Zum Inhalt

Planen Ihrer Versa Secure SD-WAN-Bereitstellung

Unter diesem Thema finden Sie einen Überblick zum Bereitstellungsprozess und Überlegungen zur Bereitstellung der Megaport Virtual Edge (MVE).

Bereitstellung durch Kunde Bereitstellung durch Megaport
Internetverbindung von der Zweigstelle Plattform zum Host virtueller SD-WAN-Appliances
An Zweigstelle aktivierter SD-WAN-Anbieter Vollständige Verbindung von der Zweigstelle zu jedem Ziel im Megaport-Netzwerk und Verwendung mit anderen Megaport-Produkten und -Diensten
Am Zweigstellenstandort installierte CPE-Geräte (Customer Premises Equipment) Distributed Denial-of-Service (DDoS)-Verbindung zum Internet, um den Tunnel zwischen MVE und CPE am Zweigstellenstandort zu terminieren
SD-WAN-Softwarelizenz zur Verwendung auf Megaport SDN Zugang zum Megaport-Partnernetzwerk

Hinweise zur Bereitstellung

Dieser Abschnitt bietet einen Überblick über die MVE-Bereitstellungsoptionen und -funktionen.

SD-WAN-Anbieter

MVE ist in Versa Secure SD-WAN integriert, das die Director-Konsole von Versa verwendet, um das private Overlay-Netzwerk zu erstellen.

Weitere SD-WAN-Anbieter sind Aruba SD-WAN, Cisco SD-WAN, Fortinet Secure SD-WAN und VMware SD-WAN.

Funktionen von Versa Secure SD-WAN

Versa Secure SD-WAN konzentriert sich auf diese Schlüsselfunktionen:

  • SD-WAN und Secure Access Service Edge (SASE) - Eine einzige Plattform mit einem erstklassigen Sicherheitsangebot. Siehe Sicherung des Netzwerks mit SASE.
  • Ein Softwarestack - Eine integrierte Architektur mit einer einzigen Pipeline für Sicherheit, fortschrittliche Netzwerke, robuste Analysen und vereinfachte Automatisierung.

Das Versa Operating System (VOS) bietet sowohl Next-Generation Firewall (NGFW)- als auch SD-WAN-Dienste auf einer einzigen virtuellen Maschine. Die VOS-Appliance, die als virtuelle Maschine auf MVE bereitgestellt wird, optimiert nicht nur die Edge-to-Cloud-Netzwerkkonnektivität, sondern setzt auch fortschrittliche Sicherheitsdienste und -richtlinien in den Segmenten des Megaport-Backbone durch.

Die Versa SASE-Gateway-Funktionalität kann auch auf MVE als Teil der zahlreichen VOS-Funktionen bereitgestellt werden. Versa bezeichnet dieses Bereitstellungsmodell als private Gateways, die dieselbe Funktionalität wie Versa Cloud Gateways bieten, jedoch auf einer Kunden- oder Service-Provider-Plattform ausgeführt werden.

Das hochgradig flexible, auf MVE gehostete VOS bietet diese zentralen SASE-Dienste:

  • Cloud Access Security Broker (CASB)
  • Next-Generation-Firewall (NGFW)
  • Secure Web Gateway (SWG)
  • Zero Trust Network Access (ZTNA)

Der Versa Secure Access Client (VSAC) ist der Agent für Endpunkt-Sicherheit, der SD-WAN- und Sicherheitsdienste auf Client-Geräte erweitert. Der VSAC bietet eine intelligente Gateway-Auswahl, die es dem Client ermöglicht, sich mit einem Versa Cloud Gateway oder einem privaten Gateway (auf MVE) zu verbinden. Die VSAC-Richtlinien steuern den Netzwerkdatenverkehr der Clients basierend auf der jeweiligen Anwendung. So kann beispielsweise der Client-Netzwerkdatenverkehr für eine in AWS gehostete Echtzeit-Finanzhandelsanwendung über das VOS auf die MVE geleitet werden, während der Datenverkehr für ein cloudbasiertes Dateispeicher-Repository über das Versa Cloud Gateway geleitet werden kann.

Versa SASE

Weitere Informationen dazu finden Sie unter Versa Operating System (VOS) und Versa Secure Access.

MVE-Standorte

Eine Liste der Standorte, an denen Sie eine Verbindung zu einer MVE herstellen können, finden Sie unter Megaport Virtual Edge-Standorte.

Dimensionierung der MVE-Instanz

Die Instanzengröße bestimmt die Leistungsfähigkeit der MVE, z. B. wie viele gleichzeitige Verbindungen sie unterstützen kann. Die MVE-Instanzen werden in den folgenden Größen zusammengefasst:

Paketgröße vCPUs DRAM Speicher Internetzugang *
MVE 2/4/20 2 4 GB 80 GB 20 Mbit/s
MVE 4/8/20 4 8 GB 80 GB 20 Mbit/s
MVE 2/4/100 2 4 GB 80 GB 100 Mbit/s
MVE 4/8/200 4 8 GB 80 GB 200 Mbit/s
MVE 2/4/500 2 4 GB 80 GB 500 Mbit/s
MVE 4/8/1000 4 8 GB 80 GB 1000 Mbit/s
MVE 8/16/5000 8 16 GB 80 GB 5000 Mbit/s
MVE 12/24/5000 12 24 GB 80 GB 5000 Mbit/s

* Der Internetzugang ist symmetrisch, redundant und diversifiziert und umfasst DDoS-Schutz.

Bei diesen Leistungs- und Kapazitätsangaben handelt es sich um Schätzungen, sodass Ihre Geschwindigkeiten variieren können. Beachten Sie bei der Auswahl einer MVE-Instanzengröße die folgenden Punkte:

  • Jeder Anstieg der Datenlast im Netzwerk kann die Leistung beeinträchtigen. Beispielsweise kann das Einrichten von sicheren Tunneln mit IPsec, das Hinzufügen von Traffic Path Steering (Lenken des Datenverkehrs) oder die Verwendung von Deep Packet Inspection (DPI) die maximale Durchsatzgeschwindigkeit beeinflussen.

  • Zukünftige Pläne zur Skalierung des Netzwerks.

Was ist, wenn ich in Zukunft mehr MVE-Kapazität benötige?

Sie haben mehrere Möglichkeiten:

  • Sie können eine weitere MVE-Instanz bereitstellen, sie zu Ihrem SD-WAN-Overlay-Netzwerk hinzufügen und die Arbeitslast auf die beiden MVEs aufteilen.

  • Sie können eine größere MVE-Instanz bereitstellen, sie zu Ihrem SD-WAN-Overlay-Netzwerk hinzufügen, Verbindungen vom alten MVE zum neuen größeren MVE migrieren und dann den alten MVE außer Betrieb nehmen.

Sicherheit

MVE bietet sichere Bereitstellung von Kapazitäten zu und von Ihren internetfähigen Zweigstellenstandorten, zu jedem Endpunkt oder Dienstanbieter im SDN von Megaport. CSP-gehostete Instanzen von Partner-SD-WAN-Produkten leiten kritischen Datenverkehr über das SDN von Megaportund reduzieren so die Abhängigkeit vom Internet. Der Datenverkehr bleibt verschlüsselt und unter Ihrer Richtlinienkontrolle, während er über das Megaport SDN zur oder von der MVE geleitet wird.

Jedes MVE-Abonnement beinhaltet ohne zusätzliche Kosten den Schutz vor Distributed Denial of Service-Angriffen (DDoS).

Versa Secure SD-WAN bietet Zugang zu einer umfassenden Sicherheitsfunktion: Secure Access Service Edge (SASE). Versa auf MVE unterstützt nativ SASE- und SD-WAN-Dienste. Einzelheiten finden Sie unter Sicherung des Netzwerks mit SASE.

Lizenzierung

Sie bringen Ihre eigene Versa (Director) SD-WAN-Lizenz zur Verwendung mit MVE mit. Es liegt in Ihrer Verantwortung, die erforderlichen Lizenzen für die im Megaport-Netzwerk erstellten SD-WAN-Endpunkte zur Verfügung zu haben.

VLAN-Tagging

Megaport verwendet Q-in-Q zur Unterscheidung von VXCs und MVEs auf einem Host-Hardware-System. Die Mandanten-MVE empfängt nicht getaggten Datenverkehr auf dem Internet-seitigen Link sowie einfach getaggten 802.1Q-Datenverkehr für VXCs zu anderen Zielen im Megaport-Netzwerk (z. B. CSP-Anbindungsstellen (Onramps) oder andere MVEs).


Letztes Update: 2022-10-18