SD-WAN

Что такое SD-WAN?

SD-WAN - программно-определяемая WAN-сеть. SD-WAN позволяет связать удалённые в офисы в единую сеть. Ключевое отличие от традиционной WAN сети заключается в наличии централизованного «мозга» (control-plane). В терминах SD-WAN – это контроллер(ы).

Такая централизация обеспечивает упрощение при настройке, мониторинге, а также крайне гибкую функциональность в работе WAN сегмента.

SD-WAN – это общий термин, который не принадлежит контрактному вендору и не является стандартном. Это концепция.

У Cisco SD-WAN представлен двумя решениями: Viptela SD-WAN и Meraki SD-WAN. Каждое из них работает по своим принципам, но со схожей функциональностью. Когда мы говорим про Cisco SD-WAN, чаще всего речь идёт про решение Viptela.

Viptela SD-WAN обладает богатой функциональностью и высокой степенью кастомизации. Контроллеры могут размещаться как в облаке Cisco, так и на площадке/в облаке заказчика (on-premise). Meraki SD-WAN работает только в облаке Cisco и предоставляет интуитивно понятный интерфейс управления.

Какие преимущества даёт внедрение SD-WAN?

SD-WAN пришёл на смену таким технологиям как DMVPN и iWAN. Данное решение используется для построения защищённой распределённой сети поверх любых каналов связи.

SD-WAN использует три контроллера, отвечающие за работу всего решения, - это vSmart, vManage и vBond. Каждый из них является обязательным элементом. Контроллер vSmart отвечает за распространение политик на устройства. Через vManage осуществляется управление решением. vBond отвечает за связность устройств (аутентификацию, авторизацию, списки устройств и пр.).

Основные преимущества SD-WAN:

  1. Автоматизация процессов настройки (Zero Touch Provisioning): новые устройства автоматически загружают на себя конфигурацию, что существенно уменьшает время запуска новых офисов.
  2. Упрощение администрирования оборудования: централизация настроек – единый портал для всех устройств, гибкая схема шаблонов.
  3. Всестороння аналитика работы WAN сети: телеметрия оборудования, загрузка каналов, качество каналов, разбор трафика по приложениям и пр.
  4. Сегментация и гибкая схема топологий: решение нативно поддерживает сегментацию трафика внутри VPN. На логическом уровне возможно использовать различные топологии VPN: полно связную (Full-mesh), централизованную (Hub-and-Spoke), частично связанную (Partial Mesh) и точка-точка (Point-to-Point).
  5. Интеллектуальная маршрутизация трафика: для разного типа трафика мы можем задать свои критерии маршрутизации, принимая во внимание различные параметры сети.
    • Маршрутизация трафика с учетом качества каналов связи: потери пакетов, задержки, джиттер.
    • Гибкая схема маршрутизации: фильтрация маршрутов, подстановка next-hop’ов, маршрутизация на основе L3/L4/L7 параметров трафика и пр.
    • Выстраивание сервисных цепочек: принудительная маршрутизация трафика через сервисные узлы (МСЭ, балансировщики и пр.).
  6. Встроенные средства безопасности: FW, IPS, AMP, URL-фильтрация.
  7. Оптимизация трафика.
  8. Высокий уровень масштабируемости и отказоустойчивости.
Какие решения являются обязательными для построения SD-WAN?

  1. Контролеры vManage, vBond и vSmart. Поддерживают как облачное (AWS, Azure, Google Cloud Platform), так и локальное размещение (ESXi или KVM).
  2. Сетевые устройства: Cisco ISR 1100 и 4000, Catalyst 8000, ASR 1000, vEdge, ISRv, CRS 1000v.
  3. Подписка на каждое сетевое устройство:  Cisco DNA Essentials, Advantage или Premier. Набор поддерживаемых сервисов определяется типом подписки.

До версии Cisco IOS XE 17.2.1 для работы в экосистеме SD-WAN на сетевом устройстве устанавливается специализированная прошивка (SD-WAN Integrated IOS XE). Начиная с версии 17.2.1 образ операционной системы единый, как для независимого режима работы, так и в составе SD-WAN.

Почему стоит перейти на SD-WAN?
  1. Централизация управления и минимизация времени внедрения новых офисов позволяет существенно сократить временные затраты на администрирование WAN-сети.

    Больше не нужно заходить на каждое устройство в отдельности. Все устройства настраиваются через шаблоны, а политики применяются централизовано. Это обеспечивает автоматизацию выполнения рутинных операций.

    Для подключения нового офиса достаточно загрузить его уникальные атрибуты (IP-адреса, названия и пр.) и применить нужные шаблоны. Далее подключив устройство к сети с минимальными настройками, оно устанавливает связь с контроллерами и автоматически загружает конфигурацию.

  2. Интеллектуальная маршрутизация трафика и защита от потерь пакетов существенно повышает качество работы сети.

    Система фиксирует не просто отказ канала связи, а даже незначительную деградацию качества его работы. И далее при необходимости может переключить трафик на другой канал или использовать корректирую потерю пактов технологию (дублирование трафика или внесение избыточности для восстановления потерь).

  3. Централизованный всесторонний мониторинг позволяет повысить надёжность работы сети.

    В режиме реального времени мы видим состояние устройств, качество каналов связи, их загрузку и пр. информацию.

  4. Встроенные средства безопасности снижает риски со стороны информационной безопасности без затрат на установку и обслуживания дополнительного оборудования. Кроме полного шифрования всех передаваемых данных в WAN сети, каждый WAN Edge маршрутизатор можно превратить в полноценный NGFW.

Что будет, если откажет контроллер SD-WAN?

В первую очередь данный вопрос актуален при размещении контроллеров SD-WAN на площадке/в облаке у заказчика.

Так как типов контроллеров несколько, последствия будут разными. Но во всех случаях сеть продолжит передавать трафик.

vManage – потеряется возможность управления сетью и станет недоступен мониторинг.

vSmart – перестанут обновляться маршруты, политики, ключи шифрования. Т.е. сеть будет работать в том состоянии, к-е было на момент отказа как минимум 24 часа (этот период можно увеличить до 14 дней).

vBond – к сети невозможно будет подключить, как новые устройства, так и текущие в случае их перезагрузки.

Если используются контроллеры в облаке Cisco, то вероятность их отказа крайне низка. Но есть шанс полной потери связи с облаком, что будет эквивалентно отказу всех контроллеров. Соответственно и последствия будут идентичными.

Как обеспечивается отказоустойчивость решения SD-WAN?

Если контроллеры размещены в облаке Cisco, то все вопросы обеспечения отказоустойчивости контролёров SD-WAN находятся в ведении вендора и конечному пользователю задумывать об этом не нужно.

При размещении контроллеров SD-WAN на площадке/в облаке у заказчика (так называемый on-premise вариант), вся ответственность за обеспечение отказоустойчивости контроллеров SD-WAN ложится на плечи заказчика.

Для каждого контроллера схема реализации отказоустойчивости своя:

  1. vManage.
    • Если у нас относительно небольшое количество пограничных маршрутизаторов (WAN Edge router), то рекомендованная схема – Active/Cold Standby. В этом случае поднимается резервный vManage с выключенными интерфейсами. Далее на него с некой периодичностью с активной ноды копируется база данных (вручную или через скрипт).
    • Если наша сеть включает большое количество пограничных маршрутизаторов, то рекомендованная схема – кластер из vManage (минимум 3 шт.). vManage в рамках кластера полностью синхронизируют данные между собой. WAN Edge получает информацию обо всех vManage через vBond и подключается к одному из них.
  2. vSmart. Поднимается два или более независимых узла vSmart. Данные между ними синхронизируются через протокол OMP. WAN Edge получает информацию обо всех vSmart через vBond и подключается к одному из них.
  3. vBond. Поднимается два или более независимых узла vBond. Они никак не синхронизируют информацию между собой. Это им и не требуется. Всё данные для работы они получают с vManage. В DNS для одной A-записи прописываются IP-адреса всех vBond. Далее благодаря механизму round-robin в DNS WAN Edge подключается к одному из vBond.

Кроме встроенных средств обеспечения отказоустойчивости можно использовать средства, предоставляемые платформой виртуализации. Но в этом случае мы не получаем гарантии, что после нештатного отключения контроллер поднимется корректно.

Отказоустойчивость маршрутизаторов WAN Edge в сторону локальной сети обеспечивается динамической маршрутизацией (BGP/OSPF/EIGRP) или протоколом VRRP. В сторону WAN – динамической маршрутизацией на базе протокола OMP.

Что необходимо для запуска расширенных функций безопасности?

Расширенные функции безопасности это:

  • URL-фильтрация,
  • ретроспективный анализ файлов на базе Cisco AMP,
  • IPS.

Для их запуска необходима подписка DNA и аппаратные ресурсы на маршрутизаторе.

С точки зрения подписок для работы IPS достаточно DNA Essentials. Для URL/AMP – DNA Advantage/Premier.

Так как данные функции запускаются в отдельном контейнере (LxC), на маршрутизаторе минимально должно быть 8 GB RAM и 8 GB Flash.

Что такое OMP?

OMP (Overlay Management Protocol) – протокол динамической маршрутизации созданный на базе протокола BGP. Данный протокол используется между контроллерами vSmart, а также между vSmart и маршрутизаторами WAN Edge.

OMP работает поверх DTLS. Также, как и другие протоколы динамической маршрутизации OMP имеет Administrative Distance, которая для OMP равна 250.

OMP используется для передачи информации о:

  • префиксах (маршрутах),
  • ключах шифрования,
  • сервисных маршрутах (например, до FW/IPS/пр.),
  • TLOC*-адресах,
  • политиках (application-routing, cflow, data policy).

* TLOC состоит из системного IP-адреса маршрутизатора (system IP), типа интерфейса (link color) и типа инкапсуляции (IPSec или GRE).