Sprzęt
- QHora-301W
- QHora-321
- QHora-322
Oprogramowanie
- QuRouter 2.6 i nowsze
- QuWAN Orchestrator 2.8.1 i nowsze
Omówienie
Możesz skonfigurować QuWAN Orchestrator tak, aby kierował ruch wychodzący do internetu z routera brzegowego przez router centralny (backhaul). Taka konfiguracja powoduje, że cały ruch wychodzący z urządzeń znajdujących się za routerem brzegowym jest przesyłany tunelem VPN IPSec do węzła centralnego, skąd jest przekazywany do internetu. Centralizacja dostępu do internetu wzmacnia egzekwowanie zasad i upraszcza bezpieczeństwo sieci w środowiskach rozproszonych.
QuWAN Orchestrator automatycznie tworzy tunele VPN IPSec między routerami, korzystając z funkcji automatycznej siatki VPN (auto mesh VPN). Zapewnia to bezpieczną komunikację między lokalizacjami bez ręcznej konfiguracji. W większości sieci routery brzegowe umożliwiają bezpośredni dostęp do internetu. Aby zachować podstawowy poziom bezpieczeństwa, możesz włączyć lokalne funkcje zapory sieciowej lub systemu zapobiegania włamaniom (IPS) na każdym urządzeniu. Szczegółowe informacje znajdziesz w artykule Jak skonfigurować ustawienia systemu zapobiegania włamaniom (IPS) w QuWAN Orchestrator, aby automatycznie wykrywać i blokować złośliwą aktywność sieciową. Jeśli jednak chcesz kontrolować i egzekwować zasady dla całego ruchu internetowego za pomocą urządzenia zabezpieczającego sieć, możesz włączyć backhaul internetowy na routerach brzegowych. Po włączeniu backhaulu cały ruch kierowany do internetu jest bezpiecznie przesyłany do routera centralnego przed wyjściem do sieci. Umożliwia to stosowanie jednolitych zasad bezpieczeństwa i monitorowanie korzystania z internetu z jednego miejsca.
QuWAN Orchestrator udostępnia scentralizowany interfejs do zarządzania tymi ustawieniami i śledzenia łączności urządzeń. W przypadku zaawansowanych scenariuszy routingu, takich jak kierowanie określonych typów ruchu różnymi ścieżkami, możesz również skonfigurować routing oparty na zasadach (policy-based routing) w QuWAN Orchestrator. Szczegółowe informacje znajdziesz w artykule Jak skonfigurować routing oparty na zasadach w QuWAN Orchestrator?
Obsługiwana topologia VPN dla backhauling ruchu internetowego
Podczas dodawania routera QNAP do QuWAN Orchestrator należy skonfigurować ustawienia organizacji, regionu i roli urządzenia. Parametry te określają, jak router wpisuje się w topologię sieci i mają kluczowe znaczenie dla wydajności, routingu oraz bezpiecznej komunikacji.
QuWAN Orchestrator obsługuje zarówno topologie VPN hub-and-spoke, jak i mesh. Przypisując routery do określonych regionów i ustawiając ich role, można tworzyć strukturę hub-and-spoke, w której routery brzegowe łączą się wyłącznie z wyznaczonymi urządzeniami centralnymi (hub). QuWAN Orchestrator automatycznie ustanawia sieć mesh między routerami centralnymi, zapewniając efektywną łączność między lokalizacjami centralnymi. Szczegółowe informacje znajdziesz w artykule Jak koncepcje organizacji, regionu i ról urządzeń mają zastosowanie przy dodawaniu routera QNAP do QuWAN Orchestrator?
Ilustracja obsługiwanych topologii sieciowych w sieci QuWAN SD-WAN
- Hub-and-spoke (po lewej): Topologia hub-and-spoke, w której routery brzegowe (niebieskie) kierują ruch internetowy przez centralny router węzłowy (biały) za pomocą sieci VPN IPSec. Jest to obsługiwany i zalecany projekt scentralizowanego dostępu do internetu.
- Mesh (pośrodku): Pełna siatka mesh między węzłami centralnymi (hub-to-hub) — konfiguracja nieobsługiwana. Backhaul ruchu między routerami centralnymi nie jest dozwolony.
- Hybrid (po prawej): Hybrydowa topologia VPN hub-and-spoke i mesh. Przekierowywanie ruchu (backhaul) z routera brzegowego przez wiele routerów centralnych wprowadza opóźnienia i nie jest dozwolone.
Zachowanie backhauling i zachowanie awaryjne (fallback)
Po włączeniu reguły backhaul internetowego na routerze brzegowym cały ruch IPv4 kierowany do internetu jest przesyłany tunelem VPN do routera centralnego. Router centralny następnie przekazuje ruch do internetu, umożliwiając scentralizowaną kontrolę bezpieczeństwa. Jeśli tunel VPN przestanie działać, router brzegowy utraci łączność z internetem, nawet jeśli jego lokalne połączenie internetowe pozostaje aktywne. Aby uniknąć przerw w działaniu usług, możesz włączyć opcję fallback. Ustawienie to pozwala routerowi tymczasowo korzystać z własnego połączenia WAN, gdy VPN jest niedostępny. Włącz fallback, jeśli utrzymanie dostępności internetu jest ważniejsze niż bezwzględne egzekwowanie scentralizowanego routingu.
Ważne
- Backhaul obsługuje wyłącznie ruch IPv4. Ruch IPv6 nie jest kierowany przez VPN.
- Usługi systemowe routera, takie jak DNS, aktualizacje i połączenia z chmurą, zawsze korzystają z lokalnego połączenia internetowego, nawet gdy backhaul jest włączony.
- Backhaul nie jest obsługiwany między urządzeniami centralnymi (hub). Upewnij się, że używasz połączenia jednoetapowego (edge-to-hub).
- W razie potrzeby precyzyjnej kontroli ruchu użyj routingu opartego na zasadach (policy-based routing).
Procedura
- Zaloguj się do QuWAN Orchestrator.
- Wybierz swoją organizację.
- Kliknij Backhaul Internet.
- Kliknij Create New Rule.
Pojawi się okno Create Backhaul Internet Rule. - Podaj nazwę reguły.
- Wybierz docelowy region, w którym reguła ma być egzekwowana w ramach topologii hub-and-edge.
- Kliknij
obok Enable Rule, aby włączyć regułę natychmiast po jej utworzeniu. - Wybierz jedno lub więcej urządzeń w sekcji Branch Devices.
- Włącz opcję Auto-apply to new edge devices in selected region.
uwaga
Włączenie tej opcji zapewnia, że wszystkie nowo dodane urządzenia brzegowe automatycznie dziedziczą i stosują skonfigurowane ustawienia reguły bez konieczności ręcznej interwencji.
- Włącz opcję Fall back to local WAN if hub is offline.
uwaga
Po wybraniu tej opcji system automatycznie przełącza się na lokalne połączenie WAN, jeśli aktywne urządzenia centralne (hub) objęte tą regułą są offline, zapewniając ciągłość łączności.
- Kliknij Create.
QuWAN Orchestrator tworzy regułę backhaul internetowego.