Решения на базе Juniper SD-WAN

19.10.2020

Введение.

Что такое SD-WAN?

Software-defined wide-area networking (SD-WAN) можно перевести как Программно-определяемую глобальную сеть.

При упоминании SD-WAN подразумевается использование автоматизированного программируемого метода управления сетями предприятия в глобальном масштабе с учетом стоимости, в широком смысле этого слова, каналов связи. SD-WAN это естественное развитие подходов, используемых в Программно-определяемых сетях (SDN), в целях ускоренного развертывания гибридных глобальных сетей (hybrid WAN) связи предприятия.

SD-WAN включает в себя виртуальные частные сети (IP VPN) корпоративного уровня, широкополосный доступ в Internet и сервисы беспроводных сетей доступа. SD-WAN позволяет эффективно, в том числе с точки зрения стоимости, распределять трафик различных приложений по различным каналам связи. В том числе и облачных приложений.

Траффик автоматически распределяется по наиболее оптимальным каналам связи, с учетом состояния сетей, требований к безопасности, требований к параметрам качества обслуживания (QoS) передачи трафика, и конечно с учетом стоимости передачи трафика по тому или иному каналу связи.


В чем заключаются преимущества SD-WAN?

  • SD-WAN очень быстро получил признание благодаря своей экономической эффективности и удобства в эксплуатации.
  • Снижение OpEx, CapEx и TCO глобальных сетей связи предприятия.
  • Быстрая адаптация к новым потребностям в области IT.
  • Поддержка множества различных защищенных и высокоскоростных соединений помимо использования MPLS сетей.
  • Повышение пропускной способности путем балансировки передачи трафика по различным соединениям, с учетом состояния этих линий связи.
  • Автоматическое предоставление и изменение сетевых услуг премиум-класса, таких как VPN, FW, политики безопасности, WAN оптимизация, контроллеры доставки приложений (Application delivery controller).
  • Возможность установки и запуска сетевого оборудования малоквалифицированным персоналом - Zero Touch Provisioning (ZTP).
  • Шифрование и различные схемы изоляции трафика.

Какие проблемы решает SD-WAN?

Организация и управление глобальными сетями предприятия (WAN) всегда были дорогостоящими, сложными операциями. При этом статичность конфигураций имеющейся WAN сети не позволяла динамично адаптировать её ни под состояние каналов, ни под изменчивые требования современных приложений. SD-WAN позволяет заранее программировать поведение глобальной сети предприятия под различные параметры состояния каналов связи.

Проблемы VPN доступа к ресурсам/сервисам штаб-квартиры/центрального офиса (HQ) и т.д.:

  • Стоимость.
  • Ограниченность ресурсов у провайдера VPN.
  • Присутствие оператора в данном месте (наличие сетевой инфраструктуры способной обеспечивать VPN сервисы).
  • Транзит всего трафика через HQ при потреблении/использовании облачных приложений (задержки, ограничения скорости).
  • Время исполнения заявки подключения нового офиса к VPN.
  • Временные размещения офисов/представительств.

Как SD-WAN решает проблемы?

Оборудование SD-WAN (CPE - customer premises equipment), установленное на площадках предприятия, отслеживает параметры всех публичных и частных каналов связи, используемых для передачи трафика корпоративной сети между её глобальными узлами. Программное обеспечение CPE решает каким маршрутом, каким каналом, отправить трафик данного приложения. Эти правила задаются заранее, при определении политик выбора канала. Например, голосовой трафик VoIP должен по умолчанию отправляться через MPLS VPN канал, но если MPLS VPN подключение будет перегружено, то голосовой трафик будет отправлен через альтернативный канал: широкополосный доступ в Internet или 4G LTE канал. Т.е. SD-WAN обеспечивает автоматическую балансировку трафика и, отслеживая состояния каналов, учитывая стоимость использования данного канала, выбирает наиболее подходящий маршрут для данного типа трафика.

Развитие SD-WAN

Итак, SD-WAN нужна для безопасного подключения любого представительства корпорации, в любом месте, к корпоративным информационным ресурсам/сервисам с применением:

  • Различных каналов доступа:

- MPLS

- Ethernet

- LTE

- ADSL/VDSL

- Broadband

- MPLS and broadband

- Satellite link

  • Защищенных туннелей (например, IPSec).
  • Централизованного управления правилами и политиками.
  • Установки и инициализации CPE неквалифицированным персоналом.

В простейшем случае, централизованного доступа всех представительства корпорации к сервисам Internet, когда весь такой трафик сначала проходит через центральное представительство и только затем выходит в Internet, основные задачи сетевой безопасности корпоративной сети решаются и реализуются в центральном узле.

Остаются вопросы контроля доступа и обеспечения сетевой защиты узла представительства. Использование межсетевого экрана следующего поколения (next-generation firewall - NGFW) в качестве SD-WAN CPE часто является оптимальным выбором, т.к. позволяет реализовывать единые корпоративные политики сетевой безопасности.

В случае же потребления каких-либо Internet сервисов, в том числе облачных приложений, непосредственно из офиса представительства предприятия, напрямую, минуя центральный узел, NGFW в роли SD-WAN CPE становится наиболее эффективным решением с экономической точки зрения. А в случае отсутствия в сети представительства другого межсетевого экрана следующего поколения – единственным вариантом.

При наличии даже минимального размера LAN в представительстве предприятия требуется управление сетевыми устройствами этой локальной сети. Современный офис трудно представить без WiFi, этим оборудованием также надо управлять. Для этого разработано решение Juniper SD-LAN.

Почему бы этим всем не управлять централизованно, используя систему управления SD-WAN инфраструктурой? Такие решения у Juniper есть. Единая система управления всеми аспектами корпоративной сети предприятия, включая глобальную сеть и локальные сети представительств – вот ключевое преимущество современных решений SD-WAN.



Решения Juniper Networks Contrail SD-WAN, SD-LAN, NGFW

Терминология

Branch – сайт/площадка/представительство корпорации/предприятия подключенный к другим сайтам.

CPE (Customer-premises equipment) – сетевое оборудование, расположенное на сайте предприятия и выполняющее функции оконечного оборудования, подключенного к глобальным каналам связи.

CSO (Contrail Service Orchestration) – программное обеспечение, лежащее в основе решений Juniper Contrail SD-WAN, SD-LAN, NGFW.

NGFW (Next-generation firewall) – Juniper SRX Series Services Gateway используемый в роли CPE и устройства реализующего функции межсетевого экрана следующего поколения.

NSC (Network Service Controller) – контроллер SD-WAN, часть CSO, отвечает за топологию сети и управление жизненным циклом CPE.

OpCo (Operating Company) - сервисный провайдер, обслуживающий множество больших клиентов/предприятий.

SD-LAN (Software-defined local area network) – управление локальной сетью сайта, построенной на базе оборудования LAN Juniper EX Series switches и WiFi точек доступа Mist.

Tenant – обычно это предприятие, имеющее множество сайтов/площадок/представительств и подписанное на услуги, предоставляемые сервисным провайдером.

CSO

Contrail Service Orchestration – это платформа оркестрации, т.е. многоуровневого согласованного управления, различными SD-WAN сервисами.

В целях максимальной адаптации к потребностям предприятий CSO реализуется/используется в двух вариантах:

Cloud–hosted installation – облачный сервис самого Juniper, предоставляемый в виде software–as– a–service (SaaS). Имеет многоуровневую структуру, позволяющую, в том числе, провайдерам SDWAN услуг предоставлять услуги SD-WAN индивидуальным предприятиям.



On-premises installation – программное обеспечение, которое устанавливается на собственной инфраструктуре предприятия.



Вне зависимости от вида установки, Решение Juniper Networks Contrail SD-WAN включает в себя:

  • Integrated Security (Интегрированная безопасность) - полный пакет безопасности с NGFW, UTM и т. д.
  • Single Orchestrator (Единый оркестратор) - инициализация CPE (путем ZTP), развертывание VNF, управляемая безопасность, SD-WAN cервисы.
  • Соблюдение открытых стандартов - легко взаимодействует с существующим провайдерской и корпоративной сетевой инфраструктурой и сторонними CPE через открытые API и протоколы, с возможностью развертывания программного обеспечения в публичных и частных облаках.
  • Полная маршрутизация и стеки MPLS - поддержка BGP / OSPF / IS-IS / MPLS / VRRP и т. д. в WAN и LAN, масштабируемая архитектура с распределенными концентраторами SD-WAN hubs.
  • Устройство операторского класса - инновационное CPE устройство (серия NFX) с поддержкой сервисной цепочки для cторонних VNF.
  • Комплексное управление и оркестрация - многофункциональная, горизонтально масштабируемая, простая в использовании платформа оркестрации.

Основные характеристики решения Juniper Networks Contrail SD-LAN включают в себя перечисленные выше, а также:

  • Управление и мониторинг локальной сети - Предоставление, развертывание, настройка и мониторинг коммутаторов LAN серии EX, виртуальных шасси (VC) и точек беспроводного доступа Mist на удаленных узлах/сайтах/площадках.
  • Управление безопасностью локальной сети - предоставление, развертывание, настройка и мониторинг автономного устройства межсетевого экрана следующего поколения (NGFW) серии Juniper SRX на удаленных узлах.

Contrail SD-WAN Model

Классический, если так можно назвать, вариант SD-WAN. Подход, реализующий SDN для предприятия, предоставляющий гибкость, автоматизацию и быстрое восстановление после падения того или иного глобального канала связи. Широкий спектр используемых глобальных каналов связи (MPLS VPN, Public Internet, wired, LTE и т.д.).

Общий вид:


Возможны две топологии:

  • hub–and–spoke
  • dynamic mesh
Топология hub–and–spoke:


Трафик между сайтами проходит через hub. По умолчанию, трафик в Internet также проходит через hub. Устройства CPE в данной топологии называются Spoke.

Топология dynamic mesh:


Сетевое оборудование Spoke

В качестве Spoke устройств используются Juniper NFX Series или SRX Series.


Сетевое оборудование Hub

Для различных схем управления определены два термина для Hub устройств:

  • Provider hub
  • Enterprise hub

Термин Provider hub используется в условиях, когда сервисы SD-WAN предоставляет сервисный провайдер своим многочисленным клиентам-предприятиям:


Термин Enterprise hub используется в условиях, когда сервисы SD-WAN развертывает и потребляет само предприятие. В этом случае CPE центрального сайта глобальной корпоративной сети выполняет роль Enterprise hub:


Для передачи трафика используются туннели MPLSoGRE или MPLSoGREoIPsec:


ZTP

Установка и инициализации CPE/Spoke неквалифицированным персоналом по схеме "plug–and– play" называется Zero Touch Provisioning (ZTP).

После подключения к каналу связи провайдера доступа в Internet устройство Spoke получает по DHCP свой IP адрес и адрес DNS сервера. Затем Spoke обращается к Redirect server для аутентификации. Redirect server располагается в Internet и принадлежит Juniper, и управляется Juniper (это типовая схема для многих, если не всех, производителей SD-WAN решений, обусловленная самой архитектурой SD-WAN, соединения которой организуются поверх Internet). После чего Redirect server направляет Spoke на CSO, откуда на Spoke загружается конфигурация и обновление программного обеспечения Spoke.


Service Chaining

В случае использования платформы Juniper NFX в роли Spoke возможно размещение различных виртуальных сетевых функций (VNF) на этой платформе. Сервисные цепочки позволяют организовать различные схемы прохождения различного трафика по разным VNF.


Помимо Juniper VNF, обычно это vSRX, поддерживаются и сторонние VNF: Fortigate-VM и Singlelegged Ubuntu VM.

Три уровня, четыре плоскости SD-WAN

1) Data Plane:

a)Underlay network; обеспечение физических сетевых соединений

b)Overlay network; обеспечение туннельных сетевых соединений для передачи трафика клиентов/предприятий

2) Control Plane:

a) Протоколы маршрутизации, работающие через OAM-туннели

3) Management Plane:

a) Overlay туннели для обеспечения защищенности OAM-сети


Enterprise SD-WAN – Overlay

Это пример глобальной сети крупного предприятия, построенной поверх сетевой инфраструктуры сетевого провайдера (на схеме инфраструктура провайдера обозначена "Telco Cloud") и не зависящей от него.


Туннели Overlay (MPLSoGRE или MPLSoGREoIPsec) связывают Spoke сайты и Hub сайты предприятия. В качестве Enterprise hub используются SRX1500, SRX4100, или SRX4200 для терминации IPsec.

Резервирование

Spoke

Резервирование осуществляется путем объединения SRX (vSRX в случае NFX платформы) в кластер:


Hub

Резервирование с помощью active/backup конфигурации: если active hub отключится, то все overlay туннели переключатся на backup hub. После восстановления работоспособности первого hub, туннели вернутся на него.


Возможен и другой сценарий: primary/secondary. В этом случае для одной половины туннелей активным назначается один hub, а для второй половину туннеле активным назначается второй hub.


Всё вместе выглядит так:


Contrail SD-LAN Model

Развитие и расширение решения Contrail SD-WAN, позволяющее сетевым администраторам предприятия централизованно развертывать конфигурации, управлять и отслеживать состояния LAN устройств (EX Series LAN access switches, EX Series Virtual Chassis, Mist wireless access points).


Управление свитчем может быть реализовано разным способом:



В любом случае, используя SD-LAN возможно отслеживать следующие параметры свитчей (или виртуального шасси):

  • Resource utilization
  • Status of ports
  • Alerts and alarms generated on the switch
  • Ports consuming the maximum bandwidthPorts with the maximum number of errors  Ports with the maximum packet loss

Next-Generation Firewall (NGFW) Model

Межсетевой экран следующего поколения (NGFW) в роли SD-WAN CPE обеспечивает также сетевую безопасность площадки/сайта/представительства.


Где заказать внедрение SD-WAN?

Компания Inline Telecom Solutions качественно предоставляет услуги интегратора. Сотрудники имеют большой опыт внедрения SD-WAN и в короткие сроки смогут провести все необходимые мероприятия.