jedním ze základních principů Software Defined Networkingu je striktní oddělení funkčních úrovní síťového zařízení (routeru). Každý router v tradičním networkingu totiž pracuje v minimálně třech úrovních: datová, kontrolní a management úroveň. SD-WAN technologie vytrhne kontrolní a management úroveň z individuálních routerů a soustředí je do centralizovaných kontrolérů. To znamená, že máme centralizovaný kontrolér pro management úroveň – vManage, centralizovaný kontrolér (anebo kontroléry, pokud jich potřebujeme více) pro kontrolní úroveň – vSmart a k tomu přidáme ještě kontrolér pro orchestrační úroveň – vBond. Datová úroveň zůstane zachovaná v edge routeru.
Obrázek 1: Architektura SD-WAN
Role jednotlivých prvků v síti
- vBond – kontrolér, který je zodpovědný za autentifikaci všech zařízení do SD-WAN sítě. Po úspěšné autentifikaci vBond nasměruje Edge Router na ostatní kontroléry (vSmart a vManage).
- vManage – kontrolér, který má na starosti konfiguraci a monitoring SD-WAN sítě. Celá konfigurace je vykonávána jen na tomto prvku, na žádném jiném. Můžeme s ním pracovat pomocí grafického rozhraní, CLI anebo API rozhraní.
- vSmart – kontrolér, který si vezme konfiguraci (templaty a politiky) z vManage kontroléru a přeloží je do jazyka, kterému rozumí edge router. Komunikace s edge routerem probíhá pomocí overlay management protokolu (OMP), přes který si vyměňují všechny potřebné kontrolní informace, jako jsou směrovací informace, konfigurační politiky, IPSec šifrovací klíče a další údaje.
- Edge routery – jsou to jediná zařízení, mezi kterými tečou reálná produkční data. Takže data mezi Edge Routerem a kontroléry jsou jen kontrolního či management charakteru.
Edge Router se připojí na vBond kontrolér a je autentifikován do SD-WAN sítě. Vytvoří si kontrolní spojení na vManage a vSmart kontrolér, které mu poví, jaká bude jeho role v síti s příslušnou konfigurací. Následně si edge router vybuduje IPSec tunel k dalším edge routerům a stane se součástí SD-WAN sítě - fabriky.
Jednoduchost a rychlost managementu
Každá změna, která se vykoná na vManage kontroléru je následovně přenesena na vSmart kontrolér a na edge routery. Pomocí vManage kontroléru je možné provést také upgrade / downgrade softwaru na edge routerech, což výrazně šetří čas potřebný na takovéto úkony a tedy správu celé SD-WAN sítě.
Obrázek 2: SD-WAN fabrika
V IPSec tunelu, který se vybuduje mezi edge routery se defaultně zapne protokol Bidirectional Failure Detection (BFD), který nám dokáže měřit živost tunelu a také kvalitativní parametry jako ztrátovost paketů, zdržení a jitter.
Obrázek 3: Segmentace v SD-WAN síti
IPSec tunel přitom dokáže přenést provoz z více VPN sítí. Takový přístup nám zabezpečí segmentaci bez závislosti na transportní síti. Topologie jednotlivých VPN sítí se může lišit, takže můžeme mít jednu VPN síť ve Full-Mesh a další VPN síť v Hub & Spoke topologii.
Obrázek 4: Application Aware Routing Politika
Kvalitativní parametry IPSec tunelu monitorované pomocí technologie BFD umíme použít při takzvaných Application Aware Routing politikách. Vytvoříme si aplikační profil a v něm si zadefinujeme, jaké kvalitativní parametry naše aplikace potřebuje. Pokud je daný typ transportu (tunelu) nesplní, aplikační data budou směřována na jiný (splňující) typ transportu.
Obrázek 5: Zero Touch Provisioning
Automatické přidání routeru do sítě
Centralizovaná povaha SD-WAN řešení dokáže velmi ulehčit a zjednodušit řízení celé sítě. Podmínka ale je, že router musí být už součástí SD-WAN fabriky. Existuje tedy také způsob, jakým bychom urychlili zařazení edge routerů do sítě? Odpověď je ANO. Nazývá se – ZTP, neboli Zero Touch Provisioning. Správce sítě si dokáže vytvořit profily routerů, včetně detailní konfigurace, síťové politiky, instrukcí pro povýšení softwaru a dalších parametrů. Po tom, co si router vybuduje Kontrolní spojení na vManage kontrolér, jsou tyto profily automaticky zaslány na router. Celá tato konfigurace je už vykonána s nulovým zásahem správce sítě.
V tomto článku jsme si popsali základní principy a vlastnosti technologie SD-WAN. Je to technologie přinášející radikální změnu do oblasti networkingu. Zjednodušuje a urychluje správu sítě, uvolňuje tak ruce IT specialistům, kteří se mohou namísto rutinní manuální práce věnovat úlohám s vyšší přidanou hodnotou. Pokud vás možnosti SD-WAN zaujali a rádi byste se dozvěděli více nebo chcete poradit, zda je to řešení vhodné právě pro vás, další informace a kontakt na odborníky najdete zde.
Autor pracuje jako systémový inženýr ve společnosti Alef.
PŘEDPLATNÉ
ČLÁNKY DO MAILU