L’appliance de périphérie d’Aryaka, l’Aryaka Network Access Point (ANAP), fournit une solution de périphérie et de succursale virtualisée et définie par logiciel dans le cadre de notre SASE unifié en tant que service. L’ANAP est inclus dans la prestation de services et constitue un élément clé de notre architecture à passage unique. L’ANAP regroupe plusieurs connexions WAN et fournit des services de réseau convergents, notamment le routage, le cryptage, la sécurité, le moteur d’inspection approfondie des paquets et la gestion du trafic. Il prend également en charge la redondance avec des options de configuration à haute disponibilité.
Architecture Aryaka OnePASS
L’ANAP est la rampe d’accès au SD-WAN global géré d’Aryaka et à la plateforme SASE unifiée en tant que service. L’ANAP intègre des fonctions avancées de mise en réseau, d’optimisation et d’accélération des applications et de sécurité.
Le portefeuille ANAP se compose d’appliances physiques et virtuelles basées sur une architecture de boîte blanche adaptable exécutant le système d’exploitation Linux standard de l’industrie, qui fournit une virtualisation intégrée (KVM) et une technologie de conteneurisation pour prendre en charge les fonctions de réseau virtuelles (VNF).
Les entreprises de toutes tailles peuvent fournir une connectivité de classe entreprise aux sites distants et aux succursales – qui manquent souvent de personnel informatique qualifié – en moins de 48 heures en s’appuyant sur le modèle ZTD (Zero Touch Deployment) de l’ANAP.
Avantages
Simplicité de déploiement et conception intégrée | L’ANAP est préconfiguré et peut être facilement mis en œuvre grâce à un modèle de déploiement sans intervention. |
Solution définie par logiciel | L’ANAP met en œuvre des services de mise en réseau, d’optimisation des applications et de sécurité en tant que fonctions logicielles, construites au-dessus d’un système d’exploitation Linux renforcé. Il évite l’obsolescence coûteuse des architectures personnalisées. |
SD-WAN intégré | L’ANAP fait partie intégrante des services de réseau d’Aryaka. Il aide les entreprises à tirer parti de n’importe quel transport du dernier kilomètre (MPLS, Internet renforcé) et peut tirer parti du réseau central de haute qualité d’Aryaka pour atteindre des niveaux de qualité de service supérieurs à ceux de MPLS. |
HybridWAN | qui offre des options d’Aryaka L2 & L3 Core, de peering MPLS, d’Internet de site à site et d’Internet public. |
Prise en charge intégrée du réseau en nuage | Prise en charge d’Azure Virtual WAN et d’AWS Transit Gateway. |
Sécurité intégrée | L’ANAP met en œuvre un pare-feu NGFW L3/L4, DPI-L7 avec état pour contrecarrer les attaques contre la succursale, combiné à un SWG conçu pour l’inspection du trafic web et l’application de la politique. Les capacités de sécurité optionnelles comprennent IDPS, CASB et Anti-Malware. |
Redondance | La prise en charge de la redondance des liens (doubles liens ISP) et des dispositifs (VRRP) répond aux exigences de très haute disponibilité (voir illustration). La fonction Fail-to-wire est prise en charge pour le mode en ligne. |
Meilleure expérience utilisateur | Performances déterministes et prévisibles pour les applications résidant dans le centre de données ou dans le nuage. |
Solution multi-locataires | L’ANAP d’Aryaka prend en charge jusqu’à 32 locataires grâce à la micro-segmentation. |
Déploiement flexible dans les succursales | Les options de déploiement sont multiples : mode en ligne, mode routé simple, mode hybride et mode routé en périphérie. |
Une plus grande agilité | Déploiement et exploitation plus rapides et plus faciles de votre SD-WAN et SASE gérés, avec des performances accrues en utilisant moins de bande passante. Ajoutez de nouveaux services générateurs de revenus en quelques minutes et non en quelques mois. |
Redondance ANAP
Spécifications du matériel
| ANAP 1500 | ANAP 2500/2600 | ANAP 3000 | ANAP 4000 | ANAP 10000 |
Largeur de bande | Jusqu’à 150 Mbps | Jusqu’à 650 Mbps | Jusqu’à 1 Gbps | TBD | Jusqu’à 3Gbps |
Type d’interface | Cuivre | Cuivre | Cuivre/fibre | Cuivre/fibre | Cuivre/fibre |
Capacité NFV | Non | Non/oui | Oui | Oui | Oui |
QoS / WAN | Oui | Oui | Oui | Oui | Oui |
Optimisation | Oui | Oui | Oui | Oui | Oui |
Routage | Oui | Oui | Oui | Oui | Oui |
Sécurité des bords | Oui | Oui | Oui | Oui | Oui |
Sécurité de l’informatique en nuage | Oui | Oui | Oui | Oui | Oui |
Connecteurs | Oui | Oui | Oui | Oui | Oui |
Contrôle | Oui | Oui | Oui | Oui | Oui |
Recommandé pour | Petits sites | Sites de taille moyenne | Grands sites | Grands sites | Sites grands/X-grands |
Points forts de l’architecture ANAP
– Qualité de service
Classification et marquage
Marquage IP basé sur 5 tuiles Classification basée sur DSCP/ToS Recherche DNS Recherche SNI DPI (Deep Packet Inspection)
Mise en forme de la classe de service
5 classes de service avec réservation/limites de bande passante File d’attente et mise en forme hiérarchiques basées sur un panier de jetons
Mise en forme TCP/IP
Mise en forme avancée au niveau du flux TCP-IP avec deux classes
Qualité de service adaptative
Partage de la capacité de liaison ASN inutilisée avec le trafic internet de faible priorité Pris en charge par ERM uniquement et activé par défaut
– Optimisation du réseau étendu
TCP Boost
Minimiser les temps de latence et éviter les encombrements sur le dernier kilomètre grâce au contrôle du débit du WAN
ARR
Algorithmes brevetés de compression et de déduplication des données
– Routage
eBGP
Prise en charge de l’eBGP avec sélection du chemin préféré à l’aide des attributs AS PATH Prepend et MED (Multi-Exit Discriminator) Prise en charge du MP-BGP et des communautés BGP
RIP mince (T-RIP)
Annonces de routage conformes à RIPv2.0 pour simplifier la configuration du routage
Routage statique
Configuration de routes statiques pour les sous-réseaux locaux, la passerelle par défaut et la passerelle du tunnel IPSec Décision de transfert basée sur des critères de correspondance de 6 tuiles et/ou sur le DNS
Routage basé sur une politique
– Renvoi vers le réseau local – Renvoi vers Internet – Renvoi vers Aryaka – Abandon
Routage basé sur une politique en fonction de l’adresse source
Transférer les paquets en fonction de l’adresse source IP
Filtres d’itinéraire
Contrôle granulaire de la politique des 6 tuiles pour transférer/abandonner le trafic lié à Aryaka et à l’Internet.
– Redondance
Redondance des bords
Double tunnel IPSec vers différents FAI pour la redondance des liaisons
VARP (Virtual ANAP Redundancy Protocol)
Modèle de type VRRP pour la redondance ANAP dans le modèle actif-standby
Tunnels de sauvegarde ANAP-to-ANAP
Tunnels IPSEc directs entre les ANAP à travers l’internet dans le cas improbable où le tunnel primaire Aryaka échoue.
Redondance des liens ISP
SMARTlink permet l’utilisation de 2 liens ISP dans une configuration active-active – Path Selection : Routage sélectif à travers les liens – Équilibrage de la charge : Répartition de la charge : distribue le trafic sur les liens sur une base par paquet – FEC : Réplication ou duplication du trafic sur les liaisons pour récupérer les paquets perdus – Relecture temporelle : les flux peuvent être rejoués sur une liaison après un certain délai, pour récupérer les paquets perdus – Récupération de la perte de chemin (PLR) : Récupération des pertes de chemin (PLR) : introduit un mécanisme de rétroaction entre le POP et l’ANAP pour déterminer les paquets exacts perdus pendant la transmission, et récupérer ces paquets.
Redondance des liens MPLS
Double tunnel MPLS avec déploiement redondant d’ANAP
– Sécurité
Support NAT
Suivi des flux en fonction des politiques NAT – Prise en charge de la NAT à la source – NAT 1 à 1, IP et port dynamiques – Prise en charge de la NAT à la destination – transfert de port et traduction de port
Pare-feu et segmentation des branches
L3/L4 Stateful NGFW-SWG pour le pare-feu périmétrique, l’inspection du trafic web et l’application de politiques, et la segmentation Est-Ouest des succursales.
Détection et protection contre les intrusions
Inspecte le trafic entrant sur l’interface WAN et le trafic sortant sur l’interface LAN.
Courtier en sécurité de l’accès au nuage (CASB)
Sécuriser et appliquer des politiques sur le trafic applicatif passant par l’ANAP
Anti-Malware
Évaluer le trafic réseau par rapport à une base de données de signatures et de modèles de logiciels malveillants connus afin de les détecter.
Multi-Tenancy
Prise en charge de la multi-occupation grâce à la microsegmentation basée sur le VRF
Check Point
Hosted VM Next Generation Firwewall en tant que VNF (Virtual Network Function)
Palo Alto Networks
Hosted VM Next Generation Firwewall en tant que VNF (Virtual Network Function)
Zscaler
Prise en charge d’IPSec IKev1 (en plus des tunnels GRE)
VLAN privés Durcissement de l’ANAP SEC-2
Possibilité de regrouper un ensemble de VLAN et de restreindre l’accès à l’internet Processus d’amorçage ANAP sécurisé avec image ANAP sécurisée
– Connecteurs de sécurité pour l’informatique en nuage
Check Point
Tunnels IPsec IKEv1, IKEv2 ou GRE Routage basé sur une politique entre Internet, Aryaka et le trafic lié à Check Point CloudGuard Connect
CloudGuard Connect
MyAryaka pour la surveillance de la connectivité des tunnels vers Cloudguard Connect
Zscaler
Prise en charge des tunnels GRE redondants Routage basé sur une politique entre le trafic lié à Internet, Aryaka et Zscaler Prise en charge de MyAryaka pour la visibilité et la configurabilité
Palo Alto Prisma
Tunnel IPsec basé sur IKEv1 Routage basé sur des règles entre Internet, Aryaka et Palo Alto Trafic lié à Prisma Support MyAryaka pour la visibilité et la configurabilité
Symantec
Tunnel IPsec basé sur IKEv1 Routage basé sur des règles entre Internet, Aryaka et le trafic lié à Symantec Support MyAryaka pour la visibilité et la configurabilité
– Contrôle
Syslog
Journaux de flux pour les paquets acheminés entre le réseau local, Internet et les sites d’Aryaka Journaux de flux pour les paquets rejetés en raison de politiques ou de règles de pare-feu Journaux système Support RFC 5424 Journaux d’attributs basés sur des paires de clés et de valeurs pour une analyse plus facile Support pour la connectivité UDP et TCP avec le collecteur
Netflow
Prise en charge des versions 1,5 et 9 de NDE.
La valeur par défaut est 9.
Possibilité de surveiller le trafic du réseau local, de l’Internet, des connecteurs de sécurité du nuage et d’Aryaka.
Taux d’échantillonnage 1:1 Les informations de flux sont téléchargées vers ANAP à MyAryaka toutes les 300 secondes.
– Prise en charge de la fonction de réseau virtuel
Machine virtuelle hébergée (VM)
Prise en charge de machines virtuelles tierces via Linux KVM
À propos d’Aryaka
Aryaka est le leader et le premier à proposer Unified SASE as a Service, la seule solution SASE conçue et construite pour offrir performance, agilité, simplicité et sécurité sans compromis.
Aryaka répond aux besoins de ses clients là où ils se trouvent dans leur parcours SASE unique, leur permettant de moderniser, d’optimiser et de transformer leurs environnements réseau et de sécurité de manière transparente.
Les options de livraison flexibles d’Aryaka permettent aux entreprises de choisir leur approche préférée pour la mise en œuvre et la gestion.
Des centaines d’entreprises internationales, dont plusieurs figurent dans le classement Fortune 100, font confiance à Aryaka pour leurs services de réseau et de sécurité définis par logiciel et basés sur le cloud. Pour en savoir plus sur Aryaka, veuillez consulter le site www.aryaka.com.