Реализовать Cisco SD-WAN можно буквально за один день. А дальше остаётся только поддерживать актуальные настройки устройств. Рассмотрим на примере сети Лукойл.
SD-WAN состоит из 3-х контроллеров vManage, vBond и vSmart, ZTP сервера и собственно самих маршрутизаторов. vBond обеспечивает связность между плоскостями администрирования, управления и передачи данных, является начальной точкой аутентификации, распространяет список всех контроллеров vSmart/vManage на пограничные маршрутизаторы, авторизует все управляющие соединения, помогает обойти NAT. vSmart контроллер необходим, чтобы распространить информацию о маршрутизации и политиках передачи данных на маршрутизаторы, существенно снижает сложность плоскости управления. vManage – это единая консоль управления всеми компонентами SD-WAN, служит для создания политик и шаблонов, мониторинга устройств и их траблшутинга, единая консоль обновления компонентов SD-WAN. Для всех трех контроллеров требуется либо публичный адрес, либо статическая трансляция частного адреса в публичный. ZTP сервер или zero trust provisioning нужен чтобы облегчить подключение устройства к SD-WAN. Ну и для плоскости передачи данных нужны сами маршрутизаторы, которые обеспечивают передачу трафика. Могут быть как в железном исполнении, так и виртуальными машинами.
Чтобы это работало необходим протокол OMP. Этот протокол плоскости управления (control plane) был создан специально для SD-WAN. Основан на TCP. Распространяет маршрутную информацию и политики по всем устройствам. Работает между маршрутизатором и vSmart контроллерами, а также между самими vSmart контроллерами.
Транспортная сторона – это всегда VPN 0, направлена в WAN сеть, трафик передается всегда в туннеле ipsec, и сервисная сторона – это пользовательские LAN сети. Может быть VPN от 1 до 511. Отдельно выделен OOB VPN 512 для управления устройством. В терминологии SD-WAN VPN равно VRF. Каждое устройство имеет свой собственный идентификатор: System-IP, 32 битное значение, как IPv4 адрес, аналог router-id в протоколе маршрутизации. TLOC (transport locators) транспортный локаторы – это набор объектов, составляющих соединение на транспортной стороне. TLOC состоит из System-IP, Color (цвет) и инкапсуляции ipsec или gre. Также есть общий идентификатор для всех компонентов SD-WAN – это Organization-name, который обязательно должен совпадать на всех устройствах.
Для работы SD-WAN сети, как мы уже знаем, требуются такие компоненты как контроллеры, которые могут быть развернуты в корпоративной сети заказчика, в частном облаке или в публичном облаке Amazon или Microsoft Azure.
В рамках проекта компании Netland с компанией «Лукойл» использовалось гибридное решение. Все контроллеры развернуты в корпоративной сети, а также один контроллер vSmart в облаке Netland. Все контроллеры разворачиваются как виртуальные машины, поддерживаемые гипервизоры KVM и VMware ESXi. Официально поддерживается и требуется для виртуальных машин только дисковое пространство на SSD. Но вы можете в целях тестирования развернуть и на жёстких дисках.
Количество ресурсов, требуемых для каждой виртуальной машины, зависит от количества маршрутизаторов. Всем контроллерам нужно минимум 2 интерфейса. Если создавать кластер из vManage, то потребуется дополнительный, третий интерфейс. Больше всего ресурсов требуется под vManage.
Для Лукойла с количеством устройств около ста, требуется 16 виртуальных ядер процессора и 32 гигабайта оперативной памяти. Поэтому было решено не создавать кластер, а развернуть только один vManage и делать бэкапы виртуальной машины. В целях отказоустойчивости более критичные контроллеры развернули в двух экземплярах: два vBond контроллера и два vSmart контроллера в сети заказчика, а также третий vSmart развернут в облаке Нэтлэнд, потому что, если не будет ни одного контроллера vSmart, вся маршрутизация развалится.
Для контроллеров требуется либо публичный адрес, либо статический NAT. А как же контроллеры и WAN Edge устройства понимают устанавливать соединение с частным ip адресом или с публичным? Для этого и была придумана расцветка транспорта. В зависимости от выбранного цвета пограничное устройство и контроллер знаютЮ когда надо использовать публичный адрес, а когда частный для установления ipsec туннелей. Например, если бы у нас была одна сеть MPLS, а вторая Интернет, то устройства устанавливали бы туннели с частным айпи адресом в MPLS сети, и с публичным айпи адресом в сети Интернет.
Так как устройства Лукойла подключаются к двум каналам сети Интернет, один проводной, второй беспроводной, то необходимо использовать два публичных цвета. Так для Лукойла, были выбраны цвета public-internet и biz-internet.
У Циско довольно широкая линейка маршрутизаторов, которые поддерживают SD-WAN. Есть как хардварные решения ISR1000 и 4000 серия, ASR1000 серии, на этих устройствах может быть как классический IOS XE, так и SD-WAN IOS XE, есть хардварные маршрутизаторы vEdge разной производительности, на них может быть установлена операционная система только для SD-WAN. А также есть и виртуальные решения, например CSR1000V.
Для Лукойла в центральный офис было решено поставить производительные маршрутизаторы ISR4431, а для региональных филиалов и АЗС, где нагрузка не такая большая выбрали ISR1111 с LTE модулем. Тысячная серия ISR очень популярна, в ней есть маршрутизаторы с DSL, LTE модулем, WIFI модулем, с производительностью до 500 Мбит/с. Подходит практически под любые требования для удаленных офисов или небольших филиалов.
Необходимым компонентом в работе устройств в Cisco SD-WAN – это сертификаты, которые могут быть выписаны как центром сертификации Циско, так и корпоративным центром сертификации.
В случае с Лукойл было принято решение использовать корпоративный центр сертификации. Для работы с корпоративным центром сертификации вначале необходимо загрузить рутовый CA сертификат в vManage. Это всё делается очень просто. Заходим в Administration -Settings выбираем Controller Certificate Authorization нажимаем Edit, выбираем Enterprise Root Certificate и вставляем сертификат. vManage автоматически распространяет рутовый сертификат на другие контроллеры. Нам остается только сгенерировать собственный сертификат для каждого контроллера.
Добавить контроллер vBond или vSmart также очень просто. Рассмотрим пример добавления vBond. Для этого заходим в Configuration – Devices – Controllers, нажимаем добавить vBond. Указываем IP адрес, логин, пароль, оставляем, галочку, что требуется сгенерировать CSR.
После добавления контроллера в vManage, необходимо установить сертификат: заходим в Configuration – Certificates – Controllers скачиваем сгенерированный запрос CSR, выписываем сертификат в корпоративном CA, и затем загружаем созданный сертификат в vManage. Вот так, буквально за пару минут мы добавили контроллер vBond в vManage и загрузили его сертификат. Этот процесс повторяем для каждого контроллера vBond или vSmart.
Для добавления маршрутизаторов обязательно требуется Smart Account. Smart Account – это центральный репозиторий, в котором можно просматривать, хранить и управлять всеми лицензиями компании. В SD-WAN важен раздел Network Plug and Play. Зайдя в PnP Connect мы можем увидеть устройства, которые могут работать в SD-WAN. После заказа оборудования устройства автоматически добавляются в Plug and Play Connect, а также их туда можно добавить вручную. Например, когда у вас уже есть маршрутизаторы Cisco и вы решили перейти к SD-WAN.
В самом разделе Network PnP надо обязательно создать профиль контроллера vBond. Пробежимся по шагам как это сделать. Заходим в Controller Profiles нажимаем добавить профиль, тип профиля vBond.
Обозначаем, что это будет профиль по умолчанию. Указываем Organization name. Organization name должен совпадать на всех устройствах и контроллерах SD-WAN. Указываем доменное имя или ip адрес vBond и загружаем рутовый сертификат корпоративного центра сертификации.
После добавления устройств и создания профиля vBond, необходимо загрузить всю информацию в vManage. Для этого заходим в Configuration – Devices и нажимает Sync Smart Account, вводим логин и пароль от SmartAccount и данные синхронизируются из портала Циско в vManage.
В SD-WAN можно реализовать любую топологию: Full Mesh, Partial Mesh, Hub-and-Spoke или Point-to-point. По умолчанию строится Full Mesh. SD-WAN позволяет гибко настраивать топологии, для каждого сервисного VPN можно создать свою независимую от других сервисных VPN топологию.
В сети Лукойл решили построить топологию Hub-and-Spoke, чтобы все региональные филиалы и АЗС ходили только через центральный офис. Это упрощает использование политик безопасности. Конфигурируется топология через централизованные политики. Посмотрим, на примере Лукойла как легко это можно сделать в vManage. Заходим в Configuration – Policies, нажимаем создать политику. Создаем компоненты для политики. Каждый филиал и АЗС мы делили на сайты. Указываем номер Site-id который будет являться хабом и Site-id которые будут являться Spokами. Создаем VPN лист, где указываем сервисные VPN к которым будет применяется политика. После создания необходимых элементов переходим к конфигурированию топологии. Выбираем добавить топологию Hub-and-Spoke, указываем созданный VPN лист, сайт лист хаба и споуков, сохраняем настройки Hub-and-Spoke топологии, сохраняем саму политику. Осталось только активировать созданную политику на vSmart, а также проверяем, что версия созданной политики совпадает с версией политики на контроллерах. Далее vSmart автоматически распространяет действие политики на все маршрутизаторы.
Также одним из преимуществ SD-WAN – это возможность настраивать SLA политики и определять по какому каналу должен пойти тот или иной трафик, и всё это настраивается из одного GUI интерфейса.
Для компании Лукойл была сделана политика SLA для голосового трафика и видео. SLA мы настраиваем используя метрики такие как latency, jitter и потеря пакетов. Метрики измеряются на каждом туннеле, для этого используется протокол BFD. В политике SLA настраиваются границы параметров при которых трафик должен пойти по определенному маршруту, а когда параметры не будут соответствовать SLA, трафик должен пойти по резервному маршруту. В Лукойле приоритетным является проводной Интернет, а в качестве резервного используется мобильная связь.
Давайте подробнее посмотрим, как просто создать такую политику. Заходим в Configuration – Policies, после того как нажали создать централизованную политику, создаем SLA параметры: количество допустимой задержки, потери пакетов, джитера, а также сам лист приложений, аудио и видео. Далее в Application Aware Routing жмём добавить политику, выбираем созданный лист приложений, указываем SLA параметры и приоритетный туннель, по которому должен пойти голос и видео. Добавляем резервный туннель на случай выхода за границы SLA. Вот так, без особых трудностей мы создали SLA политику. Не забываем только её активировать на vSmart.
Одной из фишек SD-WAN является Zero Trust Provisioning, это означает, что конфигурация автоматически заливается на устройство при его подключении к сети. Рассмотрим процесс работы ZTP. При включении маршрутизатора к сети, он отправляет запрос на ztp сервер devicehelper.cisco.com, сервер отправляет информацию с адресом контроллера vBond. Далее маршрутизатор устанавливает соединение с vBond, тот проверяет, что такое устройство у него действительно есть и отправляет ip адреса vSmart и vManage. Маршрутизатор устанавливает соединение с vSmart, а затем с vManage, и запрашивает конфигурацию. vManage смотрит какой шаблон назначен данному устройству и отправляет настройки маршрутизатору. ZTP сильно упрощает и автоматизирует процесс настройки маршрутизаторов. Нет необходимости подключаться к каждому маршрутизатору и настраивать его через CLI вручную или делать ctrl-c ctrl-v из блокнота в cli.
Для того, чтобы vManage знал какие настройки отправлять маршрутизатору, нам нужно создать шаблоны. Шаблоны создаются в Configuration – Templates. Есть два вида шаблонов. Вначале мы создаем шаблон для определенных системных настроек или интерфейса, или протокола маршрутизации, эти шаблоны называются feature templates, а после указываем эти feature templates в шаблон устройства т.е. device template. На слайде мы видим несколько feature темплейтов, их название, тип шаблона, для какой модели устройства предназначен шаблон, сколько шаблонов устройств используют данный темплейт и сколько устройств используют этот шаблон. В качестве примера указан шаблон настроек AAA. Достаточно один раз создать данный шаблон и применить к устройствам, как все 10, 100 или 1000 устройств будут с одинаковыми настройками.
После того, как созданы необходимые шаблоны настроек, создаем шаблон устройства. Здесь можно увидеть какой шаблон относится к какой модели устройства, сколько устройств используют данный шаблон. В шаблоне мы просто выбираем все до этого созданные шаблоны настроек.
Шаблоны мы создали, теперь надо применить к устройствам. Мы уже загрузили список маршрутизаторов в vManage и выбираем те, которые будут использовать шаблон. Можно указывать и выключенные маршрутизаторы, как только они будут включены и подсоединены к сети, они получат настройки из vManage. Рассмотрим более подробно этот процесс.
Еще один процесс, который был облегчен с переходом на SD-WAN – это централизованное управление версиями IOS. Нет необходимости заходить на каждое устройство и проверять текущую версию прошивки, настраивать ftp сервер и загружать IOS через CLI. Теперь версию IOS на каждом маршрутизаторе мы можем посмотреть через GUI интерфейс в vManage и легко определить какие устройства требуют обновления. Необходимые версии прошивки мы загружаем в vManage, а оттуда они отправляются на маршрутизатор. При этом можем одновременно выбрать любое количество устройств, которые хотим обновить.
Cisco SD-WAN обеспечивает простоту и наглядность в настройке и управлении WAN сетей. Обеспечивает высокий уровень защиты, облегчает настройку маршрутизаторов и автоматизирует процесс их настройки, позволяет гибко строить топологии WAN сетей. Реализовать Cisco SD-WAN можно буквально за один день. А дальше остаётся только поддерживать актуальные настройки устройств.
Оставьте контакты, наш менеджер свяжется с вами и ответит на все ваши вопросы
Ведущий системный интегратор в Республике Беларусь
Мы используем файлы cookie, чтобы обеспечить правильную работу сайта и анализировать сетевой трафик. Нажимая кнопку Ок, вы даете на это свое согласие.
