Hlavní navigace

Jak funguje softwarově definovaná síť – přidání routeru v praxi

Software-Defined Networks (SDN), to je v poslední době velmi často skloňované téma. Méně se však ví, co od SDN sítí očekávat a jak fungují.
14. 10. 2019

Sdílet

Na následujících řádcích se proto podíváme na technologii, která spadá do SDN portfolia společnosti Cisco, a to konkrétně na Software-Defined WAN (SD-WAN). Na tomto příkladu si můžeme dobře ukázat, jaké výhody pro moderní síťařinu mohou softwarově definované sítě nabídnout. 

Jedním ze základních principů Software Defined Networkingu je striktní oddělení funkčních úrovní síťového zařízení (routeru). Každý router v tradičním networkingu totiž pracuje v minimálně třech úrovních: datová, řídicí a management úroveň, funkční oblast. SD-WAN technologie oddělí řídicí a management úroveň z individuálních routerů a soustředí je do centralizovaných kontrolérů. To znamená, že máme centralizovaný kontrolér pro management úroveň – vManage, centralizovaný kontrolér (anebo kontroléry, pokud jich potřebujeme více) pro řídicí úroveň – vSmart a k tomu přidáme ještě kontrolér pro orchestrační úroveň – vBond. Datová funkčnost (úroveň) zůstane zachovaná v edge routeru.


Obrázek 1 Architektura SD-WAN

Role jednotlivých prvků v síti

vBond – kontrolér, který je zodpovědný za úvodní autentifikaci všech zařízení do SD-WAN sítě. Po úspěšné autentifikaci vBond nasměruje Edge Router na ostatní kontroléry (vSmart a vManage).

vManage – kontrolér, který má na starosti konfiguraci a monitoring SD-WAN sítě. Celá konfigurace je realizována jen na tomto prvku a už ne na žádném jiném. Můžeme s ním pracovat pomocí grafického rozhraní, CLI anebo API rozhraní.

vSmart – kontrolér, který dostane konfiguraci (politiky) z vManage kontroléru a přeloží je do jazyka, kterému rozumí konkrétní edge router. Komunikace s edge routerem probíhá pomocí overlay management protokolu (OMP), přes který si vyměňují všechny potřebné řídicí informace, jako jsou směrovací informace, politiky, IPSec šifrovací klíče a další údaje.

Edge routery – jsou to jediná zařízení, mezi kterými tečou reálná produkční data. Takže data mezi Edge Routerem a kontroléry jsou jen řídicí či management charakteru.

Celý proces probíhá tak, že se Edge Router připojí na vBond kontrolér a je autentifikován do SD-WAN sítě. Vytvoří si řídicí spojení na vManage a vSmart kontrolér, ty mu určí, jaká bude jeho role v síti s příslušnou konfigurací. Následně si edge router sestaví IPSec tunel k dalším edge routerům a stane se součástí SD-WAN sítě – fabriky.

Jednoduchost a rychlost managementu

Každá změna, která se vykoná na vManage kontroléru je následovně přenesena na vSmart kontrolér a dále na edge routery. Pomocí vManage kontroléru je možné provést také upgrade / downgrade softwaru na edge routerech, což výrazně šetří čas potřebný na takovéto úkony a tedy správu celé SD-WAN sítě.


Obrázek 2 SD-WAN fabrikaSD-WAN fabrika je teda Overlay síť, vybudovaná pomoci technologie IPSec, řízena SD-WAN kontroléry.

V IPSec tunelu, který se vybuduje mezi edge routery se defaultně zapne protokol Bidirectional Failure Detection (BFD), který měří funkčnost IPSec tunelu a jeho kvalitativní parametry jako ztrátovost paketů, zdržení a jejich rozptyl.


Obrázek 3 Segmentace v SD-WAN síti

IPSec tunel přitom dokáže přenést provoz z více VPN sítí. Takový přístup nám zabezpečí segmentaci bez závislosti na transportní síti. Topologie jednotlivých VPN sítí se může lišit, takže můžeme mít jednu VPN síť ve Full-Mesh a další VPN síť v Hub & Spoke topologii.


Obrázek 4 Application Aware Routing Politika

Kvalitativní parametry IPSec tunelu monitorované pomocí technologie BFD umíme použít při takzvaných Application Aware Routing politikách. Vytvoříme si aplikační profil a v něm si definujeme, jaké kvalitativní parametry naše aplikace potřebuje. Pokud je daný typ transportu (tunelu) nesplní, aplikační data budou směrována na jiný typ transportu, který parametry splňuje nebo jim je nejblíže.


Obrázek 5 Zero Touch Provisioning

Automatické přidání routeru do sítě

Centralizovaná povaha SD-WAN řešení dokáže velmi ulehčit a zjednodušit řízení celé sítě. Podmínkou je, že edge router musí být už součástí SD-WAN fabriky. Existuje tedy nějaký způsob, jakým bychom urychlili zařazení edge routerů do sítě? Odpověď je ANO. Nazývá se – ZTP, neboli Zero Touch Provisioning.  Správce sítě si dokáže vytvořit profily edge routerů, včetně individuální konfigurace, síťové politiky, instrukcí pro povýšení softwaru a dalších parametrů. Po tom, co si edge router prvně inicializuje řídicí spojení na vManage kontrolér, jsou tyto profily automaticky zaslány na edge router. Celá tato konfigurace je už vykonána s nulovým konfiguračním zásahem správce WAN sítě.

Jak to funguje v praxi?

V praxi jako první řešíme, jak začlenit nový router do SD-WAN sítě? Ukažme si tento proces na konkrétním příkladu. Budeme používat Cisco router z platformy cEdge (ISR-1100).

Krok 1) SD-WAN síť musí nejdříve znát detaily o novém přidávaném routeru. Bezpečnost je totiž v SD-WAN řešena modelem „white-list“, to znamená, že si musíme explicitně povolit vstup konkrétního routeru do naší sítě.

Tento krok začíná na Cisco Plug & Play portále, kde si vyplníme informace (Serial Number, Product-ID a další) o novém routeru.

Tyto informace si umíme vyexportovat do tzv. provisioning soboru a ten následně nahrát na vManage kontrolér. Ten takto získá informace o novém routeru a bude je sdílet na další kontroléry (vBond a vSmart) v naší SD-WAN síti.

Krok 2) Dalším krokem je vytvoření konfigurace nového routeru. To zabezpečímepřiřazením šablony (Template), kterou jsme si předtím vytvořili. Template je specifický pro konkrétní typ routeru a skládá se z více tzv. „Feature Templates“, které představují specifické funkce routeru (např. AAA, NTP, konfigurace VPN 0 a další).


Obrázek 6 Připojení Templatu na nový router

Po výběru konkrétního routeru a úpravě jeho specifických parametrů (IP adresy, Site-ID apod.) proběhne jeho aplikace, jak je vidět na obrázku níže.  


Obrázek 6 Připojení Templatu na nový router

Krok 3) Následně přiřadíme již existující Politiku nebo vytvoříme novou, dle následujících kroků.

Tyto Politiky nám určí, jak se bude nový router chovat v naší SD-WAN síti.

Vytvořené Politiky se aplikují automaticky, jakmile náš nový router splní některou z podmínek „Groups of Interest“, kterých se daná politika týká. Podmínky „Groups of Interest“ mohou být Application, Color, Data Prefix, Policer, Prefix, Site, SLA Class, TLOC anebo VPN.

Všechny tyto kroky lze připravit předem a nový router se dokáže do SD-WAN sítě připojit bez dalšího dodatečného zásahu administrátora (ZTP).

V tomto článku jsme si popsali základní principy a vlastnosti technologie SD-WAN. Je to technologie přinášející radikální změnu do oblasti networkingu. Zjednodušuje a urychluje správu WAN sítě, uvolňuje tak ruce IT specialistům, kteří se mohou namísto rutinní manuální práce věnovat úlohám s vyšší přidanou hodnotou. Pokud vás možnosti SD-WAN zaujali a rádi byste se dozvěděli více nebo chcete poradit, zda je právě toto řešení vhodné i pro vás, tak další informace a kontakt na odborníky najdete zde.