Przy omawianiu sieci SD WAN oraz jej postulatów, pojawia się szeroki temat disaggregation, czyli rozdzielenia warstwy Date Plane i Control Plane.
Rozwiązania SD WAN takie jak Cisco SD WAN (dawniej Viptela) mocno stawiają na rozdzielenie warstw danych i kontroli.
Czym są te warstwy? W skrócie, Data Plane to routery, które zestawiają tunelowanie IP. Oddzielone od nich kontrolery definiują warstwę Control Plane.
O rodzajach kontrolerów, ich zadaniach i o tym co się stanie, gdy jeden z nich przestanie działać, dowiesz się z poniższego materiału.
O tym, czym jest SD WAN i jak różni się od tradycyjnych sieci WAN pisaliśmy w jednym z naszych wcześniejszych artykułów. Tu skupimy się na konkretach.
Disaggregation – Przykład
Na samym dole widzimy warstwę routerów, które tworzą Data Plane i zestawiają tunelowanie IP. Nad nimi znajdują się kontrolery, które realizują funkcję Control Plane, która definiuje routing w całej sieci WAN oraz polityki globalne i lokalne dla przepływu ruchu w sieci SD WAN.
Następnie warstwa Management Plane z dashboardem zwanym vManage, który posiada API i służy do zarządzania siecią WAN. Przez API, czyli otwarty interfejs, możemy podłączyć nasze zewnętrzne systemy do sieci Cisco SD WAN, wyciągać informacje dotyczące np. statystyk z monitoringu, czy też z obciążenia tuneli interfejsów. Dodatkowo do danych, które chcemy pokazać w naszym systemie monitoringu, możemy się dostać poprzez API oraz warstwę kontrolerów vBond, które stanowią Orchestration Plane i służą do uwierzytelniania naszego routera podczas pierwszego podłączenia do sieci SD WAN.
Kontrolery i routery SD WAN ściśle się ze soba komunikują. W rozwiązaniu Cisco SD WAN rolę kontrolera sieciowego pełni kontroler vSmart (umieszczony w chmurze lub on-premise). Z kolei router vEdge (lub cEdge w przypadku urządzeń fizycznych) komunikuje się najpierw z kontrolerem vBond w celu uwierzytelnienia, a następnie łączy się docelowo z vSmart i vManage, aby uruchomić w pełni wszystkie funkcjonalności.
Router SD WAN może być fizyczny (cEdge) lub wirtualny (vEdge) i zwykle znajduje się w lokalizacji klienta, ale można go również zainstalować w chmurach prywatnych i publicznych. vManage to rodzaj pulpitu nawigacyjnego, który pomaga administratorom jasno zdefiniować reguły komunikacji w sieci WAN i zarządzać politykami z poziomu interfejsu.
Jak widać, w przypadku Cisco SD WAN wymieniamy cztery najważniejsze elementy architektury:
Każdy element powyższej listy odgrywa odrębną, a zarazem niezwykle istotną rolę w całej układance.
Przede wszystkim trzeba zrozumieć, które kontrolery stanowią krytyczne zasoby, a bez których sieć WAN nadal może pracować nawet w ograniczonym zakresie. Do pierwszej grupy należą kontrolery vSmart, które sterują routingiem, narzucają routing i propagują go do urządzeń.
Kontrolery vSmart możemy konfigurować on-premise, w naszym lokalnym centrum danych. Możemy to również realizować w oparciu o chmurę publiczną w zasobach Cisco – wówczas jeden kontroler odpowiada jednemu regionowi. Minimalny zestaw urządzeń niezbędny do stworzenia sieci SD WAN to z definicji dwa kontrolery vSmart, dwa kontrolery vBond, jeden kontroler vManage. Kontrolerów vBond używamy tylko raz w momencie uwierzytelnieni danego routera do overlaya.
W przypadku, kiedy następuje awaria danego kontrolera, nie rzutuje to na ruch w obrębie Data Plane. Mamy zachowany ostatni stan tablicy routingu, który tablica przechowuje do momentu restartu routera vEdge.
Z kolei vManage jest kontrolerem odpowiedzialnym za wysyłanie konfiguracji do routerów, budowanie szablonów konfiguracyjnych i obserwację tego, co dzieje się w sieci. Jego awaria będzie powodowała co najwyżej przestój w widoczności sieci, natomiast sama sieć WAN będzie nadal działała bez zakłóceń.
U każdego producenta rozwiązanie SD WAN zawiera elementy subskrypcyjne. Mogą to być licencje związane z security, czy z systemem do zarządzania SD WAN.
Nawet w przypadku wygaśnięcia licencji, ruch Data Plane jest zachowany, co nie powoduje przestojów w pracy systemu.
W przypadku licencji Cisco, mamy możliwość uruchomienia funkcjonalności SD WAN nawet po kilku latach od zakupu bazowej licencji Network Essentials, na której bazie możemy stworzyć dotychczas znane konstrukcje sieci WAN jak np. DN VPN.
Jeśli rozważasz wdrożenie SD WAN w swojej organizacji, chętnie opowiem więcej o disaggregation, a także Zero Touch Provisioning, QoS i mechanizmach, które zwiększają wydajność aplikacji.
A jesli interesuje Cię, jak organizacje korzystające z sieci definiowanych programowo obniżają koszty WAN, zapraszam do lektury naszego case study.
Dodaj komentarz