Menu

Polska

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

Szwecja

Drottninggatan 86
111 36 Sztokholm
+46 762 041 514
info@grandmetric.com

UK

Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com

US Region

Grandmetric LLC
Lewes DE 19958
16192 Coastal Hwy USA
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com

  • en
  • pl
  • se
  • Kontrolery vSmart, vBond, vManage

    Kontrolery vSmart, vBond, vManage

    Date: 04.04.2024

    Autor:
    Kategoria: Sieci SD-WAN


    Przy omawianiu sieci SD WAN oraz jej postulatów, pojawia się szeroki temat disaggregation, czyli rozdzielenia warstwy Date Plane i Control Plane.

    Rozwiązania SD WAN takie jak Cisco SD WAN (dawniej Viptela) mocno stawiają na rozdzielenie warstw danych i kontroli.

    Czym są te warstwy? W skrócie, Data Plane to routery, które zestawiają tunelowanie IP. Oddzielone od nich kontrolery definiują warstwę Control Plane.

    O rodzajach kontrolerów, ich zadaniach i o tym co się stanie, gdy jeden z nich przestanie działać, dowiesz się z poniższego materiału.

    sdwan webinar

    Rozwiązanie SD WAN ma warstwy

    O tym, czym jest SD WAN i jak różni się od tradycyjnych sieci WAN pisaliśmy w jednym z naszych wcześniejszych artykułów. Tu skupimy się na konkretach.

    • Data Plane,
    • Control Plane,
    • Management Plane,
    • Orchestration Plane.
    Control Pane i Data Plane w SD-WAN

    Disaggregation – Przykład

    Na samym dole widzimy warstwę routerów, które tworzą Data Plane i zestawiają tunelowanie IP. Nad nimi znajdują się kontrolery, które realizują funkcję Control Plane, która definiuje routing w całej sieci WAN oraz polityki globalne i lokalne dla przepływu ruchu w sieci SD WAN. 

    Następnie warstwa Management Plane z dashboardem zwanym vManage, który posiada API i służy do zarządzania siecią WAN. Przez API, czyli otwarty interfejs, możemy podłączyć nasze zewnętrzne systemy do sieci Cisco SD WAN, wyciągać informacje dotyczące np. statystyk z monitoringu, czy też z obciążenia tuneli interfejsów. Dodatkowo do danych, które chcemy pokazać w naszym systemie monitoringu, możemy się dostać poprzez API oraz warstwę kontrolerów vBond, które stanowią Orchestration Plane i służą do uwierzytelniania naszego routera podczas pierwszego podłączenia do sieci SD WAN.

    Konsola vManage SD-WAN

     

    Rodzaje kontrolerów w sieci SD WAN

    Kontrolery i routery SD WAN ściśle się ze soba komunikują. W rozwiązaniu Cisco SD WAN rolę kontrolera sieciowego pełni kontroler vSmart (umieszczony w chmurze lub on-premise). Z kolei router vEdge (lub cEdge w przypadku urządzeń fizycznych) komunikuje się najpierw z kontrolerem vBond w celu uwierzytelnienia, a następnie łączy się docelowo z vSmart i vManage, aby uruchomić w pełni wszystkie funkcjonalności.

    Router SD WAN może być fizyczny (cEdge) lub wirtualny (vEdge) i zwykle znajduje się w lokalizacji klienta, ale można go również zainstalować w chmurach prywatnych i publicznych. vManage to rodzaj pulpitu nawigacyjnego, który pomaga administratorom jasno zdefiniować reguły komunikacji w sieci WAN i zarządzać politykami z poziomu interfejsu.

    Jak widać, w przypadku Cisco SD WAN wymieniamy cztery najważniejsze elementy architektury:

    • vBond – bierze udział w początkowym procesie uruchamiania każdego routera vEdge; do jego zadań należy uwierzytelnienie routera, stworzenie bezpiecznego tunelu z vEdge i poinformowanie vSmart i vManage o jego parametrach, takich jak np. adres IP. 
    • vSmart – kontroler sieci; odpowiada za zarządzanie polityką routingu w sieci SD-WAN  za pomocą specjalnego protokołu OMP (Overlay Management Protocol). Kontrolery vSmart są zawsze dwa dla wysokiej dostępności.
    • vEdge (lub cEdge)– router, który otrzymuje politykę od vSmart, a przy tym jest w stanie uruchomić protokół routingu w stronę sieci lokalnej, taki jak OSPF czy BGP, aby uruchomić wymianę prefiksów po stronie LAN. Ponadto tworzy bezpieczne tunele IPSec z innymi routerami vEdge w zależności od wybranej topologii.
    • vManage – kontroler, dzięki któremu możliwe jest zarządzanie siecią SD-WAN z jednego miejsca. We vManage konfiguruje się polityki i przechowuje listę urządzeń SD-WAN. 

    Każdy element powyższej listy odgrywa odrębną, a zarazem niezwykle istotną rolę w całej układance.

    Co się dzieje, kiedy kontrolery SD WAN przestają odpowiadać?

    Przede wszystkim trzeba zrozumieć, które kontrolery stanowią krytyczne zasoby, a bez których sieć WAN nadal może pracować nawet w ograniczonym zakresie. Do pierwszej grupy należą kontrolery vSmart, które sterują routingiem, narzucają routing i propagują go do urządzeń.

    Kontrolery vSmart możemy konfigurować on-premise, w naszym lokalnym centrum danych. Możemy to również realizować w oparciu o chmurę publiczną w zasobach Cisco – wówczas jeden kontroler odpowiada jednemu regionowi. Minimalny zestaw urządzeń niezbędny do stworzenia sieci SD WAN to z definicji dwa kontrolery vSmart, dwa kontrolery vBond, jeden kontroler vManage. Kontrolerów vBond używamy tylko raz w momencie uwierzytelnieni danego routera do overlaya.

    W przypadku, kiedy następuje awaria danego kontrolera, nie rzutuje to na ruch w obrębie Data Plane. Mamy zachowany ostatni stan tablicy routingu, który tablica przechowuje do momentu restartu routera vEdge. 

    Z kolei vManage jest kontrolerem odpowiedzialnym za wysyłanie konfiguracji do routerów, budowanie szablonów konfiguracyjnych i obserwację tego, co dzieje się w sieci. Jego awaria będzie powodowała co najwyżej przestój w widoczności sieci, natomiast sama sieć WAN będzie nadal działała bez zakłóceń.

     

    Co się dzieje z kontrolerami, gdy wygasają nam subskrypcje ?

    U każdego producenta rozwiązanie SD WAN zawiera elementy subskrypcyjne. Mogą to być licencje związane z security, czy z systemem do zarządzania SD WAN.  

    Nawet w przypadku wygaśnięcia licencji, ruch Data Plane jest zachowany, co nie powoduje przestojów w pracy systemu.

    W przypadku licencji Cisco, mamy możliwość uruchomienia funkcjonalności SD WAN nawet po kilku latach od zakupu bazowej licencji Network Essentials, na której bazie możemy stworzyć dotychczas znane konstrukcje sieci WAN jak np. DN VPN.

    Jeśli rozważasz wdrożenie SD WAN w swojej organizacji, chętnie opowiem więcej o disaggregation, a także Zero Touch Provisioning, QoS i mechanizmach, które zwiększają wydajność aplikacji.

    A jesli interesuje Cię, jak organizacje korzystające z sieci definiowanych programowo obniżają koszty WAN, zapraszam do lektury naszego case study.

    Autor

    Marcin Bialy

    Architekt systemów sieciowych i bezpieczeństwa IT. Prowadził duże projekty transformacyjne u klientów z branży bankowości, sektora enterprise, produkcji oraz instytucji państwowych. Spędził setki godzin przy konfiguracji, diagnostyce i projektowaniu sieci IP. Jest autorem kursów, workbook’ów do szkoleń autorskich Grandmetric i organizatorem inicjatyw takich jak Network & Wireless meetup zrzeszających społeczność specjalistów sieciowych. Jego specjalizacje obejmują obszar Network Security, Routing & Switching. Marcin posiada certyfikaty Cisco CCSI#35269, CCNP, CCNA. Był także był jednym z pierwszych inżynierów w Polsce uzyskując certyfikat FCNSP#7207 (dzisiejsza ścieżka NSE).

    Dodaj komentarz

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *


    Wdrożenia SD-WAN Cisco

    Z nami wdrożysz produkcyjnie Cisco SD-WAN w modelu klasycznym oraz „as a service”. Oferujemy routery SD-WAN Cisco od C1000, ISR oraz routery dla przemysłu.

    Zapytaj o cenę
    Grandmetric: Network & Security