1. Công nghệ Cisco SD-WAN

Giới Thiệu SD-WAN

Kiến trúc mạng WAN (Wide Area Network) truyền thống là một mạng diện rộng kết nối hệ thống mạng tại văn phòng chính (Head Office/Head Quarter) và các chi nhánh (Branch Office/Remote Office) nhằm mục đính chia sẻ tài nguyên, thông tin, ứng dụng với nhau. 

  • Control Plane: Dữ liệu từ chi nhánh sẽ được Router định tuyến chọn ra đường đi tốt nhất tới trụ sở.
  • Data Plane: Cũng trên Router, dữ liệu sẽ được đóng gói với định dạng phù hợp và truyền tải đi trên đường vật lý.
  • Management Plane: Quản trị viên quản lý Router bằng Telnet, SSH, SNMP.

SD-WAN (Software-Defined Wide-Area Network) là một kiến trúc mạng tách riêng phần điều khiển (Control Plane) và quản lý (Management Plane) ra khỏi các thiết bị Gateway (Router Edge tại chi nhánh) để tập trung quản lý bằng phần mềm (Controller). Phần dữ liệu (Data Plane) sẽ được đặt tại các thiết bị Gateway.

  • Đối với mạng WAN truyền thống, các kênh truyền dẫn chi phí cao DSL, MPLS, Fiber, LTE tách biệt với nhau và kết nối bằng các cụm Router Edge tại chi nhánh. Do đó chi phí triển khai rất tốn kém nhưng hiệu năng mạng thì không hiệu quả.
  • SD-WAN hỗ trợ ghép các kênh truyền dẫn chi phí thấp DSL, MPLS, Fiber, LTE bằng cách ảo hóa các dịch vụ chạy qua các kênh truyền ấy thành những tài nguyên mạng gọi là Resource Pool.
  • Các kênh truyền WAN được đưa vào một Resource Pool và các Traffic của các ứng dụng sẽ truyền dẫn qua Resource Pool đó. Qua đó, tận dụng tối đa khả năng đáp ứng của Resource Pool.
  • Controller sẽ đóng vai trò quản lý, điều khiển mọi hoạt động giao tiếp và truyền dữ liệu trong hệ thống mạng, quản trị viên chỉ cần giám sát và thao tác trên Controller mà không cần phải quan tâm các thiết bị bên dưới.

Nguyên lý hoạt động của SD-WAN

SD-WAN sử dụng Controller để điều hướng Traffic trên mạng WAN dựa trên các yếu tố sau:

  • Priority: Độ ưu tiên của lưu lượng mạng.
  • QoS: Chất lượng dịch vụ.
  • Policy: Các yêu cầu và chính sách bảo mật.

Khi SD-WAN gửi lưu lượng mạng tới hạ tầng Cloud (SaaS, IaaS) thông qua Internet, các End Users sẽ nhận được chất lượng truy cập tốt nhất. Như vậy, SD-WAN định tuyến lưu lượng mạng dựa trên App chứ không chỉ dựa vào các địa chỉ TCP/IP.

SD-WAN có khả năng tự học và tự động điều chỉnh thông qua việc liên tục giám sát các ứng dụng và tài nguyên trong mạng. Khi các điều kiện mạng thay đổi, SD-WAN có thể điều chỉnh nhanh chóng để đảm bảo duy trì hoạt động hiệu quả cho các ứng dụng.

Ưu điểm của SD-WAN

Những ưu điểm của công nghệ SD-WAN:

  • Nâng cao chất lượng dịch vụ và ứng dụng giữa các chi nhánh và Remote Office.
  • Giảm chi phí triển khai mạng WAN và nâng cao chất lượng mạng thông qua việc sử dụng các kết nối di động và các đường truyền giá rẻ.
  • Linh hoạt ưu tiên khả năng đáp ứng cho các ứng dụng quan trọng của doanh nghiệp hơn các loại dữ liệu khác.
  • Đảm bảo tính liên tục của mạng và có khả năng khắc phục sự cố do thiên tai, duy trì kết nối dù mạng bị lỗi nhiều lần.
  • Tăng cường bảo mật kết nối trên mạng WAN khi các ứng dụng và dữ liệu di chuyển sang Cloud.
  • Giảm độ phức tạp của hệ thống mạng tại chi nhánh bằng cách hợp nhất các dịch vụ vào trong một thiết bị (SDWAN Router) đặt tại mạng biên để có thể quản lý tập trung và áp đặt các chính sách.

2. Kiến trúc mạng Cisco SD-WAN

Tổng quan về SD-WAN Solution

Kiến trúc mạng SD-WAN bao gồm 4 Mặt phẳng:

  • Orchestration Plane: Mặt phẳng điều phối hoạt động chứa các vBond.
  • Management Plane: Mặt phẳng quản lý bằng giao diện chứa các vManage.
  • Control Plane: Mặt phẳng điều khiển chứa các vSmart.
  • Data Plane: Mặt phẳng dữ liệu chứa các vEdge.

vBond (Orchestration Plane)

vBond là thành phần điều phối giao tiếp chức năng giữa vManage và vSmart.

Các đặc điểm của vBond:

  • Điều phối trung gian giữa Management Plane và Control Plane.
  • Đóng vai trò làm điểm xác thực ban đầu (First Point of Authentication) 
  • Điều phối lệnh từ vSmart/vManage tới các vEdge (Router Edge) chi nhánh.
  • Yêu cầu đặt IP Public để giao tiếp với các vEdge tại chi nhánh và hỗ trợ NAT, các Component khác phải thấy được IP Address của vBond.
  • Multi-Tenant hoặc Single Tenant.
  • Khả năng phục hồi cao (High Resilient)

vManage (Management Plane)

vManage là thành phần cung cấp giao diện Web Application quản lý các thành phần khác trong hệ thống.

Các đặc điểm của vManage:

  • Quản lý và dự phòng tập trung.
  • Tập trung các Policies và Template.
  • Multi-Tenant hoặc Single Tenant.
  • Troubleshooting và Monitoring.
  • Software Upgrades, Alert, Syslog, SNMP, CLI.
  • GUI với RBAC (Role-based Access Control)
  • Giao diện lập trình (REST, NETCONF)
  • Khả năng phục hồi cao (High Resilient)

vSmart (Control Plane)

vSmart là Controller điều phối các Action và Event tới các vEdge ở Data Plane.

Các đặc điểm của vSmart:

  • Fabric Discovery (Tự động Discorery các Node trong mạng Fabric).
  • Điều phối thông tin điều khiển từ Control Plane xuống các vEdge.
  • Điều phối các Routing Policy của Data Plane và App-aware xuống các vEdge Router.
  • Thực thi các Control Plane Policies.
  • Giảm độ phức tạp của Control Plane.
  • Khả năng phục hồi cao (High Resilient)

vEdge (Data Plane)

vEdge là các Router biên đặt tại các Branch hoặc Remote Office nhằm đảm bảo giao tiếp giữa các mạng nội bộ chi nhánh tới trụ sở.

Các đặc điểm của vEdge:

  • Thiết bị Router Edge WAN nên cần cấu hình IP Public.
  • Secure Data Plane với các Router Edge từ xa (tương tự IPSec)
  • Secure Control Plane với các vSmart Controller.
  • Thực thi các Routing Policies Data Plane và App-Aware.
  • Xuất được trạng thái hoạt động và hiệu năng.
  • Tận dụng các giao thức định tuyến truyền thống như OSPF, BGP, VRRP.
  • Hỗ trợ triển khai Zero Touch (Automation Trust Device)
  • Các Form Physic hoặc Virtual (100Mb, 1Gb, 10Gb, 20Gb+)

Bên cạnh vEdge còn có cEdge vốn là ISR/ASR Router, cả vEdge và cEdge đều là những SD-Wan Router.

3. Giao thức định tuyến OMP trong SD-WAN

Overlay Management Protocol (OMP)

OMP (Overlay Management Protocol) là một giao thức điều khiển chạy bên trong các DTLS/TLS Tunnel giữa các vEdge Router chi nhánh và vSmart Controller. Giao thức OMP được dùng để trao đổi các thông tin về Routing, Policy và Management giữa các vSmart Controllers và vEdge Routers trên mặt phẳng Overlay Network.

Mặc định, giao thức OMP được Enable trên các vEdge và vSmart mà không cần phải cấu hình hay ủy quyền từ Admin. Khi vEdge và vSmart xác thực thành công và thiết lập được DTLS/TLS Tunnel, giao thức OMP sẽ thiết lập quan hệ Neighbor giữa hai thiết bị và trao đổi các thông tin với nhau (tương tự BGP).

OMP quảng bá 3 loại Route trong mạng SD-WAN:

  • OMP Routes (vRoutes)
  • TLOCs (Transport Locations)
  • Service Routes

OMP Route (vRoute)

OMP Route giúp cho các vSmart có thể học được mô hình mạng Overlay và các dịch vụ đang có trong hệ thống mạng. Giao thức OMP sẽ thu thập các thông tin định tuyến từ các Site nội bộ chi nhánh bao gồm các Route Connected, Static, OSPF, BGP.

vSmart Controller sẽ xử lý các OMP Route được học từ các vEdge Router chi nhánh khác hoặc từ một Controller khác để xác định sơ đồ mạng và tính toán ra những đường đi tốt nhất đến đích. Sau đó nó sẽ quảng bá thông tin học được từ các Router Edge này đến các Router Edge khác.

OMP Route quảng bá các thuộc tính sau từ vEdge tới vSmart:

  • TLOC: Next-Hop của OPM Route. TLOC là tập hợp gồm ba giá trị: System IP, Color, Encapsulation.
  • Origin: Source của vRoute, một Route có nguồn gốc từ BGP, OSPF, Connected, Static cùng với giá trị Metric của Route ban đầu.
  • Originator: Địa chỉ IP mà từ đó Rute được lan truyền.
  • Preference: Độ ưu tiên của OMP Route dùng để chọn ra Route tốt nhất (theo giá trị cao) nếu có nhiều hơn hai OMP Route tồn tại, mặc định là 0.
  • Service: Các dịch vụ mạng liên kết với OMP Route.
  • Site ID: Định danh của Site trung gian mà OMP Route được truyền qua, thường là đại diện cho một Site chi nhánh.
  • Tag: Giá trị tùy chọn dùng để chỉ ra một Route cụ thể và thực thi các hành động tương ứng trên Route đó.
  • VPN: VPN-ID mà trong đó OMP Route được lan truyền.

TLOCs (Transport Locations)

Transport Locator (TLOC) là giá trị giúp xác định địa chỉ của Transport layer, qua đó xác định được các Next-Hop Route trong mạng Underlay. TLOC là một tập hợp bao gồm 3 thành phần:

  • System IP:  Địa chỉ IPv4 của các Router OMP (vEdge Router) được dùng để gửi ra các OMP Update.
  • Color: Chỉ ra loại kết nối được sử dụng (MPLS, 3G, 4G, …)
  • Encapsulation: Chỉ ra loại đường hầm của lớp Transport.

TLOC quảng bá các thuộc tính sau giữa các vEdge và vSmart:

  • TLOC Private Address: Địa chỉ IP Private của Interface kết nối với TLOC.
  • TLOC Public Address: Địa chỉ đã được NAT của TLOC.
  • Carrier: Định danh của Carrier Type, thường được dùng để xác định mạng truyền dẫn là Public hay Private.
  • Color: Xác định kiểu kết nối Public hay Private.
  • Encapsulation Type: Loại đóng gói Tunnel (IPSec, GRE)
  • Preference: Độ ưu tiên được dùng để phân biệt giữa các TLOCs quảng bá trên cùng một OMP Route, mặc định là 0.
  • Site ID: Định danh của Site trung gian mà OMP Route được truyền qua.
  • Tag: Giá trị tùy chọn dùng để chỉ ra một Route cụ thể và thực thi các hành động tương ứng trên Route đó.
  • Weight: Giá trị dùng để phân biệt các TLOC khác nhau nếu một OMP Route gửi hai hay nhiều TLOC cùng lúc, mặc định là 0.

Service Routes

Service Route là các Route tượng trưng cho các dịch vụ kết nối vào vEdge Router hay tới các mạng nội bộ bên dưới Site chi nhánh mà vEdge kết nối vào. Các vEdge Router sẽ quảng bá các Route này tới vSmart Controller.

OMP Route Redistribution: OMP tự động thực hiện Redistribute một số loại Route mà nó học được từ bên trong Site nội bộ hoặc từ các Routing Peering.

OMP Route Origin TypeOMP Route Origin Subtype
BGPExternal Internal
Connected
OSPFIntra-area, Inter-area, External-1, External-2, NSSA-External-1 and NSSA-External-2
Static
IS-ISLevel 1 and level 2

Administrative Distance (AD) cũng đóng vai trò quan trọng trong việc lựa chọn Best Path. vSmart và vEdge sẽ ưu tiên chọn AD thấp hơn để xác định Best Route.

ProtocolAdministrative Distance
Connected0
Static1
NAT (NAT and static routes cannot coexist in the same VPN;
NAT overwrites static routes)
1
Learned from DHCP1
EIGRP Summary5
EBGP20
EIGRPInternal: 90,
External: 170
OSPF110
OSPFv3110
IS-IS115
IBGP200
OMP250

Leave a Reply

This site uses cookies to offer you a better browsing experience. By browsing this website, you agree to our use of cookies.
x  Powerful Protection for WordPress, from Shield Security
This Site Is Protected By
Shield Security