ソフトウェア定義のSD-WANネットワークに基づく安定したチャネル：ルート選択の問題を解決します

フィールドでのテスト



商用のタスクがあります：サイトを通常のWANネットワークにすばやく接続する必要がありますが、セルラーカバレッジのみがあり、ケーブルを実行したり、ファイバーまたは銅線への無線リレー移行を編成する方法がない場合に実行します。



ソリューションはモデムクラスタです。 問題の明らかな解決策は、各モデムが個別の物理チャネルであることです。 ノミと一部の母親の助けを借りて、それらを1つのカプセル化されたデバイスに結合する必要があります。 また、ケーブルが表示されたら、ボックスを変更して何かを再構成する必要はありません。

誰から選ぶか

このテクノロジーは、SD-WAN、ソフトウェア定義WANと呼ばれます。 3つのアメリカのスタートアップがリーダーと見なされています：Versa Networks、Viptela、Velocloud。 古典的なネットワーク機器メーカーは追いついています。 特に、シスコは、2つのソフトウェア定義ネットワークソリューション-iWANとMerakiを持っていると主張しています。 しかし、2、3ヶ月前に彼らはViptelaの購入を発表しました。 そして約1年半前に、RiverbedはSD-WANソリューション市場に参入するためにOcedoを買収しました。



総合評価：

• シスコシステムズ
• ファーウェイ
• Nuage Networks、
• ヴィプテラ、
• VeloCLoud、
• シルバーピーク
• Versa Networks、
• Citrix
• InfoVista、
• リバーベッド。

何を得たの

Versaソリューションに決着しました。 最初に価格の利点のため。 従来のSDNソリューションは、他のタスク、特に会社の支店を1つの論理ネットワークに結合するためにわずかに使用され、すべての端末およびサーバーから単一の物理アドレス空間として認識され、Cisco DMVPNに多少似ていますが、ブラックジャックはZTP、チャネルの形式です-バンドルとSLA。 選択されたソリューションはもう少し具体的であることが判明し、ボックス自体に標準ルーターのフルスタックプロトコルがなく、標準コンポーネントが使用されていたため、基本コストが削減されました。 ほとんどのベンダーは、ハードウェアとソフトウェアをすぐにまたはサブスクリプションで購入することを提案していますが、Versaはハードウェアを行っていないため、ソフトウェアはサブスクリプションであり、ハードウェアはx86ボックスを参照するパートナーからのものです。 顧客にとっては、コストモデルが活用されるにつれて毎年便利になっています。 たとえば、Versaの最小のボックス（上図）はCisco 800シリーズよりも安いですが、それ自体で500 Mbpsをポンピングできます。 これはIMIXトラフィックで、90％TCPおよび10％UDPおよびIPv4ルーティング/転送、IPSec暗号化、レイヤー7アプリケーションベースのトラフィックステアリング、CGNAT、NextgenFirewall（NGFW）、QOS（Classification and Marking）、SLAモニタリング、内部が含まれますサービスチェーン、URLフィルタリング）。





SD-WANコンセプト



オーバーレイと同様に、コントロールプレーンとデータプレーンの分離の原理はSDNから取られています。 コントロールプレーンはディレクター、コントローラー（BGPルートリフレクターおよびIPSEC）です。分析はオプションのコンポーネントですが、WANで使用されるサービスに透過性を追加します。





これらの2つのボックスの比較



各ブランチボックス内の作業のロジック。





論理ボックスアーキテクチャ

インストール方法

比較はこれです：年末に、シスコはEOSに19xxシリーズを残すため、交換する必要があります。 つまり、物理的にすべてのポイントを足で物理的に回ります（飛び回り、回ります）。 Versaを使用すると、任意の配送サービスで箱を自分の場所に送ることができます。 鉄片のその場で、インターネットにモデムまたはケーブルを接続する必要があります。 鉄片が新しい接続を取得するとすぐに、彼女自身がコントローラーでVXLANトンネルを構築し、そこからIKEを受信し、それを使用して設定を取得し、コントローラーからネットワークルート全体を受信するサービスIPSECトンネルを既に構築します。ルートリフレクター。 これはすべて完全に自動的に行われます。



つまり、会計士でさえその場で対処することができます-ケーブルを刺して、ちょっとした魔法で、うまくいきました。





新しいサイトでのボックスの初期化



以下は、この手順が英語のドキュメントでどのように見えるかです。1.ブランチデバイスにはステージが付属しています–コントローラのIPアドレスは、IPSec構成のリモートIPです。 2. VXLANトンネルを介してコントローラーとIKEセッションを確立します。 3.コントローラは、IPアドレスをブランチデバイスに割り当て、Versa Directorに通知を生成します。 4. VD IPアドレスがブランチに通知されます。 5.ブランチは、VDへの逆ルートをインストールします。 6. VDは、IKEセッションを介してブランチデバイスにポストステージング構成をプッシュし、ブランチデバイスを再起動します。



設定自体はテンプレートであり、変数を含むテンプレートです。QOS、シェーピング、SLA、LAN設定、外部チャネルのバランスを取り、これらのチャネルを1つのパイプに結合するルールを含めることができます。



大きな欲求がある場合は、手で箱に登ることができます。メーカーはまだ閉じていません。驚いたことに、ジュニパーのようなコンソールがあります。

テスト

2つのモデムを備えたプロトタイプ



ボックスの一部がケーブル上にあり、LTEクラスターの一部である実際のネットワークをエミュレートします。 3G-LTEのダングル（写真の時点ではMTSとMegafonでした）が1本の鉄で、2本目のケーブルでGarsのインターネットに接続されていました。 モデムはパイプに結合され、情報が送信されています。 鉄片はトラフィックを監視し、アプリケーションによってトラフィックを認識し、優先順位付けのポリシーと基準を課します。



少しドープした後、ロックされたモデムを備えたメガホンとMTS（写真のように）は、ボックスによって自動的に認識され始めました。 5セッションの合成iperfトラフィックは、ほぼ50/50のバランスを取りました。





ディレクター監視機能





Directorインターフェイスで2つのLTEモデムのスケジュールをダウンロードする



合計帯域幅は約50メガビットで、モデムごとに25メガビットでした。 すぐに使用できる組み込みの分析システムは、負荷に関する統計を生成しました。



経験的に、テレフォニーでは非常に成功しました。たとえば、同時に15の電話があった場合、最初のチャネルで最初から8番目まで押し込み、残りは-優先度の高い2番目（デフォルトでは2番目はメールなどの他のオフィスサービス）で突き出しました。



2番目の機能：ネットワークの負荷またはカバレッジの特性のためにラストマイルに多くのドロップがある場所では、多かれ少なかれ安定した接続を提供することができました。

パケットごとのバランスをテスト済み。 1つのTCPセッションは2つのLTEインターフェイスに分割されます。 ダッシュボードで1つのTCPセッションであるiperfをテストしたところ、2つのチャネルに分割されていることがわかります。 つまり、合成トラフィックで動作し、すでに特定の各アプリケーション、およびそのようなバランシングでの動作に依存しています。 たとえば、私たち自身の経験に基づいて、VLCを介したRTSPでのビデオのブロードキャストが正常に機能することを確認できます。 このポリシーは、サービスごとに個別に適用できます。 つまり、パケットごとのバランシングでうまく機能するサービスはパケットによってバランスが取られ、残りはフローごとです。 同時に、政治家自身がボタンをクリックするだけでボックスに展開します。 このため、ベストプラクティスでは、サイトのいくつかのグループを実行することを検討します。自分自身に近い（オフィスでの）サイトをテストし、次にテンプレートとポリシーを早期展開するための2番目のグループです。



1つのLTEモデムから別のモデムへのトラフィックの切り替えが機能します。 1つのセッションでiperfをテストし、それでも同じVLCビデオストリーミングを使用しました。 セッションが実行されているモデムを取り出すと、帯域幅のわずかな低下が発生し（iperfは40〜60％の低下を示します）、ビデオは数秒間少し波紋し、すべてが復元されます。

Versaの機能

1. 分析があります。 外部制御システムはありません。PRTGなどを使用してチャネルを個別に監視する必要はありません。
2. 1台のコントローラーで任意の数のデバイスに対応できますが、実際にはWebスケールです。 特に、電気通信事業者またはクラウドプロバイダーの場合、各顧客の電話会社クラウド用に個別のSD-WANソリューションを展開する必要はありません。
3. 必要に応じて、重要なトラフィックについて、コンテンツの配信を保証するために、さまざまなチャネルでパケット複製の構成があります。
4. さらに、TPMチップがボックスで使用されます。 これらは、デバイスに暗号化キーを保存するための特別なモジュールです。 TPMモジュールの初期化時に、プライベートキーとパブリックキーのペアが作成されます。 秘密キーは読み取れません。アクセスする方法はありませんが、暗号化/復号化メソッドを呼び出すAPIはあります。
5. 動的トンネル。 コントローラがBGPルートリフレクタとして機能する場合、コントローラは各サイトの最終的な鉄片へのルートに関する情報をダンプし、スポークツースポークトンネルはサイト間で表示されるトラフィックに対してのみ構築されます。 また、これにより、ソリューションを数千のサイトに拡張できます。

従来のサイト間ipsecとVersa SD-WAN IPSECの違い：





Versa VPNクラウド



もう1つの重要なポイント：モバイルオペレーターのグランドは数倍安く、大規模な工場からほぼ直接購入する機会があります。 これを行うために、ベンダーは、大規模なクライアントにデバイスを直接供給するために工場にゴーサインを与え、次に工場の基本ファームウェアを提供します。 ソフトウェアがボックスに注がれ、ボックスが通信事業者またはクラウドプロバイダーに届きます。 プロバイダーは、IPコントローラーとインターネットアクセス構成（静的IPなど）の2つのパラメーターをプラグインします。 さらに、箱は少なくとも郵便で顧客に送られます。 ボックス自体は、さらに何をどのように見つけます。 互換性は広く、つまり、すぐにIPテレフォニーサービスであるVKS-すべてを含めることができます。



標準のパケットステアリング（SLA）とボンディングもあります。これは、外部チャネルのグループを1つのパイプに結合し、各サービスのスイッチングロジックを規定するだけです。 さらに、VersaまたはRiverbedのソリューションは、トラフィックがどのサービスを通過するかを自動的に認識し、ポートタイプのセッションレベルではなく、「SkypeをビジネスSkypeに優先させ、通常のSkypeビデオ通話にこれを与えない」レベルで通信します。 ボンディングは、ラストマイルの長期提供に関する問題の解決に役立ちます。 彼らは異なる事業者からの3つのLTEモデムを貼り付け、99,999のサイトの可用性に関する問題を解決しました。





異なるサイトのボックス間の動的トンネル

まとめ

1. 今、私たちは、ロシアの企業の生活を楽にするために、アメリカのクラウドではなく（一部のベンダーが持っている）、これらのグランドを設定するためのサービスを展開しました。
2. このソリューションは、モバイルオペレーターとクラウドプロバイダーに非常に適しています。 第一に、これは、小売（たとえば、ランドリー、食料品、車のサービスのネットワーク）に販売する機会です。たとえば、レポートやメールを送信するためのチャネルだけでなく、チャネルのバンドルでアプリケーショントラフィックを管理するための追加サービス、およびアプリケーションパフォーマンスの多様な監視既存の通信チャネル（いわゆるマネージドサービス）。 ちなみに、世界的な傾向が示すように、現時点では、SD-WANの最大のプロジェクト（接続ポイントの数）が金融セクターと大規模な小売で行われています。
3. 非常に簡単な修理。 地球の反対側で何かが食料品店で壊れた場合、売り手はある「箱」から別の「箱」にコードをドラッグし、10〜15分で古い構成が新しい構成に自動的にロードされます。 一般的に、必要に応じて会計士でも処理できます。
4. SD-WANを使用するには、どのような場合でも支社のITスペシャリストは必要ありません。

それだけです コメントで質問にお答えします。 まあ、またはメールに書いてください：MKazakov@croc.ru