MẠNG CISCO SD-WAN - Đồ án tốt nghiệp: NGHIÊN CỨU H- 123docz.net

2.1 Giới thiệu chung Cisco SD-WAN

2.1.1 Định nghĩa, chức năng và giải pháp Cisco SD-WAN

Software-define Wide Area Network (SD-WAN) là mạng diện rộng được điều khiển bởi phần mềm SDN (Software-Defined Networking). Công nghệ mạng SD-WAN giúp tối ưu việc quản lý, giám sát từ các phần cứng mạng và áp dụng chúng cho ứng dụng riêng để đạt được hiệu suất cao. Mạng SD-WAN đơn giản hóa việc quản trị và vận hành một hệ thống mạng diện rộng WAN bằng cách tách biệt phần cứng của mạng ra khỏi cơ chế điều khiển của nó.

Hình 2.1. Mơ hình so sánh giữa mạng SD-WAN và mạng WAN

SD-WAN hiện nay là sự lựa chọn của nhiều doanh nghiệp và các công ty phát triển. Khi các ứng dụng tiếp tục được chuyển sang dùng cloud, các kỹ sư mạng nhanh chóng nhận ra là các mạng WAN trùn thớng chưa bao giờ được thiết kế cho cloud.

Ngày nay, các ứng dụng apps không chỉ được host trong trung tâm dữ liệu của doanh nghiệp mà còn được host trong:

 On-premise data centers.

 Public hoặc private clouds.

 Các giải pháp SaaS chẳng hạn như Salesforce.com, Workday,

Office365, Box and Dropbox.

Khi so sánh và nhìn lại các giải pháp mạng diện rộng truyền thống với việc sử dụng các thiết bị định tuyến router, chúng ta thấy các giải pháp WAN truyền thống

không thân thiện với các giải pháp điện toán đám mây. Các lưu lượng mạng thường sẽ chảy từ chi nhánh đi ngược lên văn phòng chính HO, nơi có các chính sách về bảo mật của doanh nghiệp đang được áp dụng. Các router lúc này chỉ định tuyến lưu lượng mạng dựa trên địa chỉ TCP/IP. Độ trễ gây ra bởi cách định tuyến này dẫn đến tốc độ truy cập apps chậm và thiếu tính sáng tạo. Mợt sớ người dùng thường so sánh là các ứng dụng kinh doanh quan trọng của họ chạy nhanh hơn khi họ đang ở nhà hoặc khi họ dùng trên các thiết bị di động.

Giải pháp SDWAN dùng phần mềm và các chức năng điều khiển để điều hướng lưu lượng mạng trên WAN. Mơ hình SDWAN được thiết kế để hỗ trợ hồn toàn các ứng dụng được host trong các trung tâm dữ liệu, được host trong các đám mây và các giải pháp SaaS. Lý do của các ưu điểm này là SDWAN quản lý lưu lượng dựa trên khơng chỉ địa chỉ TCP/IP mà cịn dựa trên:

 Độ ưu tiên của lưu lượng mạng.

 Dựa trên chất lượng dịch vụ QoS.

 Các yêu cầu bảo mật tương ứng với các mơ hình kinh doanh.

Khi SDWAN gửi các lưu lượng mạng đi đến cloud như SaaS và IaaS thông qua Internet, các người dùng cuối sẽ nhận được chất lượng truy cập tốt nhất.

Khi so sánh và nhìn lại các giải pháp mạng diện rộng truyền thống với việc sử dụng các thiết bị định tuyến router, chúng ta thấy các giải pháp WAN truyền thống không thân thiện với các giải pháp điện toán đám mây. Các lưu lượng mạng thường sẽ chảy từ chi nhánh đi ngược lên văn phòng chính HO, nơi có các chính sách về bảo mật của doanh nghiệp đang được áp dụng. Các router lúc này chỉ định tuyến lưu lượng mạng dựa trên địa chỉ TCP/IP. Độ trễ gây ra bởi cách định tuyến này dẫn đến tốc độ truy cập apps chậm và thiếu tính sáng tạo. Mợt sớ người dùng thường so sánh là các ứng dụng kinh doanh quan trọng của họ chạy nhanh hơn khi họ đang ở nhà hoặc khi họ dùng trên các thiết bị di động.

Giải pháp SDWAN dùng phần mềm và các chức năng điều khiển để điều hướng lưu lượng mạng trên WAN. Mơ hình SDWAN được thiết kế để hỗ trợ hồn toàn các ứng dụng được host trong các trung tâm dữ liệu, được host trong các đám mây và các giải pháp SaaS. Lý do của các ưu điểm này là SDWAN quản lý lưu lượng dựa trên khơng chỉ địa chỉ TCP/IP mà cịn dựa trên:

 Độ ưu tiên của lưu lượng mạng.

 Dựa trên chất lượng dịch vụ QoS.

 Các yêu cầu bảo mật tương ứng với các mơ hình kinh doanh.

 Khả năng tự động điều chỉnh và tự động học của SDWAN

Bằng cách giám sát liên tục các ứng dụng và các tài nguyên WAN, mợt mạng SDWAN có thể điều chỉnh nhanh chóng khi các điều kiện mạng thay đởi để duy trì các hiệu quả ứng dụng cao nhất. Mạng SDWAN sẽ ảo hóa các dịch vụ truyền dẫn thường được dùng trong mạng diện rộng như MPLS, các dịch vụ Internet băng thông rộng và 4G/5G/LTE. Sau đó SDWAN sẽ xem các dịch vụ này như những tài nguyên mạng (resource pool). SDWAN cho phép tận dụng các kết nối băng thông rộng trong resource pool để truyền các lưu lượng của các apps.

 Vấn đề bảo mật

Các SDWAN controller thường sẽ được cài đặt trước các thông tin để các router chi nhánh muốn kết nối vào phải thực hiện xác thực. Các thông tin xác thực này sẽ đảm bảo là chỉ có những thiết bị đã xác thực mới có được quyền truy cập vào mạng trục SDWAN fabric. Thơng tin dùng để xác thực có thể dựa vào mã số serial no hoăc dựa vào các chứng thực điện tử. Sau mỗi lần xác thực thành công, các SDWAN controller sẽ thiết lập một đường hầm bảo mật dTLS đến từng router router. Ngoài ra, dữ liệu truyền giữa các mạng chi nhánh về văn phòng chính HO cũng được mã hóa. Mợt sớ hiện thực SDWAN cịn trang bị thêm tính năng tường lửa cho các router ở chi nhánh.

 Giao thức mới OMP

 Các router chi nhánh và SDWAN controller sẽ thiết lập quan hệ láng giềng trong giao thức OMP (Overlay Management Protocol OMP). OMP là mợt giao thức tựa như BGP, có thể quảng bá các routes, các giá trị next-hop, các khóa và các thơng tin chính sách cần thiết để duy trì mạng SDWAN. SDWAN controller sẽ xử lý các OMP route được học từ các router SDWAN ở các chi nhánh khác hoặc từ SDWAN controller để xác định các sơ đồ mạng và tính được đường đi tốt nhất đến mạng đích. Sau đó nó sẽ quảng bá các thông tin học được từ các router này đến các router khác.

 Chức năng nổi bật của SD-WAN

- Khả năng hội tụ nhanh: SD-WAN cung cấp khả năng linh hoạt làm giảm

thời gian ngừng mạng. Công nghệ phải có tính năng phát hiện thời gian thực của sự cố mất điện và tự động chuyển sang các liên kết khác hoạt động.

- Chất lượng dịch vụ: Công nghệ SD-WAN hỗ trợ chất lượng dịch vụ bằng

cách nhận thức mức ứng dụng, ưu tiên băng thông cho các ứng dụng quan trọng nhất. Điều này có thể bao gồm lựa chọn đường dẫn động, gửi ứng dụng trên liên kết nhanh hơn hoặc thậm chí tách ứng dụng giữa hai đường dẫn để cải thiện hiệu suất bằng cách phân phối nhanh hơn.

- Bảo mật: So với MPLS, SD-WAN hỗ trợ các công cụ bảo mật lớp để xác

thực, giám sát và mã hóa. Giao tiếp SD-WAN thường được bảo mật bằng IPsec , một ́u tớ bảo mật WAN.

- Tối ưu hóa ứng dụng: SD-WAN có thể cải thiện việc phân phối ứng dụng

bằng cách sử dụng bộ nhớ đệm, lưu trữ thông tin được truy cập gần đây trong bộ nhớ để tăng tốc độ truy cập trong tương lai.

- Quản lý tập trung: Quản lý đơn giản, sử dụng giao diện GUI thay vì CLI .

Các tính năng quản trị hữu ích khác bao gồm lựa chọn đường dẫn tự động, khả năng cấu hình trung tâm mỗi thiết bị đầu cuối bằng cách đẩy các thay đổi cấu hình ra và thậm chí là một phương pháp tiếp cận mạng được xác định phần mềm thực sự cho phép tất cả các thiết bị và thiết bị ảo được cấu hình tập trung dựa trên nhu cầu ứng dụng thay vì phần cứng cơ bản.

- Kỹ thuật chia tải trực tuyến: Với chế độ quản lý toàn cục về trạng thái

mạng, bộ điều khiển quản lý SD-WAN có thể thực hiện kỹ thuật chia tải lưu lượng truy cập mạng bằng cách gán các yêu cầu chuyển mới theo cách sử dụng tài nguyên (liên kết) hiện tại.

- Khả năng phục hồi: SD-WAN cung cấp khả năng linh hoạt làm giảm thời

gian ngừng mạng. Công nghệ phải có tính năng phát hiện thời gian thực của sự cố mất điện và tự động chuyển sang các liên kết khác hoạt động.

2.1.2 Kiến trúc và các phần tử của cisco SD-WAN.

Hình 2.3 Kiến trúc mạng SD-WAN

SD-WAN (Software-Defined Wide-Area Network) là một kiến trúc mạng tách riêng phần điều khiển (Control Plane) và điều khiển (Management Plane) ra khỏi các thiết bị Gateway (Router Edge tại chi nhánh) để tập trung quản lý bằng phần mềm (Controller). Phần dữ liệu (Data Plane) sẽ được đặt tại các thiết bị Gateway.

Mạng SD-WAN là đơn giản hóa việc quản trị và vận hàng mợt hệ thớng mạng diện rộng WAN bằng cách tách biệt phần cứng của mạng ra khỏi các cơ chế điều khiển của nó.

- Management Plane là mặt phẳng quản lý bằng giao diện chứa các vManage

và chịu trách nhiệm cho cấu hình và giám sát hệ thớng.

- Control Plane là mặt phẳng điều khiển chứa vSmart, xây dựng và duy trì cấu

trúc liên kết mạng và định tuyến.

- Data Plane chịu trách nhiệm chuyển tiếp các gói tin dựa trên các thơng tin

định tuyến từ Control.

- Separate Orchestration là mặt phẳng điều phối hoạt động chứa các vBond vaf

hỗ trợ tự động đưa các bộ định tuyến SD-WAN vào kiến trúc SD-WAN.

 Các phần tử Cisco SD-WAN

 Hệ thống quản lý mạng vManage (Management plane).

 Bộ điều khiển vSmart (Control plane).

 Bộ điều phối vBond (Orchestration plane).

2.2 Hệ thống quản lý mạng vManage 2.2.1 Khái niệm, đặc điểm vManage

vManage là thành phần cung cấp Web Application quản lý các thành phần khác trong hệ thống bằng giao diện. VManage NMS cũng là hệ thống quản lý mạng tập trung cung cấp giao diện đồ họa GUI cho phép người quản trị dễ dàng giám sát, cấu hình và xử lý sự cố trong hạ tầng mạng. Bảng điều khiển vManage NMS định cấu hình và quản lý các mạng thiết bị mạng Cisco vEdge.

Hình 2.4 Giao diện GUI quản lý mạng vmangage NMS

vManage NMS lưu thông tin xác thực chứng chỉ và để tạo và lưu trữ cấu hình cho tất cả các thành phần mạng của Cisco vEdge. Khi các thành phần này xuất hiện trực tuyến trong mạng, chúng yêu cầu chứng chỉ và cấu hình của chúng từ NMS vManage. Khi NMS vManage nhận được các yêu cầu này, nó sẽ đẩy các chứng chỉ và cấu hình cho các thiết bị mạng Cisco vEdge.

Hình 2.5 Certificate Serial cho các thành phần mạng SD-WAN

2.2.2 Các dạng tối ưu trong vManage

 Tối ưu hóa kết nối

SD-WAN đã sử dụng phương pháp tiếp cận 7 lớp giải quyết triệt để các vấn đề như sau: kết nối, nén dữ liệu, bộ đệm dữ liệu, định hình lưu lượng đa luồng, bảo mật,

tối ưu hóa đường dẫn ứng dụng, và tính di động của ứng dụng cung cấp một giải pháp cân bằng giữa hiệu suất kết nối mạng WAN mà vẫn đảm bảo yêu cầu truy cập của dịch vụ Web cần cung cấp.

Người dùng có thể dễ dàng thêm bất kỳ loại kết nối để truy cập vào mạng WAN, từ phương pháp kết nối MPLS, đường truyền kết nối internet dành riêng (Dedicated), kết nối băng thông rộng (Broadband), hay thậm chí kết nối không dây như 3G/4G/LTE. Giải pháp linh hoạt trong kết nối với hỗ trợ nhiều dạng kết nối WAN vật lý.

 Tối ưu hóa ứng dụng

Nhằm cung cấp hiệu suất kết nối tới ứng dụng, sự liên tục của kết nối cho tới các thông số thực tế số liệu mạng WAN thời gian thực như độ trễ, package loss (mất gói tin), jitter (khái niệm chỉ sự thay đổi thời gian nhận các gói tin trên mạng), và băng thông sẽ là dữ liệu được sử dụng để thuật toán phần mềm cụ thể lập bài toán và xử lý để tối ưu hóa đường dẫn lựa chọn cho từng ứng dụng.

Bằng cách giám sát liên tục các ứng dụng và các tài nguyên WAN, mợt mạng SDWAN có thể điều chỉnh nhanh chóng khi các điều kiện mạng thay đởi để duy trì các hiệu quả ứng dụng cao nhất. Mạng SD-WAN sẽ ảo hóa các dịch vụ truyền dẫn thường được dùng trong mạng diện rộng như MPLS, các dịch vụ Internet băng thông rộng và 4G/5G/LTE. Sau đó SD-WAN sẽ xem các dịch vụ này như những tài nguyên mạng (resource pool).

2.2.3 Cảnh báo và khả năng hỗ trợ thời gian thực

 Cảnh cáo thời gian thực

BFD là một giao thức giúp nhanh chóng phát hiện lỗi trên link (cỡ micro-second). Giao diện đồ họa vManage NMS hiển thị các cảnh báo từ giao thức BFD khi các tuyến đường WAN bị chậm, bị đứt hoặc các chính sách bị xâm phạm. Sử dụng BFD làm giao thức phát hiện link lỗi, thời gian phát hiện sẽ được rút ngắn nhờ đó giảm thời gian hội tụ của mạng, giảm mức độ ảnh hưởng tới dịch vụ.

 Khả năng hỗ trợ thời gian thực

Giao diện với lập trình: Với thiết bị mạng nói chung, GUI được ưu tiên hơn cho các phương thức cấu hình và điều khiển giao diện dòng lệnh (CLI). Các tính năng quản trị hữu ích bao gồm lựa chọn đường dẫn tự động, cấu hình tập trung các thiết bị đầu cuối bằng cách đẩy các thay đổi cấu hình xuống thiết bị.

Rest API gờm có API nam và API bắc. API nam hỗ trợ trao đổi thông tin đến các thiết bị Router và Switch. API bắc giao tiếp với các ứng dụng về mặt logic. Các điều này giúp quản trị viên mạng quản lý được lưu lượng truy cập và triển khai các dịch vụ nhanh chóng.

Hình 2.6 Template triển khai tại các thiết bị vEdge

2.2.4 Giao thức NETCONF

Giao thức NETCONF có khả năng trích xuất dữ liệu tách biệt phần cấu hình và phần dữ liệu. Giao thức NETCONF dùng SSH như là một giao thức lớp truyền vận transport. NETCONF sử dụng mơ hình trùn thơng client/server. Phía server là các thiết bị mạng có hỗ trợ NETCONF agent hoạt đợng như mợt northbound API. Client sẽ kết nới đến agent để gửi mợt phần hay tồn bộ các dữ liệu cấu hình để nhận lại các dữ liệu hoạt động hay dữ liệu về trạng thái hoạt động. Mục đích chính của NETCONF là để truyền dữ liệu hệ thống giữa client/server và các dữ liệu hệ thớng này có thể là các dữ liệu về thơng sớ cấu hình các thơng sớ về hoạt đợng và tình trạng thiết bị. Ngồi ra nó cũng hợ trợ các cảnh báo giống như SNMP traps. NETCONF cung cấp một tập hợp các tác vụ để quản lý các cấu hình của các thiết bị và truy xuất thông tin trạng thái của hệ thống. Các tác vụ này bao gờm truy x́t, cấu hình, sao chép và xóa các dữ liệu cấu hình trên thiết bị, truy xuất các dữ liệu hoạt đợng. Về phương diện này, NETCONF có ưu điểm hơn SNMP là nó có khả năng tách biệt các dữ liệu dạng cấu hình (là dữ liệu do người kỹ sư nhập vào router) và các dữ liệu hoạt động (là các dữ liệu phát sinh trong q trình hoạt đợng của router).

2.3 Bộ điều khiển VSMART 2.3.1 Giới thiệu chung về vSmart

Bộ điều khiển Cisco vSmart là bộ não tập trung của giải pháp Cisco SD-WAN, kiểm soát luồng lưu lượng dữ liệu trong toàn mạng.

Bộ điều khiển (Control plane): Chức năng điều khiển tập trung của toàn bộ mạng SD-WAN, lưu lượng mạng được điều phối thông minh.

Tạo thiết lập kết nối an toàn tới các bộ định tuyến vEdge, phân phối tuyến đường sử dụng giao thức mới OMP.

Phối hợp kết nối data plane an toàn giữa các vEdge bằng cách phân phối thông tin khóa mật mã.

Các thành phần chính của bộ điều khiển vSmart:

Kết nối mặt phẳng điều khiển - mỗi bộ điều khiển vSmart của Cisco thiết lập và duy trì kết nối mặt phẳng điều khiển với mỗi bộ định tuyến vEdge trong mạng. Trong một mạng với nhiều bộ điều khiển vSmart, một bộ điều khiển vSmart có thể có các kết nối đến một trong các router vEdge, cho mục đích cân bằng tải. Mỗi kết nối, chạy như