SD-WAN architektúra k dispozícii v priestoroch ALEF

Milan Uhrin

Systems Engineer, EC

milan.uhrin@alef.com

Podnikové siete novej generácie nasledujú trend prinášajúci široké spektrum výhod - od ekonomickej optimalizácie nákladov až po jednoduchú administráciu WAN pripojení k rôznym ISP prostredníctvom prehľadného webového rozhrania. Tento trend predstavuje prechod k SD-WAN architektúre, teda k softvérovo definovaným WAN sieťam. Na nasledujúcich riadkoch sa pozrieme na to, aké problémy sa snažíme riešiť prechodom na novú SD-WAN architektúru, aké benefity nám prináša a čo tvorí technický základ tejto novej architektúry.

Limity tradičných WAN sietí

Tradičný prístup k nasadeniu WAN sietí postupne dosahuje svoje limity a už nedokáže v plnej miere naplniť dnešné nároky podnikových sietí z nasledovných dôvodov:

  • CENA: Okrem ceny samotných sieťových prvkov zohráva svoju úlohu aj cena jednotlivých druhov pripojení do WAN siete. Niektoré spôsoby pripojenia, napríklad MPLS, môžu byť aj 5x drahšie ako VPN pripojenie cez internet. Z pohľadu ekonomických nákladov je teda MPLS v nevýhodnej pozícii a preto firmy dôsledne zvažujú využitie MPLS a minimalizujú toto pripojenie len na hlasovú a kritickú dátovú komunikáciu.

  • KOMPLEXNOSŤ: Každý smerovač sa v klasickom modeli WAN siete musel konfigurovať osobitne pomocou CLI, alebo web rozhrania a celú logiku a správnosť konfigurácie zabezpečoval administrátor. Vzdialený manažment konfigurácií veľkého počtu zariadení je spravidla časovo náročný a komplexný proces, najmä ak sa počet smerovačov v sieti pohybuje v desiatkach až stovkách kusov.

  • ZDĹHAVÝ INŠTALAČNÝ ČAS: Aktuálne siete využívajú MPLS služby od ISP, ktorých inštalácia na nové lokality môže trvať aj niekoľko mesiacov. Jedná sa o negatívny vplyv na expanziu organizácie, pretože tento proces môže dramaticky oneskoriť otvorenie nových pobočiek.

  • MONITORING: V tradičných sieťach využívame rôzne externé aplikácie na monitoring siete, na zisťovanie chýb, analýzu dátového prenosu, získavanie informácii o výkonnosti jednotlivých sieťových prvkov z pohľadu vyťaženia CPU atď. Každá aplikácia má svoje špecifiká a limity, niektoré firmy z tohto dôvodu používajú simultánne aj viac monitorovacích aplikácií. 

Benefity Cisco SD-WAN

Vyššie uvedené dôvody sú hodné zamyslenia sa nad tým, či existuje aj efektívnejší spôsob riadenia WAN sietí. SD-WAN architektúra rieši všetky spomenuté limity tradičných WAN sietí. Zoznam dôvodov na migráciu z tradičnej WAN na SD-WAN architektúru je dlhý, spomeňme však aspoň tie najdôležitejšie:

  • Jednoduché centralizované riadenie siete a aplikovanie smerovacích a aplikačných politík vedú k výraznému zníženiu časového fondu potrebného tak na správu siete ,ako aj na čas samotného nasadenia.
  • Kombinácia MPLS a internetového pripojenia môže prejsť určitou optimalizáciou z pohľadu využitia. SD-WAN technológia samozrejme dokáže pracovať s oboma druhmi pripojenia, ale má ešte jednu výhodu navyše – vďaka smerovaniu založenému na aplikáciách (Application-Aware Routing) zabezpečuje sledovanie konkrétnych parametrov linky (pripojenia) a na základe nastavených pravidiel smeruje dáta najvýhodnejšou linkou. A práve táto vymoženosť je horúci adept na možnú náhradu finančne nevýhodného MPLS pripojenia.

         Porovnajme si dva rôzne prístupy k smerovaniu toku dát :

         A)    Aktuálne smerovanie podľa starého konceptu sietí môže byť nasledovné:

         Firma disponuje dvomi linkami - MPLS pripojenie k ISP 1, internetové pripojenie k ISP 2. Na základe L3 smerovania je nastavené pravidlo, aby sa pre kritickú komunikáciu s konkrétnymi podsieťami (napr. VOIP, Video, atď.) primárne využívala MPLS linka a všetky ostatné podsiete využívajú internetové pripojenie cez IPSec tunel. A v prípade výpadku MPLS linky sa komunikácia z celej siete presmeruje na internetovú linku.

         B)    Smerovanie vďaka SD-WAN architektúre môže vyzerať nasledovne:

         Firma má dve linky – Internet 1 k ISP1 a Internet 2 k ISP1. Nemusí si platiť MPLS pripojenie, ktoré je výrazne          nákladnejšie ako internetové. Na linke Internet 1 administrátor nastaví strop pre kritické parametre (Packet Loss, Delay, Jitter) . Následne sa tento strop namapuje na konkrétne aplikácie (VOIP, Video, atď.).V prípade zhoršenia kvality linky, teda v prípade dosiahnutia hornej hranice parametrov, sa presmeruje tok dát na linku Internet 2.  Takáto optimalizácia smerovania v konečnom dôsledku znižuje náklady na pripojenie do WAN siete.

  • Vďaka SD-WAN technológii umožňujúcej transport dát nezávisle od pripojenia (internet / MPLS, 3G LTE), je možné bez problémov rozšíriť tradičné siete aj do dátového centra alebo Cloudu a spravovať celú WAN sieť z jedného centralizovaného miesta.
  • Flexibilita nasadenia - vďaka oddeleniu riadiacej vrstvy (control plane) od dátovej vrstvy (data plane) môžu byť riadiace jednotky nasadené on-site v priestoroch organizácie alebo v cloude alebo je možné využiť ich kombináciu.
  • Zero-touch provisioning  - čo v preklade znamená absencia akejkoľvek konfigurácie priamo na mieste pri inštalácii smerovača. Lokálny technik pripojí smerovač do siete cez WAN port a smerovač si sám stiahne predpripravenú konfiguráciu (samozrejme v prípade, ak smerovač získa IP adresu z DHCP servera od ISP).
  • Viditeľnosť a rozpoznávanie toku dát na aplikačnej úrovni – možnosť nastaviť smerovanie dát v sieti, na základe aplikačnej politiky a sledovať úroveň kvality služieb v reálnom čase (Packet Loss / Jitter / Delay).
  • Bohatá analytika s viditeľnosťou do aplikácií a infraštruktúry. Umožňuje predikciu a rýchle riešenie problémov a následne pomáha efektívne plánovať zdroje.
  • Nasadenie smerovača Cisco vEDGE / cEDGE môže byť fyzické alebo virtuálne a dá sa nasadiť kdekoľvek v sieti.
  • Robustné a komplexné zabezpečenie celého SD-WAN riešenia predstavuje silné šifrovanie údajov, end-to-end segmentáciu, certifikačnú identitu smerovačov a kontrolera, aplikačný firewall, integráciu Cisco Umbrella™ a ďalších sieťových služieb.

Nižšie uvedená SD-WAN architektúra zobrazuje prepojenie medzi jednotlivými vrstvami. Data plane predstavuje vrstvu pozostávajúcu zo smerovačov (fyzických alebo virtuálnych), ktorých primárnou úlohou je preposielať a smerovať dátovú komunikáciu. Control plane vrstva, ako už bolo spomenuté, sa nenachádza priamo na samotných zariadeniach, ale je súčasťou vSMART kontrolera. vMANAGE je v princípe webové rozhranie, prostredníctvom ktorého sa konfigurujú ostatné komponenty SD-WAN. vBOND participuje v úvodnej fáze ako ústredný komponent zastrešujúci distribúciu kľúčových informácii, napríklad Whitelistov (zoznam zariadení, ktoré sú oprávnené sa pridať do SD-WAN siete).  Dátové prepojenia medzi jednotlivými prvkami sú zabezpečené IPSec tunelmi, prepojenia na Control a Management vrstve (smerovače vs vSMART/vMANAGE) využívajú TLS/DTLS tunely.

Cisco SD-WAN Architektúra

Každý spomenutý komponent plní svoju špecifickú funkciu:

   vBOND orchestrátor  - vystupuje v SD-WAN architektúre ako prvý kontaktný bod z hľadiska autentikácie.

Ďalej má na starosti distribúciu zoznamu vSMART a vMANAGE kontrolerov až k vEDGE / cEDGE  smerovačom počas procesu nasadenia do SD-WAN prostredia, tzv. onboarding. Môže byť umiestnený on-premise u zákazníka, alebo Cisco poskytuje v BOND pre svojich zákazníkov aj v podobe cloudovej služby.

  vMANAGE –  zabezpečuje globálnu správu SD-WAN riešenia z jedného miesta.

Jedná sa o príjemné, prehľadné, user-friendly webové rozhranie umožňujúce nastavovať centrálne kontrolné a dátové politiky, konfigurovať smerovače prostredníctvom tzv. šablón (templates) bez znalosti CLI (Command Line Interface) príkazov.  V neposlednom rade disponuje nástrojmi schopnými detekovať slabé miesto v konfigurácii jednotlivých sieťových zariadení. Monitorovacie nástroje, pomocou ktorých je možné monitorovať celú WAN sieť ako celok a riešiť prípadné problémy sú taktiež súčasťou vMANAGE. Prostredníctvom vMANAGE je vykonanie aktualizácie softvéru na zariadeniach naozaj jednoduché a efektívne. Štatistiky výkonnosti SD-WAN siete môžu byť exportované buď do externých systémov, alebo aj do Cisco vAnalytics nástroja (súčasťou vMANAGE) na následnú hlbšiu analýzu dát o WAN sieti.  

 vSMART – jeho primárnou úlohou je zastrešovať funkciu riadiaceho prvku na tzv. control plane vrstve.

Nakoľko data plane a control plane sú v SD-WAN sieti dve separátne entity, vSMART kontroler hrá kľúčovú úlohu práve v riadení kontrolnej vrstvy. vSMART komunikuje s vEDGE / cEDGE smerovačmi prostredníctvom OMP protokolu (Overlay Management Protocol) zabezpečujúceho distribúciu tak smerovacích informácií ako aj politík zadefinovaných na vMANAGE. A nielen to, vSMART zabezpečuje aj distribúciu informácii na aplikačnej úrovni, čiže application-aware routing. V neposlednom rade taktiež dramaticky zjednodušuje komplexnosť na úrovni control planu. vSMART kontroler je zriedkavo nasadený ako samostatný kontrolný prvok. Z dôvodu jeho kritickej funkcie v celkovej architektúre  sú vSMART kontrolery minimálne dva a sú spravidla umiestnené v geograficky odlišných dátových centrách, aby sa znížila pravdepodobnosť zlyhania na úrovni control plane. 

  vEDGE / cEDGE Router – v princípe je to WAN smerovač a z pohľadu SD-WAN architektúry tvorí data plane vrstvu.

Ide o zariadenie vykonávajúce smerovanie dát do cieľových sietí. Všetky riadiace a kontrolné mechanizmy (smerovacie politiky) sa nachádzajú mimo vEDGE / cEDGE smerovača - sú zadefinované prostredníctvom vMANAGE, ktorý ich posunie do vSMART kontrolera a ten ich následne nasadí na samotné  vEDGE / cEDGE zariadenia. Úloha vEDGE / cEDGE smerovaču je teda spracovanie užívateľskej komunikácie a aplikovanie bezpečnostných politík zadefinovaných na kontrolných prvkoch SD-WAN architektúry. vEDGE / cEDGE smerovače vytvárajú dva druhy zabezpečených tunelov:

-       IPSec tunel medzi jednotlivými vEDGE / cEDGE smerovačmi na dátovej úrovni. Využíva sa na prenos dátovej komunikácie.

-       DTLS tunel medzi  vEDGE / cEDGE smerovačmi a vSMART kontrolerom. Využíva sa na distribúciu smerovacích politík na control plane úrovni.

vEDGE / cEDGE router používa štandardné smerovacie protokoly ako je OSPF, EIGRP a BGP, taktiež podporuje redundanciu z pohľadu LAN siete pomocou protokolu VRRP. vEDGE / cEDGE má plnú podporu Zero-touch nasadenia, inými slovami – smerovač odchádza z výroby pripravený tak, aby nebola nutná žiadna konfigurácia na zákazníckej lokalite. Konfigurácia smerovača sa predpripraví pomocou vMANAGE a prostredníctvom pripravených šablón sa aplikuje na smerovač z jedného centralizovaného miesta

Nasledovný obrázok zobrazuje spôsob, akým je zabezpečené smerovanie v SD-WAN architektúre. Vidíme dvojúrovňovú architektúru – Underlay vrstva je zodpovedná za dátovú prevádzku a využíva dobre známy protokol BGP. Overlay vrstva zabezpečuje distribúciu smerovacích informácií naprieč celou SD-WAN sieťou a využíva protokol OMP.

Výraznou črtou novej SD-WAN technológie je flexibilita a jej pripravenosť na rôzne situácie a nasadenia – od jednoduchých až po komplexné hybridné scenáre, ako je pripojenie do Virtuálneho Privátneho Cloudu, SAAS alebo nasadenie on-site, prípadne ich kombinácie. Jednou z mnohých výhod je aj možnosť využiť rôzne kombinácie pripojení na strane zákazníka – či už prostredníctvom jedného alebo viacerých smerovačov.

Rôzne možnosti nasadenia SD-WAN Architektúry

Prechod na novú sieťovú architektúru je náročný proces a väčšinou je založený na prípravnej fáze, kedy je potrebné sa teoreticky oboznámiť s novým riešením, pochopiť jednotlivé komponenty riešenia a celkové fungovanie novej architektúry. Následne sa prechádza do fázy získavania praktických skúseností s novým riešením, kde by sa mala naplno prejaviť pridaná hodnota nového riešenia a technický tím by mal získať praktické skúsenosti z danej oblasti.

Technický tím ALEF-u udržuje krok s novinkami v tejto technologickej oblasti a na získanie praktických skúseností sme investovali do testovacieho prostredia, ktoré umožňuje tak nám, ako aj našim zákazníkom, sa s danou technológiou plne zoznámiť.

ALEF SD-WAN LAB

SD-WAN demo nasadené v ALEF je koncipované ako on-premise riešenie v našom dátovom centre a pozostáva z nasledovných prvkov orchestračnej, kontrolnej a riadiacej vrstvy Cisco SD-WAN architektúry: vBOND, vMANAGE, vSMART. Dátová vrstva smerovačov pozostáva z fyzických zariadení v prevedení vEDGE (vEdge 100 B),  cEDGE (C1111X-8P) a taktiež z virtuálnych smerovačov nasadených na platforme ENCS a VMware.

Topológia ALEF SD-WAN labu:

Momentálne je možné v labe otestovať nasledovné funkcionality:

  • Konfigurácia aplikačných politík (AAR – Application Aware Routing)
  • Simulácia WAN liniek prostredníctvom WANem nástroja - sledovať zmeny v správaní WAN liniek na základe zmien parametrov Packet Loss /Jitter / Delay
  • Rôzne scenáre zákazníckych konfigurácii (Templates, Data & Control Policy)
  • Nasadenie vEDGE / cEDGE virtuálneho smerovača
  • Simulácia zákazníckych nasadení
  • PoC (Proof of Concept) - overenie funkcionalít pred samotným nasadením u zákazníka

 V priebehu nasledujúcich mesiacov plánujeme rozšíriť SD-WAN LAB aj o integráciu s našimi ďalšími testovacími prostrediami SD-Access a ACI. Celé testovacie prostredie plánujeme v ALEF-e využívať počas kompetenčných centier (KC), ale aj iných technicko-marketingových prezentácií.

Radi Vás u nás privítame a ponúkame Vám možnosť vykonať PoC testovanie tejto novej architektúry v priestoroch spoločnosti ALEF.