Организация сетевого взаимодействия между филиалами всегда была сложной задачей. Технологии вроде MPLS обеспечивали гарантированное качество связи, но со временем перестали справляться с растущими потребностями бизнеса.

Главная проблема традиционных сетей — неэффективное управление трафиком. Все приложения вынуждены использовать общий канал, что неминуемо приводит к перегрузкам. А механизмы приоритизации требуют сложной ручной настройки на каждом устройстве.

Помимо этого, в распределённой компании важно постоянно отслеживать качество связи, чтобы оптимизировать использование каналов, повысить отказоустойчивость и упростить подключение филиалов и устройств.

Новые сетевые технологии успешно справляются с этими задачами. Сегодня мы подробно разберём интеллектуальную маршрутизацию. О других преимуществах современных решений для управления сетью расскажем онлайн 11 ноября — подключайтесь, регистрация по ссылке. 

От старых VPN к SD-WAN

Традиционные VPN и MPLS (Multiprotocol Label Switching) имеют ряд серьёзных ограничений. VPN не гарантирует качество связи и не выбирает оптимальный маршрут, передавая весь трафик по одному каналу. MPLS, в свою очередь, предоставляет гарантированную полосу пропускания и низкую задержку, однако его развёртывание и изменение требуют кропотливой ручной настройки каждого устройства, что делает сеть недостаточно гибкой.

Эти ограничения преодолевают решения класса SD-WAN (Software-Defined Wide Area Network, программно-определяемая глобальная сеть). В основе SD-WAN лежат принципы SDN (Software-Defined Networking), которые обеспечивают централизованное управление и динамическую маршрутизацию трафика на основе состояния каналов и политик.

С SD-WAN политики управления задаются через единую панель и автоматически применяются ко всем пограничным устройствам. Система постоянно оценивает состояние всех доступных каналов (MPLS, интернет, LTE) и направляет трафик каждого приложения по наилучшему пути. В отличие от MPLS, где гарантии качества обслуживания (QoS) необходимо настраивать на каждом участке пути, SD-WAN поддерживает приемлемое качество связи даже при использовании ненадёжных каналов, таких как публичный интернет.

При этом SD-WAN не заменяет MPLS, а дополняет его. Технология позволяет использовать MPLS в качестве одного из транспортных каналов, добавляя к нему гибкость и интеллектуальное управление.

Централизованная настройка

Управление сетью в решении организовано через единый портал, который также предоставляет инструменты для мониторинга и диагностики. На платформе управления доступны следующие функции:

• полный контроль и просмотр состояния всех маршрутизаторов, каналов связи и филиальных сетей;

• создание политик приоритизации для критичных бизнес-приложений (голосовая связь, видеоконференции) с автоматическим перенаправлением трафика при сбое канала;

• мониторинг производительности приложений для контроля их доступности и качества работы.

Система собирает и предоставляет данные о состоянии сетевых узлов, соблюдении SLA, сетевой активности по приложениям и клиентам, а также формирует отчёты.

Управление оборудованием и маршрутизацией в реальном времени осуществляет контроллер SD-WAN. Он обеспечивает:

• постоянный мониторинг: анализирует состояние всех каналов (MPLS, интернет, 4G/5G) — задержку, потерю пакетов и загрузку;

• выбор оптимального пути для трафика на основе заданных политик;

• обмен служебной информацией с другими контроллерами и пограничными устройствами.

Архитектура SD-WAN позволяет быстро масштабировать сеть — от нескольких узлов до нескольких тысяч. За счёт централизованного управления на основе политик и шаблонов изменения по всем филиалам, облачным и корпоративным ЦОДам распространяются в течение нескольких минут. 

Подключение новых филиалов

С SD-WAN компании экономят на командировках специалистов для подключения новых филиалов и торговых точек. Благодаря технологии Zero-Touch Provisioning этот процесс максимально упрощён и занимает несколько минут:

• сотрудник в удалённом офисе подключает кабели к устройству и включает питание;

• в интерфейсе системы генерируется ссылка для активации нового устройства с настроенными параметрами WAN-интерфейса;

• сотруднику достаточно перейти по ссылке, чтобы завершить настройку.

Сетевой сервер по умолчанию работает в режиме маршрутизатора со встроенным DHCP-сервером на LAN-интерфейсах.

До активации на сервере открыт только порт TCP/80. Все входящие HTTP-запросы на этот порт перехватываются и проверяются на наличие специальной ссылки активации.

При получении такой ссылки через HTTP на порт 80 запускается процесс активации. 

Сервер:

• подключается к HTTPS-ресурсу платформы управления, используя домен из полученной ссылки;

• проходит двустороннюю аутентификацию по X.509-сертификатам;

• использует токен из ссылки активации для авторизации через Provisioning API.

После успешного подключения инициатива переходит к контроллеру управления. 

Контроллер:

• генерирует и подписывает новый X.509-сертификат для сетевого сервера;

• производит обмен открытыми ключами WireGuard.

Затем сетевой сервер переключает соединение на новый TLS-домен, поверх установленного WireGuard-туннеля. По этому защищённому туннелю сервер последовательно получает все финальные конфигурации.

Мониторинг и диагностика

Благодаря встроенным инструментам мониторинга и диагностики некоторым компаниям больше не требуются сторонние системы для оповещения о сбоях и хранения статистики.

Внутренний мониторинг и сетевая статистика в SD-WAN

Платформа управления взаимодействует с точками доступа по специализированному протоколу BCMP. В отличие от традиционных систем с периодическими HTTPS-запросами, BCMP поддерживает постоянное WebSocket-соединение между сервером и конечными устройствами.

Данная архитектура обеспечивает два ключевых преимущества:

• Мгновенное отражение изменений в интерфейсе. Все обновления конфигурации и данные телеметрии немедленно передаются по установленным соединениям и отображаются в едином интерфейсе. Это делает работу с системой удобной и отзывчивой.

• Эффективное бинарное взаимодействие. Платформа управления и точки доступа взаимодействуют как части единого приложения. Вся конфигурация передаётся в виде легковесного бинарного кода, понятного только компонентам SD-WAN. Это позволяет обмениваться только инкрементальными, точечными изменениями, а не пересылать полные файлы конфигурации в форматах YAML или JSON, как в классических решениях.

Протокол BCMP обеспечивает стабильный канал связи, а за сбор и хранение статистических данных отвечает компонент на базе технологии Prometheus, используя pull-модель: сервер самостоятельно опрашивает точки доступа для сбора метрик. В результате вы получаете бесшовную встроенную систему мониторинга, которая доступна сразу после установки. 

Примеры прикладных сценариев:

• исторические графики загрузки каналов связи с разбивкой по типам трафика;

• исторические графики сбоев на внешних каналах: полные разрывы связности, потери пакетов, задержки, джиттер;

• мониторинг качества каналов связи в реальном времени, посессионной загрузки каждого канала, последняя активность устройств;

• уведомления о сбоях и потерях связи между контроллером и точкой на площадке;

• оповещения о критической нагрузке аппаратных ресурсов (CPU/RAM).

Платформа предоставляет полную информацию об устройствах в реальном времени:

• модель и серийный номер;

• MAC- и IP-адреса;

• версия прошивки;

• продолжительность работы;

• физическое расположение в сети;

• параметры подключённых каналов (VPN, интернет, MPLS); 

• поддерживаемые протоколы маршрутизации и коммутации.

Встроенные инструменты мониторинга —  отличное решение для малого и среднего бизнеса, позволяющее обойтись без приобретения отдельных систем для отслеживания сбоев и уведомлений.

Интеграция со сторонними системами мониторинга

Крупные компании, как правило, уже подключили большую часть инфраструктуры к централизованным системам мониторинга. Сетевое периферийное оборудование также удобнее отслеживать в рамках этих же систем.

Для решения этой задачи SD-WAN можно интегрировать со стандартными системами мониторинга. Причём современная архитектура даёт важное преимущество: достаточно передавать метрики только с центрального компонента — контроллера SD-WAN, который предварительно собирает всю статистику с подчинённых устройств.

Мониторинг качества каналов

Каждая точка доступа периодически отправляет специальные пробные пакеты по всем внешним каналам связи на другие устройства SD-WAN. Это позволяет анализировать качество каждого сегмента маршрута внутри сети.

Статистика работы собирается отдельно для каждого туннеля. При неисправности исключается только проблемный сегмент для конкретного устройства, а не весь канал целиком или устройство полностью. Таким образом предотвращаются ложные срабатывания, которые были характерны для технологии-предшественника — IP SLA (Internet Protocol Service Level Agreement). В IP SLA все маршрутизаторы мониторят общедоступный ресурс, и по его доступности делается вывод о состоянии всего канала, что менее точно.

Настройка такого мониторинга не требует учёта IP-плана и динамической корректировки адресов, которые шлюзы используют для проверки связности. Механизм работает нативно, без дополнительных настроек, используя служебную туннельную адресацию в шестнадцатеричной системе счисления. 

Пакеты-проберы непрерывно отправляются с интервалом в одну секунду внутри зашифрованного служебного пакета, что предотвращает блокировки в операторской инфраструктуре. Если взаимодействие между устройствами установлено, можно быть уверенным в непрерывном анализе качества каналов в течение всего времени их работы.

Интервал отправки и другие параметры можно корректировать, повышая или понижая чувствительность системы к сбоям. При этом пакеты имеют минимальный размер и не создают заметной нагрузки на каналы связи.

Интеллектуальное управление трафиком

Весь входящий трафик обрабатывается настроенными модулями Traffic Matcher и классифицируется в один из восьми классов. Для каждого класса определяются пороги детектирования сбоя по ключевым метрикам:

• потерям пакетов;

• задержке;

• джиттеру;

• максимальному размеру передаваемого блока данных (PMTUD). 

Например, если несколько пробных пакетов размером 1500 байт будут потеряны, значение MSS (Maximum segment size, максимальный размер полезного блока данных в байтах) автоматически уменьшается до начала стабильной доставки запросов. Затем для продуктивного трафика MSS также корректируется в соответствии с найденным стабильным значением.

При конфигурации по умолчанию туннельный участок считается неисправным, если в выборке из 100 отправленных пробных пакетов теряется 30. Такой участок исключается из всех маршрутов для обнаружившей сбой точки доступа. Периодически устройство пересчитывает средние значения, и при восстановлении параметров туннель возвращается в работу согласно своему приоритету. 

Такой анализ и принятие решений происходят внутри каждого конечного устройства без инспекции трафика платформой управления.

Для каждой точки доступа можно настроить индивидуальный шаблон с правилами работы или применить один общий шаблон ко всем устройствам (даже к сотням или тысячам) в несколько кликов.

Умная маршрутизация для приложений

SD-WAN обеспечивает приложениям, работающим через каналы операторов без SLA, качество связи, сопоставимое с более дорогими каналами провайдера.

В решении поддерживается восемь независимых классов трафика для настройки параметров SLA и выбора оптимального канала для трафика приложений.

Классификация трафика включает три этапа:

1) Определение трафика, требующего SLA

Например, это может быть трафик реального времени. Если известен диапазон портов транспортного уровня, который использует приложение (например, 5000-5005 UDP), его можно указать в специальном поле ACL в настройках SLA SD-WAN. Аналогично в качестве критериев можно задать сети источника или назначения, либо DSCP-метку, которой обычно маркируется мультимедийный трафик в служебных полях заголовков. Значение меток для разных типов трафика можно узнать у производителя приложения.

SD-WAN также позволяет указать в ACL приложения из предустановленного списка, предоставленного производителем (например, BitTorent, Telegram, RuTube). Система способна идентифицировать до 2000 различных приложений, которые могут быть сгруппированы по тематике, например: видеоконференцсвязь, мессенджеры.

Идентификация происходит с помощью модуля DPI (Deep Packet Inspection — «глубокий анализ пакетов»). Этот модуль анализирует содержимое пакетов (полезную нагрузку), сигнатуры (уникальные шаблоны), поведенческие характеристики и другие метаданные для точного определения приложения — независимо от портов, IP-адресов или параметров DSCP. База сигнатур (паттернов), по которым DPI-модуль распознаёт приложения, постоянно обновляется, в том числе с добавлением описаний новых сервисов.

2) Создание шаблона маркировки

На основе созданного ранее ACL выбранный трафик помещается в определённый класс, для которого задаются пороги чувствительности к ухудшению качества связи. Иными словами, определяются условия переключения на резервный канал и полного отказа от проблемного канала. Например, это может быть 20% потерь пакетов или задержка в 200 мс. Созданный шаблон применяется к одной или нескольким точкам доступа.

3) Сохранение маркировки в сети SD-WAN 

Маркировка трафика происходит в служебном заголовке зашифрованного пакета, который содержит полезную нагрузку идентифицированного приложения, и сохраняется при передаче по всей сети SD-WAN, как и для измерительных проб. Такой подход полностью исключает возможную потерю или перемаркировку промежуточным оборудованием в сетях интернет, MPLS или КСПД. Ответная или промежуточная точка доступа системы SD-WAN обрабатывает классифицированный пакет согласно своим политикам и инкапсулирует с сохранением маркировки в ответной сессии. 

Механизм переключения на резервные каналы

Существует два основных механизма обнаружения сбоев: медленный/статистический (рассмотренный ранее) и «быстрый», который обеспечивает оперативное переключение канала при полном отказе. При настройках по умолчанию он работает следующим образом: в случае потери четырёх последовательных пробных пакетов происходит мгновенное переключение на резервное соединение.

Как мы уже выяснили, пробные пакеты отправляются раз в секунду. Таким образом, переключение с основного проводного канала на, к примеру, резервный LTE займёт четыре секунды. Все эти параметры можно корректировать. Рекомендуемые минимальные значения: интервал отправки — 0,1 секунды, переключение при потере пяти последовательных пакетов. Минимальное возможное время реакции при таком сбое составляет 0,5 секунды.

Заключение

Переход к SD-WAN стал качественно новым этапом в развитии корпоративных сетей. Традиционные решения исчерпали свой потенциал, не отвечая современным требованиям к гибкости, масштабируемости и экономической эффективности.

Технология SD-WAN обеспечивает:

• централизованное и автоматизированное управление через единый портал;

• глубокую аналитику работы сети благодаря встроенным инструментам мониторинга и отслеживанию качества каналов в реальном времени;

• приоритизацию бизнес-критичных приложений за счёт продвинутой классификации трафика, что гарантирует высокое качество обслуживания даже при использовании публичных интернет-каналов;

• непрерывность бизнеса благодаря интеллектуальным алгоритмам и быстрому переключению на резервные каналы при сбоях.

Концепция SD-WAN обеспечивает высокую эффективность управления сетевой инфраструктуры — в том числе, благодаря встроенным средствам защиты. Больше об этих и других возможностях контролировать сеть мы расскажем на вебинаре — по ссылке.