Aryaka的边缘设备Aryaka网络接入点(ANAP)提供虚拟化软件定义的边缘和分支解决方案,是我们的统一SASE即服务(Unified SASE as a Service)的一部分。ANAP包含在服务交付中,是我们单通道架构的关键组成部分。ANAP 汇聚多个广域网连接,提供路由、加密、安全、深度数据包检测引擎和流量管理等融合网络服务。它还通过高可用性配置选项支持冗余。
Aryaka OnePASS 架构
ANAP是通往Aryaka托管型全球SD-WAN和统一SASE即服务平台的匝道。ANAP集成了先进的网络、应用优化和加速以及安全功能。
ANAP 产品组合由物理和虚拟设备组成,这些设备基于可适应的白盒架构,运行行业标准的 Linux 操作系统,提供内置虚拟化 (KVM) 和容器化技术,以支持虚拟网络功能 (VNF)。
通过利用 ANAP 的 ZTD(零接触部署)模式,各种规模的公司都可以在 48 小时内为远程和分支机构提供企业级连接,而这些地方往往缺乏合格的 IT 人员。
益处
| 部署简单,设计集成 |
ANAP 经过预先配置,采用零接触部署模式,易于实施。 |
| 软件定义解决方案 |
ANAP 将网络、应用优化和安全服务作为软件功能来实现,构建在加固的 Linux 操作系统之上。
它避免了定制架构昂贵的内置过时问题。 |
| 内置 SD-WAN |
ANAP是Aryaka网络服务不可或缺的组成部分。
它可帮助企业利用任何最后一英里传输(MPLS、加固互联网),并可利用高质量的Aryaka核心网络,达到优于MPLS的服务质量水平。 |
| 混合广域网 |
支持提供 Aryaka L2 和 L3 核心、MPLS 对等、站点到站点互联网和公共互联网路径选项。 |
| 内置云网络支持 |
支持 Azure Virtual WAN 和 AWS Transit Gateway。 |
| 内置安全 |
ANAP 实施了一个状态 L3/L4、DPI-L7 NGFW 防火墙,以挫败对分支机构的攻击,并结合了一个用于网络流量检查和策略执行的 SWG。可选的安全功能包括 IDPS、CASB 和反恶意软件。 |
| 冗余 |
支持链路(双 ISP 链路)和设备(VRRP)冗余,可满足极高的可用性要求(见插图)。
内联模式支持故障对线 |
| 更好的用户体验 |
为驻留在数据中心或云中的应用程序提供确定的、可预测的性能。 |
| 多租户解决方案 |
Aryaka的ANAP通过微分区支持多达32个租户。 |
| 灵活的分支机构部署 |
选项,包括内联、简单路由、混合和边缘路由模式。 |
| 更大的灵活性 |
更快、更轻松地部署和运行您的托管 SD-WAN 和 SASE,使用更少的带宽实现更高的性能。
在几分钟内而不是几个月内增加新的创收服务。 |
ANAP 冗余
硬件规格
|
ANAP 1500 |
ANAP 2500/2600 |
ANAP 3000 |
ANAP 4000 |
ANAP 10000 |
| 带宽 |
高达 150Mbps |
高达 650Mbps |
高达 1 Gbps |
待定 |
高达 3Gbps |
| 接口类型 |
铜 |
铜 |
铜/光纤 |
铜/光纤 |
铜/光纤 |
| 支持 NFV |
没有 |
否/是 |
是 |
是 |
是 |
| 服务质量/广域网 |
是 |
是 |
是 |
是 |
是 |
| 优化 |
是 |
是 |
是 |
是 |
是 |
| 路由 |
是 |
是 |
是 |
是 |
是 |
| 边缘安全 |
是 |
是 |
是 |
是 |
是 |
| 云安全 |
是 |
是 |
是 |
是 |
是 |
| 连接器 |
是 |
是 |
是 |
是 |
是 |
| 监测 |
是 |
是 |
是 |
是 |
是 |
| 建议用于 |
小型网站 |
中型场地 |
大型网站 |
大型网站 |
大型/X-大型场地 |
ANAP 架构亮点
– 服务质量
分类和标记
基于 IP 5 元组的标记 基于 DSCP/ToS 的分类 DNS 查询 SNI 查询 DPI(深度数据包检测
服务等级塑造
5 个带宽预留/限制的服务等级 基于令牌桶的分级队列和整形
TCP/IP 塑造
具有两个等级的 TCP-IP 流量级高级整形器
自适应服务质量
与低优先级互联网流量共享未使用的 ASN 链路容量 仅在 ERM 上支持,默认已启用
– 广域网优化
TCP 提升
通过广域网速率控制最大限度地减少最后一英里的延迟并避免拥塞
ARR
获得专利的压缩和重复数据删除算法
– 路由
eBGP
eBGP 支持使用 AS PATH Prepend 和 MED(多出口判别器)属性选择首选路径 MP-BGP 和 BGP 社区支持
薄型 RIP(T-RIP)
符合 RIPv2.0 标准的路由广告可简化路由配置
静态路由
本地子网、默认网关和 IPSec 隧道网关的静态路由配置 基于 6 元组匹配标准和/或 DNS 的转发决策
基于策略的路由选择
– 转发到局域网 – 转发到互联网 – 转发到 Aryaka – 删除
基于源地址的策略路由
根据 IP 源地址转发数据包
路线过滤器
细粒度的 6 元组策略控制,可转发/删除 Aryaka 流量和互联网流量
– 冗余
边缘冗余
连接不同互联网服务提供商的双 IPSec 隧道,实现链路冗余
VARP(虚拟 ANAP 冗余协议)
类似于 VRRP 的主动-备用模式 ANAP 冗余模型
ANAP 到 ANAP 备份隧道
万一主 Aryaka 隧道出现故障,在 ANAP 之间通过互联网直接建立 IPSEc 隧道
ISP 链路冗余
SMARTlink 允许在主动-主动配置中使用 2 个 ISP 链路 – 路径选择:跨链路选择性路由 – 负载平衡:按数据包在链路上分配流量 – FEC:定时重放:流量可在延迟后在链路内重放,以恢复丢失的数据包 – 路径丢失恢复 (PLR):在 POP 和 ANAP 之间引入反馈机制,以确定传输过程中丢失的确切数据包,并恢复这些数据包
MPLS 链路冗余
双 MPLS 隧道与冗余 ANAP 部署
– 安全
NAT 支持
基于 NAT 策略的状态流量跟踪 – 源 NAT 支持 – 1 对 1 NAT、动态 IP 和端口 – 目标 NAT 支持 – 端口转发和端口转换
防火墙和分支机构分隔
L3/L4 状态 NGFW-SWG 用于外围防火墙、网络流量检查/政策执行以及东西分支分段
入侵检测和保护
检查 WAN 接口的入站流量和 LAN 接口的出站流量
云访问安全代理(CASB)
确保通过 ANAP 的应用流量的安全并执行相关策略
反恶意软件
根据已知恶意软件特征和模式数据库评估网络流量,以进行检测
多租户
通过基于 VRF 的微分段支持多租户
检查点
作为 VNF(虚拟网络功能)的托管虚拟机下一代 Firwewall
Palo Alto Networks
作为 VNF(虚拟网络功能)的托管虚拟机下一代 Firwewall
Zscaler
支持 IPSec IKev1(除 GRE 隧道外)
专用 VLAN ANAP 加固 SEC-2
可对一组 VLAN 进行分组,并限制仅对互联网的访问 使用安全 ANAP 映像的安全 ANAP 引导过程
– 云安全连接器
检查点
IPsec IKEv1、IKEv2 或 GRE 隧道 互联网、Aryaka 和 Check Point CloudGuard Connect 绑定流量之间基于策略的路由选择
云卫士连接
MyAryaka 用于将隧道连接监控至 Cloudguard Connect
Zscaler
支持冗余 GRE 隧道 互联网、Aryaka 和 Zscaler 绑定流量之间基于策略的路由选择 MyAryaka 支持可视性和可配置性
帕洛阿尔托 Prisma
基于 IKEv1 的 IPsec 隧道 互联网、Aryaka 和 Palo Alto Prisma 之间基于策略的路由绑定流量 MyAryaka 支持可视性和可配置性
赛门铁克
基于 IKEv1 的 IPsec 隧道 互联网、Aryaka 和赛门铁克绑定流量之间基于策略的路由选择 MyAryaka 支持可视性和可配置性
– 监测
系统日志
局域网、互联网和 Aryaka 站点之间路由数据包的流量日志 因策略或防火墙规则而丢弃的数据包的流量日志 系统日志支持 RFC 5424 基于键、值对的属性日志,更易于解析 支持基于 UDP 和 TCP 的与收集器的连接
网流
支持 NDE 1,5 和 9 版本。
默认版本为 9。
可监控局域网、互联网、云安全连接器和 Aryaka 流量。
1:1 采样率 流量信息每 300 秒上传到 ANAP 到 MyAryaka。
– 虚拟网络功能支持
托管虚拟机(VM)
通过 Linux KVM 支持第三方虚拟机
关于阿里亚卡
Aryaka是首家提供 “统一SASE即服务”(Unified SASE as a Service)的领先企业,也是唯一为提供性能、灵活性、简便性和安全性而设计和构建的SASE解决方案。
Aryaka满足客户在其独特的SASE旅程中的需求,使他们能够无缝地实现网络和安全环境的现代化、优化和转型。
Aryaka灵活的交付方式使企业能够选择自己喜欢的实施和管理方法。
数百家全球性企业,包括多家财富100强企业,都依赖Aryaka提供的基于云的软件定义网络和安全服务。 有关 Aryaka 的更多信息,请访问 www.aryaka.com。
