что такое sd wan простыми словами
SD-WAN «на пальцах»: плюсы, минусы, подводные камни
Несколько дней назад меня в очередной раз спросили: «SD-WAN — это чистой воды маркетинг или реально эффективная технология?». Недоверие понятно: ко всему новому — а технологии всего пара лет — рынок присматривается с подозрением.
Попробую рассказать о том, что такое SD-WAN, кому и для чего нужны такие решения, а также в чем их плюсы и минусы. 
Что это и для чего
Когда мы говорим про SD-WAN — программно-определяемые распределенные сети — мы подразумеваем решения для управления сетью и передачи данных между центром и филиалами.
Что касается основных характеристик и задач, которые обычно ставятся перед SD-WAN, то это, как правило, интеллектуальное управление трафиком, который передается от центра к филиалу и обратно. Также для программно-определяемых сетей характерна единая точка управления всей инфраструктурой и мониторинга.
Обычно это выглядит так: есть некая центральная площадка, есть филиалы. Везде должны быть установлены устройства, которые будут работать с технологией программно-определяемых сетей. Вся конфигурация этого распределенного богатства происходит из единой точки — контроллера. При каких-то изменениях конфигурации контроллер по требованию администратора распространяет обновления на остальные устройства, которые находятся в филиалах.
В случае с большим количеством филиалов, любые типовые процедуры по изменению конфигурации обычно занимают довольно большое количество времени. В случае с SD-WAN будет иначе: достаточно настроить одно устройство, и все это передать по сети дальше. Отсюда имеем снижение операционных затрат на управление инфраструктурой.
Помимо задач управления конфигурацией, контроллер также берет на себя роль точки мониторинга. Он следит за распределенной сетью. Администратору не нужно в случае каких-то изменений в сети заходить на каждое устройство.
Если при мониторинге обнаруживается проблема: падение канала связи, ухудшение характеристик канала, рост задержки сигнала и прочее — это сразу отслеживается и отображается в соответствующей панели. Можно посмотреть как текущую, так и историческую загрузку канала, отследить всплески нагрузки того или иного филиала. Все довольно наглядно.
Для чего еще это нужно
Редко когда в крупных организациях — банках, ритейле и т.п. — присутствует только один канал связи. Обычно их два или больше. Это служит некой гарантией отказоустойчивости филиала.
Думаю любого сотрудника ритейла можно поднять ночью и спросить: сколько стоит час простоя магазина. И он четко ответит — это обязательные цифры, которые легко считаются. Или отделение банка. Что будет, если оно останется без связи? Наверное, многие помнят недавний сбой на сети одного из крупнейших российских операторов. Так вот, одной из главных проблем для людей стала невозможность подтвердить платежи и переводы. Связи не было всего полдня, а пострадавшие жалуются до сих пор.
Наличие больше чем одного канала требует соответствующего администрирования — с этим связаны определенные сложности: как до этого филиала можно достучаться, как мы будем пускать к нему трафик.
Например, нам требуется интеллектуально распределить трафик приложений — скажем, голосовой трафик пустить только по каналу с наилучшими характеристиками, через операторский VPN. Менее требовательный трафик — почтовый — пустить через более дешевый канал с меньшим SLA. Здесь потребуется довольно длительное время по настройке, а если умножить его на количество филиалов, то это становится серьёзной задачей.
SD-WAN решает эту проблему и позволяет динамически, в режиме реального времени проверять все доступные каналы связи в филиале, и, исходя из требований определенного приложения — например, голосовой связи — направлять трафик по наилучшему пути. Это одна из основных концепций подобных продуктов, которую реализует не только Citrix. Но что отличает наше решение — это попакетная передача данных.
Трафик любого приложения представляется для нас как некий набор пакетов, которые передаются в канал в зависимости от тех условий, которые существуют здесь и сейчас. Если идет голосовой трафик, операторский канал доступен и с ним все хорошо, то пакет пойдет туда (куда мы настроили). Если же что-то неладное происходит с сетью оператора, то пакет в рамках того же разговора пойдет по другому каналу. Пользователь вообще не заметит, что что-то произошло — об этом узнает только администратор, когда прочитает логи. Работоспособность приложения и пользователь страдать не будут.
Кому это нужно
Любой организации с большим количеством филиалов. Когда инфраструктура филиалов усложняется и есть проблемы со стабильностью работы каналов связи — решением может стать SD-WAN
В чем преимущества технологии
Основное преимущество, на мой взгляд — возможность объединения нескольких каналов связи в один логический. И, соответственно, интеллектуальное перераспределение трафика в зависимости от типа приложения между этими каналами.
Просто и понятно про SDN, SD-WAN и снижение затрат
CNews: Что такое SDN, и чем интересна эта группа технологий?
Василий Горшенин: SDN – программно-определяемая сеть. Преимущество данной технологии в том, что SDN помогает управлять сетью именно на программном уровне. А это значит, что ИТ-специалистам больше нет необходимости вручную отлаживать работу или изменять настройки сетевого оборудования и, таким образом, тратить массу времени. Все делается в автоматическом режиме с применением интеллектуальных алгоритмов управления. Какую выгоду при этом получает бизнес? Это – достижение максимальной эффективности при управлении сетью: сокращение расходов на ее эксплуатацию, повышение надежности работы и скорости отклика бизнес-приложений, обеспечение сетевой безопасности, повышение скорости запуска на рынок новых сервисов и услуг. И все это доступно сразу благодаря переходу на программно-определяемое решение.
Сейчас SDN активно применяется в центрах обработки данных, т.к. без этой технологии уже нельзя реализовать ни одной задачи по виртуализации ИКТ-инфраструктуры дата-центра. Помимо этого, SDN используется в целях модернизации транспортной телеком-инфраструктуры компаний со сложными распределенными сетями передачи данных. Есть также и специализированная технология SD-WAN, которая в первую очередь интересна компаниям с большим количеством филиалов – финансовым учреждениям, ритейлу, промышленным и добывающим предприятиям и мн. др. В данном случае SD-WAN позволяет отказаться от дорогостоящих VPN-каналов связи от телеком-операторов, для работы достаточно обычного интернет-соединения и LTE, например, как резервного. Технология позволяет автоматически распределять трафик в сети передачи данных и отправлять его по наиболее дешевому и незагруженному в настоящий момент каналу без потери скорости и качества работы приложений. SD-WAN уже завоевывает американский и европейский рынок, в России данная технология еще только начинает развиваться.
Итак, SDN можно условно разделить на три группы: SDN для ЦОДов, транспортный SDN и отдельная технология SD-WAN для построения территориально-распределенных сетей. У каждого свои особенности и преимущества для бизнеса.
CNews: Какие отрасли активнее других стремятся внедрять SDN?
Василий Горшенин: Как я уже говорил, разные типы SDN решают разные задачи. Целесообразность внедрения SDN в дата-центрах уже давно доказана на практике. Что касается SDN в транспортной инфраструктуре, то это решение интересно преимущественно провайдерам связи. С его помощью можно существенно сокращать затраты на ИТ и при этом ускорять процесс Time-to-Market, то есть вывода ИТ-сервисов для клиентов на рынок. Оптимизация затрат достигается за счет снижения CAPEX и OPEX, поскольку SDN сразу легко «подружить» практически с любым сетевым оборудованием в отличие от классических дорогих моновендорных решений.
Вот вам конкретный пример. Модель операторского бизнеса меняется, игроки рынка вынуждены быстрее запускать новые сервисы для пользователей, чтобы, с одной стороны, обеспечить необходимый уровень выручки, с другой, повысить уровень лояльности абонентов. Не секрет, что стоимость классических услуг, будь то голос, смс, интернет, стремительно падает, а для того, чтобы их оказывать, необходимо поддерживать дорогостоящую инфраструктуру. Более того, новые сервисы требуют технологически грамотной настройки, обеспечения необходимого уровня безопасности и прочего.
Возникает вопрос – как это можно сделать оперативно в больших территориально-распределенных сетях операторов? Это непросто даже с управленческой точки зрения. Только представьте, услуга внедряется в дата-центре, затем «попадает» в транспортную сеть и по ней уже доставляется до конечного оборудования. За каждый из этапов отвечает определенная группа технических специалистов, которая работает строго в рамках своей компетенции. А это значит, что при подключении нового сервиса абоненту начинается передача заявок между отделами – иными словами, бюрократия. При этом клиенты становятся все более избалованными, нетерпеливыми. Они хотят воспользоваться услугой мгновенно, буквально нажав пару кнопок на телефоне. Вот эту задачу – максимально быстро запустить новый сервис для абонента – и помогает решать SDN.
CNews: Крупный бизнес нуждается в сервисах не меньше, чем телеком. Как здесь обстоят дела?
Василий Горшенин: В корпоративном сегменте, как я уже говорил ранее, все в большем количестве ЦОДов внедряется SDN-технология. Важно, что она применима как при строительстве новых ЦОД, так и при модернизации существующих. Что касается транспортных сетей, то здесь программно-определяемые сети развиваются медленнее, чем в телекоме, потому что для Enterprise сети не являются ключевым бизнесом. Плюс корпоративные сервисы для конечных клиентов развиваются не так быстро, как хотелось бы. Транспортной сети уделяют меньше внимания, на ее модернизацию тратят меньше денег.
Источник: «Крок», 2017
При этом, если говорить про SD-WAN, то ситуация обстоит несколько иначе, т.к. на первое место здесь выходит не экономия на обслуживании оборудования, а экономия на каналах связи и скорость подключения новых филиалов.
Решение SD-WAN помогает компаниям заменять или дополнять аренду сетей VPN у операторов связи. Обычно построение классической телекоммуникационной инфраструктуры распределенной компании выглядит следующим образом. Есть головной офис и несколько региональных, которые нужно объединить в единое информационное пространство, соблюсти качество предоставления сервиса и требования безопасности. Компания объявляет тендер, в котором участвуют операторы связи. При этом, во-первых, стоимость канала связи от оператора значительно превышает стоимость обычного интернет-соединения, во-вторых, компании, для которых критически важна доступность сервисов для клиентов, заказывают резервный канал у второго оператора связи. Поверх этого заказчик должен выстроить свою телекоммуникационную сеть, состоящую из маршрутизаторов, сетевых устройств и межсетевых экранов. И только потом ИКТ-инфраструктуру можно эксплуатировать.
Иногда возникают ситуации, когда оператор связи не обслуживает район, в котором размещен филиал. Тогда задача по подключению решается нетиповыми методами – хорошо, если это прокладка оптоволокна или аренда последней мили, и хуже, если радиорелейное оборудование или тот же модем LTE. Все это существенно сказывается на сроках запуска новых офисов и стоимости каналов связи.
Для того, чтобы сократить издержки, и применяется технология SD-WAN. Расскажу немного о технической части. Работу программно-определяемой распределенной сети WAN обеспечивает «умный» контроллер в ЦОДе головного офиса, на котором установлено специализированное ПО. К коммутатору можно напрямую подключать основной и резервный каналы доступа в интернет. При этом ПО само производит балансировку каналов связи, добиваясь соизмеримого качества передачи данных. Контроллер также выполняет функции конечного роутера, на котором создается приватная сеть. Плюс на контроллер устанавливаются приложения, контролирующие безопасность и прозрачность работы сети. Полный комплекс в одной «железке» в головном офисе и подключаемые к этому контроллеру намного менее «умные», а, следовательно, недорогие, коммутаторы в филиалах.
CNews: Какая в этом всем польза для бизнеса?
Василий Горшенин: Любая компания может отказаться или, как минимум, оптимизировать дорогостоящие контракты с операторами связи, минимизировать количество оборудования в своих офисах, осуществлять управление офисами через единый интерфейс. SD-WAN – это эффективный инструмент для перевода затрат из CAPEX в OPEX.
Более того, SD-WAN не требует особых знаний для его инсталляции. Особенно это важно для удаленных филиалов, где может просто не быть собственного штата ИТ-специалистов. На рынке есть «коробочные» предложения, в рамках которых SD-WAN оборудование доставляют клиенту почтой или курьером. Любой сотрудник, не обязательно ИТ-специалист, способен понять и выполнить инструкцию вида «возьмите коммутатор и два кабеля, один подключите к порту 1, другой – к порту 2». Больше ничего не требуется – устройство само связывается с центральным сервером, получает все конфигурации, настраивается, и этот офис становится частью защищенной сети компании. Как результат – совершенно другие бюджет и сроки. В мире уже есть очень много кейсов внедрения SD-WAN, например, это сети магазинов Gap и Tata Group. Потребность данной технологии подтверждается крупными аналитическими компаниями, в частности, Gartner пророчит SD-WAN взрывной рост в ближайшие два года.
CNews: Почему на Западе SDN развиваются более активно, чем в России?
Василий Горшенин: Россия традиционно перенимает западные технологии с задержкой в несколько лет, пока мы немного менее продвинуты в этом вопросе. Почему так происходит? Попробую объяснить.
Большинство решений по виртуализации за границей строится на свободном ПО. Сообщество разработчиков нуждается в инвестициях. В части SDN такими лидерами-инвесторами выступают крупные мировые операторы связи, а также ИТ-компании, которые не желают переплачивать вендорам за проприетарные решения и быть привязанными к продуктовым линейкам разработчиков, т.к. это лишает их бизнес гибкости. Все они готовы вкладываться в создание новых продуктов и держать штат R&D-разработчиков. Результатом становятся полноценные комплексные решения, которые идеально подходят под бизнес сотовых операторов и компаний из Enterprise сегмента – они действительно на всех уровнях управления заинтересованы в виртуализации инфраструктуры.
В России же в первую очередь возникает вопрос, кто будет отвечать за внедрение этого комплексного решения в рамках компании, частью которого является SDN. Ведь виртуализация сетей передачи данных требует изменения не только технологического, но и организационного подхода.
CNews: Это можно как-то преодолеть, или надо 40 лет ходить по пустыне для смены поколений?
Василий Горшенин: «Крок» занялся этой проблемой и решает ее уже сейчас. Мы подбираем оптимальные для заказчика ИТ-решения и отвечаем за их запуск и дальнейшую бесперебойную работу в комплексе – то, что никогда не сделает ни один вендор, потому что производитель серверов не возьмет на себя ответственность за работу приложений, а разработчик приложения – за передачу данных по сети. Не зря же у нас за спиной 25 лет опыта в системной интеграции.
CNews: Как вы оцениваете уровень российских разработчиков SDN-решений?
Василий Горшенин: Развитие собственных аппаратных элементов, к сожалению, идет очень медленно в России, в связи с чем программные решения оптимизированы для работы на чипах иностранного производства: Intel, Broadcom, Qualcomm. С софтом ситуация лучше. Российские решения достаточно конкурентоспособные. Есть несколько российских компаний, которые показывают неплохие результаты в части SDN разработок.
Для их тестирования в «Кроке» есть собственная SDN-лаборатория, где после изучения специалистами решения становятся доступы заказчикам для выбора наиболее подходящих под их бизнес-задачи. У наших экспертов огромный опыт построения десятков ЦОДов и множества облаков. Также мы предлагаем свои услуги в области транспортного SDN и недавно заключили соглашение о сотрудничестве с одним из лидеров SD-WAN – американскую компанию Versa Networks, изучили данный класс решений от Riverbed и Cisco. Да и в целом мы сейчас активно прорабатываем эту тематику вместе с заказчиками.
Важно отметить, что решение SD-WAN может быть внедрено как у заказчика, так и предоставляться «Крок» как управляемый сервис. В этом случае за развитие, управление и техническую поддержку ИКТ-инфраструктуры полностью отвечают специалисты системного интегратора. В рамках сервиса заказчик получает гарантию непрерывности работы сети передачи данных филиалов и при этом экономит на содержании телеком-инфраструктуры – переводит капитальные затраты в операционные.
CNews: Какие свои разработки вы считаете самыми перспективными?
Василий Горшенин: Мы делаем акцент на реализации комплексных проектов с использованием ПО с открытым кодом. У СПО есть как плюс – низкая стоимость, так и минус – выложенные в сеть приложения. Это не готовые продукты, и за них никто не отвечает. Любой может скачать дистрибутив и довести его до необходимой «кондиции», но кто будет отвечать за результат? «Крок» может как разработать качественный ИТ-продукт, так и принять ответственность за его дальнейшую работоспособность.
У наших специалистов есть опыт реализации полнофункциональных SDN-решений, которые представляют собой не просто системы управления существующей сетевой инфраструктурой, а включают оборудование разных производителей со специализированным программным обеспечением. Это позволяет более эффективно распоряжаться имеющимися сетевыми устройствами, иными словами, не избавляться от них при переходе на SDN, и находить применение для решения других задач. Для этого достаточно «перезалить» на оборудовании соответствующее программное обеспечение.
Если говорить о конкретных цифрах экономии, то одинаковых показателей мы не найдем даже в пределах одной отрасли, потому что в России пока проектов мало, а на Западе совсем другие условия – например, у операторов связи значительно отличается ARPU – доходность от каждого абонента. Ориентировочно можно сказать, что в наших проектах для телеком-операторов экономия достигает 20–30%. Учитывая масштабы бизнеса крупных провайдеров, нужно признать, что это достаточно серьезный аргумент в пользу движения в сторону SDN.
VMware SD-WAN: обзор решения
Этим материалом мы начинаем цикл статей о решении VMware SD-WAN. Сегодня поговорим о том, какие рыночные предпосылки сформировали его появление, какие задачи решает SD-WAN и каковы технические особенности решения VMware.
Появление SD-WAN
До облачной революции, когда деревья были большими, а про облака говорили мало и редко, для размещения приложений большинство компаний использовали локальные ЦОДы. Доступ для сотрудников из удаленных офисов предоставлялся через выделенные каналы связи — MPLS. При таком подключении большинство пользователей из филиалов прямого пути в большую сеть не имели и выходили за пределы приватной сети через центральный офис, который мог находиться за тысячи километров от филиала и пользователя.
Чуть позже компании, наконец, распробовали облачные технологии. Бизнес стал размещать свои приложения в облаках, а доступ к ним организовывать через интернет, без использования выделенных каналов. Требования к пропускной полосе и скорости обмена информацией постоянно росли. Если со старыми корпоративными приложениями, не относящимися к медиа или ПО реального времени, традиционный подход еще работал, то по мере появления видеохостингов и сервисов видеосвязи, взрывной рост популярности которых пришелся на начало 2010-х, стало очевидно: нужно что-то менять.
Выделенные MPLS-каналы со своей низкой пропускной способностью и высокой стоимостью (за 1 Мбит на MPLS приходилось платить иногда в десятки раз больше, чем за такой же канал в интернет) банально перестали отвечать требованиям рынка.
Казалось бы, почему не перейти на интернет? Это дешево и сердито, а скорость доступа к облакам выше. Ответ прост: в случае с интернетом невозможно гарантировать качество сервиса. Да, MPLS дорогой и неудобный, но провайдеры как минимум на уровне контракта гарантируют качество. А в случае с интернетом обещать, что приложения, физически находящиеся бог знает где, через конкретного провайдера будут хорошо работать, нельзя. Сами сервисы находятся вне зоны ответственности провайдера.
Иными словами, те, кто отвечают за канал связи, не отвечают за приложения, и наоборот. Заказчик оказывается между Сциллой и Харибдой.
Решения SD-WAN долгое время оставались уделом стартапов. В стадию зрелости технология перешла всего несколько лет назад, когда крупные компании начали активно приобретать специализированные проекты. VMware выкупила стартап Velocloud, который делил первое место на рынке с аналогичным проектом — Viptela, примерно в то же время купленным Cisco. Еще пару лет заняла консолидация: одни стартапы разорялись — не всем удавалось сохранить нужные темпы роста и найти свое место на рынке, наиболее перспективные и успешные переходили под крыло крупных вендоров.
Чтобы нарастить конкурентные преимущества, каждой компании пришлось найти собственную уникальную нишу. Решение Velocloud создавалось для того, чтобы бизнес мог получать надежный и качественный доступ к приложениям независимо от того, где они находятся: в локальном дата-центре или в облаке, доступ в которое осуществляется через интернет. Спойлер: реализовать это удалось благодаря архитектурному компоненту решения — SD-WAN Cloud Gateways. Идея состоит в том, что облачные технологии можно использовать и в мире сетевых подключений.
Как работает SD-WAN
Ранее сетевые устройства (коммутаторы, маршрутизаторы и прочие компоненты классической архитектуры) настраивались независимо друг от друга. Модули обработки данных, которые пересылают пакеты между сетевыми портами, интерфейсы управления — веб-интерфейсы, командная строка, а также служебные сетевые сервисы, которые помогают разным устройствам между собой «договариваться» — все это требовалось отдельно конфигурировать для каждого устройства в сети.
Этот неудобный подход просуществовал вплоть до появления SDN. Технология программно-определяемых сетей позволила централизовать control plane и management plane, что дало существенный выигрыш в плане управляемости и масштабируемости сети. Стало возможным без труда управлять распределенной сетью из сотен и даже тысяч устройств, выросла скорость внесения изменений, а также появилась возможность более интеллектуальной обработки потоков данных.
Концепция SDN подразумевает, что «мозг» всех устройств объединяется единой сервисной платформой. Это может быть облачный сервис или физический компонент, который управляет работой устройств. Применение этих принципов к глобальным сетям позволило сделать сеть более гибкой и управляемой.
Несмотря на то, что концепция SDN одна, реализована она у всех вендоров по-своему. Различные решения отличаются между собой задачами, под которые они разрабатывались, используемыми для этого компонентами и, соответственно, конечной архитектурой.
Далее мы подробно рассмотрим все компоненты VMware SD-WAN и поговорим о каждом из них отдельно.
Компоненты решения
VMware SD-WAN Orchestrator
SD-WAN Orchestrator — это облачный портал управления, мониторинга и диагностики сети. С его помощью можно буквально в один клик запустить виртуальные сетевые службы в филиале, облаке или в корпоративном ЦОДе. Фактически, это веб-портал управления сетью SD-WAN, который можно получить как SaaS или развернуть в локальном ЦОД.
Архитектура оркестратора позволяет легко масштабировать сеть с нескольких узлов до нескольких тысяч. Управление на основе политик и профилей-шаблонов позволяет за минуты распространять изменения в сети. Этим функционал оркестратора не ограничивается.
Мониторинг. Данные о состоянии узлов сети, SLA по каналам, сетевая активность по приложениям и клиентам, а также продвинутая система построения отчетов
Zero-Touch Provisioning (ZTP). Активация оконечного устройства в филиале не требует выезда отдельного специалиста на площадку. Весь процесс укладывается в несколько простых шагов. Сотрудник в удаленном офисе подключает к устройству все кабели и включает его. Через интерфейс оркестратора создается новый Edge и высылается email со ссылкой для активации. Там «зашиты» нужные параметры для настройки WAN-интерфейса оборудования. Сотрудник в филиале, подключившись через провод или WiFi с планшета, переходит по этой ссылке, а устройство получает автоматически связность с оркестратором, вне зависимости от типа подключения к интернету.
Диагностика сети. В панели управления можно посмотреть состояние протоколов маршрутизации, портов, таблиц ARP и NAT, запустить Ping или Traceroute и многое другое без необходимости подключения к устройствам через CLI/SSH.
Журнал событий. Изменения и уведомления со всех устройств доступны для поиска и просмотра на SD-WAN Orchestrator.
Автоматизация через API. SD-WAN Orchestrator предоставляет REST API, примеры использования можно посмотреть на SD-WAN Dev Center.
Посмотрим, как это выглядит.
SD-WAN Dashboard — общий вид на всю сеть:
Список филиалов и их расположение на карте:
Статистика по приложениям и клиентам:
Информация о качестве каналов — Quality of Experience:
Детальные характеристики каналов:
VMware SD-WAN Gateway
SD-WAN Gateways — это сетевые шлюзы, развернутые в высоконадежных ЦОД по всему миру. В первую очередь, они выполняют функцию Control Plane, но в зависимости от задачи могут брать на себя сразу обе плоскости — и control plane, и data plane. Эти шлюзы позволяют соединить между собой разрозненные офисы и обеспечивают оптимальный путь от филиала к данным и приложениям в ЦОД и облаках. Потребность в установке мощных концентраторов или устройств координации непосредственно в филиалах отпадает.
На уровне Control Plane обеспечивается и обмен маршрутной информацией между филиалами, так как Gateway выполняет роль рефлектора маршрутов. Филиалы получают обновления маршрутов от Control Plane, благодаря чему настраивать протоколы маршрутизации между устройствами Edge не требуется.
Ещё одна важная роль SD-WAN Gateway — помощь в определении характеристик каналов связи. При активации устройства Edge выполняется подключение к Gateway и замер полосы пропускания канала, также автоматически определяется MTU.
По своему принципу работы эти шлюзы мультитенантные, то есть предназначены для обработки данных большого количества клиентов сразу. Благодаря тому, что сеть этих мультитенантных шлюзов распределена по множеству дата-центров, SD-WAN легко масштабировать от пары площадок до нескольких тысяч. Об отказоустойчивости можно не беспокоиться — каждое устройство Edge подключается как минимум к двум шлюзам в разных регионах.
При этом приложения, с которыми работают пользователи, могут быть развернуты как в облаке провайдера, так и на собственной площадке клиента. Если инфраструктура компании — филиалы, офисы — распределена географически, каждый офис будет подключаться к ближайшему SD-WAN Gateway.
Для интернет-подключений шлюз выполняет ту же задачу — обеспечивает интеллектуальную обработку трафика, соблюдение SLA и гарантирует, что приложение будет работать с максимально возможной для используемых каналов производительностью.
Хороший пример — использование облачных сервисов совместной работы, например, Microsoft Office 365, Dropbox, Zoom, Skype for business и других. В месте их фактического расположения установить SD-WAN Edge невозможно, но получить преимущества SD-WAN Overlay (подробнее — в разделе о протоколе VCMP) нужно. SD-WAN Gateway выполняет функцию шлюза в «большой» интернет с балансировкой между каналами, компенсацией ошибок и выбором наиболее оптимального канала для передачи пакетов конкретного приложения.
VMware SD-WAN Edges
VMware SD-WAN Edge — это физическое или виртуальное устройство с функциями безопасности. Фактически, это маршрутизатор, который может как заменить уже размещенные в филиалах устройства, так и работать с ними в тандеме. Он поддерживает функции сетевого шлюза, Site-to-Site VPN, DHCP-сервера, NAT и файрвола, а также различные протоколы маршрутизации для интеграции с физической сетью.
SD-WAN Edge в виртуальном исполнении подойдет тем, кто планирует использовать концепцию Software-Defined Branch или обеспечивать доступ к своим приложениям в ЦОД через SD-WAN. Виртуальный Edge в ЦОД подходит как в качестве связующего звена ресурсов ЦОД и удаленных площадок, так и в роли хаба для агрегации и распределения трафика внутри сети SD-WAN.
SD-WAN Edge поддерживает основные варианты резервирования — есть возможность объединения в отказоустойчивую пару или подключение по протоколу VRRP.
И если компоненты решения — руки, ноги и голова технологии VMware SD-WAN, то его сердце — технология DMPO. Именно она и позволяет реализовать уникальные фишки по обработке сетевых пакетов при передаче данных (между филиалами и ЦОД, филиалами и облаками) и обеспечивает высокое качество связи. Поговорим о ней подробнее.
Технология DMPO
Технология DMPO (Dynamic Multi-Path Optimization) позволяет нам за счет гибкого управления трафиком на уровне приложений агрегировать потоки и обеспечивать высокое качество связи. DMPO работает на уровне отдельных пакетов, однако учитывает, к каким приложениям эти пакеты относятся. Транзакционным приложениям, таким как веб-сайты, инструменты передачи файлов, не принципиально, придет пакет вовремя или чуть позже, главное, чтобы он вообще дошел. А приложениям реального времени (стриминговые сервисы, приложения для голосовых вызовов и т.п.) очередность пакетов важна. Из-за мелких неполадок может «рассыпаться» картинка на экране или собеседник не расслышит слово. Поэтому важно, чтобы SD-WAN устройства понимали, что это за приложение. В этом помогает движок распознавания приложений (Deep Application Recognition), работающий на каждом устройстве SD-WAN Edge.
Приложений существует огромное множество, 3000+ из них есть во встроенной базе DPI VMware SD-WAN. Кроме того, можно добавить и кастомные (самописные) сигнатуры, если вдруг какого-то приложения не хватает. Посмотрим, какие функции выполняет DMPO.
Непрерывный мониторинг качества каналов
Для мониторинга состояния WAN-каналов в реальном времени стандартные сетевые технологии вроде BFD или ICMP Probes не совсем подходят, т.к. тестовые пакеты отличаются от пользовательского трафика (другие классы DSCP, другой размер пакетов), а интервал проб слишком высок, чтобы достоверно и быстро определить ухудшение качества. Например, даже при замерах BFD или ICMP каждую секунду за время между этими замерами у обычного пользователя с ноутбуком передается 200+ пакетов (проверьте сами, сняв дамп трафика). Чтобы зафиксировать уровень потери в 2%, потребуется не менее 50 BFD пакетов (50 с). Если использовать более «агрессивные» значения, например, 100 мс, все равно потребуется не менее 5 секунд, чтобы обнаружить потери в 2% на канале. За это время тысячи пакетов с пользовательскими данными могут быть потеряны.
Поэтому в решении Velocloud используется собственный протокол инкапсуляции — Velocloud Multipath Protocol (VCMP), который добавляет к каждому пакету специальные заголовки, помогающие отследить время его прохождения (Latency, Jitter) и факт доставки. Это позволяет обнаружить ухудшение качества каналов практически мгновенно, а затем перенаправить пакеты на канал с лучшими показателями незаметно для пользователя.
За точное время в сети отвечает Control Plane — уже известные нам SD-WAN Gateways. Устройства SD-WAN Edge синхронизируют свое время с центром управления сетью. Таким образом можно гарантировать, что все временные метки будут достоверны. В стандартных сетевых протоколах такие возможности отсутствуют.
Состояние каналов отслеживается даже в том случае, если пользовательского трафика на данный момент нет. Ведь когда этот трафик появится, его нужно сразу же отправить по оптимальному пути. Для этого устройства SD-WAN Edge обмениваются служебными пакетами VCMP, только без User Payload, каждые 100 или 500 мс. Как только появляется пользовательский трафик, система снова начинает отслеживать SLA для каждого пакета.
Динамическая балансировка трафика и агрегация каналов
DMPO позволяет определять, какие приложения используют сеть, при помощи политик манипулировать поведением SD-WAN и настраивать приоритеты.
Решение VMware умеет автоматически (за счет работы overlay-протокола VCMP) выбирать наилучший способ обработки и доставки трафика приложений. К примеру, если конкретному приложению требуется ускорить передачу данных, то есть агрегировать несколько каналов, «умное» SD-WAN устройство начнет передавать данные сразу по нескольким путям. Для балансировки используются все доступные подключения.
В ряде случаев стандартная балансировка не имеет смысла, они сильно отличаются между собой по характеристикам: на одном задержка 5 мс, на другом — 100). Соответственно, балансировать трафик между ними бесполезно. Однако если «быстрый» канал окажется забит под завязку и на нем скопится большая очередь из пакетов, система определит, что каналы «сравнялись» по времени доставки пакетов. В этом случае в рассылке пакетов будут задействованы оба канала таким образом, чтобы пакеты по обоим доходили до точки назначение в одно и то же время. На принимающей стороне пакеты выстраиваются в порядке очереди так, чтобы клиенту или серверу за пределами сети SD-WAN не приходилось пересобирать их в требуемой последовательности. Соответственно, еще одна из функций, которую способно обеспечить устройство SD-WAN — автоматический реордеринг.
Поскольку алгоритмы работают с отдельными пакетами, при работе с приложениями, ведущими двунаправленную передачу данных, могут возникать достаточно интересные ситуации. Предположим, имеется два хоста — клиент и сервер, которые находятся в разных филиалах, или сервер в дата-центре и клиент-пользователь в филиале, между ними два канала связи от разных операторов. Что-то идет от сервера к клиенту, что-то обратно — такой обмен считается одной сетевой сессией.
Из-за особенностей каналов связи трафик между точками А и В может идти неравномерно: в одну сторону с задержкой 10 мс, обратно — 20 мс. В то же самое время канал работает наоборот: «туда» — 20 мс, «сюда» — 10 мс задержки. По сети VMware SD-WAN такая сессия будет передаваться по обоим каналам сразу, в одну сторону по каналу с задержкой 10 мс, и так же обратно — по каналу с наилучшими характеристиками.
За счет того, что каждый пакет обрабатывается индивидуально алгоритмами DMPO, система выбирает наилучший путь для каждого пакета автоматически, принимая решения в реальном времени.
Раньше администраторам приходилось вручную определять эту логику, либо настраивать схемы вида: «каждые N секунд проверяем, какой канал и в какую сторону работает лучше и перестраиваемся при необходимости». Реализовать такую схему без разрывов пользовательских сессий практически невозможно. Ценность SD-WAN заключается в том, что вся эта запутанная логика делегирована алгоритмам — они быстрее и точнее, чем даже самые сложные проверочные скрипты. Логика VMware SD-WAN работает на разных типах сессий и на разных транспортных протоколах, никак не нарушая логику работы TCP/IP.
Технологии корректировки ошибок
Выше мы упомянули, что каждый входящий пакет «маркируется» своим номером в очереди. Соответственно, сетевые устройства знают, в какой последовательности пакеты должны приходить, их можно легко отбалансировать по разным каналам и пересобрать в правильном порядке, когда они дойдут до получателя. Также за счет этого легко обнаружить потери и в случае необходимости запросить у отправляющей стороны пропущенный пакет данных:
Получатель: Так, к нам идут пакеты. Первый, второй, третий, пятый… Стоп. Почему пятый? Требую выслать мне пакет №4 как можно скорее! Прием!
Отправитель: Посмотрим, к какому приложению относился этот ваш пакет. Ага, вот оно! Высылаю компенсацию, подтвердите получение!
В случае транзакционного приложения устройству-отправителю будет достаточно найти в буфере нужный пакет и повторить отправку — так работает технология NACK (Negative Acknowledgement). В устройствах SD-WAN используется серверная память гораздо большего объема, чем в обычных маршрутизаторах. Самая младшая модель имеет на борту 4 Гб, на старших — 32 Гб и выше. Это позволяет держать буфер данных и по необходимости досылать потерявшиеся пакеты.
С realtime-приложениями ситуация обстоит иначе. Повторно отправлять пакеты не имеет смысла, важно предотвратить потери в будущем. Поэтому устройство-отправитель включает упреждающую коррекцию ошибок (Forward Error Correction, FEC), и каждый пакет начинает передаваться в двух экземплярах. Таким образом повышается вероятность успешной доставки пакетов, а лишние автоматически отбрасываются на принимающей стороне. На практике это позволяет использовать телефонию и видеоконференции на каналах с потерями до 30-40%.
Под капотом у провайдера
Некоторые компании пытаются внедрять SD-WAN самостоятельно, что приводит к необходимости решать множество не относящихся к сетевым технологиям задач (проектирование и развертывание управляющих компонентов, резервирование, масштабирование и дальнейшая поддержка, защита от атак, обеспечение доступности и т.д.). Согласно мировому опыту, большинство компаний все же выбирают SD-WAN как услугу от облачного провайдера или оператора связи. Давайте посмотрим, в чем плюсы использования SD-WAN от провайдера.
Разделение зон ответственности
Первая задача, с которой столкнется компания при самостоятельном внедрении — построение облачной инфраструктуры SD-WAN: деплой контроллеров, виртуальных машин, выделение ресурсов, администрирование и многое другое. Построение такой инфраструктуры повлечет за собой значительные расходы в виде выделения или покупки дополнительных серверов и ПО, а также обеспечения условий Disaster Recovery. Эти сложности и расходы особенно трудно обосновать при постепенном внедрении SD-WAN. Во-вторых, для построения надежной отказоустойчивой сетевой связности требуется детально проработать целевую схему подключения, определить движение потоков данных, настроить политики безопасности.
Когда вы обращаетесь к провайдеру, все эти задачи ложатся на него. Он обеспечивает инфраструктуру, круглосуточный мониторинг, администрирование сети и защищенных распределенных ЦОД, уровень доступности и выполнение SLA. Провайдер поможет выбрать оптимальное оборудование и даст рекомендации по модернизации сети, чтобы она соответствовала всем требованиям качества и надежности. При этом клиенту остается только запросить доступ к облачному порталу управления сетью и создать учетные записи для администраторов. На любые вопросы по использованию услуги и настройке сервисов SD-WAN поможет ответить круглосуточная русскоязычная техническая поддержка.
Оркестратор и сетевые шлюзы находятся в зоне ответственности провайдера и разворачиваются на его инфраструктуре. Заказчику понадобится только установить на своей стороне Edge. Арендовать его можно прямо у провайдера — при необходимости он поможет и с установкой.
Распределенная инфраструктура провайдера
Общая инфраструктура «ИТ-ГРАД» и #CloudMTS насчитывает 10 ЦОД в СНГ и множество точек присутствия по всему миру. Где бы ни находился филиал, он будет подключен к ближайшему SD-WAN Gateway, что позволит минимизировать задержки и оптимизировать доступ к любым приложениям — в локальных ЦОД и любых облаках. Наличие распределенной инфраструктуры также позволяет обеспечивать георезервирование для сети SD-WAN любого масштаба.
Инфраструктура «ИТ-ГРАД» и #CloudMTS на территории РФ
В каждом ЦОД резервируются каналы, обеспечивается высокопроизводительная связность шлюзов SD-WAN с внешним миром. Дата-центры подключены к глобальной опорно-магистральной сети МТС, которая обеспечивает доступ к мировым публичным точкам обмена трафиком — DE-CIX (Франкфурт), AMS-IX (Амстердам), HK-IX (Гонконг), LINX (Лондон), Equinix, NY-IX и т.д.
Кроме того, в распоряжении наших заказчиков:
PNI (Private Network Interconnect) с гиперскейлерами и крупными генераторами трафика. Среди них Amazon AWS, Microsoft, Google Cloud, Apple, Facebook, Valve, Twitch, Netflix, Twitter и прочие.
CDN-сети: Akamai, Google Global Cache и Google CDN, Cloudflare, Gcore labs, Microsoft и прочие.
Интеграция с IaaS и другими сервисами
Использование SD-WAN позволяет получить надежный доступ к сервисам, расположенными в инфраструктуре облачного провайдера. Какие преимущества это дает:
VDI, Skype for Business — компенсация ошибок, умная балансировка пакетов между всеми каналами, подключенными к площадке. Использование решения обеспечивает гарантированное качество для сервисов реального времени за счет приоритезации на уровне приложений и компенсации ошибок на каналах.
Резервное копирование — SD-WAN позволяет наладить максимально быструю и надежную транспортировку бэкапов по сети (с агрегацией каналов и обеспечением отказоустойчивости) по всем доступным каналам до облака.
S3 хранилище, облачный диск — при использовании сервисов блочного, объектного и файлового хранилищ подключение по SD-WAN позволяет передавать большие файлы на максимальных скоростях. Это достигается за счет отсутствия ретрансмитов при передаче данных и агрегирования каналов связи, подключенных к устройству SD-WAN.
GPU Super Cloud — высокоскоростная передача больших объемов данных для обработки в облачной среде.
Все чаще наши клиенты для подключения своих офисов к виртуальным дата-центрам «ИТ-ГРАД» и #CloudMTS вместо выделенных каналов выбирают SD-WAN и интернет-каналы. Клиенты, уже использующие выделенные каналы, применяют SD-WAN для агрегации существующих каналов, многократно повышая производительность и надежность подключения к облаку.
Будем рады пообщаться с вами в комментариях! В следующей статье мы проведем тестирование сервиса и на практике посмотрим, какие преимущества дают технология DMPO и протокол VCMP.
А если вы хотите узнать еще больше о решении из первых рук, ждем вас на вебинаре с экспертами VMware и #CloudMTS — познакомитесь с магией SD-WAN лично.