Программно-определяемые сети (SDN)

Какие решения на базе программно-определяемых сетей предлагает компания Cisco?
Программно-определяемая сеть (Software Defined Networks - SDN) - сеть передачи данных, в которой уровень управления сетью отделён от устройств передачи данных и реализуется программно. В качества «мозга» сети обычно выступает контроллер. Он централизованно управляет сетевыми устройствами, собирая с них различные телеметрические параметры (данные по трафику, загрузке оборудованию, качеству связи и пр.). Благодаря такой централизации контроллер обеспечивает автоматизацию в сети, глубокую аналитику её работы, безопасность, а также может реализовать достаточно «хитрую» логику обработки сетевого трафика.

Компания Cisco предлагает следующие решения на базе SDN:
  • SD-Access – решение по построению кампусной сети (проводной и беспроводной). В качестве контролера использует Cisco DNA Center. Контроллер является аплайнсом, который размещается локально на площадке заказчика.
  • SD-WAN – решение по построению распределённой WAN сети, работающей поверх любых каналов связи (Интернет, выделенные каналы, пр.). У компании Cisco доступно два решения: SD-WAN Viptela и SD-WAN Meraki. SD-WAN Viptela поддерживает как облачное, так и локальное размещение контроллеров (в виде виртуальных машин). Решение SD-WAN Meraki – только облачный вариант.
  • ACI – решение по построению сред для обработки данных (ЦОД). Контроллер - Cisco APIC (Cisco Application Policy Infrastructure Controller). Поддерживает как облачное (Amazon Web Services), так и локальное размещение (в виде аплайнса).
Что такое SD-WAN?

SD-WAN - программно-определяемая WAN-сеть. SD-WAN позволяет связать удалённые в офисы в единую сеть. Ключевое отличие от традиционной WAN сети заключается в наличии централизованного «мозга» (control-plane). В терминах SD-WAN – это контроллер(ы).

Такая централизация обеспечивает упрощение при настройке, мониторинге, а также крайне гибкую функциональность в работе WAN сегмента.

SD-WAN – это общий термин, который не принадлежит контрактному вендору и не является стандартном. Это концепция.

У Cisco SD-WAN представлен двумя решениями: Viptela SD-WAN и Meraki SD-WAN. Каждое из них работает по своим принципам, но со схожей функциональностью. Когда мы говорим про Cisco SD-WAN, чаще всего речь идёт про решение Viptela.

Viptela SD-WAN обладает богатой функциональностью и высокой степенью кастомизации. Контроллеры могут размещаться как в облаке Cisco, так и на площадке/в облаке заказчика (on-premise). Meraki SD-WAN работает только в облаке Cisco и предоставляет интуитивно понятный интерфейс управления.

Какие преимущества даёт внедрение SD-WAN?

SD-WAN пришёл на смену таким технологиям как DMVPN и iWAN. Данное решение используется для построения защищённой распределённой сети поверх любых каналов связи.

SD-WAN использует три контроллера, отвечающие за работу всего решения, - это vSmart, vManage и vBond. Каждый из них является обязательным элементом. Контроллер vSmart отвечает за распространение политик на устройства. Через vManage осуществляется управление решением. vBond отвечает за связность устройств (аутентификацию, авторизацию, списки устройств и пр.).

Основные преимущества SD-WAN:

  1. Автоматизация процессов настройки (Zero Touch Provisioning): новые устройства автоматически загружают на себя конфигурацию, что существенно уменьшает время запуска новых офисов.
  2. Упрощение администрирования оборудования: централизация настроек – единый портал для всех устройств, гибкая схема шаблонов.
  3. Всестороння аналитика работы WAN сети: телеметрия оборудования, загрузка каналов, качество каналов, разбор трафика по приложениям и пр.
  4. Сегментация и гибкая схема топологий: решение нативно поддерживает сегментацию трафика внутри VPN. На логическом уровне возможно использовать различные топологии VPN: полно связную (Full-mesh), централизованную (Hub-and-Spoke), частично связанную (Partial Mesh) и точка-точка (Point-to-Point).
  5. Интеллектуальная маршрутизация трафика: для разного типа трафика мы можем задать свои критерии маршрутизации, принимая во внимание различные параметры сети.
    • Маршрутизация трафика с учетом качества каналов связи: потери пакетов, задержки, джиттер.
    • Гибкая схема маршрутизации: фильтрация маршрутов, подстановка next-hop’ов, маршрутизация на основе L3/L4/L7 параметров трафика и пр.
    • Выстраивание сервисных цепочек: принудительная маршрутизация трафика через сервисные узлы (МСЭ, балансировщики и пр.).
  6. Встроенные средства безопасности: FW, IPS, AMP, URL-фильтрация.
  7. Оптимизация трафика.
  8. Высокий уровень масштабируемости и отказоустойчивости.
Какие решения являются обязательными для построения SD-WAN?

  1. Контролеры vManage, vBond и vSmart. Поддерживают как облачное (AWS, Azure, Google Cloud Platform), так и локальное размещение (ESXi или KVM).
  2. Сетевые устройства: Cisco ISR 1100 и 4000, Catalyst 8000, ASR 1000, vEdge, ISRv, CRS 1000v.
  3. Подписка на каждое сетевое устройство:  Cisco DNA Essentials, Advantage или Premier. Набор поддерживаемых сервисов определяется типом подписки.

До версии Cisco IOS XE 17.2.1 для работы в экосистеме SD-WAN на сетевом устройстве устанавливается специализированная прошивка (SD-WAN Integrated IOS XE). Начиная с версии 17.2.1 образ операционной системы единый, как для независимого режима работы, так и в составе SD-WAN.

Почему стоит перейти на SD-WAN?
  1. Централизация управления и минимизация времени внедрения новых офисов позволяет существенно сократить временные затраты на администрирование WAN-сети.

    Больше не нужно заходить на каждое устройство в отдельности. Все устройства настраиваются через шаблоны, а политики применяются централизовано. Это обеспечивает автоматизацию выполнения рутинных операций.

    Для подключения нового офиса достаточно загрузить его уникальные атрибуты (IP-адреса, названия и пр.) и применить нужные шаблоны. Далее подключив устройство к сети с минимальными настройками, оно устанавливает связь с контроллерами и автоматически загружает конфигурацию.

  2. Интеллектуальная маршрутизация трафика и защита от потерь пакетов существенно повышает качество работы сети.

    Система фиксирует не просто отказ канала связи, а даже незначительную деградацию качества его работы. И далее при необходимости может переключить трафик на другой канал или использовать корректирую потерю пактов технологию (дублирование трафика или внесение избыточности для восстановления потерь).

  3. Централизованный всесторонний мониторинг позволяет повысить надёжность работы сети.

    В режиме реального времени мы видим состояние устройств, качество каналов связи, их загрузку и пр. информацию.

  4. Встроенные средства безопасности снижает риски со стороны информационной безопасности без затрат на установку и обслуживания дополнительного оборудования. Кроме полного шифрования всех передаваемых данных в WAN сети, каждый WAN Edge маршрутизатор можно превратить в полноценный NGFW.

Что будет, если откажет контроллер SD-WAN?

В первую очередь данный вопрос актуален при размещении контроллеров SD-WAN на площадке/в облаке у заказчика.

Так как типов контроллеров несколько, последствия будут разными. Но во всех случаях сеть продолжит передавать трафик.

vManage – потеряется возможность управления сетью и станет недоступен мониторинг.

vSmart – перестанут обновляться маршруты, политики, ключи шифрования. Т.е. сеть будет работать в том состоянии, к-е было на момент отказа как минимум 12 часов (этот период можно увеличить до 7 дней).

vBond – к сети невозможно будет подключить новые устройства.

Если используются контроллеры в облаке Cisco, то вероятность их отказа крайне низка. Но есть шанс полной потери связи с облаком, что будет эквивалентно отказу всех контроллеров. Соответственно и последствия будут идентичными.

Как обеспечивается отказоустойчивость решения SD-WAN?

Если контроллеры размещены в облаке Cisco, то все вопросы обеспечения отказоустойчивости контролёров SD-WAN находятся в ведении вендора и конечному пользователю задумывать об этом не нужно.

При размещении контроллеров SD-WAN на площадке/в облаке у заказчика (так называемый on-premise вариант), вся ответственность за обеспечение отказоустойчивости контроллеров SD-WAN ложится на плечи заказчика.

Для каждого контроллера схема реализации отказоустойчивости своя:

  1. vManage.
    • Если у нас относительно небольшое количество пограничных маршрутизаторов (WAN Edge router), то рекомендованная схема – Active/Cold Standby. В этом случае поднимается резервный vManage с выключенными интерфейсами. Далее на него с некой периодичностью с активной ноды копируется база данных (вручную или через скрипт).
    • Если наша сеть включает большое количество пограничных маршрутизаторов, то рекомендованная схема – кластер из vManage (минимум 3 шт.). vManage в рамках кластера полностью синхронизируют данные между собой. WAN Edge получает информацию обо всех vManage через vBond и подключается к одному из них.
  2. vSmart. Поднимается два или более независимых узла vSmart. Данные между ними синхронизируются через протокол OMP. WAN Edge получает информацию обо всех vSmart через vBond и подключается к одному из них.
  3. vBond. Поднимается два или более независимых узла vBond. Они никак не синхронизируют информацию между собой. Это им и не требуется. Всё данные для работы они получают с vManage. В DNS для одной A-записи прописываются IP-адреса всех vBond. Далее благодаря механизму round-robin в DNS WAN Edge подключается к одному из vBond.

Кроме встроенных средств обеспечения отказоустойчивости можно использовать средства, предоставляемые платформой виртуализации. Но в этом случае мы не получаем гарантии, что после нештатного отключения контроллер поднимется корректно.

Отказоустойчивость маршрутизаторов WAN Edge в сторону локальной сети обеспечивается динамической маршрутизацией (BGP/OSPF/EIGRP) или протоколом VRRP. В сторону WAN – динамической маршрутизацией на базе протокола OMP.

Что необходимо для запуска расширенных функций безопасности?

Расширенные функции безопасности это:

  • URL-фильтрация,
  • ретроспективный анализ файлов на базе Cisco AMP,
  • IPS.

Для их запуска необходима подписка DNA и аппаратные ресурсы на маршрутизаторе.

С точки зрения подписок для работы IPS достаточно DNA Essentials. Для URL/AMP – DNA Advantage/Premier.

Так как данные функции запускаются в отдельном контейнере (LxC), на маршрутизаторе минимально должно быть 8 GB RAM и 8 GB Flash.

Что такое OMP?

OMP (Overlay Management Protocol) – протокол динамической маршрутизации созданный на базе протокола BGP. Данный протокол используется между контроллерами vSmart, а также между vSmart и маршрутизаторами WAN Edge.

OMP работает поверх DTLS. Также, как и другие протоколы динамической маршрутизации OMP имеет Administrative Distance, которая для OMP равна 250.

OMP используется для передачи информации о:

  • префиксах (маршрутах),
  • ключах шифрования,
  • сервисных маршрутах (например, до FW/IPS/пр.),
  • TLOC*-адресах,
  • политиках (application-routing, cflow, data policy).

* TLOC состоит из системного IP-адреса маршрутизатора (system IP), типа интерфейса (link color) и типа инкапсуляции (IPSec или GRE).

Какие преимущества даёт внедрение SD-Access?

SD-Access – программно-определяемая сеть. Ключевым элементом которой является контроллер Cisco DNA Center. Именно он отвечает за работу сети. SD-Access позволяет сетевому администратору абстрагироваться от конкретных технологий и полностью сфокусироваться на настройке сети под требования бизнеса через user-friendly интерфейс. Администратор теперь оперирует абстракциями. А уже контроллер переводит их в машинный язык, т.е. набор команд на сетевом оборудовании.

Основными преимуществами SD-Access являются:

  1. Автоматизация процессов настройки и администрирования оборудования. Это позволяет снизить временные издержки, а также минимизировать сбои в сети, связанные с человеческим фактором. Автоматизация достигается за счёт контроллера Cisco DNA Center. Именно он выполняет все функции автоматизации и оркестрации.
  2. Полная сегментация сети. При подключении устройств к сети происходит их аутентификация и авторизация (802.1x, Active Directory и пр.). Применение политик позволяет гранулярно предоставить доступ к сетевым ресурсам и обеспечить высокий уровень локализации трафика. Для решения данной задачи используются технологии Cisco TrustSec, VRF и пр.
  3. Прозрачность работы сети:
    • единые политики для проводной и беспородной сети,
    • единая точка контроля за сетью (Cisco DNA Center) и визуализация её работы,
    • глубокий мониторинг в связке с машинным обучением позволяет обеспечить преактивную работу сети; минимизация времени на решение инцидентов в сети.
Какие решения являются обязательными для построения SD-Access?
  1. DNA Center на базе физического сервера Cisco (аплайнс),
  2. Решение ISE (в виде аплайнса или виртуальной машины) с необходимым набором лицензий (Basic и Plus),
  3. Сетевая инфраструктура: коммутаторы, маршрутизаторы (опц.), точки доступа с контроллерами (опц.).
  4. Подписка на каждое сетевое устройство: Cisco DNA Advantage или Cisco DNA Premier.

Основными коммутаторами инфраструктуры SD-Access являются Cisco Catalyst 9000. Также могут быть использованы коммутаторы Cisco Catalyst 3850, 4500e, 6500, 6800 и Nexus 7700.

Маршрутизаторы – Cisco ISR 4000, ASR 1000 и CRS 1000v.

Беспроводная инфраструктура: точки доступа x700, x800, 9100; котроллеры 3504, 5520, 8540, 9800.

Так называемая underlay-сеть (транзитная сеть, связывающая между собой fabric edge, fabric border и control plane устройств) может быть построена на любом коммутационном оборудовании. Однако, эта сеть должна быть L3, т.е. обеспечивать маршрутизацию трафика между устройствами SD-Access фабрики. В идеале она должна поддерживать работу протокола IS-IS, что позволить автоматизировать настройку данного оборудования с помощью DNA Center.

Какие преимущества даёт внедрение ACI?

Фабрика ACI используется для построения сети ЦОД.

Основные преимущества фабрики ACI:

  1. Автоматизация процессов настройки и администрирования.
  2. Всестороння аналитика работы сети ЦОД.
  3. Сегментация на всех уровнях работы сети позволяет строить многопользовательскую среду.
  4. Интеграция со сторонними системами: поддержка различных API-интерфейсов.
Какие решения являются обязательными для построения фабрики ACI?
  1. Контролер Cisco APIC. Поддерживает как облачное (Amazon Web Services), так и локальное размещение (в виде аплайнса).
  2. Коммутаторы Cisco Nexus 9300 и 9500, виртуальный коммутатор приложений Cisco AVS.