众所周知，Global客户访问国际互联网及开展一些公有云业务经常面临如下问题：

1.     访问国际网站慢，Google等网站打不开

2.     国际版Office 365加载慢，Email出现过滤，语音和视频会议等效果差，经常掉线

3.     国内国外办公室资源互访慢（如AD同步），实时性不高

4.     公有云不同区域间实例的互访

5.     ………

 

造成这些问题的原因，

1.     公有云不同区域之间的相互隔离

2.     国内外运营商对接不好

3.     带宽利用率不高

4.     网络管理策略

 

通常解决办法：

方案一：国内外直接建立IPsec：不稳定、丢包、传输质量没有保证

方案二：国际专线：延迟低、效果好、成本高

 

以上两种是通用解决方案，这里我根据平时的一些实践，介绍第三种方案供参考。

 

方案三：Fortinet SDWAN + 云服务商的网络通讯服务。例如，采用阿里云的云企业网实现国内外分支、数据中心、阿里云各个VPC间实例互联互通。HQ Office可以通过云企业网访问国际线路，通过本地ISP访问国内网站及业务。

 

 

方案组成部分：

Ø  云企业网实例：将需要互通的VPC加入到云企业网实例中，再购买带宽包，设置跨地域互通带宽，便可实现全球网络资源互通。

Ø  网络实例：专有网络VPC，如杭州VPC，法兰克福VPC，香港VPC

Ø  基于阿里云的FortiGate 实例：HA部署，充当VPC边界网关

Ø  位于Office的FortiGate 硬件设备，充当办公室的边界网关，提供安全SDWAN功能

方案思路（基础配置略，只涉及关键步骤）：

(一)  步：通过云企业网实现阿里云不同区域VPC间的互联互通

a)     创建云企业网实例，购买带宽包，不同区域间带宽大小，灵活可控

b)     把相关VPC加入到云企业网

c)     此时，加入到云企业网里面的VPC可以互通了。

测试从杭州实例ping 访问法兰克福实例，延迟155ms（效果和国际专线差不多），已经很好了，毕竟这么远距离呢。

测试从杭州实例ping访问香港实例，延迟28ms左右，线路质量非常好

(二)  国际互联网默认路由：香港VPC部署FortiGate实例充当NAT网关，香港VPC 引入默认路由，杭州VPC通过云企业网学习到访问互联网的默认路由指向香港VPC（HK FortiGate）。

a)     HK FortiGate路由配置

只需一条访问Internet默认路由即可

b)     HK FortiGate NAT策略配置

访问Internet SNAT 允许策略

c)     香港VPC路由表中创建默认路由指向香港FortiGate实例，并发布到云企业网，提示有冲突（可以避免），没关系，因为它也会从其它VPC学习到默认路由。

d)     查看杭州VPC路由表，已经从香港VPC学习到默认路由，此时杭州VPC里面的实例已经可以通过香港VPC访问国际互联网了。

(三)  Office 与阿里云互通，杭州VPC部署两个FortiGate实例（HA），总部办公室基于ISP线路（电信、联通）与杭州FortiGate SD-WAN互联，实现应用智能选路。

a)     总部办公室ForiGate配置 SDWAN

b)     通过SDWAN规则，引流相关应用（Office 365、 Google等)到阿里云。