Kontrolery vSmart, vBond, vManage

Przy omawianiu sieci SD-WAN oraz jej postulatów, pojawia się szeroki temat disaggregation, czyli rozdzielenia warstwy Date Plane i Control Plane.
W skrócie, Data Plane to routery, które zestawiają tunelowanie IP. Oddzielone od nich kontrolery definiują warstwę Control Plane.

O rodzajach kontrolerów, ich zadaniach i o tym co się stanie, gdy jeden z nich przestanie działać, dowiesz się z poniższego materiału.

SD-WAN ma warstwy

Przyjrzyjmy się poniższemu schematowi, który pokazuje rozwarstwienie (disaggregation) i wyróżnia następujące warstwy zarządzania:

• Data Plane,
• Control Plane,
• Management Plane,
• Orchestration Plane.

Disaggregation – Przykład

Na samym dole widzimy warstwę routerów, które tworzą Data Plane i zestawiają tunelowanie IP. Nad nimi znajdują się kontrolery, które realizują funkcję Control Plane, która definiuje routing w sieci oraz polityki globalne i lokalne dla przepływu ruchu w sieci SD-WAN. 

Następnie warstwa Management Plane z dashboardem zwanym vManage, który posiada API. Przez API, czyli otwarty interfejs, możemy podłączyć nasze zewnętrzne systemy do sieci SD-WAN, wyciągać informacje dotyczące np. statystyk z monitoringu, czy też z obciążenia tuneli interfejsów. Dodatkowo do danych, które chcemy pokazać w naszym systemie monitoringu, możemy się dostać poprzez API oraz warstwę kontrolerów vBond, które stanowią Orchestration Plane i służą do uwierzytelniania naszego routera podczas pierwszego podłączenia do sieci SD-WAN.

Rodzaje kontrolerów SD-WAN

Kontrolery i routery SD-WAN ściśle się ze soba komunikują. W rozwiązaniu Cisco SD-WAN rolę kontrolera sieciowego pełni kontroler vSmart (umieszczony w chmurze lub on-premise). Z kolei router vEdge (lub cEdge w przypadku urządzeń fizycznych) komunikuje się najpierw z kontrolerem vBond w celu uwierzytelnienia, a następnie łączy się docelowo z vSmart i vManage, aby uruchomić w pełni wszystkie funkcjonalności. Router SD-WAN może być fizyczny (cEdge) lub wirtualny (vEdge) i zwykle znajduje się w lokalizacji klienta, ale można go również zainstalować w chmurach prywatnych i publicznych. vManage to rodzaj pulpitu nawigacyjnego, który pomaga administratorom jasno zdefiniować reguły komunikacji WAN i zarządzać politykami z poziomu interfejsu.

Jak widać, w przypadku Cisco SD-WAN wymieniamy cztery najważniejsze elementy architektury:

• vBond – bierze udział w początkowym procesie uruchamiania każdego routera vEdge; do jego zadań należy uwierzytelnienie routera, stworzenie bezpiecznego tunelu z vEdge i poinformowanie vSmart i vManage o jego parametrach, takich jak np. adres IP. 
• vSmart – kontroler sieci; odpowiada za zarządzanie polityką routingu w sieci SD-WAN  za pomocą specjalnego protokołu OMP (Overlay Management Protocol). Kontrolery vSmart są zawsze dwa dla wysokiej dostępności.
• vEdge (lub cEdge)– router, który otrzymuje politykę od vSmart, a przy tym jest w stanie uruchomić protokół routingu w stronę sieci lokalnej, taki jak OSPF czy BGP, aby uruchomić wymianę prefiksów po stronie LAN. Ponadto tworzy bezpieczne tunele IPSec z innymi routerami vEdge w zależności od wybranej topologii.
• vManage – kontroler, dzięki któremu możliwe jest zarządzanie siecią SD-WAN z jednego miejsca. We vManage konfiguruje się polityki i przechowuje listę urządzeń SD-WAN. 

Każdy element powyższej listy odgrywa odrębną, a zarazem niezwykle istotną rolę w całej układance.

Co się dzieje, kiedy kontrolery SD-WAN przestają odpowiadać?

Przede wszystkim trzeba zrozumieć, które kontrolery stanowią krytyczne zasoby, a bez których sieć nadal może pracować nawet w ograniczonym zakresie. Do pierwszej grupy należą kontrolery vSmart, które sterują routingiem, narzucają routing i propagują go do urządzeń.

Kontrolery vSmart możemy konfigurować on-premise, w naszym lokalnym Data Center. Możemy to również realizować w oparciu o chmurę publiczną w zasobach Cisco – wówczas jeden kontroler odpowiada jednemu regionowi. Minimalny zestaw urządzeń niezbędny do stworzenia sieci SD-WAN to z definicji dwa kontrolery vSmart, dwa kontrolery vBond, jeden kontroler vManage. Kontrolerów vBond używamy tylko raz w momencie uwierzytelnieni danego routera do overlaya.

 W przypadku, kiedy następuje awaria danego kontrolera, nie rzutuje to na ruch w obrębie Data Plane. Mamy zachowany ostatni stan tablicy routingu, który tablica przechowuje do momentu restartu routera vEdge. 

 Z kolei vManage jest kontrolerem odpowiedzialnym za wysyłanie konfiguracji do routerów, budowanie szablonów konfiguracyjnych i obserwację tego, co dzieje się w sieci. Jego awaria będzie powodowała co najwyżej przestój w widoczności sieci, natomiast sama sieć będzie nadal działała bez zakłóceń.

Co się dzieje z kontrolerami, gdy wygasają nam subskrypcje ?

U każdego producenta SD-WAN rozwiązanie zawiera elementy subskrypcyjne. Mogą to być licencje związane z security, czy z systemem do zarządzania SD-WAN.  

Nawet w przypadku wygaśnięcia licencji, ruch Data Plane jest zachowany, co nie powoduje przestojów w pracy systemu. Zmienia się natomiast…[co takiego?] 

W przypadku licencji Cisco, mamy możliwość uruchomienia funkcjonalności SD-WAN nawet po kilku latach od zakupu bazowej licencji Network Essentials, na której bazie możemy stworzyć dotychczas znane konstrukcje WAN jak np. DN VPN.