ภาพรวม NFV Features บน Sangfor SCP

บทนำ (Introduction)

NFV (Network Function Virtualization) บนแพลตฟอร์ม Sangfor SCP ช่วยให้องค์กรสามารถ deploy อุปกรณ์ security และ network ในรูปแบบ virtual appliance ได้โดยไม่ต้องติดตั้ง hardware แยกต่างหาก ลดค่าใช้จ่ายและเพิ่มความยืดหยุ่นในการบริหารจัดการโครงสร้างพื้นฐาน

NFV บน SCP รองรับอุปกรณ์เสมือนหลัก 3 ประเภท ได้แก่ vNGAF (Virtual Next-Generation Application Firewall), SSL VPN และ vAD / ADC (Virtual Application Delivery Controller) ทั้ง admin และ tenant สามารถจัดการ NFV devices ได้ โดย tenant จะสามารถทำได้เฉพาะ Edit, Power On และ Shut Down เท่านั้น

ข้อกำหนดเบื้องต้น (Prerequisites)

ก่อนเริ่มใช้งาน NFV บน SCP ต้องตรวจสอบข้อกำหนดต่อไปนี้:

• SCP ต้องทำการ import licensing activation เรียบร้อยแล้ว
• ต้องมี authorization resources เพียงพอสำหรับ license NFV equipment
• ต้องทำการ license NFV จากเมนู System > Licensing > Security Resource License ก่อนใช้งาน
• Tenant ต้องมี NFV quota เพียงพอสำหรับการสร้าง NFV device
• ต้องมี device image ที่ถูก upload ไว้พร้อมใช้งานแล้ว

ประเภท NFV Devices

SCP รองรับ NFV devices 3 ประเภทหลัก ดังรายละเอียดต่อไปนี้:

1. vNGAF (Virtual Next-Generation Application Firewall)

vNGAF คือ Sangfor NGAF ในรูปแบบ virtual appliance ที่ให้ full life cycle protection สำหรับระบบเครือข่าย ใช้งานในรูปแบบ routing mode deployment เพื่อป้องกันภัยคุกคามทางไซเบอร์อย่างครบวงจร

ความสามารถหลัก:

• รองรับ one-click creation, editing, deletion รวมถึง enabling/disabling protection
• หลังสร้าง vNGAF เสร็จ protection จะถูก enable by default โดยอัตโนมัติ
• สามารถเพิ่ม vNGAF เข้าสู่ security center เพื่อบริหารจัดการแบบรวมศูนย์ได้

วิธีการสร้าง vNGAF:

1. ไปที่ Security Product > NGAF > New
2. กำหนดค่า Configuration ได้แก่ CPU, Memory และ Bandwidth ตามความต้องการ
3. เลือก Resource Pool, VPC และตั้งชื่อ Name
4. กำหนด License ซึ่งรองรับ: Branch VPN Sites, Links, SSL VPN Users, Anti Web Defacement Licenses และ Mobile Users
5. คลิก More เพื่อ redirect ไปยัง vNGAF console สำหรับการตั้งค่าเพิ่มเติม

2. SSL VPN

SSL VPN ให้บริการ secure remote access สำหรับผู้ใช้งานที่ต้องการเชื่อมต่อเข้าสู่ระบบเครือข่ายภายในองค์กรจากภายนอกอย่างปลอดภัย ใช้งานในรูปแบบ single-arm deployment mode โดยต่อภายใต้ VPC subnet

ความสามารถหลัก:

• รองรับ one-click creation/deletion และ configuration modification
• รองรับการ binding elastic IP สำหรับการเข้าถึงจากภายนอก
• ข้อจำกัด: SSL VPN ไม่สามารถเพิ่มเข้าสู่ security center ได้

วิธีการสร้าง SSL VPN:

1. ไปที่ Security Product > SSL VPN > New
2. กำหนด Licensing, Configuration, Resource Pool, Name, Subnet และ Elastic IP
3. กำหนด License ซึ่งรองรับ: Branches, Total Mobile Users, Total Remote Users และ EMM Licenses
4. คลิก More เพื่อ redirect ไปยัง SSL VPN console สำหรับการตั้งค่าเพิ่มเติม

3. vAD / ADC (Virtual Application Delivery Controller)

vAD หรือ ADC ให้บริการ load balancing ที่ครอบคลุมทั้ง multi-data center load balancing, multi-link load balancing และ server load balancing ใช้งานในรูปแบบ bypass mode โดย mount ภายใต้ VPC subnet

ความสามารถหลัก:

• รองรับการ binding elastic IP
• vAD device image ที่ใช้ใน tenant VPC จะแตกต่างจาก image ที่ใช้ใน HCI
• HA deployment: รองรับการ deploy vAD 2 ตัวบน subnet เดียวกันในรูปแบบ active-standby เพื่อเพิ่ม high availability

วิธีการสร้าง vAD:

1. ไปที่ Networking > ADC > New
2. กำหนดค่า Configuration, Function, Resource Pool, Name, Subnet และ Elastic IP

Security Resource License

การจัดการ license สำหรับ NFV devices ทำได้ดังนี้:

1. ไปที่ System > Licensing > Security Resource License
2. หน้า License จะแสดงคอลัมน์ Resource Pool และ Tenant เพื่อระบุว่า NFV device แต่ละตัวอยู่ภายใต้ pool และ tenant ใด
3. เลือก NFV device ที่ต้องการ > คลิก Licensing > กำหนดรายละเอียด licensing > คลิก OK

หมายเหตุ: NFV device ที่เป็นของ admin จะแสดงเครื่องหมาย "-" ในคอลัมน์ Tenant ส่วน NFV device ที่เป็นของ tenant จะแสดงชื่อ tenant นั้นๆ

Distributed Firewall (เสริม)

นอกเหนือจาก NFV devices แล้ว tenant ยังสามารถตั้ง distributed firewall policies ใน network topology ได้อีกด้วย โดยจะทำงานเฉพาะภายใน scope ของ tenant นั้นเท่านั้น

รายละเอียด:

• รองรับการกำหนด source/destination เป็น: IP Group, IP Range, Virtual Machine และ VM Group
• รองรับทั้ง predefined services และ custom services สำหรับการกำหนด firewall rules

ข้อควรระวัง: หาก VM ไม่ได้ติดตั้ง vmTools ระบบจะไม่สามารถ detect IP address ได้อัตโนมัติ ดังนั้นต้องทำการตั้งค่า IP ของ VM ก่อนจึงจะสามารถใช้เป็น source หรือ destination ใน firewall policy ได้

หมายเหตุเพิ่มเติม (Additional Notes)

• Tenant ไม่สามารถสร้าง NFV บน Classic Network ได้ หากต้องการใช้งานบน Classic Network ต้องติดต่อ platform administrator เพื่อดำเนินการ
• NFV devices ทุกประเภทต้องการ device image ที่ถูก upload ไว้ในระบบก่อนจึงจะสามารถสร้างได้
• สามารถตรวจสอบสถานะของ NFV devices ได้จากหน้า Security Product (สำหรับ vNGAF และ SSL VPN) หรือหน้า Networking (สำหรับ vAD/ADC)
• การจัดการ NFV สำหรับ tenant จะจำกัดเฉพาะการ Edit, Power On และ Shut Down เท่านั้น ไม่สามารถสร้างหรือลบ NFV device ได้