Víte, jak funguje softwarově definovaná síť?

Software-Defined Networks, to je v poslední době velmi často skloňované téma. Méně se však ví, co od SD sítí očekávat a jak fungují. Na následujících řádcích se proto podíváme na technologii, která spadá do SD portfolia společnosti Cisco, a to konkrétně na Software-Defined WAN (SD-WAN). Na tomto příkladu si můžeme dobře ukázat, jaké výhody pro moderní síťařinu mohou softwarově definované sítě nabídnout.

Víte, jak funguje softwarově definovaná síť?


jedním ze základních principů Software Defined Networkingu je striktní oddělení funkčních úrovní síťového zařízení (routeru). Každý router v tradičním networkingu totiž pracuje v minimálně třech úrovních: datová, kontrolní a management úroveň. SD-WAN technologie vytrhne kontrolní a management úroveň z individuálních routerů a soustředí je do centralizovaných kontrolérů. To znamená, že máme centralizovaný kontrolér pro management úroveň – vManage, centralizovaný kontrolér (anebo kontroléry, pokud jich potřebujeme více) pro kontrolní úroveň – vSmart a k tomu přidáme ještě kontrolér pro orchestrační úroveň – vBond. Datová úroveň zůstane zachovaná v edge routeru.

Architektura SD-WAN

Obrázek 1: Architektura SD-WAN

Role jednotlivých prvků v síti

  • vBond – kontrolér, který je zodpovědný za autentifikaci všech zařízení do SD-WAN sítě. Po úspěšné autentifikaci vBond nasměruje Edge Router na ostatní kontroléry (vSmart a vManage).
  • vManage – kontrolér, který má na starosti konfiguraci a monitoring SD-WAN sítě. Celá konfigurace je vykonávána jen na tomto prvku, na žádném jiném. Můžeme s ním pracovat pomocí grafického rozhraní, CLI anebo API rozhraní. 
  • vSmart – kontrolér, který si vezme konfiguraci (templaty a politiky) z vManage kontroléru a přeloží je do jazyka, kterému rozumí edge router. Komunikace s edge routerem probíhá pomocí overlay management protokolu (OMP), přes který si vyměňují všechny potřebné kontrolní informace, jako jsou směrovací informace, konfigurační politiky, IPSec šifrovací klíče a další údaje.
  • Edge routery – jsou to jediná zařízení, mezi kterými tečou reálná produkční data. Takže data mezi Edge Routerem a kontroléry jsou jen kontrolního či management charakteru.

Edge Router se připojí na vBond kontrolér a je autentifikován do SD-WAN sítě. Vytvoří si kontrolní spojení na vManage a vSmart kontrolér, které mu poví, jaká bude jeho role v síti s příslušnou konfigurací. Následně si edge router vybuduje IPSec tunel k dalším edge routerům a stane se součástí SD-WAN sítě - fabriky.

Jednoduchost a rychlost managementu

Každá změna, která se vykoná na vManage kontroléru je následovně přenesena na vSmart kontrolér a na edge routery. Pomocí vManage kontroléru je možné provést také upgrade / downgrade softwaru na edge routerech, což výrazně šetří čas potřebný na takovéto úkony a tedy správu celé SD-WAN sítě.

SD-WAN fabrika 

Obrázek 2: SD-WAN fabrika

V IPSec tunelu, který se vybuduje mezi edge routery se defaultně zapne protokol Bidirectional Failure Detection (BFD), který nám dokáže měřit živost tunelu a také kvalitativní parametry jako ztrátovost paketů, zdržení a jitter.

Segmentace v SD-WAN síti

Obrázek 3: Segmentace v SD-WAN síti

IPSec tunel přitom dokáže přenést provoz z více VPN sítí. Takový přístup nám zabezpečí segmentaci bez závislosti na transportní síti. Topologie jednotlivých VPN sítí se může lišit, takže můžeme mít jednu VPN síť ve Full-Mesh a další VPN síť v Hub & Spoke topologii.

Application Aware Routing Politika

Obrázek 4: Application Aware Routing Politika

Kvalitativní parametry IPSec tunelu monitorované pomocí technologie BFD umíme použít při takzvaných Application Aware Routing politikách. Vytvoříme si aplikační profil a v něm si zadefinujeme, jaké kvalitativní parametry naše aplikace potřebuje. Pokud je daný typ transportu (tunelu) nesplní, aplikační data budou směřována na jiný (splňující) typ transportu.

Zero Touch Provisioning

Obrázek 5: Zero Touch Provisioning

Automatické přidání routeru do sítě

Centralizovaná povaha SD-WAN řešení dokáže velmi ulehčit a zjednodušit řízení celé sítě. Podmínka ale je, že router musí být už součástí SD-WAN fabriky. Existuje tedy také způsob, jakým bychom urychlili zařazení edge routerů do sítě? Odpověď je ANO. Nazývá se – ZTP, neboli Zero Touch Provisioning. Správce sítě si dokáže vytvořit profily routerů, včetně detailní konfigurace, síťové politiky, instrukcí pro povýšení softwaru a dalších parametrů. Po tom, co si router vybuduje Kontrolní spojení na vManage kontrolér, jsou tyto profily automaticky zaslány na router. Celá tato konfigurace je už vykonána s nulovým zásahem správce sítě.

V tomto článku jsme si popsali základní principy a vlastnosti technologie SD-WAN. Je to technologie přinášející radikální změnu do oblasti networkingu. Zjednodušuje a urychluje správu sítě, uvolňuje tak ruce IT specialistům, kteří se mohou namísto rutinní manuální práce věnovat úlohám s vyšší přidanou hodnotou. Pokud vás možnosti SD-WAN zaujali a rádi byste se dozvěděli více nebo chcete poradit, zda je to řešení vhodné právě pro vás, další informace a kontakt na odborníky najdete zde

Autor pracuje jako systémový inženýr ve společnosti Alef.


Úvodní foto: © Victoria - Fotolia.com




Komentáře