(T) Wprowadzenie do sieci SD-WAN*

Wprowadzenie do sieci SD-WAN

Cisco SD-WAN Architecture

Porównanie sieci SDN względem tradycyjnego routingu

SDNTraditional Routing
Centralized Control PlaneEach network device has its own control plane
Intent-based network is easy to be configuredRequires more efforts and complex configuration
Supports Automation easily using Application Layer and APIsMore complex from form Automation
Supports Zero Touch Provisioning feature which eases the network installationRequires human intervention for installing new sites

Budowa sieci SD-WAN

Zagadnienia związane z SD-WAN

  • OMP (Overlay Management protocol) – Połączenie umożliwiające bezpośrednią, bezpieczną wymianę danych pomiędzy modułami dystrybucyjnymi vSmart a urządzeniami końcowymi vEdge, cEdge. Dzięki czemu wszystkie moduły dystrybucyjne oraz urządzenia końcowe (vEdge, cEdge) są ze sobą zsynchronizowane (Rutery vEdge, cEdge nie nawiązują pomiędzy sobą połączeń OMP).
  • DTLS/TLS Tunnel – Protokół umożliwiający bezpieczną wymianę informacji pomiędzy modułami dystrybucyjnymi.
    • DTLS (UDP) –
  • IPsec Tunnel – Jedynie możliwe do nawiązania połączenie pomiędzy ruterami brzegowymi. Urządzenie brzegowe nie wymieniają pomiędzy sobą informacji kontrolnych (Control Plane) a jedynie zwykł ruch sieciowy (Data Plane).
  • VPN (Cisco VRF)
    • VPN 0 (Transport) – Sieć VPN specjalnego przeznaczenia, powiązana z interfejsami WAN. Jako jedyna może nawiązywać połączenia umożliwiające wymianę informacji Control, Data plane.
    • VPN 512 (Management)
    • VPN n (Service 1-65535) – Sieci VPN obsługujące zwykły ruch sieciowy przy wykorzystaniu standardowych protokołów routingu dynamicznego (OSPF, BGP). Domyślnie poszczególne sieci VPN funkcjonują w sposób zbliżony do funkcji VRF. Tym samym komunikacja pomiędzy poszczególnymi VPN-ami nie jest dozwolona, chyba że istnieje polityka zezwalająca na takową komunikację.
  • DPI (Deep Packet Inspection) –

Software Defined Architecture Planes

  • Płaszczyzna Aplikacji (Application Layer) – Umożliwia zarządzanie sieciami SDN za pomocą programowalnych interfejsów API. Tworzy abstrakcyjny widok sieci stworzony na podstawie informacji zebranych z kontrolerów. Płaszczyzna ta zawiera:
    • Networking Management.
    • Analytics.
    • Business Applications.
    • Network Topology Viewer APP.
    • Network Automation Viewer APP.
  • Płaszczyzna Kontroli (Control Layer):
    • SDN Controller.
  • Płaszczyzna Infrastruktury (Infrastructure Layer):
    • Network Devices (Rutery oraz Switch-e)

Urządzenia SD-WAN

  • vManage – Zapewnia z centralizowany punkt zarządzania siecią SD-WAN.
  • vBond – Wykrywa, a następnie uwierzytelnia wszystkie komponenty wchodzące w skład sieci SD-WAN.
    • Moduł vBond powinien posiadać dostęp do sieci publicznej aby móc nawiązać kontakt z nowymi komponentami.
    • Każdy z komponentów sieci SD-WAN musi najpierw zarejestrować się w module vBond.
    • Po wykryciu nowego rutera vEdge, cEdge przez moduł vBond, dane na jego temat, są wysyłane do modułu vManage.
  • vSmart – Rozgłasza trasy, polisy oraz inne informacje do ruterów brzegowych vEdge, cEdge.
  • vAnalytics – Prowadzi analizę pracy sieci SD-WAN (Wymaga dodatkowej licencji).
  • vEdge – Router brzegowy stanowiący kraniec sieci lokalnych, oddziałów głównych jak biur zdalnych.
  • cEdge – Router brzegowy stworzone przez Cisco (Dotyczy ruterów z serii ISR 1000 / 4000, ASR 1000 oraz ENCS 5100 / 5400).

SD-WAN Solution Planes

  • Orchestration Plane (vBound) – Nadzoruje proces dodawania nowych ruterów do sieci SD-WAN.
  • Management Plane (vManage, vAnalytics) – Udostępnia możliwość centralnej analizy, konfiguracji oraz monitoringu sieci SD-WAN.
  • Control Plane (vSmart) – Tworzy oraz zarządza topologią sieciową, decyduje o przepływie ruchu sieciowego.
  • Data Plane (vEdge, cEdge) – Fizycznie przesyła nadchodzący ruch sieciowy, zgodnie z zaleceniami Control Plane.

Orchestration Plane

  • Rodzaje translacji NAT:
    • Full Cone NAT – Zewnętrzny host może nawiązać połączenie z adresem wewnętrznym, za pomocą docelowego adresu publicznego.
    • Restricted Cone NAT – Zewnętrzny host może nawiązać połączenie z adresem wewnętrznym, jedynie w przypadku zainicjowania sesji przez urządzenie wewnętrzne.
    • Port Restricted Cone NAT
    • Symmetric NAT

TLOC (Transport Location)

  • Site ID – Określa lokalizacje rutera brzegowego względem oddziału, biura do którego przynależy (Rutery brzegowe należące do tego samego oddziału nie będą nawiązywały łączności pomiędzy sobą).
  • TLOC (Transport Location) – Unikalna wartość umożliwiająca mapowanie połączeń w zależności od ich lokalizacji (location-based mapping). TLOC składa się z trzech wartości:
    • System IP – Definiuje określone urządzenie brzegowe, za pomocą adresu IP (Router-ID).
    • Color – Opisuje medium transmisji danych, łączące rutery brzegowe vEdge, cEdge (Internet, MPLS, 4G czy 5G), identyfikuje konkretne połączenie sieciowe pomiędzy ruterami. Sieć SD-WAN wyróżnia dwa rodzaje kolorów: Prywatne (Nie przewidujące wykorzystania translacji NAT) oraz Publiczne (Wykorzystujące translacje NAT).
    • Encapsulation – Określa protokół enkapsulacji danych (IPsec, GRE).
  • TLOC Extenction – Połączenie TLOC przechodzące przez inny ruter vEdge, cEdge znajdujący się w tej samej lokalizacji (Z tym samym Site ID).

Komponenty fizyczne wirtualne

  • vManage – Moduł występujący jedynie w postaci maszyny wirtualnej.
  • vBond – Moduł występujący jedynie w postaci maszyny wirtualnej.
  • vSmart – Moduł występujący jedynie w postaci maszyny wirtualnej.
  • vEdge – Ruter występujący zarówno w postaci maszyny wirtualnej jak i fizycznego urządzenia.

Rodzaje topologii biur zdalnych

  • Branch Type 1
  • Branch Type 2

Komunikacja pomiędzy poszczególnymi komponentami SD-WAN

  • vManage vSmart = NetConf
  • vSmart vEdge = OMP (Overlay Management protocol)

Pozostałe tematy związane z SD-WAN

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz