Hlavní navigace

Víte, jak funguje softwarově definovaná síť?

18. 6. 2019
Doba čtení: 4 minuty

Sdílet

 Autor: © Victoria - Fotolia.com
Software-Defined Networks, to je v poslední době velmi často skloňované téma. Méně se však ví, co od SD sítí očekávat a jak fungují. Na následujících řádcích se proto podíváme na technologii, která spadá do SD portfolia společnosti Cisco, a to konkrétně na Software-Defined WAN (SD-WAN). Na tomto příkladu si můžeme dobře ukázat, jaké výhody pro moderní síťařinu mohou softwarově definované sítě nabídnout.
Peter Frolo 18. 6. 2019
Doba čtení: 4 minuty

jedním ze základních principů Software Defined Networkingu je striktní oddělení funkčních úrovní síťového zařízení (routeru). Každý router v tradičním networkingu totiž pracuje v minimálně třech úrovních: datová, kontrolní a management úroveň. SD-WAN technologie vytrhne kontrolní a management úroveň z individuálních routerů a soustředí je do centralizovaných kontrolérů. To znamená, že máme centralizovaný kontrolér pro management úroveň – vManage, centralizovaný kontrolér (anebo kontroléry, pokud jich potřebujeme více) pro kontrolní úroveň – vSmart a k tomu přidáme ještě kontrolér pro orchestrační úroveň – vBond. Datová úroveň zůstane zachovaná v edge routeru.

Architektura SD-WAN

Obrázek 1: Architektura SD-WAN

Role jednotlivých prvků v síti

  • vBond – kontrolér, který je zodpovědný za autentifikaci všech zařízení do SD-WAN sítě. Po úspěšné autentifikaci vBond nasměruje Edge Router na ostatní kontroléry (vSmart a vManage).
  • vManage – kontrolér, který má na starosti konfiguraci a monitoring SD-WAN sítě. Celá konfigurace je vykonávána jen na tomto prvku, na žádném jiném. Můžeme s ním pracovat pomocí grafického rozhraní, CLI anebo API rozhraní. 
  • vSmart – kontrolér, který si vezme konfiguraci (templaty a politiky) z vManage kontroléru a přeloží je do jazyka, kterému rozumí edge router. Komunikace s edge routerem probíhá pomocí overlay management protokolu (OMP), přes který si vyměňují všechny potřebné kontrolní informace, jako jsou směrovací informace, konfigurační politiky, IPSec šifrovací klíče a další údaje.
  • Edge routery – jsou to jediná zařízení, mezi kterými tečou reálná produkční data. Takže data mezi Edge Routerem a kontroléry jsou jen kontrolního či management charakteru.

Edge Router se připojí na vBond kontrolér a je autentifikován do SD-WAN sítě. Vytvoří si kontrolní spojení na vManage a vSmart kontrolér, které mu poví, jaká bude jeho role v síti s příslušnou konfigurací. Následně si edge router vybuduje IPSec tunel k dalším edge routerům a stane se součástí SD-WAN sítě - fabriky.

Jednoduchost a rychlost managementu

Každá změna, která se vykoná na vManage kontroléru je následovně přenesena na vSmart kontrolér a na edge routery. Pomocí vManage kontroléru je možné provést také upgrade / downgrade softwaru na edge routerech, což výrazně šetří čas potřebný na takovéto úkony a tedy správu celé SD-WAN sítě.

SD-WAN fabrika 

Obrázek 2: SD-WAN fabrika

V IPSec tunelu, který se vybuduje mezi edge routery se defaultně zapne protokol Bidirectional Failure Detection (BFD), který nám dokáže měřit živost tunelu a také kvalitativní parametry jako ztrátovost paketů, zdržení a jitter.

Segmentace v SD-WAN síti

Obrázek 3: Segmentace v SD-WAN síti

IPSec tunel přitom dokáže přenést provoz z více VPN sítí. Takový přístup nám zabezpečí segmentaci bez závislosti na transportní síti. Topologie jednotlivých VPN sítí se může lišit, takže můžeme mít jednu VPN síť ve Full-Mesh a další VPN síť v Hub & Spoke topologii.

Application Aware Routing Politika

Obrázek 4: Application Aware Routing Politika

Kvalitativní parametry IPSec tunelu monitorované pomocí technologie BFD umíme použít při takzvaných Application Aware Routing politikách. Vytvoříme si aplikační profil a v něm si zadefinujeme, jaké kvalitativní parametry naše aplikace potřebuje. Pokud je daný typ transportu (tunelu) nesplní, aplikační data budou směřována na jiný (splňující) typ transportu.

Zero Touch Provisioning

Obrázek 5: Zero Touch Provisioning

Automatické přidání routeru do sítě

Centralizovaná povaha SD-WAN řešení dokáže velmi ulehčit a zjednodušit řízení celé sítě. Podmínka ale je, že router musí být už součástí SD-WAN fabriky. Existuje tedy také způsob, jakým bychom urychlili zařazení edge routerů do sítě? Odpověď je ANO. Nazývá se – ZTP, neboli Zero Touch Provisioning. Správce sítě si dokáže vytvořit profily routerů, včetně detailní konfigurace, síťové politiky, instrukcí pro povýšení softwaru a dalších parametrů. Po tom, co si router vybuduje Kontrolní spojení na vManage kontrolér, jsou tyto profily automaticky zaslány na router. Celá tato konfigurace je už vykonána s nulovým zásahem správce sítě.

V tomto článku jsme si popsali základní principy a vlastnosti technologie SD-WAN. Je to technologie přinášející radikální změnu do oblasti networkingu. Zjednodušuje a urychluje správu sítě, uvolňuje tak ruce IT specialistům, kteří se mohou namísto rutinní manuální práce věnovat úlohám s vyšší přidanou hodnotou. Pokud vás možnosti SD-WAN zaujali a rádi byste se dozvěděli více nebo chcete poradit, zda je to řešení vhodné právě pro vás, další informace a kontakt na odborníky najdete zde

Autor pracuje jako systémový inženýr ve společnosti Alef.