Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Mạng sdwan hoạt động như thế nào?

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Mạng sdwan hoạt động như thế nào?

    SDWAN phù hợp cho những doanh nghiệp sử dụng nhiều dịch vụ cloud.

    Giải pháp SDWAN dùng phần mềm và các chức năng điều khiển để điều hướng lưu lượng mạng trên WAN. SDWAN quản lý lưu lượng dựa trên độ ưu tiên của lưu lượng mạng, dựa trên chất lượng dịch vụ QoS và các yêu cầu bảo mật tương ứng với các mô hình kinh doanh. Nếu so sánh với các mô hình mạng WAN truyền thống, chức năng điều khiển hạ tầng mạng WAN được phân phối đều trên tất cả các thiết bị trên mạng. Các router lúc này chỉ định tuyến lưu lượng mạng dựa trên địa chỉ TCP/IP và các Access Control List.

    Khi SDWAN gửi các lưu lượng mạng đi đến cloud như SaaS và IaaS thông qua Internet, các người dùng cuối sẽ nhận được chất lượng truy cập tốt nhất. Tuy nhiên, không phải tất cả các lưu lượng đi đến cloud hay các lưu lượng web đều được đối xử như nhau. Nhiều ứng dụng cloud và các nhà cung cấp dịch vụ cloud đều áp dụng các cơ chế bảo mật mạnh mẽ. Việc truy cập trực tiếp các ứng dụng này từ các chi nhánh thông qua Internet sẽ cần các cơ chế bảo mật để bảo vệ doanh nghiệp khỏi các mối đe dọa. Một vài các ví dụ trong nhóm các ứng dụng cloud bao gồm Salesforce, Office365, ServiceNow, Box và Dropbox.

    Sự thông minh và khả năng nhận dạng các ứng dụng cho phép SDWAN định tuyến các lưu lượng mạng dựa trên ứng dụng chứ không chỉ đơn giản dựa vào các địa chỉ TCP/IP.

    SDWAN sử dụng bất kỳ công nghệ truyền dẫn nào, bao gồm MPLS, băng thông rộng và LTE

    Mạng SDWAN sẽ ảo hóa các dịch vụ WAN như MPLS, các dịch vụ Internet băng thông rộng và 4G/5G/LTE, xem các dịch vụ này như những tài nguyên mạng (resource pool).

    Sự bùng nổ mức độ truy cập Internet đã định nghĩa lại bức tranh về network. Bây giờ là lúc các dịch vụ băng thông rộng được sử dụng nhiều trong kiến trúc mạng SDWAN của doanh nghiệp. Ngoài các mối quan tâm về hiệu quả, về độ tin cậy, về bảo mật, chúng ta thường nghe nhắc đến các yếu tố như:
    • Làm thế nào bạn bảo mật một kết nối Internet để tạo ra một kết nối SDWAN bảo mật?
    • Làm thế nào bạn chỉ ra các giới hạn về độ trễ và các giới hạn về hiệu năng của các kết nối băng thông rộng?
    • Làm thế nào bạn đảm bảo được các nhóm lưu lượng video không chèn lấn các ứng dụng kinh doanh quan trọng khác?
    • Nếu một doanh nghiệp có hàng trăm hoặc hàng ngàn các chi nhánh, làm thế nào bạn có thể đơn giản hóa việc cấu hình, quản lý và mở rộng?

    Đáp án cho các câu hỏi trên là chuyển đổi sang một nền tảng SDWAN mới trong đó hợp nhất SDWAN, routing, tối ưu hóa mạng WAN, tường lửa, phân tách mạng và các chức năng điều khiển bên trong một nền tảng platform duy nhất. SDWAN cho phép tận dụng các kết nối băng thông rộng để truyền các lưu lượng của các ứng dụng thay vì chỉ dùng các đường truyền này như một giải pháp dự phòng. Bằng cách tận dụng hết các đường MPLS hoặc thậm chí thay thế MPLS bằng các giải pháp băng thông rộng, các doanh nghiệp có thể gia tăng băng thông WAN trong khi vẫn giảm thiểu các chi phí mạng WAN.

    Khả năng tự động học và tự động điều chỉnh của SDWAN

    Bằng cách giám sát liên tục các ứng dụng và các tài nguyên WAN, một mạng SDWAN có thể điều chỉnh nhanh chóng khi các điều kiện mạng thay đổi để duy trì các hiệu quả ứng dụng cao nhất. Giải pháp SDWAN sẽ cho người dùng mức độ cảm nhận cao nhất ngay cả khi một đường truyền bị ngắt hoặc bị mất gói, có độ trễ cao…).

    Hai khả năng chính của SDWAN

    Quản lý tập trung: bằng cách tập trung các cấu hình của mạng SDWAN, quản lý hiệu quả truy cập của các ứng dụng và các chính sách bảo mật, một doanh nghiệp có thể giảm thiểu đáng kể các chi phí điều hành mạng WAN.

    Cấu hình tự động hoàn toàn Zero-touch provisioning ZRP: với tính năng này, cấu hình và các chính sách được lập trình một làn và đẩy xuống tất cả các chi nhánh mà không cần phải lập trình từng thiết bị đơn lẻ. Tính năng này loại bỏ sự cần thiết gửi các nhân viên IT xuống các chi nhánh mỗi khi có các ứng dụng mới thêm vào hay các chính sách thay đổi. ZTP cũng giảm thiểu các lỗi sơ sót do con người, giúp cho các chính sách được nhất quán xuyên suốt toàn bộ mạng doanh nghiệp.

    Vì sao sử dụng SDWAN?

    Khi các ứng dụng tiếp tục được chuyển sang dùng cloud, các kỹ sư mạng nhanh chóng nhận ra là các mạng WAN truyền thống chưa bao giờ được thiết kế cho cloud.

    Các ứng dụng không chỉ được host trong trung tâm dữ liệu của doanh nghiệp mà còn được host trong
    • On-premise data centers
    • Public hoặc private clouds
    • Các giải pháp SaaS chẳng hạn như Salesforce.com, Workday, Office365, Box and Dropbox
    Các giải pháp truyền thống chẳng hạn như định tuyến các lưu lượng mạng từ chi nhánh đến văn phòng chính, sau đó đi ra Internet và quay trở ngược lại không còn hợp lý nữa. Cách này làm tăng độ trễ. Một số người dùng thường so sánh là các ứng dụng kinh doanh quan trọng của họ chạy nhanh hơn khi họ đang ở nhà hoặc khi họ dùng trên các thiết bị di động.

    Các lợi ích của SDWAN cho mạng doanh nghiệp
    • Gia tăng tính sáng tạo và sự hài long của người dùng cuối.
    • Gia tăng tốc độ kinh doanh và khả năng đáp ứng
    • Cải tiến độ bảo mật và giảm thiểu các mối đe dọa.
    • Đơn giản hóa cấu trúc mạng chi nhánh
    • Giảm thiểu chi phí WAN đến 90%.
    SDWAN NÂNG CAO

    Quản trị một mạng doanh nghiệp trở nên ngày càng phức tạp khi các hệ thống mạng sử dụng các cách tiếp cận dùng nhiều đám mây, các ứng dụng di chuyển vào các dịch vụ điện toán đám mây, các thiết bị di động và IoT phát triển gia tăng trong hạ tầng mạng và các chi nhánh có các kết nối đến Internet. Quá trình chuyển đổi số này là cho công nghệ SDWAN ngày càng phổ biến.

    SDWAN giúp giải quyết các vấn đề sau:
    • Giảm thiểu chi phí và giảm thiểu rủi ro bằng cách dùng tự động hóa trên mạng WAN.
    • Mở rộng mạng doanh nghiệp (chẳng hạn các chi nhánh hoặc on-prem), tích hợp dễ dàng vào cloud.
    • Tạo cho các người dùng cuối các trải nghiệm tối ưu khi sử dụng SaaS.
    • Tận dung hiệu quả các công nghệ WAN để cắt giảm chi phí và tăng tính đa dạng trong các kết nối. Điều này có nghĩa là các mạng truyền dẫn có thể là bất kỳ kiểu mạng nào, chẳng hạn như Internet, MLS, 3G/4G LTE, vệ tinh hoặc các đường truyền thuê bao riêng.
    • Nâng cao khả năng nhận biết của các ứng dụng và sử dụng khả năng đó để cải tiến hiệu quả của hạ tầng mạng thông qua các cách dùng SLA cho các ứng dụng thời gian thực và các ứng dụng quan trọng.
    • Cung cấp khả năng phân tách các lưu lượng mạng và thực hiện mã hóa cho các tài nguyên quan trọng trong doanh nghiệp.
    Cisco hiện có hai giải pháp SDWAN:

    Cisco SDWAN dựa trên Viptela: Đây là giải pháp được ưu tiên hơn cho các tổ chức cần một giải pháp SDWAN với các yêu cầu tương thích với các kết nối cloud, định tuyến cao cấp, bảo mật cao cấp và các sơ đồ phức tạp khi kết nối đến cloud.

    Meraki SDWAN: đây là giải pháp được khuyến cáo cho các tổ chức cần tích hợp các giải pháp UTM có sẵn (Unified Threat Management) với chức năng SDWAN. Hoặc giải pháp này cũng phù hợp với những khách hàng đã dùng Meraki trước đó. UTM là giải pháp bảo mật nhiều-trong-một trong đó bao gồm tất cả các tính năng bảo mật: firewall, VPN, ngăn ngừa xâm nhập IPS, antivirus, antispam và các giải pháp lọc nội dung.

    Hai giải pháp SDWAN này có thể đạt cùng một mục tiêu thiết kế, nhưng phần còn lại của tài liệu này chỉ tập trung mô tả giải pháp Cisco SDWAN dựa trên Viptela.

    Kiến trúc Cisco SDWAN

    Cisco SDWAN (dựa trên Viptela) là một kiến trúc mạng ảo dùng để thúc đẩy quá trình chuyển đổi số và chuyển sang điện toán đám mây trong mạng doanh nghiệp. Hình bên dưới mô tả một kiến trúc của mạng Cisco SDWAN





    Hình vẽ trên mô tả cách thức SDWAN dùng để kết nối các văn phòng ở xa, các chi nhánh, các mạng campus, các trung tâm dữ liệu và các dịch vụ điện toán đám mây dùng bất kỳ các hạ tầng mạng truyền dẫn nào bên dưới, chẳng hạn như Internet, 3G/4G LTE và MPLS. Nó cũng minh họa cách thức các thành phần này quản lý mạng trục SDWAN fabric vào trong các data center, các đám mây riêng hoặc các public cloud.

    Giải pháp Cisco SDWAN có 4 thành phần chính:

    vManage Network Management System (NMS): Ứng dụng này là nơi ta có thể quản trị SDWAN. vManage cũng được dùng để tạo các cấu hình cho các thiết bị và triển khai các thay đổi.

    vSmart controller: Là bộ não của giải pháp.

    SDWAN router: SDWAN bao gồm cả router vEdge và router cEdges.

    vBond orchestrator: ứng dụng này sẽ thực hiện việc xác thực và sắp xếp các kết nối giữa SDWAN router và vSmart controllers.

    vAnalytics: Ứng dụng này là tùy chọn (optional) dùng để phân tích và đảm bảo dịch vụ.

    vSmart controller thường sẽ được cài đặt trước các thông tin để cho phép vSmart xác thực tất cả các SDWAN router muốn kết nối vào. Các thông tin xác thực này sẽ đảm bảo là chỉ có những thiết bị đã xác thực được quyền truy cập vào mạng trục SDWAN fabric. Sau mỗi lần xác thực thành công, các vSmart controller sẽ thiết lập một đường hầm dTLS đến từng SDWAN router. Sau đó các router SDWAN và vSmart controller sẽ thiết lập quan hệ láng giềng trong giao thức OMP (Overlay Management Protocol OMP). OMP là một giao thức tựa như BGP, có thể quảng bá các routes, các giá trị next-hop, các khóa và các thông tin chính sách cần thiết để duy trì mạng SDWAN.

    vSmart controller sẽ xử lý các OMP route được học từ các router SDWAN (hoặc từ các vSmart controller) để xác định các sơ đồ mạng và tính được đường đi tốt nhất đến mạng đích. Sau đó nó sẽ quảng bá các thông tin học được từ các routes này đến các router SDWAN khác trong mạng SDWAN fabric.

    vSmart controller cũng triển khai các chính sách được tạo ra trên vManage, chẳng hạn như các chuỗi dịch vụ, các kỹ thuật lưu lượng, các phân mảnh trên sơ đồ VPN topology. Ví dụ khi có một chính sách tạo ra trên vManage cho một ứng dụng (chẳng hạn như Youtube) trong đó yêu cầu không được mất gói nhiều hơn 1% và độ trễ ít hơn 150ms, chính sách đó sẽ được tải xuống vSmart Controller. vSmart controller sẽ chuyển các chính sách này sang một định dạng mà các router SDWAN có thể hiểu. Sau đó các router sẽ tự động triển khai các chính sách mà không cần sử dụng giao diện dòng lệnh CLI. VSmart controller cũng hoạt động kết hợp với vBond để thực hiện xác thực các thiết bị khi nó tham gia vào mạng SDWAN và cũng sẽ sắp đặt các kết nối trên các SDWAN router.

    Các router VEdge và cEdge

    Các router SDWAN sẽ cung cấp các chức năng WAN cơ bản, chức năng bảo mật, cloud. Các router này có thể hiện diện dưới dạng phần cừng, phần mềm, được host ở trong cloud hay như là các router ảo. Các router này thường nằm ở vùng biên của một site chẳng hạn như các văn phòng chi nhánh, các văn phòng ở xa, mạng campus hoặc các trung tâm dữ liệu.


    Các router SDWAN hỗ trợ các tính năng chuẩn của router, chẳng hạn như OSPF, BGP, ACL, QoS và các chính sách định tuyến, các thông tin điều khiển và các chức năng data plane. Từng SDWAN router tự động thiết lập một kết nối bảo mật DTLS với vSmart và hình thành một quan hệ láng giềng trong giao thức OMP chạy bên trong tunnel. Các router SDWAN cũng thiết lập các phiên IPSEc với các SDWAN router khác. Các router SDWAN sẽ có các cơ chế thông minh để thực hiện các quyết định liên quan đến định tuyến, high availability HA, các interface, quản lý ARP và các ACL. vSmart controller cũng cung cấp các route ở xa và các thông tin cần thiết để xây dựng SDWAN fabric.


    Có hai tùy chọn khác nhau của router SDWAN.

    vEdge: là phiên bản nguyên thủy ban đầu của Viptela, chạy Viptela.

    cEdge: phần mềm Viptela tích hợp bên trong Cisco IOS-XE. Phần mềm này hỗ trợ trên các router CSR, ISR, ASR1K, ENCS và các router chạy trong cloud như CSRv, ISRv. Phiên bản SDWAN được dùng trong hệ điều hành Cisco IOS XE không phải là một phiên bản IOS XE chuẩn. Chỉ có một số tính năng của SDWAN được chuyển đổi vào trong phiên bản IOS XE SDWAN. vManage cho phép cung cấp cấu hình và khôi phục lỗi trên các router IOS XE SDWAN theo cùng một cách như vEdge routers.

    Sự khác biệt chủ yếu giữa SDWAN cEdge và vEdge được trình bày trong bảng dưới đây:



    vBond Orchestrator

    Ứng dụng vBond sẽ xác thực vSmart controller và các SDWAN router và các kết nối giữa chúng. Đây là thiết bị duy nhất phải có một IP thật sao cho tất cả các thiết bị SDWAN khác trong mạng có thể kết nối đến nó. vBond là một SDWAN router chỉ thực hiện chức năng sắp xếp của vBond

    Các chức năng chính của router vBond là

    Kết nối control plane: Mỗi vBond có một kết nối thường trực thông qua một tunnel DTLS với từng vSmart controller. Hơn nữa, vBond dùng kết nối DTLS để giao tiếp với các router SDWAN khác khi các router kết nối vào mạng SDWAN, sau đó xác thực chúng và cho phép các router này tham gia vào mạng. Chức năng xác thực cơ bản của một SDWAN router là dùng certificates và RSA cryptography.

    NAT traversal: vBond thực hiện kết nối ban đầu giữa router SDWAN và vSmart controller khi một hoặc cả hai SDWAN router và vSmart đều phía sau một thiết bị có NAT địa chỉ. Trong tình huống này, các kết nối peer-to-peer chuẩn được dùng.

    Cân bằng tải: trong một domain với nhiều vSmart, vBond sẽ tự động thực hiện cân bằng tải trên các SDWAN router xuyên suốt các vSmart controllers.

    vAnalytics

    Chức năng này là một chức năng tùy chọn và có nhiều tính năng bao gồm
    • Khả năng nhận biết, thấy được các ứng dụng đang chạy trong hạ tầng WAN.
    • Khả năng dự đoán và khả năng phân tích login điều gì xảy ra – nếu (What-if)
    • Các khuyến cáo thông minh.
    Các khả năng này có thể mang lại nhiều lợi ích cho SDWAN. Ví dụ, nếu một chi nhánh đang hiện tượng độ trễ mạng cao hoặc mất gói trên đường MPLS, vAnalytics sẽ phát hiện tình trạng này và so sánh độ mất gói hoặc độ trễ đó với các tổ chức khác trong cùng khu vực để xem các hệ thống mạng của doanh nghiệp khác có cùng độ trễ hay cùng độ mất gói như nhau không. Nếu là phải, vAnalytics có thể báo cáo vấn đề cho các nhà cung cấp dịch vụ Service Provider. vAnalytics cũng giúp dự đoán bao nhiêu băng thông là cần cho bất kỳ vị trí nào. Tính năng này là hữu ích khi chúng ta cần hạ băng thông của một đường truyền để tiết kiệm chi phí.

    Trong các thành phần của SDWAN, các SDWAN router và vBond thì có thể ở dạng phần cứng vật lý và các máy ảo VM. vMnage và vSmart chỉ có ở dạng VMs.

    Tất cả các VM, bao gồm CSRv, ISRv và vEdge có thể host tại mạng doanh nghiệp, chạy trên ESXi hay KVM hoặc nó có thể host trên AWS và MS Azure.

    Cisco SD-WAN Cloud OnRamp

    Kiến trúc mạng WAN truyền thống không được thiết kế để tối ưu cho cloud. Khi các doanh nghiệp chuyển sang dùng các ứng dụng SaaS chẳng hạn như Office365 và các public cloud như AWS và MS Azure, hạ tầng mạng hiện tại cho thấy nhiều vấn đề liên quan đến sự phức tạp và các trải nghiệm của người dùng cuối. Giải pháp SDWAN bao gồm các chức năng để tối ưu các ứng dụng SaaS và IaaS. Tính năng này được gọi là Cloud OnRamp.

    Cloud OnRamp cho phép các trải nhiệm tốt nhất cho các ứng dụng SaaS bằng cách giám sát liên tục tốc độ truy cập các ứng dụng khác nhau trên các tuyến đường khác nhau. Sau đó tuyến đường tốt nhất sẽ được chọn dựa theo các đơn vị đo lường về hiệu năng mạng (jitter, loss và delay). Hơn nữa, tính năng này giúp đơn giản hóa các kết nối đến các mạng hybric cloud hoặc multicloud bằng cách mở rộng SDWAN vào trong public cloud. Khả năng mở rộng và khả năng sẵn sàng vẫn được đảm bảo trong tình huống này.

    Cloud OnRamp cho dịch vụ SaaS

    Các ứng dụng SaaS hiện diện chủ yếu trên Internet. Để có thể đặt được mức ứng dụng tối ưu, lưu lượng đi ra Internet cần được tính toán tối ưu. Hình vẽ bên dưới mô tả một hệ thống mạng với hai kết nối Internet trực tiếp (DIA) từ hai nhà cung cấp dịch vụ Internet khác nhau.




    Khi tính năng này Cloud OnRamp cho SaaS được cấu hình cho một ứng dụng trên vManage, router SDWAN ở chi nhánh sẽ gửi các thông điệp http-probe trên cả hai kết nối đến các ứng dụng SaaS để đo lường độ trễ và mất gói. Dựa vào kết quả, router SDWAN sẽ biết đường truyền nào đang thực hiện tốt hơn và sẽ cho phép các lưu lượng SaaS đi ra trên mạch đó. Quá trình giám sát tiếp tục, và nếu có một thay đổi trong kết nối của ISP2, router SDWAN sẽ thực hiện các quyết định định tuyến tương ứng.
    Phan Trung Tín
    Email: phantrungtin@vnpro.org
    .
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm, P.25, Q.Bình Thạnh, Tp.HCM
    Tel: (028) 35124257 (028) 36222234
    Fax: (028) 35124314

    Home Page: http://www.vnpro.vn
    Forum: http://www.vnpro.org
    Twitter: https://twitter.com/VnVnpro
    LinkedIn: https://www.linkedin.com/in/VnPro
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Videos: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog
    Facebook: http://facebook.com/VnPro
    Zalo: https://zalo.me/1005309060549762169
    ​​​​​​
Working...
X