SUR CETTE PAGE
Architectures de déploiement Contrail SD-WAN
Une implémentation SD-WAN offre un moyen flexible et automatisé d’acheminer le trafic d’un site à un autre. Comme illustré sur la Figure 1, une architecture SD-WAN de base ne comprend que quelques éléments de base
Plusieurs sites
Connexions multiples entre les sites formant le réseau sous-jacent
Tunnels de superposition multiples
Un contrôleur
Le contrôleur SD-WAN, intégré à CSO, agit comme une couche d’orchestration et fournit une interface permettant à l’opérateur de configurer et de gérer les équipements sur les sites.
Architecture de référence Contrail SD-WAN
L’architecture de la solution Contrail SD-WAN de Juniper Networks, illustrée sur la Figure 2 , utilise une topologie en étoile, les équipements CPE étant situés sur les sites distants des clients. Sur la partie locale du site, les équipements CPE se connectent aux segments LAN et participent à des protocoles de routage dynamique avec d’autres périphériques LAN. Du côté du WAN, les équipements CPE se connectent via au moins deux liaisons à un équipement hub du fournisseur. Le modèle SD-WAN utilisant une topologie en étoile, le trafic transite d’un site à l’autre par le hub du fournisseur. Par défaut, le trafic à destination d’Internet transite également par l’équipement du hub du fournisseur.
de référence de Contrail SD-WAN
Les fonctions d’orchestrateur et de contrôleur SD-WAN sont implémentées via le logiciel Contrail Service Orchestration (CSO) de Juniper Networks. La plate-forme CSO utilise des stratégies et des paramètres SLA pour différencier et diriger les flux de trafic sur les chemins disponibles comme vous le souhaitez.
Les sections suivantes décrivent ces éléments architecturaux plus en détail.
Appareils en rayon
Dans le modèle SD-WAN, l’équipement CPE sur la succursale d’une entreprise cliente agit comme un appareil en étoile. L’appareil joue également le rôle de routeur de passerelle, fournissant une connectivité entre le site de la filiale et d’autres sites du réseau locataire et Internet. Il existe deux types d’appareils spoke : les appareils spoke sur site et les périphériques spoke cloud.
Appareils spoke sur site
Les spoke devices sur site peuvent être des équipements NFX Series ou des pare-feu SRX Series spécifiques.
Plate-forme de services réseau NFX Series
Une plate-forme de services réseau NFX Series utilisée comme équipement spoke sur site peut héberger une gamme de VNF multifournisseurs, prendre en charge le chaînage de services et être gérée par un logiciel d’orchestration dans le cloud. Les équipements NFX Series éliminent la complexité opérationnelle liée au déploiement de plusieurs équipements réseau physiques sur le site d’un client et offrent une amélioration substantielle par rapport aux équipements CPE traditionnels à fonction unique.
L’un des VNF clés pris en charge sur la plate-forme NFX Series est le pare-feu virtuel pare-feu virtuel vSRX. Dans la solution Contrail SD–WAN, l’instance du pare-feu virtuel vSRX, dotée de fonctionnalités de routage et de commutation, assure la fonction de routeur de passerelle. Il fournit également les mêmes services de sécurité riches en fonctionnalités que les pare-feu SRX Series standard. Le tableau 1 présente le matériel NFX Series que vous pouvez implémenter en tant qu’équipement spoke sur site.
Le NFX150 intègre un pare-feu SRX qui remplace la fonctionnalité de pare-feu virtuel vSRX que l’on trouve sur les autres équipements NFX Series.
Plateforme |
Modèles pris en charge |
|---|---|
Plate-forme de services réseau NFX150 |
|
Plate-forme de services réseau NFX250 |
|
Équipements SRX Series et pare-feu virtuels pare-feu virtuel vSRX
Un dispositif de sécurité SRX Series physique peut être utilisé à la place de la plate-forme NFX Series pour fournir la fonction de routeur de passerelle, tout comme une instance de pare-feu virtuel vSRX installée sur un serveur. Le tableau 2 présente le matériel SRX et les pare-feu virtuels pare-feu virtuel vSRX que vous pouvez implémenter en tant que périphériques spoke sur site.
Plateforme |
Modèles pris en charge |
|---|---|
SRX Series |
|
Pare-feu virtuel vSRX Pare-feu virtuels |
Pare-feu virtuel vSRX Pare-feu virtuel vSRX 3.0 |
Pour obtenir les informations les plus récentes sur la prise en charge matérielle et logicielle de CSO, consultez les notes de mise à jour de Contrail Service Orchestration.
Appareils spoke dans le cloud
Un équipement Contrail SD-WAN en étoile sur le cloud, sous la forme d’un pare-feu virtuel vSRX, peut être situé dans un VPC AWS. Le pare-feu virtuel vSRX joue le rôle de périphérique en étoile dans le cloud. Une fois que le point de terminaison est en ligne, il agit comme n’importe quel autre périphérique spoke.
Redondance des rayons
Deux périphériques CPE redondants peuvent être utilisés sur les sites spoke pour se protéger contre les défaillances d’équipements et de liaisons. Pour plus d’informations, consultez la section Résilience et haute disponibilité. du Guide de conception et d’architecture de Contrail SD-WAN.
Appareils du Provider Hub
La solution Contrail SD-WAN prend en charge deux topologies de déploiement (abordées plus loin dans ce guide) : le maillage dynamique et le réseau en étoile. Dans un déploiement de maillage dynamique, chaque site dispose d’un équipement CPE qui se connecte aux autres sites et à l’équipement du hub d’entreprise. Dans un déploiement en étoile, il y a au moins un équipement hub fournisseur et un ou plusieurs équipements spoke.
Le concentrateur du fournisseur termine les tunnels MPLS/GRE et IPsec des périphériques spoke.
Hubs de fournisseurs
Dans un environnement de fournisseur de services (SP), le fournisseur de services héberge un équipement du concentrateur du fournisseur sur son réseau. L’équipement du concentrateur du fournisseur fait office de point de présence (POP) ou de point de connexion. Il s’agit généralement d’un équipement partagé, fournissant une fonctionnalité de hub à plusieurs clients (locataires) grâce à l’utilisation d’instances VRF (Virtual Routing and Forwarding Instances). L’administrateur du fournisseur de services et l’administrateur OpCo peuvent tous deux gérer l’équipement du concentrateur du fournisseur.Pour CSOaaS, le rôle d’administrateur SP est exercé par Juniper Networks en tant qu’utilisateur cspadmin (ou équivalent). Le rôle d’administrateur OpCo peut être attribué à un utilisateur par l’administrateur SP, mais l’administrateur OpCo ne dispose pas des privilèges d’administrateur SP.Le Tableau 3 répertorie les concentrateurs du fournisseur pris en charge dans un environnement SD-WAN CSO.
Rôle |
Types d’appareils pris en charge |
|---|---|
Hub de fournisseurs |
|
Pour obtenir les informations les plus récentes sur la prise en charge matérielle et logicielle de CSO, consultez les notes de mise à jour de Contrail Service Orchestration.
Redondance du Provider Hub
Il est possible d’utiliser deux concentrateurs redondants au niveau d’un point de présence afin d’éviter les défaillances d’appareils et de liaisons, et d’assurer le multihébergement en amont des sites en étoile. Pour plus d’informations, consultez la rubrique Résilience et haute disponibilité de ce guide.
Sites et appareils du hub d’entreprise
Un type spécial de périphérique spoke, appelé équipement de hub d’entreprise, peut être déployé en tant que CPE sur un site spoke local. Les équipements SRX1500, SRX4100 et SRX4200 peuvent remplir cette fonction. Le site spoke qui fonctionne de cette façon doit être configuré en tant que site hub d’entreprise lors de la création du site. La création d’un site hub d’entreprise ouvre des fonctionnalités supplémentaires pour le site :
Peut servir de point d’ancrage pour les communications de site à site sur le réseau du client.
Peut faire office de nœud de breakout central pour le réseau du client.
Offre un département spécialisé appelé le département des centres de données.
Prend en charge les segments LAN dynamiques du centre de données avec importation de routes BGP et OSPF, y compris les routes par défaut, à partir de l’équipement de couche 3 côté LAN.
Permet aux profils de répartition basés sur l’intention de créer un comportement de répartition granulaire en fonction du service, de l’application, du site, etc.
Dans un environnement d’entreprise, le hub d’entreprise appartient au client (locataire) et se trouve généralement dans un centre de données d’entreprise. Seuls les sites spoke du client peuvent se connecter à l’équipement du hub d’entreprise. Les administrateurs OpCo et les administrateurs de locataires peuvent gérer le hub d’entreprise. Le Tableau 4 répertorie les équipements du hub d’entreprise pris en charge dans un environnement SD-WAN CSO.
Rôle |
Types d’appareils pris en charge |
|---|---|
Hub d’entreprise |
|
Pour obtenir les informations les plus récentes sur la prise en charge matérielle et logicielle de CSO, consultez les notes de mise à jour de Contrail Service Orchestration.
Réseau sous-jacent (physique)
Le réseau sous-jacent comprend la connectivité physique entre les équipements de l’environnement SD-WAN. Cette couche du réseau n’a aucune connaissance des segments LAN des clients, elle assure simplement l’accessibilité entre les équipements sur site.
La figure 3 montre un exemple de réseau sous-jacent pour un déploiement SD-WAN en étoile (les détails s’appliquent également à une configuration de maillage dynamique). Chaque site spoke dispose généralement de plusieurs chemins d’accès au site du hub ; dans ce cas, l’un via le cloud MPLS privé et l’autre via Internet.
sous-jacent SD-WAN
Chaque équipement (ou site) sur site peut avoir jusqu’à quatre liaisons WAN, y compris une liaison satellite pouvant être utilisée pour l’OAM. Lors de la configuration, CSO identifie les interfaces WAN des équipements comme étant WAN_0 à WAN_3.
Notez que :
Les interfaces WAN peuvent être étiquetées VLAN ou non, selon les exigences de conception.
Les interfaces Internet des appareils sur site peuvent être rattachées à différents réseaux de fournisseurs de services.
Options d’accès au WAN
Chaque type d’accès WAN répertorié ci-dessous peut être utilisé pour le trafic ZTP, de données ou OAM. Toutes les liaisons peuvent être exploitées simultanément pour le trafic de données.
MPLS (en anglais)
Ethernet
Le LTE
Note:Accès WAN LTE pris en charge à l’aide d’un dongle sur les équipements NFX250 Series.
Accès WAN LTE pris en charge à l’aide d’une interface intégrée sur les équipements NFX150 Series.
Prise en charge de l’accès WAN LTE à l’aide d’un mini-PIM dans l’emplacement 1 des équipements SRX300 Series.
Toutes les interfaces LTE mentionnées précédemment sont prises en charge pour le ZTP.
Uniquement pris en charge pour les déploiements SD-WAN en étoile avec un seul CPE.
Les déploiements NAT à cône complet et restrictifs sont pris en charge.
Les configurations CPE doubles ne sont pas prises en charge.
Les paramètres APN LTE peuvent être localisés pour la région d’installation pendant le processus ZTP.
ADSL/VDSL (prise en charge ADSL/VDSL des liaisons WAN et ZTP sur les équipements NFX Series à partir de CSO version 4.0.0, et prise en charge ADSL sur la gamme SRX300 de passerelles de services à partir de CSO version 5.2.0.)
Large bande
MPLS et haut débit
Liaison satellite
Types d’interfaces WAN - Données et OAM
Les interfaces WAN sont principalement utilisées pour envoyer et recevoir du trafic utilisateur (données). Au moins une des interfaces WAN doit également être utilisée pour le trafic de gestion (OAM). L’interface OAM est utilisée pour communiquer avec CSO et permet à CSO de gérer l’équipement local.
La Figure 4 illustre ces deux types d’interfaces.
d’interfaces WAN
Notez que :
L’interface OAM de l’appareil local doit pouvoir atteindre CSO. La connectivité peut être fournie strictement à l’aide de réseaux overlay orchestrés par CSO. Pour cela, vous n’avez pas besoin d’une connectivité réseau sous-jacente préexistante. À partir de la version 5.0.1 de CSO, CSO sélectionne automatiquement une adresse IP pour l’interface OAM de l’appareil local. Cela garantit que l’adresse est unique dans l’ensemble du déploiement CSO et évite les erreurs humaines.
Pour garantir une communication sécurisée sur le WAN, l’équipement sur site initie la connexion à CSO.
Les connexions initiées par l’appareil peuvent fonctionner sur des périphériques NAT intermédiaires.
L’interface utilisateur-données OAM peut utiliser une seule adresse IP pour les deux fonctions.
Réseau de superposition (tunnels)
Le réseau superposé comprend la connectivité du tunnel logique entre les équipements de l’environnement SD-WAN. Cette couche du réseau connaît les segments LAN des clients et est chargée de transporter le trafic des clients entre les sites.
La figure 5 illustre un réseau superposé pour un environnement en étoile. Chaque site spoke dispose de deux tunnels pour acheminer le trafic vers le site central : l’un via le cloud MPLS privé et l’autre via Internet.
de réseau SD-WAN en étoile
Les tunnels disposent de deux options d’encapsulation : MPLSoGRE ou MPLSoGREoIPsec. CSO provisionne et établit automatiquement ces tunnels dans le cadre du processus de déploiement.
Topologies de déploiement de superposition
La solution SD-WAN prend en charge les topologies de déploiement en étoile ou de maillage dynamique. Une topologie de maillage dynamique est similaire à une topologie de maillage complet, dans laquelle chaque site est capable de se connecter directement à n’importe quel autre site. Mais avec le maillage dynamique, les connexions (tunnels) sont mises en place à la demande, ce qui réduit la charge continue sur un site donné. Un seul locataire peut prendre en charge à la fois les topologies en étoile et les topologies de maillage dynamique.
Hub and Spoke
Avec la topologie en étoile, tous les sites en étoile sont connectés à au moins un site de hub, comme illustré sur la Figure 6. Les sites spoke ne peuvent pas communiquer directement avec d’autres sites spoke.
en étoile du SD-WAN
Les hubs utilisés peuvent être des hubs fournisseurs ou des hubs d’entreprise. Lorsqu’un site hub d’entreprise est utilisé, le hub fournisseur (le cas échéant) est utilisé comme sauvegarde uniquement. Cette topologie est privilégiée lorsque les applications et les services sont centralisés sur le site du hub.
Dynamic Mesh
Grâce à la topologie de maillage dynamique, des tunnels de superposition entre les sites participants permettent aux sites de communiquer directement entre eux, comme illustré sur la Figure 7. Bien que la figure montre la connexion DATA_AND_OAM sur la liaison MPLS, WAN_0, cette fonction peut être exécutée sur les liaisons MPLS ou Internet.
Cette topologie est idéale pour les déploiements où les applications et les services ne sont pas centralisés.
Les topologies en étoile et de maillage intégral nécessitent d’ajouter une superposition de réseau OAM sécurisée, et donc un hub OAM, au déploiement.
Lorsque des spoke sont ajoutés à une topologie de maillage dynamique, l’administrateur qui configure les sites doit attribuer une balise de maillage à chaque interface WAN. Seuls deux appareils avec des balises de maillage correspondantes peuvent établir la connexion VPN pour permettre la communication. Les interfaces avec des balises de maillage incompatibles ne peuvent jamais communiquer directement.
Orchestration et contrôle
Les fonctions d’orchestration et de contrôleur sont mises en œuvre via le logiciel Contrail Service Orchestration (CSO) de Juniper. Comme illustré sur la Figure 8, le logiciel CSO offre une interface utilisateur Web pour gérer l’environnement SD-WAN. La figure 8 est un exemple d’image et le numéro de version CSO qui y figure n’est fourni qu’à titre de référence.
de connexion CSO
La couche d’orchestration des services contient l’orchestrateur de services réseau (NSO). Le logiciel d’orchestration offre une vue globale de toutes les ressources et permet la gestion des locataires, offrant ainsi une orchestration, une visibilité et une surveillance du trafic de bout en bout. La couche d’orchestration de domaine contient le contrôleur de service réseau (NSC). Le logiciel d’orchestration fonctionne de concert avec le contrôleur pour gérer les équipements sur site (CPE) et fournir des fonctionnalités de gestion de la topologie et du cycle de vie CPE.
Au niveau de l’utilisateur, CSO fournit l’interface pour déployer, gérer et surveiller les équipements du réseau SD-WAN via le NSC. Au niveau du réseau, NSC inclut un vRR qui permet à chaque site d’annoncer ses routes locales vers les sites distants.
Réseau OAM sécurisé
Les déploiements SD-WAN incluent un réseau overlay OAM sécurisé pour fournir des communications sécurisées de bout en bout entre les équipements sur site et CSO. Pour les CSOaaS, cela est automatiquement fourni dans le cadre du service.
Comme illustré sur la Figure 9, des tunnels OAM dédiés chiffrés IPsec permettent aux équipements sur site d’envoyer du trafic de gestion, de routage et de journalisation en toute sécurité sur le réseau vers un hub de fournisseurs. Le hub fournisseur transfère ensuite le trafic à CSO.
- Intégration avec les topologies de déploiement
- Options de conception du hub OAM
- Notes d’utilisation sur les options de conception de Provider Hub
Intégration avec les topologies de déploiement
Les topologies de déploiement en étoile et de maillage dynamique doivent utiliser des tunnels OAM sécurisés.
Étoile
Grâce à la topologie en étoile, chaque site spoke dispose désormais de deux ensembles de connexions au site du hub fournisseur : un tunnel overlay dédié transportant les données et un tunnel overlay IPsec dédié distinct achetant le trafic OAM (comme illustré sur la Figure 10).
en étoile
Maillage dynamique
Étant donné qu’une topologie de maillage complet normale n’inclut pas de périphérique central pour le trafic de données, il faut en ajouter un. Comme illustré sur la Figure 11, chaque site spoke dispose d’une nouvelle connexion : un tunnel overlay IPsec dédié et distinct qui achemine le trafic OAM vers le hub du fournisseur.
de maillage complet
Options de conception du hub OAM
Il existe deux façons d’implémenter le hub OAM dans un déploiement CSO local, en fonction des exigences de conception. Comme illustré sur la Figure 12, les options sont les suivantes :
Les tunnels de données et OAM se terminent sur le même équipement hub du fournisseur : il s’agit d’une bonne option pour les petits déploiements, où l’équipement central unique peut gérer à la fois les données et le trafic OAM.
Les tunnels de données et OAM se terminent sur des périphériques de hub de fournisseur distincts : cette option peut être utile pour les déploiements plus importants où les ressources de l’équipement de hub principal sont nécessaires pour desservir les tunnels de superposition transportant le trafic de données ; un deuxième concentrateur peut être utilisé pour terminer les tunnels OAM.
Figure 12 : Tunnels OAM - Options
de conception du hub fournisseur
Pour les CSOaaS, le hub OAM est fourni dans le cadre du service.
Toutefois, un administrateur OpCo peut déployer un hub DATA_ONLY ou OAM_AND_DATA. Dans le cas d’un hub DATA_ONLY, le hub DATA dispose d’un tunnel sécurisé IPsec vers le OAM_HUB. Dans le cas d’un hub OAM_AND_DATA, l’administrateur OpCo est tenu de configurer la connexion sécurisée IPsec entre le OAM_AND_DATA HUB et CSO.
Notes d’utilisation sur les options de conception de Provider Hub
Un hub OAM peut prendre en charge plusieurs locataires ou être dédié à un seul locataire.
La connectivité entre le ou les hubs fournisseurs et CSO doit être privée et sécurisée, car elle n’est pas couverte par les tunnels OAM.
Nous vous recommandons d’implémenter plusieurs hubs OAM à des fins de redondance et pour garantir l’absence de perte de gestion ou de surveillance des équipements locaux.
Pour les CSOaaS, la redondance du hub OAM fait partie du service.
Lorsqu’un site spoke est multi-hébergé sur plusieurs hubs, un tunnel OAM doit se terminer sur chaque hub.
Les appareils sur site utilisant NAT sont pris en charge pour les déploiements en étoile.
Zero-Touch Provisioning (ZTP)
L’une des principales caractéristiques de la solution Contrail SD-WAN est la possibilité de « brancher et jouer » de nouveaux périphériques à rayons à l’aide de la fonction ZTP (auto-installation). Voici une liste générale des étapes effectuées pendant le ZTP :
Si vous implémentez la version locale de CSO, vous devez ajouter le certificat SSL CSO approprié au serveur de redirection avant d’exécuter ZTP.
Note:Si vous déployez la version cloud de CSO, Juniper Networks configure le serveur de redirection pour vous.
Lorsqu’un périphérique spoke est mis en ligne pour la première fois, il utilise un serveur DHCP local pour obtenir une adresse IP et des informations sur le serveur de noms.
Le périphérique spoke contacte ensuite le serveur de redirection, qui fournit le nom DNS et le certificat pour l’installation de CSO.
Le périphérique spoke contacte ensuite le serveur CSO pour obtenir sa configuration initiale et la mise à jour du logiciel Junos OS (si nécessaire).
Les versions 4.1 et ultérieures de CSO incluent des améliorations qui réduisent la bande passante requise pour le ZTP à 2 Mbit/s.
Remarques d’utilisation pour ZTP
Au moins une des interfaces WAN de l’appareil doit obtenir son adresse IP à partir d’un serveur DHCP afin de se voir attribuer également un serveur de noms DNS et un chemin par défaut.
CSO et le serveur de redirection doivent tous deux être accessibles via la même interface WAN.
Le processus ZTP peut être exécuté à partir de n’importe quelle interface WAN sur l’équipement spoke, y compris une liaison satellite.
Le téléchargement de la configuration initiale peut prendre beaucoup de temps, en particulier sur les liaisons lentes, en raison de la taille de la configuration et du logiciel Junos OS.
Serveur de redirection
Le serveur de redirection est un serveur Internet, détenu et géré par Juniper, qui fait partie intégrante du processus ZTP. Le serveur permet à chaque périphérique spoke de localiser et de s’authentifier auprès de l’instance CSO qui lui a été désignée. Avec l’aide du serveur de redirection, le périphérique spoke peut contacter CSO et recevoir sa configuration initiale, y compris une mise à jour du logiciel Junos OS (si nécessaire).
Pour les déploiements sur site de CSO, l’administrateur configure les ports WAN sur les périphériques spoke pour qu’ils se connectent à la fois à Internet et au serveur de redirection. Pour les CSO hébergés dans le cloud, Juniper Networks s’occupe de cette configuration pour vous.
Sur la Figure 13, le serveur de redirection et CSO sont tous deux situés sur Internet. L’appareil spoke obtient et utilise l’adresse IP et d’autres informations fournies via son interface Internet, et peut atteindre à la fois le serveur de redirection et le CSO via cette même interface WAN.
Chaînage de services dans Contrail SD-WAN
À partir de la version 4.0 de CSO, le chaînage de services est disponible pour les environnements SD-WAN. Le Modification du service est un concept dans lequel plusieurs services réseau instanciés dans un logiciel et exécutés sur du matériel x86 sont liés, ou enchaînés de manière de bout en bout. Ainsi, un seul appareil physique peut fournir les services normalement fournis par plusieurs équipements. Modification du service peut être effectuée sur NFX Series appareils, comme illustré à la Figure 14.
SD-WAN
À partir de la version 4.0 de CSO, les fonctions de réseau virtuel (VNF) tierces suivantes sont prises en charge : Fortigate-VM et Single-legged Ubuntu VM.
Actuellement, seul le mode VNF de couche 2 est pris en charge dans les chaînes de services SD-WAN.
Trois plans, quatre couches
Pour rassembler tous les éléments ci-dessus, l’architecture Contrail SD-WAN peut être pensée en trois plans, composés de quatre couches fonctionnelles :
Plan de données :
Comprend le réseau sous-jacent ; Fournit une connectivité physique
Comprend le réseau de superposition ; Fournit des tunnels pour le trafic de données des locataires
Plan de contrôle : inclut les protocoles de routage qui transitent par les tunnels OAM
Plan de gestion : inclut les tunnels de superposition pour le réseau OAM sécurisé
La figure 15 illustre ce concept.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.