只需要在需要加入到虛擬網絡中的終端設備安裝VIN Connect Client軟件,通過VSP的鑒權認證審核之後,VIN Connect Client對等實體即可不受地域限制,在全球範圍內只有能夠連接上公***網絡的地方均可以快速建設局域網環境。
雲域網(JASTVIN)服務的建設,不依賴於硬件系統,相應的就沒有硬件維護成本;支持壹個VIN Connect Client實體連接其他多個同壹User Domain內的其他VIN Connect Client對等實體;基於雲域網(JASTVIN)服務的數據流量傳輸,不會經過第三方服務器的存儲轉發,各VIN Connect Client終端之間點對點直連,實現數據安全和傳輸效率最大化。
傳統SD-WAN服務中的SDN Controller,在本文介紹的虛擬SD-WAN服務中稱之為VIrtual Segmentation Platform,以下簡稱VSP。
VSP需要部署在CentOS 7.2及以上系統,支持壹鍵安裝命令。
VSP支持虛擬網絡建立、用戶管理、證書管理、軟件授權、日誌推送、系統狀態等能力,其中虛擬網絡建立是VSP的最核心能力,通過授權邀請使需要建立虛擬SD-WAN服務的終端設備加入到同壹個User Domain中,用以建立虛擬SD-WAN服務。
傳統SD-WAN服務中的SDN Router,在本文介紹的虛擬SD-WAN服務中稱之為VIN Connect Client,VIN指的是Virtual Invisible Network,意為虛擬隱形網絡。
VIN Connect Client支持在廣闊範圍內建立虛擬網絡連接,原本物理隔離的多個局域網通過Virtual Tunnel組建成壹個邏輯局域網,形成壹張大型的虛擬專用網絡。
利用VIN Connect Client建立的虛擬專用網絡,其通過Virtual Tunnel來傳輸數據流量。該Virtual Tunnel的建立采用了IPsec安全加密機制、AES128加密算法,確保各VIN Connect Client對等體在進行通信連接時的數據安全。
通過圖3-1可以看出,已經建立了虛擬SD-WAN服務的5臺客戶機,這其中有處於同壹網絡環境的客戶機,更多的是處於不同網絡環境下的客戶機(其中GUFENG這臺機器為本次測試主機)。但同時也可以看出,在虛擬SD-WAN服務下,這5臺客戶機均生成了172.20.110.0/24這壹網段的虛擬私網IPv4地址,即可完成虛擬網絡的建設。
壹旦建立起虛擬網絡連接之後,無論這些客戶機出於什麽位置、什麽公***網絡環境下,都可以做到相互連接、相互訪問,好比處於同壹局域網絡環境下。
通過圖3-2所示,位於不同網絡環境下的兩臺主機(GuFeng和胥蕭雨)可以實現正常的連通。
跨地區異地組網是雲域網(JASTVIN)服務最核心的能力,通過雲域網(JASTVIN)虛擬SD-WAN服務在安裝有VIN Connect Client的客戶機上生成虛擬IPv4地址,從而建立起虛擬專用網絡,完成智慧連接、智能組網。
通過雲域網(JASTVIN)虛擬SD-WAN服務,可以將廣闊地理範圍的企業內部業務系統、辦公電腦,員工家用電腦、平板等終端設備連接在壹起,實現身臨其境的遠程異地辦公操作。
隨著企業全球化、信息化的發展,企業的商業和業務運行模式較之於傳統模式發生了天翻地覆的變化,業務雲化、移動化、物聯網化,傳統的企業網已經無法滿足企業新的發展趨勢。對此,傳統企業網面臨越來越多的挑戰。
? 專線成本過高,運營費用大;
? 分支機構網絡環境復雜,開通周期長(多為1~3個月);
? 自建網絡質量難以保證;
? 應用無感知,帶寬被搶占;
? 關鍵業務、敏感數據體驗難以保證,用戶體驗較差;
? 故障定位困難,IT支撐團隊技能要求高,維護成本巨大。
對於分支機構、外勤員工數量眾多的企業來說,更希望有壹套完善的遠程異地辦公方案。壹般來說,異地辦公需要解決好如下幾個問題:
①方便、快速訪問企業內部系統(包括文檔***享、OA/ERP/CRM、SVN源碼協作平臺、***享打印機等);
②支持移動設備的異地辦公;
③支持多種方式聯網(包括寬帶互聯網、4G/5G等);
④低成本,高質量的網絡鏈路;
⑤運維簡單,支持零基礎部署。
根據企業客戶實際應用場景需求,可將VSP管理平臺部署於企業指定廠商的雲服務器上,按需在員工設備上安裝VIN客戶端軟件,同時需要在OA/ERP/CRP、文件、SVN等服務器上安裝VIN客戶端。
按照實際需要,將需要互訪的系統服務器、員工設備終端加入到相應的User Domain內,即可完成虛擬網絡的建設。
在指定的雲服務器(系統鏡像要求CentOS 7.2+)上部署VSP Platform,需要進行管理的公有雲/私有雲服務器和本地終端設備上安裝VIN Connect?Client。當終端設備或雲服務器開機運行後,VIN Connect Client將自動運行,並向VSP Platform發送註冊請求,VSP Platform鑒權、認證通過後,所有裝有VIN Connect Client的本地或是雲上服務器即可實現互相連接,無視復雜的網絡環境,實現混合雲業務管理。
根據不同的雲端業務需求,在VSP Platform創建不同的User Domain,將需要實施管理的終端設備或服務器添加到該User Domain,即可完成業務隔離的混合雲管理方案。
雲域網(JASTVIN)虛擬SD-WAN混合雲管理方案,在高效、安全、可靠的基礎上,還較之傳統混合雲解決方案有著巨大高性價比優勢。
伴隨著雲技術與市場的不斷壯大,企業用戶可以選擇采用公有雲,並將其私有化的方案解決傳統IDC私有雲建設的弊端。 雲域網(JASTVIN) 虛擬SD-WAN 公有雲私有化服務方案 適用於下列技術要求。
①數據安全性要求高:JASTVIN公有雲私有化解決方案支持通過設置將公有雲只能通過私有IP進行訪問,做到業務數據安全隔離;
②便捷運維,降低成本:企業用戶要求運維服務快速響應,降低企業在IT運維階段的支出;
③業務系統可用性要求較高:支持鏈路備份能力,保證用戶在可聯網狀態下的業務系統訪問能力;
④多分支機構企業應用:支持多分支機構的應用,保證系統訪問不受時間和空間限制。
在指定的雲服務器(系統鏡像要求CentOS 7.2+)上部署VSP Platform,需要進行管理的公有雲服務器和本地終端上安裝VIN Connect Client。當終端設備或雲服務器開機運行後,VIN Connect Client將自動運行,並向VSP Platform發送註冊請求,VSP Platform認證通過後,所有VIN Connect Client對等實體即可完成智能組網。
在公有雲服務器控制中心進行“禁止公***網絡訪問”的安全策略設置,如此公有雲服務器只能由安裝了VIN Connect Client並經過VSP Platform認證的終端設備,通過VIN Connect Client生成的虛擬私有IPv4地址訪問,即可實現公有雲私有化。企業用戶即可花著公有雲服務的錢,既享受著公有雲海量的彈性計算、網絡、存儲等資源,又享受私有雲的高安全性。
把雲服務器當做終端設備使用,VIN Connect Client可以很好的兼容雲服務器多種操作系統(Windows/Cent OS/Ubuntu)而不區分服務供應商。終端設備通過VIN Connect Client與VSP Platform通信,用戶只需要給每臺“終端設備”安裝VIN Connect Client,並使之與VSP Platform保持連接。當“終端設備”啟動時,VIN Connect Client將主動向VSP Platform發起註冊請求,握手通信成功後保持與VSP Platform的長連接,可實現雲和本地網絡的完美融合。
VIN Connect Client支持移動端接入:雲網通的解決方案適用於本地化部署辦公,當客戶遇到移動辦公的需求時,VIN Connect Client可很好的解決客戶的需求。VIN Connect Client部署在客戶需要移動辦公的終端設備上,保持與VSP Platform的連接,即可實現移動端接入內網或雲服務器。
無需變更用戶現有網絡架構,企業用戶可靈活增加或刪減設備節點,保證雲服務器和本地終端設備之間的連接有效性。不同的業務需求,均可以通過將VIN Connect?Client添加進同壹個VSP Platform內所創建的不同User Domain實現智慧連接服務。
企業用戶可隨意增加本地局域網與異地局域網、本地局域網與公有雲、公有雲與公有雲之間的連接交互服務。雲域網(JASTVIN)可很好的解決兩兩之間的連接交互問題,本地局域網、異地局域網、雲服務器都可通過VIN Connect?Client接入同壹個VSP Platform,客戶只需在指定的雲服務器(系統鏡像要求CentOS 7.2+)上部署VSP Platform,需要進行管理的公有雲或是私有雲服務器和本地局域網中安裝VIN Connect?Client。當終端設備或雲端服務器開機運行後,VIN Connect?Client將自動運行,並向VSP Platform發送註冊請求,VSP Platform鑒權、認證通過後,所有裝有VIN Connect?Client的本地局域網終端設備或是雲端服務器可實現互相連接,無視復雜的網絡環境,輕松實現連接交互服務。
江蘇澳雲軟件技術有限公司是為用戶提供基於SDN技術解決方案的專業服務商,主要提供基於雲域網(JASTVIN)虛擬SD-WAN產品的各類企業辦公解決方案,同時可根據用戶需求提供個性化解決方案。公司致力於中國創新網絡連接技術發展,將虛擬化技術與網絡相結合,開創了高效且便捷的網絡新模式,為各種規模的組織及公司提供世界500強企業才有的網絡安全保障。
江蘇澳雲軟件技術有限公司始終以“客戶的需求就是命令”為客戶服務使命、以“讓工作更加高效便捷”為願景,助力企業辦公更加高效、安全,實現進壹步的降本增效。