Aryaka的边缘设备组合–Aryaka网络接入点(ANAP)–提供虚拟化软件定义的边缘和分支解决方案,是我们的SD-WAN和SASE即服务解决方案的一部分。
ANAP包含在服务交付中,是我们单通道架构的关键组成部分。
ANAP 汇聚多个广域网连接,提供路由、加密、安全、深度数据包检测引擎和流量管理等融合网络服务。
它还支持冗余,具有高可用性配置选项
雅利安卡单通道架构
ANAP 设备通过将网络和安全整合到单一的软件定义和云管理设备中,帮助企业简化边缘和分支机构的覆盖范围。
它使企业不再需要大量独立的、功能特定的设备。
ANAP是通往Aryaka托管型全球SD-WAN和SASE解决方案的匝道,集成了先进的网络、应用优化和加速以及安全功能。
ANAP 产品组合由物理和虚拟设备组成,这些设备基于可适应的白盒架构,运行行业标准的 Linux 操作系统,提供内置虚拟化 (KVM) 和容器化技术,以支持虚拟网络功能 (VNF)。
通过利用 ANAP 的 ZTD(零接触部署)模式,各种规模的公司都可以在 48 小时内向通常缺乏合格 IT 人员的偏远地区提供企业级连接。
ZTD意味着我们可以将设备运送到任何地点,而无需客户的技术人员事先对设备进行手动配置。
Aryaka管理网络和安全服务解决方案有助于降低企业广域网和边缘/分支机构基础设施的资本支出和运营支出,同时提供卓越的应用性能和最佳的云连接。
益处
部署简单,设计集成 |
ANAP 经过预先配置,采用零接触部署模式,易于实施。 |
软件定义解决方案 |
ANAP 将网络、应用优化和安全服务作为软件功能来实现,构建在加固的 Linux 操作系统之上。
它避免了定制架构昂贵的内置过时问题。 |
内置 SD-WAN |
ANAP是Aryaka网络服务不可或缺的组成部分。
它可帮助企业利用任何最后一英里传输(MPLS、加固互联网),并可利用高质量的Aryaka核心网络,达到优于MPLS的服务质量水平。 |
混合广域网 |
支持提供 Aryaka L2 和 L3 核心、MPLS 对等、站点到站点互联网和公共互联网路径选项。 |
内置云网络支持 |
支持 Azure Virtual WAN 和 AWS Transit Gateway。 |
内置安全 |
ANAP 实施了状态 L3/L4 防火墙和 DPI-L7 防火墙,以阻止对分支机构的攻击。
它还实现了分支机构流量分割:企业流量与 DMZ 或访客 WiFi 流量等其他类型的流量严格分开。
ANAP 还支持一级安全供应商提供的基于 NFV 的虚拟防火墙。 |
冗余 |
支持链路(双 ISP 链路)和设备(VRRP)冗余,可满足极高的可用性要求(见插图)。
内联模式支持故障对线 |
更好的用户体验 |
为驻留在数据中心或云中的应用程序提供确定的、可预测的性能。 |
多租户解决方案 |
Aryaka的ANAP通过微分区支持多达32个租户。 |
灵活的分支机构部署 |
选项,包括内联、简单路由、混合和边缘路由模式。 |
更大的灵活性 |
更快、更轻松地部署和运行您的托管 SD-WAN 和 SASE,使用更少的带宽实现更高的性能。
在几分钟内而不是几个月内增加新的创收服务。 |
ANAP 冗余
硬件规格
|
ANAP 1500 |
ANAP 2500/2600 |
ANAP 3000 |
ANAP 10000 |
带宽 |
高达 150Mbps |
高达 650Mbps |
高达 1Gbps |
高达 3Gbps |
接口类型 |
铜接口 |
铜 |
铜/光纤 |
铜/光纤 |
支持 NFV |
无 |
否/是 |
是 |
是 |
QoS / 广域网 |
是 |
是 |
是 |
是 |
优化 |
优化 |
是 |
是 |
是 |
路由选择 |
是 |
是 |
是 |
是 |
边缘安全 |
是 |
是 |
是 |
是 |
云安全 |
是 |
是 |
是 |
是 |
连接器 |
有 |
是 |
是 |
是 |
监测 |
是 |
是 |
是 |
是 |
建议用于 |
小型场地 |
中型场地 |
大型场地 |
大型/X 型场地 |
ANAP 架构亮点
– 服务质量
分类和标记
基于 IP 5 元组的标记 基于 DSCP/ToS 的分类 DNS 查询 SNI 查询 DPI(深度数据包检测
服务等级塑造
5 个带宽预留/限制的服务等级 基于令牌桶的分级队列和整形
TCP/IP 塑造
具有两个等级的 TCP-IP 流量级高级整形器
自适应服务质量
与低优先级互联网流量共享未使用的 ASN 链路容量 仅在 ERM 上支持,默认已启用
– 广域网优化
TCP 提升
通过广域网速率控制最大限度地减少最后一英里的延迟并避免拥塞
ARR
获得专利的压缩和重复数据删除算法
– 路由
eBGP
eBGP 支持使用 AS PATH Prepend 和 MED(多出口判别器)属性选择首选路径 MP-BGP 和 BGP 社区支持
薄型 RIP(T-RIP)
符合 RIPv2.0 标准的路由广告可简化路由配置
静态路由
本地子网、默认网关和 IPSec 隧道网关的静态路由配置 基于 6 元组匹配标准和/或 DNS 的转发决策
基于策略的路由选择
– 转发到局域网 – 转发到互联网 – 转发到 Aryaka – 删除
基于源地址的策略路由
根据 IP 源地址转发数据包
路线过滤器
细粒度的 6 元组策略控制,可转发/删除 Aryaka 流量和互联网流量
– 冗余
边缘冗余
连接不同互联网服务提供商的双 IPSec 隧道,实现链路冗余
VARP(虚拟 ANAP 冗余协议)
类似于 VRRP 的主动-备用模式 ANAP 冗余模型
ANAP 到 ANAP 备份隧道
万一主 Aryaka 隧道出现故障,在 ANAP 之间通过互联网直接建立 IPSEc 隧道
ISP 链路冗余
SMARTlink 允许在主动-主动配置中使用 2 个 ISP 链路 – 路径选择:跨链路选择性路由 – 负载平衡:按数据包在链路上分配流量 – FEC:定时重放:流量可在延迟后在链路内重放,以恢复丢失的数据包 – 路径丢失恢复 (PLR):在 POP 和 ANAP 之间引入反馈机制,以确定传输过程中丢失的确切数据包,并恢复这些数据包
MPLS 链路冗余
双 MPLS 隧道与冗余 ANAP 部署
– 安全
NAT 支持
基于 NAT 策略的状态流量跟踪 – 源 NAT 支持 – 1 对 1 NAT、动态 IP 和端口 – 目标 NAT 支持 – 端口转发和端口转换
防火墙和分支机构分隔
L3/ L4 状态防火墙,用于边界防火墙和东西分支分隔
多租户
通过基于 VRF 的微分段支持多租户
检查点
作为 VNF(虚拟网络功能)的托管虚拟机下一代 Firwewall
Palo Alto Networks
作为 VNF(虚拟网络功能)的托管虚拟机下一代 Firwewall
Zscaler
支持 IPSec IKev1(除 GRE 隧道外)
专用 VLAN ANAP 加固 SEC-2
可对一组 VLAN 进行分组,并限制仅对互联网的访问 使用安全 ANAP 映像的安全 ANAP 引导过程
– 云安全连接器
检查点
IPsec IKEv1、IKEv2 或 GRE 隧道 互联网、Aryaka 和 Check Point CloudGuard Connect 绑定流量之间基于策略的路由选择
云卫士连接
MyAryaka 用于将隧道连接监控至 Cloudguard Connect
Zscaler
支持冗余 GRE 隧道 互联网、Aryaka 和 Zscaler 绑定流量之间基于策略的路由选择 MyAryaka 支持可视性和可配置性
帕洛阿尔托 Prisma
基于 IKEv1 的 IPsec 隧道 互联网、Aryaka 和 Palo Alto Prisma 之间基于策略的路由绑定流量 MyAryaka 支持可视性和可配置性
赛门铁克
基于 IKEv1 的 IPsec 隧道 互联网、Aryaka 和赛门铁克绑定流量之间基于策略的路由选择 MyAryaka 支持可视性和可配置性
– 监测
系统日志
局域网、互联网和 Aryaka 站点之间路由数据包的流量日志 因策略或防火墙规则而丢弃的数据包的流量日志 系统日志支持 RFC 5424 基于键、值对的属性日志,更易于解析 支持基于 UDP 和 TCP 的与收集器的连接
网流
支持 NDE 1,5 和 9 版本。
默认版本为 9。
可监控局域网、互联网、云安全连接器和 Aryaka 流量。
1:1 采样率 流量信息每 300 秒上传到 ANAP 到 MyAryaka。
– 虚拟网络功能支持
托管虚拟机(VM)
通过 Linux KVM 支持第三方虚拟机
关于阿里亚卡
Aryaka是首家提供 “统一SASE即服务”(Unified SASE as a Service)的领先企业,也是唯一为提供性能、灵活性、简便性和安全性而设计和构建的SASE解决方案。
Aryaka满足客户在其独特的SASE旅程中的需求,使他们能够无缝地实现网络和安全环境的现代化、优化和转型。
Aryaka灵活的交付方式使企业能够选择自己喜欢的实施和管理方法。
数百家全球性企业,包括多家财富100强企业,都依赖Aryaka提供的基于云的软件定义网络和安全服务。 有关 Aryaka 的更多信息,请访问 www.aryaka.com。