25 июля в Москве Cisco представила архитектуру Cisco SD-WAN – новое решение для корпоративной распределенной сети. Эксперты компании рассказали, какие задачи призвана решать интуитивная сеть, и в чем состоят ее ключевые отличия от классических подходов. Инженер-консультант Денис Коденцев объяснил, из чего состоит архитектура Cisco SD-WAN, и как она работает, какие дополнительные возможности предоставляет, как проводится резервирование и масштабирование, внедрение и миграция на новое решение.
В коротком вступительном докладе Юлия Андрианова, менеджер по развитию бизнеса Корпоративные решения Cisco, привела данные агентства IDC, согласно которым, уже к 2019 году примерно 70% компаний будут полностью менять или модернизировать свои WAN-сети. К четырем основным преимуществам решения SD-WAN Юлия Андрианова отнесла: 1) возможность оптимизировать использование WAN-каналов – внедрить модель гибкого потребления WAN-сетей; 2) возможность обеспечения более надежной работы приложений филиалов, поскольку Cisco использует в своем решении SD-WAN подходы интуитивных (интенционно-ориентированных) сетей; 3) преимущество модели SD-WAN в гибкости – быстроте подключения новых филиалов (один из клиентов Cisco подключал по 50 филиалов за ночь); 4) повышение уровня информационной безопасности.
Последние 15 лет WAN-сети строились по классическому принципу – использовались, в основном, дорогостоящие выделенные линии MPLS. Классический принцип основан на централизованном характере сети, у которой обычно имеется единый выход в Интернет. Однако для большой корпорации, насчитывающей сотни распределенных филиалов, такой выход в Интернет из единой точки теряет всякий смысл, поскольку в ближайшее время до 80% компаний будут применять приложения, которые используют публичные облака, а это значит, что из каждого филиала должен быть непосредственный выход в Интернет.
Кроме того, корпоративные сети используют сейчас все больше и больше трафика, объем которого внутри компаний повышается на 50% каждый год. Далее, в связи с появлением Интернета вещей уже к 2020 году ожидается появление 30 млрд. IoT-устройств. При этом, по статистике, до 80% трафика генерируется именно в филиалах компаний – там нужно обеспечивать качественный уровень работы приложений, как и в центральном офисе.
Суммируя текущие проблемы WAN-сетей, Юлия Андрианова упомянула такие пункты, как высокие затраты, ограниченную масштабируемость, неготовность к полноценной работе с облачными приложениями, фрагментированную информационную безопасность, ограниченную гибкость к приложениям, недостаточную пропускную способность и сложность эксплуатации.
Переходя к решению Cisco SD-WAN, Юлия Андрианова отметила, что первоначально данный продукт тестировался внутри самой компании в рамках известной инициативы Cisco для Cisco, когда американская компания поверяет на себе новые решения. Cisco SD-WAN уже внедрена в филиалах компании и получен положительный опыт.
К ключевым особенностям решения Cisco SD-WAN Юлия Андрианова отнесла, в первую очередь, использование облачной архитектуры, что позволяет сразу же централизовать все управление сетью. Собственно говоря, суть сетей SD-WAN состоит в разделении уровня транспорта и уровня управления. Централизованный облачный интеллект также помогает повысить автоматизацию конфигурации и позволяет быстро реагировать на изменения в сети. Фактически, Cisco SD-WAN позволяет уже в настройках определить то, как заказчик хочет использовать свою сеть. По сути дела, человеком пишется некое «техзадание», а уже сетевая фабрика занимается конфигурацией каждого отдельного сетевого элемента.
Говоря об особенностях архитектуры, Юлия Андрианова подчеркнула гибкость в выборе оконечных устройств: решение можно запускать как на новых устройствах, так и на тех коммутаторах Cisco, которые уже стоят в сети. Cisco SD-WAN может быть реализовано как на специализированных устройствах vEdge, так и на классических коммутаторах Cisco ASR 1000 series, Cisco ISR 1000 series, Cisco 4000 series (после загрузки на них нового программного обеспечения). Решение состоит из оконечных устройств и подписок, по которым заказчик получает доступ ко всем обновлениям.
Если обратиться к истории вопроса, то мы увидим, что прошедшим летом компания Cisco приобрела за 600 млн. долларов компанию Viptela – поставщика технологий SD-WAN, которую, кстати, основала в 2012 году группа экспертов из самой Cisco. Решение SD-WAN находится в портфолио Cisco чуть больше года – за это время оно было полностью внедрено в рабочую линейку. В настоящее время имеются два варианта: на базе vEdge – адаптированных устройств компании Viptela; на основе обновленного ПО классических коммутаторов Cisco. Причем, оконечные устройства могут быть как физические, так и виртуализированные.
Как отметила Юлия Андрианова, в ближайшей перспективе к корпоративным сетям будут предъявляться просто невероятные требования. Например, известно, что уже к 2020 году к сети каждую секунду будут подключаться 63 млн. новых устройств. Кроме того, расходы на эксплуатацию сети уже сейчас примерно в три раза превышают ее фактическую стоимость.
Наконец, очень большие риски связаны с безопасностью: по статистике, компании сейчас тратят до 6 месяцев на обнаружение взлома корпоративной сети, что абсолютно недопустимо.
Сегодня, как правило, мы наблюдаем плохой пользовательский опыт в филиалах, WAN-сети сложно эксплуатировать и обеспечивать безопасность, в то время как Cisco SD-WAN улучшает опыт работы с приложениями и позволяет сокращать WAN OpEx. Время на обнаружение атак сокращается до 3,24 часа.
В завершение своего доклада Юлия Андрианова вернулась к теме гибкости решения Cisco SD-WAN. В частности, она отметила, что легко может быть реализован любой запрос по топологии сети, по сегментации, любые сервисные точки, любые периметры. Чем больше компания заказчика, чем больше у него филиалов, чем больше у клиента потребность в полосе канала, тем больший бонус он получит от этого решения. Сети Cisco SD-WAN предлагают непревзойденную в индустрии гранулярность настроек.
Денис Коденцев, инженер-консультант, CCIE, провел детальный анализ архитектуры решения Cisco SD-WAN, рассказал о дополнительных возможностях, объяснил, как проводится резервирование и масштабирование, как осуществляется внедрение и миграция на новую систему.
Он начал с указания на тот факт, что технология Cisco SD-WAN не просто обеспечивает связность филиалов корпоративной распределенной сети, но также предоставляет клиенту дополнительные возможности, которые являются следствием программно-определяемого подхода, наличия централизованной системы управления.
Отвечая на фундаментальный вопрос о том, что же подвигло вендоров и компанию Cisco, в частности, на создание новой технологии SD-WAN, Денис Коденцев заметил, что у корпоративной распределенной сети есть целый ряд недостатков, определяемых, так сказать, ее «природой» – географической распределенностью. Следовательно, всегда очень сложно вносить физические или конфигурационные изменения в подобную сеть. Далее, если необходимо перенастроить какую-то всеобъемлющую политику в сети, касающуюся качества обслуживания, контроля качества определенного приложения, контроля доступа к приложению и т.д., то вам приходится заходить на каждое сетевое устройство и вносить в него какие-то изменения. И чем больше устройств, чем больше филиалов в корпоративной сети, тем медленнее идет весь этот процесс.
К тому же, для большинства заказчиков сегодня использование публичных открытых каналов связи уже не является чем-то экстраординарным. Более того, многие клиенты переходят на открытые каналы связи, потому что за последние десять лет концепция «ненадежных и нестабильных каналов связи по Интернету, на которые вообще нельзя рассчитывать, если вы строите корпоративную сеть» – вот эта изначально ошибочная концепция сегодня перестала существовать.
Сейчас имеются достаточно надежные каналы связи от большинства операторов во всех точках присутствия, которые заказчик может использовать, не теряя в функциональности.
Наконец, заказчики, в том числе и в России, все чаще и чаще используют облачные корпоративные ресурсы.
Все эти факторы однозначно говорят в пользу перехода на технологию SD-WAN.
Говоря о компонентах сетевого решения Cisco SD-WAN, Денис Коденцев отметил, что маршрутизаторы на стороне клиента сохраняются, однако ПО на них претерпевает большие изменения, поскольку эти сетевые устройства должны уметь настраиваться централизованно и при этом оставаться полностью функциональными. Естественно, маршрутизаторы должны поддерживать различные варианты подключения: Ethernet, LTE.
Собственно говоря, отличия SD-WAN от классического варианта начинаются на уровне компонентов, которые управляют такой сетью. В случае классической корпоративной сети, таких управляющих компонентов, по сути дела, не существует: в большинстве случаев сеть функционирует самостоятельно, каждое устройство в ней настраивается индивидуально. А вот в случае с SD-WAN вся сеть управляется централизованно с помощью отдельных программных компонентов – это не какие-то специализированные устройства, а виртуальные машины, выполняющие определенные функции. Причем эти программные компоненты могут быть размещены как в ЦОДе клиента, так и в облаке компании Cisco, которая предоставит заказчику доступ к системе управления SD-WAN.
В архитектуре Cisco SD-WAN имеется несколько элементов управления. Почему не одно? Потому что изначально это решение рассчитывалось на очень большие масштабы, а это значит, что отдельные компоненты должны эффективно масштабироваться. В Cisco SD-WAN, если вам нужно добавить 1000 маршрутизаторов, достаточно будет запустить одну виртуальную машину определенного программного компонента. Если бы была создана некая единая неделимая система, то масштабировать такое монолитное сетевое решение было бы крайне сложно.
При этом у всех этих программных элементов имеется единая точка взаимодействия с заказчиком – это графический интерфейс, который предоставляется либо из облака Cisco, либо из собственного ЦОДа клиента.
Денис Коденцев представил все управляющие программные компоненты Cisco SD-WAN. vManage – графический интерфейс, посредством которого, собственно, осуществляется весь жизненный цикл распределенной сети. Программный инструмент vManage отвечает за развертывание, настройку и эксплуатацию устройств сети, формирование политик и шаблонов, мониторинг, поиск и устранение неисправностей, обновление ПО и т.д.
Когда заказчик формулирует определенную задачу, некие изменения, которые нужно централизованно распространить по всей сети, транслировать на маршрутизаторы (в понятном для них виде), то эту задачу трансляции выполняют SD-WAN-контроллеры, которые называются в данном решении vSmart. Эти vSmart-контроллеры обеспечивают обнаружение устройств в фабрике, они также распространяют информацию плоскости управления, политики плоскости передачи данных и политики маршрутизации по приложениям, применяют политики плоскости управления. Проще говоря, vSmart – это некий транслятор изменений и настроек, которые возникают в сети Cisco SD-WAN.
Третий программный элемент – vBond – отвечает за обнаружение сетевых устройств, начальную точку аутентификации. vBond авторизует все управляющие соединения (используется модель так называемых «белых списков»). По сути дела, vBond является диспетчером, который обнаруживает новое устройство в сети и сообщает о нем всем остальным компонентам.
Четвертый компонент – это устройства, устанавливаемые на сайтах филиалов клиента. По сути дела, речь идет о маршрутизаторах, которые имеют двойное название. От компании Viptela были унаследована линейка устройств, называемых vEdge. Собственно говоря, это граничные маршрутизаторы WAN. В другом варианте их место занимают классические маршрутизаторы Cisco, которые в данной сети имеют название cEdge. vEdge и cEdge – это единственные компоненты, которые не являются опциональными – они обязательны к установке в филиалах заказчика. Именно они обеспечивают безопасную передачу данных с удаленными vEdge-маршрутизаторами; устанавливают безопасные управляющие соединения с vSmart-контроллерами (по проприетарному протоколу OMP – Overlay Management Protocol); осуществляют передачу данных и маршрутизацию трафика на основе политик по приложениям; экспортируют статистику о производительности и качестве обслуживания.
Есть также полнофункциональная виртуализированная версия этих маршрутизаторов – это, фактически, виртуальная машина, которую можно установить на любую платформу x86 с поддержкой гипервизора KVM или ESXi. Конечно же, такое решение не позволит достичь высоких скоростей, но оно будет полнофункциональным аналогом аппаратного маршрутизатора в сети Cisco SD-WAN.
Объясняя основной принцип работы SD-WAN фабрики, Денис Коденцев отметил, что после первичного обнаружения устройств сетью каждый маршрутизатор связывается сигнальным каналом (обмен только командами) со своим vSmart-контроллером. При этом используется проприетарный протокол OMP, унаследованный Cisco от компании Viptela. OMP-протокол распространяет не только маршрутную информацию, но и информацию о ключах шифрования, на основе которых уже строятся туннели между маршрутизаторами – устройствами vEdge. OMP-протокол также распространяет информацию о политиках доступа, качества обслуживания, сегментации, логических топологий и т.д.
Когда маршрутизаторы устанавливают шифрованный (DTLS/TLS Tunnel) сигнальный канал с vSmart-контроллером, они получают информацию об остальных маршрутизаторах сети. Устройства vEdge видят публичные адреса всех маршрутизаторов и самостоятельно устанавливают IPSec Tunnel до всех остальных устройств (по умолчанию, в режиме Full Mesh). Именно по этим шифрованным туннелям и осуществляется передача полезного трафика в сети Cisco SD-WAN. При этом полезный трафик никогда не передается наверх – в систему управления. Чтобы контролировать состояние этих виртуальных каналов на базе IPSec, используется механизм BFD – Bidirectional Forwarding Detection (протокол двунаправленного обнаружения ошибок продвижения). При этом контролируется не только состояние канала по принципу «работает – не работает», но также проверяются конкретные метрики. А уже на основе контроля этих метрик можно управлять трафиком определенных приложений, для которых эти метрики имеют значение.
Кроме всего прочего, устройства vEdge осуществляют подключение внутрифилиальной сети – собственно говоря, это и есть их основная задача. Маршрутизаторы осуществляют редистрибуцию из обычных протоколов маршрутизации типа BGP, OSPF в протокол OMP, через который все остальные маршрутизаторы Cisco SD-WAN автоматически узнают о том, какие подсети доступны в данном филиале.
Затем Денис Коденцев рассмотрел такие вопросы, как взаимная идентификация элементов сети, балансировка трафика, управление качеством обслуживания, обеспечение SLA для критичных приложений, безопасную сегментацию, поддержку «сервисных цепочек» и другие специфические вопросы функционирования Cisco SD-WAN. После детального анализа возможностей масштабирования, внедрения и миграции на новую систему Денис Коденцев перешел к практической части, представив аудитории демонстрацию в режиме реального времени процедуры автоматического подключения маршрутизатора, а также показал возможности по быстрому изменению топологии сети Cisco SD-WAN.
Подводя общие итоги, можно отметить, что одним из ключевых отличий Cisco SD-WAN является высокий уровень защищенности. Снижение рисков ИБ в распределенной сети обеспечивается встроенным комплексом мер – сегментацией, шифрованием, поддержкой логических топологий, сервисных точек, а также внешними средствами ИБ – как устанавливаемыми в периметре (ASA, NGFW), так и облачными (Cisco Umbrella). В результате время обнаружения угроз в сети снижается в сотни раз.
Решение Cisco SD-WAN позволяет обеспечить гибкость в выборе оконечного оборудования – это могут быть как классические маршрутизаторы Cisco, так и оригинальные устройства vEdge, либо же их виртуализированные версии.
Управляющие приложения Cisco SD-WAN включают в себя централизованную систему оркестрации и управления, которая может размещаться как в облаке Cisco, так и в ЦОДе компании заказчика.