Академический Документы
Профессиональный Документы
Культура Документы
KL 004.2
Kaspersky SD-WAN
Учебный курс
1
KL 004.2: Kaspersky SD-WAN.
[Subject]
Содержание
Глоссарий........................................................................................................................................3
1. Введение .............................................................................................................................5
1.1 Что такое SD-WAN? ........................................................................................................................ 5
1.2 Какие задачи помогает решить ..................................................................................................... 6
Интеллектуальное управление трафиком ............................................................................... 7
Снижение времени на управление оборудованием .................................................................... 7
Повышение безопасности ............................................................................................................ 8
1.3 Преимущества ................................................................................................................................ 9
1.4 Статистика .....................................................................................................................................10
1.5 Отраслевой состав .......................................................................................................................12
1.6 Компоненты решения ...................................................................................................................14
1.7 Сценарии применения..................................................................................................................14
Только транспорт .......................................................................................................................15
Цепочка сервисов в ЦОД .............................................................................................................16
Цепочка сервисов в uCPE ............................................................................................................17
Local Breakout ................................................................................................................................18
Часть услуги triple/quadruple play оператора связи ................................................................19
Использование нескольких L2 сервисов ....................................................................................20
Переключение на резервные каналы .........................................................................................21
L3 с динамической маршрутизацией .........................................................................................22
Использование VNF на uCPE ......................................................................................................23
3. Развёртывание .................................................................................................................59
3.1 Развёртывание Orc .......................................................................................................................59
3.2 Подготовка к развёртыванию сервиса SD-WAN ........................................................................59
3.3 Развёртывание CPE .....................................................................................................................65
3.4 Развёртывание сервиса SD-WAN ...............................................................................................66
4. Эксплуатация ....................................................................................................................70
4.1 Управление CPE ...........................................................................................................................70
4.2 Управление трафиком ..................................................................................................................75
5. Обслуживание ..................................................................................................................80
5.1 Zabbix .............................................................................................................................................80
5.2 Troubleshooting ..............................................................................................................................80
Проверка работоспособности центральных компонентов решения ..................................82
Проверка работоспособности кластера контроллеров .......................................................84
1
KL 004.2: Kaspersky SD-WAN.
[Subject]
2
KL 004.2: Kaspersky SD-WAN.
[Subject]
Глоссарий
AI Artificial Intelligence
CA Certificate Authority
HA High Availability
IP Internet Protocol
3
KL 004.2: Kaspersky SD-WAN.
[Subject]
SI Service Interface
SLA Service Layer Agreement
TLV Type/Length/Value
URL Uniform Resource Locator
VM Virtual Machine
4
KL 004.2: Kaspersky SD-WAN.
1. Введение
Компании всех форм и размеров зачастую уже начали рассматривать (если не использовать)
целый набор устоявшихся и развивающихся технологий и решений, таких как автоматизация,
искусственный интеллект (AI), машинное обучение, роботизация и Интернет Вещей (IoT). Ещё
одной современной технологией, привлекающей всеобщее внимание, стали адаптивные сети,
базирующиеся на программно-определяемых глобальных сетях (SD-WAN).
Чтобы продукт мог относиться к категории SD-WAN, должны выполняться следующие условия:
5
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
̶ децентрализованное управление;
̶ сложность конфигурирования оборудования;
̶ большое количество разнообразных протоколов;
̶ множество точек отказа;
̶ большое время для внедрения и проведения изменений;
̶ сложность организации подключений к облачным средам.
В курсе мы подробно расскажем, как Kaspersky SD-WAN помогает решать эти задачи.
6
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
7
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
Повышение безопасности
Вся сеть защищена настолько, насколько защищённым является её самый слабый элемент.
Пользователи и серверы удалённого офиса или филиала требуют такой же защиты, как
оборудование или работники центральных офисов и дата-центров.
Задача обеспечения безопасности требует большого количества времени, сил и средств. Решение
Kaspersky SD-WAN позволяет значительно сократить время, затрачиваемое сетевым
8
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
1.3 Преимущества
Снизить CAPEX затраты можно за счёт использования виртуальных сетевых функций: достаточно
развернуть всю необходимую функциональность на CPE-устройствах в удалённом офисе. Такой
подход не требует приобретения дорогостоящего оборудования для небольшого офиса или
филиала.
9
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
CPE «устройства» могут быть реализованы как в виде реального сетевого оборудования, так и в
виде виртуальных машин (VM), что позволяет с лёгкостью мигрировать корпоративные сервисы в
облачную инфраструктуру.
1.4 Статистика
Компания Pulse опросила более 150 руководителей IT-сектора. По результатам опроса
требовалось получить ответы на следующие вопросы.
Респондентам был задан вопрос о том, согласны ли они, что решение SD-WAN позволяет
уменьшить затраты на сеть. Более половины руководителей полагают, что внедрение SD-WAN
позволяет снизить затраты.
10
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
Не обошли стороной и вопрос об основных технических целях, которые ставятся перед продуктом.
52% опрошенных хотели бы обеспечить безопасность удалённого доступа, поддержку гибридных
облаков выбрали 50% респондентов, обеспечение прямого доступа конечным пользователям к
SaaS-ресурсам интересно 35% руководителей.
11
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
12
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
Даже если филиальная сеть ещё не очень большая, но переживает бурный рост, компания всё
равно сможет выиграть от внедрения Kaspersky SD-WAN, так как в момент активного развития
филиальной сети требуется внесение большого количества изменений в конфигурацию
существующего оборудования, а также подключения новых устройств. Применение шаблонов в
значительной степени снизит риск возникновения ошибки конфигурации.
Офисы или иные точки присутствия, расположенные в труднодоступной местности, либо местах,
где отсутствует проводная инфраструктура передачи данных, требуют дополнительных
инвестиций для подключения и эксплуатации. Стандартизация процедуры подключения, а также
возможность использования более дешёвых линий связи, позволяют в значительной степени
сэкономить при подключении новых офисов к корпоративной сети.
Нехватка квалифицированных кадров ощущается во всём мире. Наиболее остро такая проблема
может стоять перед начинающими бизнесами, бюджет которых не позволяет в значительной мере
увеличивать штат сотрудников или переманивать высококвалифицированных администраторов из
других компаний. Эксплуатация решения Kaspersky SD-WAN не требует привлечения большого
количества высококвалифицированных специалистов, а для выполнения некоторых рутинных
действий достаточно лишь минимальных технических знаний.
Список отраслей экономики, для которых целесообразно применение решений на базе SD-WAN,
максимально широкий и не ограничивается примерами, представленными на слайде. Если у
компании есть несколько точек присутствия (торговые павильоны, школы, больницы, магазины,
региональные ЦОДы, офисы продаж и так далее), применение SD-WAN, однозначно, предоставит
бизнесу конкурентные преимущества.
В ритейле связь магазинов и торговых точек с ЦОД не менее важна, так как при отсутствии
стабильного подключения к приложениям внутри дата-центра работа удалённой торговой
площадки может оказаться полностью замороженной, что приведёт к значительным финансовым
потерям.
Сервис провайдеры могут использовать SD-WAN как для своих собственных нужд, так и для
предоставления услуг доступа клиентам.
Объединить все автобусные остановки или железнодорожные станции и вокзалы в единую сеть
для получения телеметрии, управления движением, слежения за трафиком или передачи иных
данных также возможно с помощью решения на базе SD-WAN сетей.
13
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
14
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
Только транспорт
15
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
16
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
17
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
Local Breakout
Все сетевые функции (балансировки, безопасности и так далее) должны будут выполняться
локально на оборудовании филиала. Kaspersky SD-WAN обеспечивает такое прохождение
трафика (Local Breakout).
18
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
19
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
На слайде представлен пример организации связности для двух виртуальных сетей (VLAN) двух
удалённых площадок с ЦОД. Стоит обратить особое внимание на то, что номер виртуальной сети
(VID – VLAN Identifier) имеет исключительно локальное значение. То есть в один
широковещательный домен могут быть объединены виртуальные сети с разными значениями
идентификатора. На примере представлена именно такая ситуация: транспортный сервис P2M 1
объединяет следующие виртуальные локальные сети: VLAN 101 в левом филиале, VLAN 103 в
правом филиале и VLAN 201, расположенный в дата-центре. Несмотря на наличие технической
возможности объединять виртуальные сети с разными идентификаторами в один L2 транспортный
сервис, рекомендуется придерживаться одинаковой нумерации виртуальных сетей в филиалах.
20
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
На слайде показан момент изменения загрузки основного и резервных каналов. Отказ основного
канала приводит к переключению нагрузки на резерв. Резерв представлен двумя
низкоскоростными и менее надёжными беспроводными каналами, построенными на базе
технологии LTE. Нагрузка распределяется между обоими резервными каналами. Балансировка
нагрузки позволяет использовать каналы с меньшей полосой пропускания, так как по каждому из
линков данные будут передаваться с меньшей скоростью, а встроенные механизмы обеспечения
качества обслуживания предоставляют приложениям лучшие метрики QoS.
21
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
L3 с динамической маршрутизацией
22
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
В качестве основы используется L3 транспортный сервис P2M с одним или несколькими SD-WAN
шлюзами, установленными в дата-центре. Динамическая маршрутизация построена на базе
протокола BGP, используется одна автономная система на всех устройствах.
CPE устройства также выполняют функции route reflector и образовывают собственные RR-
кластеры. Все BGP-подключения в рамках удалённого филиала настраиваются как RR-клиенты.
Это нужно для того, чтобы маршрут, изученный в рамках удалённой площадки, передавался
шлюзам в ЦОД (опять же для преодоления правила расщепления горизонта).
Так как в протоколе BGP отсутствует динамический поиск соседей, каждая сессия должна быть
сконфигурирована вручную. Это достаточно трудоёмкий процесс, приводящий к большому числу
ошибок. Чтобы этого избежать, на SD-WAN gateway используется опция Listen Range, с помощью
которой можно указать адрес подсети, содержащей BGP-соседей, подключения от которых будут
приниматься автоматически. То есть на gateway не потребуется прописывать адреса всех BGP-
соседей, размещённых на удалённых площадках. Подключение нового филиала не потребует
внесения изменения в существующую конфигурацию SD-WAN gateway.
23
KL 004.2: Kaspersky SD-WAN. 1. Введение
[Subject]
На слайде представлена организация локального доступа в Интернет для одного из клиентов, при
этом фильтрация трафика производится с помощью ideco UTM, развёрнутого локально.
24
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
2. Подготовка к внедрению
Компоненты решения
В работе сетевого оборудования выделяют три уровня или плоскости: management plane, control
plane и data plane. Management plane отвечает за конфигурацию и жизнедеятельность узла.
Функции мониторинга также возлагают на management plane (иногда выделяют в отдельный
уровень – monitoring plane). Control plane ответственен за заполнение таблиц, по которым
передаётся трафик: таблицы маршрутизации и коммутации, ARP-таблица и так далее.
Management/monitoring plane и control plane обычно выполняются на центральном процессоре
устройства. Оркестратор относится к management plane системы. Обратите внимание, что
оркестратор может управлять несколькими экземплярами SD-WAN.
SD-WAN контроллер относят к control plane, в его задачи входит непосредственное распределение
потоков данных. Сам контроллер не занимается непосредственно пересылкой данных, он
исключён из пути передачи пользовательской информации. Контроллер управляет CPE-
25
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
26
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
27
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
Балансировка трафика может производиться между двумя или большим количеством каналов.
Отличительной возможностью решения является поддержка балансировки трафика по путям с
разной стоимостью. В этом случае распределение потоков трафика будет не равномерное. Данная
возможность позволяет учесть соотношение полос пропускания реальных каналов. Балансировка
производится на уровне потоков, определяемых на уровнях со второго по четвёртый, то есть могут
учитываться адреса канального и сетевого уровней, а также протокол и номера портов
отправителя и получателя данных.
28
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
При выходе из строя одного пути вся нагрузка будет распределена между оставшимися рабочими
каналами. Доступность и корректность работы каналов контролируется. Для контроля
используются следующие показатели качества обслуживания: загрузка интерфейса на приём
и/или передачу, процент ошибок, задержка и вариация задержки, процент потерь пакетов. Если
произошла деградация канала (достигнуты пороговые значения), он будет выведен из
эксплуатации.
Выбор канала передачи данных производится не только на основании адреса получателя пакета
или фрейма, но в зависимости от того, какому приложению принадлежат данные. Разные
приложения предъявляют различные требования к качеству обслуживания, поэтому выбор канала
производится для каждого конкретному приложения. Решение Kaspersky SD-WAN производит
непрерывный мониторинг каналов, определяя такие критически важные показатели как задержка и
её вариации, процент потерянных пакетов, доступная полоса пропускания. Трафик приложения
будет направлен через канал только если его параметры удовлетворяют требованиям,
предъявляемым приложением к сети.
На слайде выше представлен пример деградации традиционно надёжного канала связи через
MPLS-ядро оператора. Так как процент потерь стал неприемлемым, канал исключается из
доступных вариантов для передачи.
29
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
Даже при наличии всего одного и плохого канала решение Kaspersky SD-WAN может
предоставлять приложениям требуемый сервис. Улучшение качества предоставляемого сервиса
достигается за счёт использования механизмов FEC (Forward Error Correction) и packet duplication.
Рассмотрим каждый из них подробнее.
Механизмы FEC и packet duplication запускают процедуру packet reordering. Данная процедура
является ресурсоёмкой, что может приводить к значительному снижению производительности
CPE-устройства. Рекомендуется активировать FEC и packet duplication только на тех каналах, где
это действительно необходимо.
В настройках канала можно не только включить или выключить поддержку FEC, но и указать
соотношение пользовательских и служебных данных.
Механизм FEC добавляет к потоку пользовательского трафика служебные пакеты, таким образом
увеличивая требования, предъявляемые к полосе пропускания канала. Если потери пакетов и так
вызваны перегрузками на канале связи, добавление дополнительной информации в некоторых
случаях может только усугубить ситуацию. Возможно, лучшим решением будет применение
механизмов QoS и/или использование другого канала.
Включение опции packet reordering (активируется автоматически при включении опций FEC и/или
packet duplication) вносит дополнительную задержку в процесс передачи пакетов, что также
необходимо учитывать при проектировании WAN-сегмента корпоративной сети.
30
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
При наличии двух или более каналов может применяться механизм packet duplication.
Отправляющая сторона дублирует трафик и отправляет одинаковые данные через несколько
каналов связи. При возникновении потерь на канале для восстановления пользовательских
данных может использоваться копия трафика, полученная по второму каналу. На принимающей
стороне используется механизм packet reordering, производящий дедупликацию пакетов, таким
образом приложению доставляется только одна копия отправленного пакета.
Опции FEC и packet duplication могут использоваться совместно. В этом случае по двум или более
каналам отправляются одинаковые наборы данных, содержащих как пользовательский трафик, так
и служебные пакеты.
Механизм packet duplication поможет даже в ситуации, когда потери наблюдаются на обоих
каналах одновременно. В этом случае пакет с пользовательскими данными будет полностью
утрачен, если он был потерян сразу на обоих каналах. Вероятность такого события крайне мала,
но также должна быть учтена при выборе способа подключения удалённой площадки.
Приведём пример расчёта вероятности потери пакета с включённой функцией packet duplication
при наличии двух каналов связи, потери на которых составляют 2% и 3% соответственно. Чтобы
пакет был полностью утерян должно произойти одновременно два события: этот пакет должен
быть потерян на первом канале, а также этот же пакет должен быть потерян при передаче через
второй канал. Вероятность такого события будет равно произведению вероятностей потерь пакета
каждым из каналов, то есть составит 0.06%, что составляет 1 потерянный пакет примерно из 1700
переданных.
31
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
32
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
Два CPE-устройства могут быть объединены в отказоустойчивую пару (HA-pair). Данный тип
резервирования может применяться при любом транспортном сервисе, оказываемом CPE-
устройствами. При отказе основного устройства в паре роль мастера принимает на себя
оставшееся CPE-устройство, и передача трафика продолжается через резервный маршрутизатор.
Первый типовой вариант отказа – отключение или перезагрузка всего CPE-устройства целиком.
Такая ситуация может быть вызвана перезагрузкой устройства в процессе обновления прошивки,
либо же аппарат может быть обесточен из-за проблем с электропитанием.
Вторым типовым сценарием отказа является отказ канала связи между CPE-устройством и SD-
WAN шлюзом. Такие отказы обычно происходят по вине провайдера, либо в случае нарушений
линий связи. Несмотря на то, что активное CPE-устройство остаётся включенным, трафик может
начать передаваться по резервному пути.
33
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
Будем рассматривать ситуацию, когда основной путь передачи трафика построен на базе
Kaspersky SD-WAN. Несмотря на то, что решение Kaspersky SD-WAN позволяет построить
безопасную зарезервированную WAN-сеть, требования отдела безопасности компании могут
предписывать использование нескольких независимых производителей сетевого оборудования. В
этом случае допустимо использование только стандартных протоколов и типовых решений.
Для примера будем считать, что в дата-центре уже построена и эксплуатируется L3-сеть, тогда как
в филиале CPE-устройство подключается к существующему L2-домену.
34
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
При отсутствии связи с оркестратором производится откат к предыдущим настройкам, при которых
CPE-устройство могло подключаться к оркестратору.
35
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
Также стоит обратить внимание на сетевое устройство CPE-2, оно принадлежит одновременно и
региону A, и региону B. CPE-2 выполняет функции транзитного spoke-устройства. Транзитные
CPE-устройства используются для передачи трафика между регионами.
36
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
Решение Kaspersky SD-WAN обладает встроенным анализатором приложений DPI (Deep Packet
Inspection). DPI позволяет отличить трафик одного приложения от другого, с его помощью можно
не только визуализировать активность приложений в сети, но и управлять политиками
перенаправления трафика.
Результаты работы DPI могут использоваться для написания фильтров трафика, задания правил
обработки пакетов механизмами QoS, а также при выборе каналов для отправки данных.
37
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
Ещё больше облегчить задачу администратора позволяют шаблоны настроек, создаваемые для
отдельных устройств. При создании таких шаблонов могут использоваться любые доступные
средства автоматизации: shell scripts, Python, Ansible и так далее.
38
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
39
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
При построении L3 транспортных сервисов может быть использована как статическая, так и
динамическая маршрутизация (с помощью BGPv4). Стоит отметить, что BGPv4 не относится
непосредственно к IPv4, то есть данный протокол маршрутизации способен распространять
префиксы IPv4 и IPv6.
40
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
Решение Kaspersky SD-WAN позволяет создавать сервисные цепочки, что значительно упрощает
процедуры фильтрации, очистки и оптимизации пользовательского трафика. Вместо
использования аппаратных решений Kaspersky SD-WAN позволяет использовать виртуальные
сетевые функции, заменяющие дорогостоящее оборудование. Управление развёртыванием
виртуальных машин, на базе которых выполняются NVF (Network Virtual Functions), отвечает VIM –
Virtual Infrastructure Manager. Трафик последовательно пропускается через требуемые функции,
после чего может быть, например, отправлен в публичную сеть, либо принят из неё.
41
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
При разработке решения Kaspersky SD-WAN большое внимание было уделено вопросам
обеспечения безопасности. Так, например, все control plane соединения шифруются с помощью
TLS. Пользовательские данные передаются зашифрованными с применением DTLS, так как для
передачи пользовательских данных используются туннели с инкапсуляцией GENEVE, передающие
данные с помощью UDP-дейтаграмм. Процесс первоначальной настройки ZTP (Zero Touch
Provisioning) также не использует передачу данных открытым текстом. Весь обмен данными
производится по протоколу HTTPS, а сама процедура ZTP позволяет в значительной степени
упростить процесс подключения и первоначальной настройки оборудования.
После того, как соответствующая запись будет добавлена, можно переходить непосредственно к
подключению CPE-устройства в сеть. Выполнить подключение (по процедуре ZTP) может даже
сотрудник, не обладающий глубокими техническими знаниями.
Описанный подход имеет целый ряд преимуществ перед стандартным способом установки ли
замены сетевого оборудования.
42
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
Типовые места в сети, в которых могут использоваться те или иные из описанных протоколов,
представлены на слайде.
43
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
При выборе варианта развёртывания сервиса SD-WAN в виде виртуальной сетевой функции, в
среде OpenStack будут автоматически созданы следующие компоненты (в виде виртуальных
машин):
̶ SD-WAN контроллер;
̶ SD-WAN gateway #1;
̶ SD-WAN gateway #2.
При выборе варианта развёртывания сервиса SD-WAN в виде физической сетевой функции,
требуется заранее вручную развернуть (создать и установить) SD-WAN контроллер. Контроллер
SD-WAN может быть представлен в виде виртуальной машины (либо физического сервера) с
установленным демоном Docker и развёрнутым контейнером контроллера. Шлюзы SD-WAN могут
быть в виде виртуальных машин (разворачиваются самостоятельно), либо физических устройств,
маршрутизаторов. Внутренне шлюзы SD-WAN не отличаются от обычных CPE, то есть это
обычные CPE-устройства с активированной ролью SD-WAN gateway.
44
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
45
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
При выборе варианта разворачивания SD-WAN контроллера и шлюзов в виде PNF необходимо
заранее подготовить аппаратные маршрутизаторы, которые будут выполнять функции SD-WAN
шлюзов, а также создать виртуальную машину или настроить выделенный сервер, который будет
использоваться в качестве контроллера. Шлюзы SD-WAN также могут быть развёрнуты в виде
виртуальных машин, однако VIM при этом не используется; разворачивание производится
вручную.
46
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
Кроме того, администратор платформы должен создать пользователя, которому будут назначены
права администратора определённого тенанта.
̶ GWs Port Mapping - список портов SD-WAN шлюзов для создания транспортных сервисов;
̶ QoS - описание требований к качеству обслуживания;
̶ Services - автоматическое создание транспортных сервисов;
̶ Tenants - список тенантов, к которым привязан шаблон;
47
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
48
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
̶ создать;
̶ импортировать;
̶ экспортировать;
̶ клонировать;
̶ удалить.
При импорте шаблона администратор может выбрать, какие разделы должны быть
импортированы, а что может быть проигнорировано. По умолчанию производится импорт всех
секций шаблон.
49
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
50
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
После того, как все необходимые шаблоны CPE-устройств были добавлены, можно переходить к
созданию тенанта. Для тенанта необходимо задать точку подключения: сервисный интерфейс –
коммутатор OpenFlow, порт коммутатора и инкапсуляцию. Трафик из локальной сети ЦОД клиента
будет попадать будет попадать в сетевой сервис проходя через сервисный интерфейс.
Для каждого созданного тенанта должен быть сконфигурирован SD-WAN сервис. При
использовании виртуальной сетевой функции (VNF) требуется собрать желаемую сервисную
цепочку. При использовании PNF создать сервисную цепочку невозможно.
51
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
52
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
Если в качестве транспорта для протокола OpenFlow был выбран SSL, то в этом случае после
каждой перезагрузки CPE-устройство генерирует запрос на сертификат. При первичной
53
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
54
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
2.3 Отказоустойчивость
̶ Оркестратор;
̶ Веб-консоль администратора;
̶ База данных MongoDB;
̶ Контроллер;
̶ SD-WAN шлюз.
55
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
На слайде показано, что для резервирования базы данных MongoDB и SD-WAN контроллера,
используется специальный элемент – арбитр, являющийся ещё одним экземпляром ключевого
резервируемого компонента, что связано с особенностями работы базы данных и контроллера и
позволяет получить кворум (большинство) экземпляров базы данных. Кворум необходим в
ситуации, когда произошёл отказ каналов, соединяющих дата-центры, в которых расположены
контейнеры с базами данных. В этом случае часть CPE-устройств сохраняет связность с одним
ЦОД, тогда как другая часть CPE-устройств – с другим. Такая ситуация называется split brain. Для
того, чтобы база данных могла определить, какое её состояние является более доверенным
используется кворум (большинство).
56
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
2.4 Требования
̶ Оркестратор;
̶ SD-WAN контроллер;
̶ VNFM (при использовании);
̶ Zabbix.
57
KL 004.2: Kaspersky SD-WAN. 2. Подготовка к внедрению
[Subject]
Выпуск CPE-устройства модели KESR Model 5 запланирован на третий квартал 2023 года.
Производительность модели составит 10 Гбит/с, что позволит полностью покрыть все потребности
в производительном пограничном сетевом оборудовании.
58
KL 004.2: Kaspersky SD-WAN. 3. Развёртывание
[Subject]
3. Развёртывание
После того, как все компоненты успешно установлены и запущены, можно переходить
непосредственно к подготовке к развёртыванию сервиса SD-WAN.
59
KL 004.2: Kaspersky SD-WAN. 3. Развёртывание
[Subject]
При создании нового домена требуется задать его имя и описание. SD-WAN домен не связан с
DNS-доменом компании или каким-либо иным доменом. Он используется исключительно в
организационных целях для создания виртуальной иерархии. Допускается создание нескольких
доменов.
После того, как домен создан, можно переходить к созданию дата-центра. Дата-центр – такая же
логическая сущность, как и домен, и может не иметь никакой привязки к реальным ЦОД компании.
60
KL 004.2: Kaspersky SD-WAN. 3. Развёртывание
[Subject]
При создании дата-центра потребуется указать его имя и описание, а также выбрать домен, к
которому он относится, а также при желании указать расположение.
После того, как сам дата-центр создан, необходимо выполнить ряд необходимых настроек.
К числу таких настроек относятся параметры, расположенные в меню System Resources: адрес
ZabbixProxy и подсеть для управления. Адреса из данной подсети будут использоваться сервисом
P2M management. При создании подсети управления необходимо указать её имя, выбрать тип
(доступен только тип Management), выбрать версию протокола IP (IPv4 или IPv6), указать адрес
сети (в CIDR формате) и шлюз по умолчанию. Для созданной подсети управления можно указать
дополнительные параметры, к числу которых относятся диапазоны IP-адресов, из которых будут
назначаться адреса CPE-устройствам, адреса DNS-серверов и статические маршруты, если это
необходимо.
Ещё одной логической сущностью, которую нужно создать, в рамках процесса подготовки к
развёртыванию сервиса SD-WAN, является тенант.
61
KL 004.2: Kaspersky SD-WAN. 3. Развёртывание
[Subject]
62
KL 004.2: Kaspersky SD-WAN. 3. Развёртывание
[Subject]
Если проверка доступности оркестратора прошла успешно, можно начинать подготовку шаблонов
для CPE. Шаблоны должны быть заранее подготовлены.
Шаблон CPE является обычным XML-файлом, упакованным с помощью tar/gz. Файлы формата
XML можно генерировать автоматически с применением python или любого другого механизма.
63
KL 004.2: Kaspersky SD-WAN. 3. Развёртывание
[Subject]
При добавлении шаблона CPE необходимо выбрать группы настроек, которые будут
импортированы. По умолчанию производится импорт всех настроек, присутствующих в шаблоне.
Администратор системы в дальнейшем сможет вручную изменить те или иные параметры работы
CPE устройства.
64
KL 004.2: Kaspersky SD-WAN. 3. Развёртывание
[Subject]
CPE-шаблон – архив, содержащий в себе XML-файл. Так как XML-файл имеет стандартный
формат, то администратор может использовать любые инструменты автоматизации для создания
файлов шаблонов.
65
KL 004.2: Kaspersky SD-WAN. 3. Развёртывание
[Subject]
При импорте шаблона допускается использовать не все настройки, а только часть, - необходимо
выбрать именно те раздела конфигурационного шаблона, которые необходимо имортировать.
66
KL 004.2: Kaspersky SD-WAN. 3. Развёртывание
[Subject]
При добавлении сетевой функции потребуется выбрать тенант, с которыми будет ассоциирована
добавляемая функция.
После добавления физической сетевой функции можно переходить к созданию нового сервиса.
Последовательность действий при создании нового сервиса:
67
KL 004.2: Kaspersky SD-WAN. 3. Развёртывание
[Subject]
На следующем шаге потребуется привязать созданные ранее записи для CPE и GW с шаблоном.
68
KL 004.2: Kaspersky SD-WAN. 3. Развёртывание
[Subject]
Действия, выполненные ранее для SD-WAN шлюзов, необходимо повторить для всех CPE-
устройств, относящихся к тенанту.
69
KL 004.2: Kaspersky SD-WAN. 4. Эксплуатация
[Subject]
4. Эксплуатация
̶ DPID
̶ Name
̶ Location
̶ Tenant
̶ Template
̶ DPID
̶ Name
̶ Location
70
KL 004.2: Kaspersky SD-WAN. 4. Эксплуатация
[Subject]
Удаление CPE возможно, если параметр Usage имеет значение “No”, то есть CPE не используется
в сервисах.
̶ Удалить
̶ Задать адрес (Set Location)
̶ Зарегистрировать (добавить CPE в инвентаризационную базу).
Если вы хотите добавить шаблон стандартного устройства CPE, выберите CPE. Если вы хотите
добавить шаблон устройства uCPE, выберите uCPE.
WAN-парты могут иметь проводную или беспроводную среду передачи. Каждый такой порт
получает параметры IPv4 по протоколу DHCP.
После того, как устройство CPE получает параметры WAN-портов по протоколу DHCP, на нем
создаются отдельные таблицы маршрутизации для каждого из WAN-портов (аналог VRF-lite). С
помощью шаблона CPE можно указать следующие параметры интерфейсов:
71
KL 004.2: Kaspersky SD-WAN. 4. Эксплуатация
[Subject]
Оркестратор начинает взаимодействовать с VIM на устройстве uCPE после того, как это
устройство регистрируется в инвентаризационной базе оркестратора и подключается к сервису
управления SD-WAN managementTunnel, а также к другим SDN-сервисам. Сервис управления SD-
WAN managementTunnel можно использовать для мониторинга работы устройства uCPE и
настройки VNF.
Можно создавать сетевой сервис на устройстве uCPE, которое находится в состоянии Отключено.
В этом случае оркестратор отслеживает доступность устройства uCPE и создает сетевой сервис в
момент, когда VIM начинает отвечать на API-запросы.
При создании сетевого сервиса вам нужно выбрать VIM для развертывания VNF. Можно выбрать
VIM в ЦОД, который привязан к тенанту, или VIM на устройстве uCPE. Если удалить устройство
uCPE из списка устройств CPE, то все сервисные цепочки, развернутые на этом устройстве, также
будут удалены.
При добавлении нового CPE устройства необходимо указать имя и DPID оборудования, задайте
статус устройства, выберите тенант, дата-центр и ранее добавленный шаблон. Также можно
указать расположение маршрутизатора.
После того, как новое устройство было добавлено в список CPE Inventory, можно переходить к
непосредственной настройке телеком оборудования. Подключение нового маршрутизатора
72
KL 004.2: Kaspersky SD-WAN. 4. Эксплуатация
[Subject]
Браузер сотрудника «в поле» подключается к CPE устройству, генерирует HTTP GET запрос, в
котором передаёт все необходимые для подключения параметры. Переданной таким образом
информации достаточно для того, чтобы обеспечить минимальную настройку CPE. Далее CPE
устройство подключается к оркестратору и синхронизирует полную конфигурацию.
Каждому добавленному CPE устройству можно поставить в соответствие несколько меток. Данные
метки могут быть использованы при построении partial mesh топологии, например, при
организации M2M транспортного сервиса, о котором более детально мы будем говорить дальше.
73
KL 004.2: Kaspersky SD-WAN. 4. Эксплуатация
[Subject]
После того, как устройство CPE подключается к контроллеру SD-WAN, оркестратор создает
сервисный интерфейс на порту mgmt CPE с типом инкапсуляции Access. Администратор может
указать номер этого порта в шаблоне CPE (по умолчанию порт имеет номер 1). Для настройки
шаблона CPE нужно перейти в раздел SD-WAN веб-интерфейса оркестратора, после чего перейти
в подраздел CPE шаблоны конфигурации. Оркестратор активирует устройство CPE и добавляет
сервисный интерфейс в сервис управления SD-WAN managementTunnel с ролью Leaf. Пример
подключения CPE к сервису SD-WAN management Tunnel представлен на слайде ниже.
74
KL 004.2: Kaspersky SD-WAN. 4. Эксплуатация
[Subject]
CPE устройства выполняют функции Leaf оборудования. На примере выше представлено только
одно CPE устройство. Но именно оно представляет «multipoint» часть. «Point» часть представляет
SD-WAN Gateway (основной и резервный).
Транспортный сервис P2P обеспечивает соединение между двумя точками в сети, между двумя
интерфейсами. Весь трафик, который попадает в один конец туннеля, будет отправлен через
другой.
В режимах P2M и M2M происходит обучение контроллера, строится мостовая таблица (таблица
коммутации).
По умолчанию сервисы P2P, P2M и M2M работают в L2 режиме. Решение Kaspersky SD-WAN
позволяет организовать также и L3 сервисы, занимающиеся передачей как одноадресатного
трафика (L3 VPN), так и многоадресатного, группового (IP Multicast).
75
KL 004.2: Kaspersky SD-WAN. 4. Эксплуатация
[Subject]
Рассмотрим параметры работы трёх наиболее востребованных транспортных сервисов: P2P, P2M
и M2M. Одинаковой опцией для всех трёх транспортных сервисов является поддержка
балансировки. Балансировка может работать в одном из трёх режимов: per-Flow, per-Packet или
Broadcast. В режиме per-Flow происходит распределение потоков по доступным каналам. Трафик,
относящийся к одному потоку, будет передан по одному каналу, если его параметры
удовлетворяют запрошенным параметрам качества обслуживания. В режиме балансировки per-
Packet пакеты последовательно отправляются в различные каналы. Трафик, относящийся к
одному потоку, может передаваться по разным доступным путям, если качество соответствующих
каналов удовлетворяет запрошенным параметрам QoS. В режиме Broadcast именно балансировки
не происходит – трафик дуплицируется и передаётся в нескольких экземплярах по всем
доступным каналам. Данный режим необходим для работы функции обеспечения
отказоустойчивости (packet duplication).
Для транспортных сервисов P2M и M2M можно выбрать один из двух режимов обучения: «learn
and flood», либо «learn and drop». При работе в режиме «learn and drop» сервис будет отбрасывать
Ethernet кадры, MAC-адрес получателя которых отсутствует в таблице коммутации. Режим «learn
and flood» больше похож на поведение стандартного коммутатора: если адрес получателя
отсутствует в таблице коммутации, то производится «широковещательная» рассылка данного
фрейма, то есть трафик обрабатывается как unknown unicast.
Правила обработки трафика при переполнении мостовой таблицы задаёт опция «Переполнение
MAC-таблицы». Здесь возможны два варианта поведения оборудования: Flood или Drop. В режиме
Flood трафик рассылается «широковещательно», то есть такие фреймы трактуются как unknown
unicast. В режиме Drop система будет отбрасывать соответствующие фреймы.
Для транспортного сервиса P2M уникальна опция «Transport service work mode», позволяющая
сервису работать либо в классическом режиме, либо назначить один из интерфейсов как DFI
(Default Forwarding Interface). Транспортный сервис P2M не будет обучаться на фреймах,
приходящих через этот интерфейс, но при этом все кадры, получатель которых отсутствует в
76
KL 004.2: Kaspersky SD-WAN. 4. Эксплуатация
[Subject]
Для пути определены два типа состояний: административное и фактическое (текущее). Решение
Kaspersky SD-WAN поддерживает следующие типы транспортных путей:
Для отдельного канала можно указать параметры SLA (Service Layer Agreement). Требуется
выбрать созданное ограничение при создании транспортного сервиса, который должен
77
KL 004.2: Kaspersky SD-WAN. 4. Эксплуатация
[Subject]
Кроме переключения трафика на другой канал при достижении пороговых значений, система
позволяет выбирать конкретный канал для трафика определённых приложений.
78
KL 004.2: Kaspersky SD-WAN. 4. Эксплуатация
[Subject]
Разделение трафика разных приложений по разным каналам целесообразно, так как у каждого
приложения свои требования к каналам (полоса пропускания, задержка и её вариация, процент
потерянных пакетов).
79
KL 004.2: Kaspersky SD-WAN. 5. Обслуживание
[Subject]
5. Обслуживание
5.1 Zabbix
Для мониторинга CPE используется внешняя система мониторинга Zabbix, которая включает в
себя сервер Zabbix и серверы ZabbixProxy, устанавливаемые в каждом ЦОД (DC). За мониторинг
конкретной CPE отвечает сервер ZabbixProxy, привязанный к ЦОД, где развёрнут сервис SD-WAN,
к которому подключена данная CPE. Для сбора статистики ZabbixProxy использует сеть
управления P2M SD-WAN Management.
5.2 Troubleshooting
Процесс поиска неисправностей и их причин часто сравнивают с игрой или искусством: человек
тренируется, зарабатывает опыт, вырабатывает собственный стиль. От раза к разу проверки
80
KL 004.2: Kaspersky SD-WAN. 5. Обслуживание
[Subject]
становятся всё более сложными, нестандартными, изощрёнными. Но что, если до уровня мастера
ещё далеко, а обнаружить и локализовать проблему нужно прямо сейчас? Мы предлагаем
небольшой скрипт, который поможет на начальных этапах знакомства с продуктом. С его помощью
инженер сможет не только найти неисправность, но и глубже понять принципы взаимодействия
основных компонентов решения Kaspersky SD-WAN. Каждый компонент выполнен в виде
отдельного Docker-контейнера.
81
KL 004.2: Kaspersky SD-WAN. 5. Обслуживание
[Subject]
82
KL 004.2: Kaspersky SD-WAN. 5. Обслуживание
[Subject]
На слайде выше представлен пример, когда www контейнер доступен и работает, а проблема
находится где-то ещё. В такой ситуации браузер отобразит страничку, выдаваемую веб-сервером
NGINX, установленным в контейнере www.
83
KL 004.2: Kaspersky SD-WAN. 5. Обслуживание
[Subject]
На слайде выше представлен пример Docker-хоста, на котором один из процессов был только что
перезагружен, что потенциально может указывать на проблему.
84
KL 004.2: Kaspersky SD-WAN. 5. Обслуживание
[Subject]
Если настройки кластера контроллеров в самой системе выполнены правильно, то далее нужно
проверить наличие виртуальных машин или docker-контейнеров, на которых развёрнуты
контроллеры SD-WAN. Важно также убедиться в том, что все нужные порты проброшены до
контейнера, а сам контейнер контроллера запущен с корректными параметрами.
85
KL 004.2: Kaspersky SD-WAN. 5. Обслуживание
[Subject]
86
KL 004.2: Kaspersky SD-WAN. 5. Обслуживание
[Subject]
87
KL 004.2: Kaspersky SD-WAN. 5. Обслуживание
[Subject]
88
KL 004.2: Kaspersky SD-WAN. 5. Обслуживание
[Subject]
89
KL 004.2: Kaspersky SD-WAN. 5. Обслуживание
[Subject]
После того, как проблема была обнаружена и исправлена, CPE устройство смогло успешно
подключиться к контроллеру. Обратите внимание, теперь используется обычное TCP-соединение
без шифрования.
90
KL 004.2: Kaspersky SD-WAN. 5. Обслуживание
[Subject]
Kaspersky SD-WAN, например, на стороннем Zabbix-сервере, где может быть настроена отправка
уведомлений о возникновении критических инцидентов на сети.
91