Planen Ihrer Versa Secure SD-WAN-Bereitstellung
Unter diesem Thema finden Sie einen Überblick zum Bereitstellungsprozess und Überlegungen zur Bereitstellung der Megaport Virtual Edge (MVE).
| Bereitstellung durch Kunde | Bereitstellung durch Megaport |
|---|---|
| Internetverbindung von der Zweigstelle | Plattform zum Host virtueller SD-WAN-Appliances |
| An Zweigstelle aktivierter SD-WAN-Anbieter | Vollständige Verbindung von der Zweigstelle zu jedem Ziel im Megaport-Netzwerk und Verwendung mit anderen Megaport-Produkten und -Diensten |
| In der Zweigstelle installierte Kundenendgeräte (CPEs) | Megaport Internet-Verbindung mit Distributed Denial of Service (DDoS), um den Tunnel zwischen MVE und CPE in der Zweigstelle über das Internet abzuschließen |
| SD-WAN-Softwarelizenz zur Verwendung auf Megaport SDN | Zugang zum Megaport-Partnernetzwerk |
Hinweise zur Bereitstellung
Dieser Abschnitt bietet einen Überblick über die MVE-Bereitstellungsoptionen und -funktionen.
SD-WAN-Anbieter
MVE ist in Versa Secure SD-WAN integriert, das die Director-Konsole von Versa verwendet, um das private Overlay-Netzwerk zu erstellen.
Weitere SD-WAN-Anbieter sind Aruba SD-WAN, Cisco SD-WAN, Fortinet Secure SD-WAN und VMware SD-WAN.
Funktionen von Versa Secure SD-WAN
Versa Secure SD-WAN konzentriert sich auf diese Schlüsselfunktionen:
- SD-WAN und Secure Access Service Edge (SASE) – Eine einzige Plattform mit einem erstklassigen Sicherheitsangebot. Siehe Sicherung des Netzwerks mit SASE.
- Ein Softwarestack – Eine integrierte Architektur mit einer einzigen Pipeline für Sicherheit,
Das Versa Operating System (VOS) bietet sowohl Next-Generation Firewall (NGFW)- als auch SD-WAN-Dienste auf einer einzigen virtuellen Maschine. Die VOS-Appliance, die als virtuelle Maschine auf MVE bereitgestellt wird, optimiert nicht nur die Edge-to-Cloud-Netzwerkkonnektivität, sondern setzt auch fortschrittliche Sicherheitsdienste und -richtlinien in den Segmenten des Megaport-Backbone durch.
Die Versa SASE-Gateway-Funktionalität kann auch auf MVE als Teil der zahlreichen VOS-Funktionen bereitgestellt werden. Versa bezeichnet dieses Bereitstellungsmodell als private Gateways, die dieselbe Funktionalität wie Versa Cloud Gateways bieten, jedoch auf einer Kunden- oder Service-Provider-Plattform ausgeführt werden.
Das hochgradig flexible, auf MVE gehostete VOS bietet diese zentralen SASE-Dienste:
- Cloud Access Security Broker (CASB)
- Next-Generation-Firewall (NGFW)
- Secure Web Gateway (SWG)
- Zero Trust Network Access (ZTNA)
Der Versa Secure Access Client (VSAC) ist der Agent für Endpunkt-Sicherheit, der SD-WAN- und Sicherheitsdienste auf Client-Geräte erweitert. Der VSAC bietet eine intelligente Gateway-Auswahl, die es dem Client ermöglicht, sich mit einem Versa Cloud Gateway oder einem privaten Gateway (auf MVE) zu verbinden. Die VSAC-Richtlinien steuern den Netzwerkdatenverkehr der Clients basierend auf der jeweiligen Anwendung. So kann beispielsweise der Client-Netzwerkdatenverkehr für eine in AWS gehostete Echtzeit-Finanzhandelsanwendung über das VOS auf die MVE geleitet werden, während der Datenverkehr für ein cloudbasiertes Dateispeicher-Repository über das Versa Cloud Gateway geleitet werden kann.
Weitere Informationen dazu finden Sie unter Versa Operating System (VOS) und Versa Secure Access.
MVE-Standorte
Eine Liste der Standorte, an denen Sie eine Verbindung zu einer MVE herstellen können, finden Sie unter Megaport Virtual Edge-Standorte.
Dimensionierung der MVE-Instanz
Die Instanzengröße bestimmt die Leistungsfähigkeit der MVE, z. B. wie viele gleichzeitige Verbindungen sie unterstützen kann. Die MVE-Instanzen werden in den folgenden Größen zusammengefasst:
| Paketgröße | vCPUs | DRAM | Speicher | Megaport Internet-Geschwindigkeit * |
|---|---|---|---|---|
| MVE 2/8 | 2 | 8 GB | 80 GB | Einstellbar von 20 Mbit/s bis 10 Gbit/s |
| MVE 4/16 | 4 | 16 GB | 80 GB | Einstellbar von 20 Mbit/s bis 10 Gbit/s |
| MVE 8/32 | 8 | 32 GB | 80 GB | Einstellbar von 20 Mbit/s bis 10 Gbit/s |
| MVE 12/48 | 12 | 48 GB | 80 GB | Einstellbar von 20 Mbit/s bis 10 Gbit/s |
* Der Megaport Internet-Zugang ist symmetrisch, redundant, diversifiziert und umfasst DDoS-Scrubbing-Schutz. Der Megaport Internet-Zugang ist über die Megaport Internet-Verbindung, zum MVE anpassbar.
Bei diesen Leistungs- und Kapazitätsangaben handelt es sich um Schätzungen, sodass Ihre Geschwindigkeiten variieren können. Beachten Sie bei der Auswahl einer MVE-Instanzengröße die folgenden Punkte:
-
Jeder Anstieg der Datenlast im Netzwerk kann die Leistung beeinträchtigen. Beispielsweise kann das Einrichten von sicheren Tunneln mit IPsec, das Hinzufügen von Traffic Path Steering (Lenken des Datenverkehrs) oder die Verwendung von Deep Packet Inspection (DPI) die maximale Durchsatzgeschwindigkeit beeinflussen.
-
Zukünftige Pläne zur Skalierung des Netzwerks.
Was ist, wenn ich in Zukunft mehr MVE-Kapazität benötige?
Sie haben mehrere Möglichkeiten:
-
Sie können eine weitere MVE-Instanz bereitstellen, sie zu Ihrem SD-WAN-Overlay-Netzwerk hinzufügen und die Arbeitslast auf die beiden MVEs aufteilen.
-
Sie können eine größere MVE-Instanz bereitstellen, sie zu Ihrem SD-WAN-Overlay-Netzwerk hinzufügen, Verbindungen von der alten MVE zur neuen größeren MVE migrieren und dann die alte MVE abschalten.
Sie können die Megaport Internet-Bandbreite jederzeit anpassen, ohne die virtuelle Maschine herunterfahren zu müssen.
Sicherheit
MVE bietet sichere Kapazitäten zu und von Ihren internetfähigen Zweigstellenstandorten, zu jedem Endpunkt oder Dienstanbieter im SDN von Megaport. CSP-gehostete Instanzen von Partner-SD-WAN-Produkten leiten kritischen Datenverkehr über das Megaport-SDN und reduzieren so die Abhängigkeit vom Internet. Der Datenverkehr bleibt verschlüsselt und unter Ihrer Richtlinienkontrolle, während er über das Megaport SDN zur oder von der MVE geleitet wird.
Jedes MVE-Abonnement beinhaltet ohne zusätzliche Kosten den Schutz vor Distributed Denial of Service-Angriffen (DDoS).
Versa Secure SD-WAN bietet Zugang zu einer umfassenden Sicherheitsfunktion: Secure Access Service Edge (SASE). Versa auf MVE unterstützt nativ SASE- und SD-WAN-Dienste. Einzelheiten finden Sie unter Sicherung des Netzwerks mit SASE.
Lizenzierung
Sie bringen Ihre eigene Versa (Director) SD-WAN-Lizenz zur Verwendung mit MVE mit. Es liegt in Ihrer Verantwortung, die erforderlichen Lizenzen für die im Megaport-Netzwerk erstellten SD-WAN-Endpunkte zur Verfügung zu haben.
VLAN-Tagging
Megaport verwendet Q-in-Q zur Unterscheidung von VXCs und MVEs auf einem Host-Hardware-System. Die Mandanten-MVE empfängt nicht getaggten Datenverkehr auf dem Internet-seitigen Link sowie einfach getaggten 802.1Q-Datenverkehr für VXCs zu anderen Zielen im Megaport-Netzwerk (z. B. CSP-Anbindungsstellen (Onramps) oder andere MVEs).
vNICs
Jede MVE kann bis zu fünf vNICs haben. Eine MVE wird standardmäßig mit einem vNIC erstellt. Sie können also bis zu vier weitere vNICs hinzufügen.
Bevor Sie die Anzahl der vNICs auf Ihrer MVE angeben, beachten Sie Folgendes:
-
Beachten Sie, dass die Anzahl der vNICs nicht mehr geändert werden kann, nachdem eine MVE bestellt wurde. Entscheiden Sie im Voraus, wie viele vNICs Sie bei der Erstellung der MVE angeben möchten.
-
Wenden Sie sich an Ihren Dienstanbieter, um sicherzustellen, dass die Funktionalität nicht beeinträchtigt wird, wenn Sie einen vNIC hinzufügen.
Hinweis
Wenn Sie die Anzahl der vNICs ändern müssen, nachdem eine MVE bestellt wurde, müssen Sie die MVE stornieren und neu bestellen.