SD-WAN – Überblick
Einfach ausgedrückt bezieht sich softwaredefiniertes WAN (SD-WAN) auf die Anwendung von SDN-Prinzipien (Software-Defined Networking) auf das WAN. In SD-WAN kann der Pfad für den Anwendungsdatenverkehr dynamisch gesteuert und anhand bestimmter SLA-Kriterien (Service Level Agreement) ausgewählt werden. So können Sie mit SD-WAN den besten Pfad für den Datenverkehr einer Anwendung identifizieren und den Datenverkehr dann auf diesem Pfad weiterleiten.
Laut Gartner hat SD-WAN die folgenden Merkmale:
Unterstützung für mehrere WAN-Verbindungstypen (wie MPLS, Internet, LTE) gleichzeitig.
Möglichkeit zur dynamischen Auswahl des Datenverkehrspfads, was eine Lastausgleichung des Datenverkehrs über WAN-Verbindungen ermöglicht.
Simplifizierte Verwaltung und Überwachung von WANs.
Unterstützung für VPNs und andere Services von Drittanbietern, wie Gateways und Firewalls.
CSO unterstützt die folgenden SD-WAN-Servicetypen für einen Standort:
Sichere SD-WAN-Grundlagen – Bietet die grundlegenden SD-WAN-Services. Dieser Service ist ideal für kleine Unternehmen, die ein vereinfachtes Netzwerkmanagement und umfassende NGFW-Sicherheitsservices an den Zweigstellen suchen. Der SERVICE SD-WAN Essentials ermöglicht einen lokalen Breakout des Internetverkehrs und vermeidet so die Notwendigkeit, den Webdatenverkehr über kostspielige VPN- oder MPLS-Verbindungen zu backhaulen. Dieser Service unterstützt Funktionen wie absichtsbasierte Firewall-Richtlinien, VERWALTUNG und Steuerung von WAN-Verbindungen, CSO-gesteuertes Routing zwischen Standorten, die über statische VPN verbunden sind, und Die Kommunikation von Standort zu Standort über MPLS oder Internetverbindungen. Ein Mandant mit dem SD-WAN Essentials-Servicelevel kann nur SD-WAN Essentials-Standorte erstellen.
Hinweis:Sie können die SD-WAN-Servicelevel eines Mandanten von SD-WAN Essentials auf SD-WAN Advanced aktualisieren, indem Sie die Mandanteninformationen im CSO-Verwaltungsportal bearbeiten, vorausgesetzt, Sie haben die entsprechende Lizenz erworben.
Secure SD-WAN Advanced – Bietet den vollständigen SD-WAN-Service. Alle Standorte des Mandanten mit Secure SD-WAN Advanced Service sind in Full-Mesh- oder Hub-and-Spoke-Topologie verbunden. Der SD-WAN Advanced Service umfasst die Grundlagen von SD-WAN.
Hinweis:SD-WAN-Sites auf CSO Version 5.4 oder früheren Versionen werden als SD-WAN Advanced-Sites behandelt. Sie können das SD-WAN-Servicelevel eines Mandanten nicht von "SD-WAN Advanced" auf "SD-WAN Essentials" herunterstufen.
Zweigstellenmanagement ohne und mit SD-WAN
Abbildung 1 zeigt eine Topologie, in der eine Zweigstelle ohne SD-WAN verwaltet wird. In diesem Szenario behält der Service Provider (SP) das Quality-of-Service-enabled-Netzwerk (QoS-fähig) und die Zweigstelle bei und verwaltet den Datenverkehr (einschließlich Routenankündigungen) und VPN. In Abbildung 1 gibt der Bereich, der durch die schattierten Rechtecke begrenzt ist, das an, was der Service Provider verwaltet und verwaltet.
Der Zweigstellenkunde sendet Datenverkehr, der über eine der beiden redundanten Links an einen der beiden Provider Edge (PE)-Router geleitet wird, wo der Datenverkehr innerhalb der VRF-Instanz (Virtual Routing and Forwarding) weitergeleitet wird. In der Regel werden die PE-Router im aktiv-backup-Modus (für Redundanz) konfiguriert, bei dem der Datenverkehr nur über einen Router zu einer bestimmten Zeit fließt. Der PE-Router erstellt Warteschlangen für den Datenverkehr und die Warteschlangen werden innerhalb des QoS-fähigen MPLS-Netzwerks für diesen Zweigstellenkunden respektiert. Darüber hinaus kann die Bandbreite für Anwendungen reserviert werden, die eine garantierte Bandbreite benötigen. Optional kann der Service Provider zusätzliche Mehrwertdienste bereitstellen, bei denen der Datenverkehr mit differenzierten DSCP-Werten (Services Code Point) markiert wird und die DSCP-Werte im Downstream im Netzwerk eingehalten werden.
Abbildung 2 zeigt die Topologie für die Verwaltung einer Zweigstelle mit SD-WAN. In diesem Szenario stellt der Service Provider den PE-Router und das MPLS-Netzwerk bereit und kann der Provider für das Internetnetzwerk sein. Das Unternehmen hat jedoch die Möglichkeit, ein anderes Netzwerk (z. B. Breitband-Internet) hinzuzufügen, anstatt das Netzwerk des Service Providers zu verwenden, und das Unternehmen kann die CPE-Geräte (Customer Premises Equipment) verwalten.
Um ein VPN aufzubauen, muss der Datenverkehr durch die verschiedenen Netzwerke getunnelt werden. Anstatt also Datenverkehr durch das Underlay zu senden, verwenden Sie das Underlay, um Tunnel durch die Netzwerke zum nächsten Element (Node) zu bauen. Um den Datenverkehrspfad dynamisch auszuwählen, müssen Sie über eine anwendungsorientierte (auch App-aware) Datenverkehrssteuerung verfügen, die die Anwendung identifiziert, den Tunnel (Pfad), in dem sich der Datenverkehr befindet, überwacht und entscheidet, auf welchem Tunnel der Datenverkehr gesendet werden soll. Wenn sich ein Tunnel verschlechtert, kann der SD-WAN-Controller den Datenverkehr in einen anderen Tunnel verschieben. Im SD-WAN-Szenario sind beide Tunnel gleichzeitig aktiv.
Deshalb quetschen Sie den Datenverkehr im SD-WAN-Szenario nicht in Warteschlangen. Stattdessen identifizieren Sie den Datenverkehr und wählen den Tunnel aus, in dem der Datenverkehr gesendet werden soll. Services, die im gesamten Netzwerk bereitgestellt werden (z. B. Routenreflektion), können nach oben verschoben werden, wie in Abbildung 2 dargestellt.
Bei der Zweigstellenverwaltung mit SD-WAN können Sie bei Bedarf redundante PE-Router in der Topologie haben. (Dies ist in Abbildung 2 nicht dargestellt.)
SD-WAN-Overlay-Tunnel
In SD-WAN sind die Overlay-Tunnel (siehe Abbildung 3) transportunabhängig, was bedeutet, dass sie unabhängig von der zugrunde liegenden Transporttechnologie (wie MPLS oder Internet) des Netzwerks aufgebaut sind. Tunnel werden basierend auf den IP-Adressen erstellt, die den WAN-Schnittstellen zugewiesen sind, und können zwischen einer Spoke (Zweigstelle) und einer anderen oder zwischen einem Spoke und einem Hub (Hauptsitz) liegen.
In CSO können Sie GRE-Tunnel oder GRE-Tunnel mit IPsec für zusätzliche Sicherheit erstellen. Wenn CSO die Anwendung identifiziert, erstellt es interne DSCP-Markierungen, die in den externen Tunnel geschrieben werden, damit die Weiterleitungswarteschlangen, die im externen Netzwerk vorhanden sein könnten, eingehalten werden.
In CSO bezieht sich der Begriff MPLS auf einen QoS-entwickelten Pfad und wird zur Bezeichnung des Netzwerks verwendet. Daher erstellt CSO keine MPLS-Frames auf dem Underlay und erstellt nur Ethernet-Frames.
High-Level SD-WAN-Architektur
Abbildung 4 zeigt ein Beispiel für eine übergeordnete SD-WAN-Architektur. Es gibt zwei Zweigstellen, die mit SD-WAN-Gateways (auch spokes oder CPE-Geräte genannt) verbunden sind, und ein zentraler Standort (Hauptsitz), der mit einem anderen SD-WAN-Gateway verbunden ist, bei dem es sich um ein Hub-Gerät handelt. Darüber hinaus steuert ein SD-WAN-Controller die SD-WAN-Gateways über eine einzige Benutzeroberfläche, verwaltet die Geräte, die Erstellung von Tunneln usw.
Abbildung 5 zeigt, wie SD-WAN mithilfe von CSO in einer Topologie mit einer Zweigstelle und einem Hub-Standort angewendet wird. CSO erstellt einen Tunnel für die WAN-Verbindungen, die über das MPLS-Netzwerk gehen, und einen zweiten Tunnel für die WAN-Verbindungen, die über das Internet gehen. Wenn Sie SD-WAN konfigurieren, können Sie sicherstellen, dass geschäftskritische Anwendungsdaten über den MPLS-Link (zuverlässiger und sicherer Pfad) und die nicht geschäftskritischen Anwendungsdaten über den Internet-Link gesendet werden (best-effort, non-secure Path).
Zusätzliche Informationen
Weitere Informationen zu CSO SD-WAN finden Sie im Video zu Contrail SD-WAN– 15 Funktionen in 15 Minuten .