Przy omawianiu sieci SD-WAN oraz jej postulatów, pojawia się szeroki temat disaggregation, czyli rozdzielenia warstwy Date Plane i Control Plane.
W skrócie, Data Plane to routery, które zestawiają tunelowanie IP. Oddzielone od nich kontrolery definiują warstwę Control Plane.
O rodzajach kontrolerów, ich zadaniach i o tym co się stanie, gdy jeden z nich przestanie działać, dowiesz się z poniższego materiału.
Przyjrzyjmy się poniższemu schematowi, który pokazuje rozwarstwienie (disaggregation) i wyróżnia następujące warstwy zarządzania:
Disaggregation – Przykład
Na samym dole widzimy warstwę routerów, które tworzą Data Plane i zestawiają tunelowanie IP. Nad nimi znajdują się kontrolery, które realizują funkcję Control Plane, która definiuje routing w sieci oraz polityki globalne i lokalne dla przepływu ruchu w sieci SD-WAN.
Następnie warstwa Management Plane z dashboardem zwanym vManage, który posiada API. Przez API, czyli otwarty interfejs, możemy podłączyć nasze zewnętrzne systemy do sieci SD-WAN, wyciągać informacje dotyczące np. statystyk z monitoringu, czy też z obciążenia tuneli interfejsów. Dodatkowo do danych, które chcemy pokazać w naszym systemie monitoringu, możemy się dostać poprzez API oraz warstwę kontrolerów vBond, które stanowią Orchestration Plane i służą do uwierzytelniania naszego routera podczas pierwszego podłączenia do sieci SD-WAN.
Kontrolery i routery SD-WAN ściśle się ze soba komunikują. W rozwiązaniu Cisco SD-WAN rolę kontrolera sieciowego pełni kontroler vSmart (umieszczony w chmurze lub on-premise). Z kolei router vEdge (lub cEdge w przypadku urządzeń fizycznych) komunikuje się najpierw z kontrolerem vBond w celu uwierzytelnienia, a następnie łączy się docelowo z vSmart i vManage, aby uruchomić w pełni wszystkie funkcjonalności. Router SD-WAN może być fizyczny (cEdge) lub wirtualny (vEdge) i zwykle znajduje się w lokalizacji klienta, ale można go również zainstalować w chmurach prywatnych i publicznych. vManage to rodzaj pulpitu nawigacyjnego, który pomaga administratorom jasno zdefiniować reguły komunikacji WAN i zarządzać politykami z poziomu interfejsu.
Jak widać, w przypadku Cisco SD-WAN wymieniamy cztery najważniejsze elementy architektury:
Każdy element powyższej listy odgrywa odrębną, a zarazem niezwykle istotną rolę w całej układance.
Przede wszystkim trzeba zrozumieć, które kontrolery stanowią krytyczne zasoby, a bez których sieć nadal może pracować nawet w ograniczonym zakresie. Do pierwszej grupy należą kontrolery vSmart, które sterują routingiem, narzucają routing i propagują go do urządzeń.
Kontrolery vSmart możemy konfigurować on-premise, w naszym lokalnym Data Center. Możemy to również realizować w oparciu o chmurę publiczną w zasobach Cisco – wówczas jeden kontroler odpowiada jednemu regionowi. Minimalny zestaw urządzeń niezbędny do stworzenia sieci SD-WAN to z definicji dwa kontrolery vSmart, dwa kontrolery vBond, jeden kontroler vManage. Kontrolerów vBond używamy tylko raz w momencie uwierzytelnieni danego routera do overlaya.
W przypadku, kiedy następuje awaria danego kontrolera, nie rzutuje to na ruch w obrębie Data Plane. Mamy zachowany ostatni stan tablicy routingu, który tablica przechowuje do momentu restartu routera vEdge.
Z kolei vManage jest kontrolerem odpowiedzialnym za wysyłanie konfiguracji do routerów, budowanie szablonów konfiguracyjnych i obserwację tego, co dzieje się w sieci. Jego awaria będzie powodowała co najwyżej przestój w widoczności sieci, natomiast sama sieć będzie nadal działała bez zakłóceń.
U każdego producenta SD-WAN rozwiązanie zawiera elementy subskrypcyjne. Mogą to być licencje związane z security, czy z systemem do zarządzania SD-WAN.
Nawet w przypadku wygaśnięcia licencji, ruch Data Plane jest zachowany, co nie powoduje przestojów w pracy systemu. Zmienia się natomiast…[co takiego?]
W przypadku licencji Cisco, mamy możliwość uruchomienia funkcjonalności SD-WAN nawet po kilku latach od zakupu bazowej licencji Network Essentials, na której bazie możemy stworzyć dotychczas znane konstrukcje WAN jak np. DN VPN.
Dodaj komentarz