GIỚI THIỆU CÔNG NGHỆ CISCO SD-WAN VIPTELA

I. CÔNG NGHỆ CISCO SD-WAN

1. Giới Thiệu SD-WAN

WAN (Wide Area Network) là một mạng diện rộng kết nối hệ thống mạng tại văn phòng chính (Head Office/Head Quarter) và các chi nhánh (Branch Office/Remote Office) nhằm mục đính chia sẻ tài nguyên, thông tin, ứng dụng với nhau.

Control Plane: Dữ liệu từ chi nhánh sẽ được Router định tuyến chọn ra đường đi tốt nhất tới trụ sở.
Data Plane: Cũng trên Router, dữ liệu sẽ được đóng gói với định dạng phù hợp và truyền tải đi trên đường vật lý.
Management Plane: Quản trị viên quản lý Router bằng Telnet, SSH, SNMP.

=> Kiến trúc mạng WAN truyền thống tập hợp các chức năng điều khiển, vận chuyển và quản lý trên cùng một thiết bị (Router) nên sẽ kém linh hoạt khi có nhiề thiết bị.

SD-WAN (Software-Defined Wide-Area Network) là một kiến trúc mạng tách riêng phần điều khiển (Control Plane) và điều khiển (Management Plane) ra khỏi các thiết bị Gateway (Router Edge tại chi nhánh) để tập trung quản lý bằng phần mềm (Controller). Phần dữ liệu (Data Plane) sẽ được đặt tại các thiết bị Gateway.

Đối với mạng WAN truyền thống, các kênh truyền dẫn chi phí cao DSL, MPLS, Fiber, LTE tách biệt với nhau và kết nối bằng các cụm Router Edge tại chi nhánh. Do đó chi phí triển khai rất tốn kém nhưng hiệu năng mạng thì không hiệu quả.
SD-WAN hỗ trợ ghép các kênh truyền dẫn chi phí thấp DSL, MPLS, Fiber, LTE bằng cách ảo hóa các dịch vụ chạy qua các kênh truyền ấy thành những tài nguyên mạng gọi là Resource Pool.
Các kênh truyền WAN được đưa vào một Resource Pool và các Traffic của các ứng dụng sẽ truyền dẫn qua Resource Pool đó. Qua đó, tận dụng tối đa khả năng đáp ứng của Resource Pool.
Controller sẽ đóng vai trò quản lý, điều khiển mọi hoạt động giao tiếp và truyền dữ liệu trong hệ thống mạng, quản trị viên chỉ cần giám sát và thao tác trên Controller mà không cần phải quan tâm các thiết bị bên dưới.

2. Ưu điểm của SD-WAN

Giải pháp Cloud (Public, Private) được ứng dụng rộng rãi và gần như không thể thiếu đối với các doanh nghiệp trong khi mạng WAN truyền thống lại không thân thiện trong việc đáp ứng dịch vụ mạng cho các giải pháp Cloud. Network Traffic thường sẽ đổ từ chi nhánh lên trụ sở, tại đây các Security Policy sẽ kiểm soát truy cập chặt chẽ.

Các Router Edge giữa các Site chỉ thực hiện định tuyến lưu lượng mạng dựa trên địa chỉ TCP/IP nên độ trễ của việc định tuyến này sẽ dẫn tới tốc độ truy cập và chia sẻ dữ liệu của các ứng dụng trong doanh nghiệp bị chậm.

SD-WAN sử dụng phần mềm (Controller) để điều hướng Traffic trên mạng WAN và nó không chỉ điều hướng Traffic theo địa chỉ TCP/IP mà còn dựa trên các yêu tố sau:

Priority: Độ ưu tiên của lưu lượng mạng.
QoS: Chất lượng dịch vụ.
Policy: Các yêu cầu và chính sách bảo mật.

=> Khi SD-WAN gửi lưu lượng mạng tới hạ tầng Cloud (SaaS, IaaS) thông qua Internet, các End Users sẽ nhận được chất lượng truy cập tốt nhất. Như vậy, SD-WAN định tuyến lưu lượng mạng dựa trên App chứ không chỉ dựa vào các địa chỉ TCP/IP.

SD-WAN có khả năng tự học và tự động điều chỉnh thông qua việc liên tục giám sát các ứng dụng và tài nguyên trong mạng WAN. Khi các điều kiện mạng thay đổi, mạng SD-WAN có thể điều chỉnh nhanh chóng để đảm bảo duy trì hoạt động hiệu quả cho các ứng dụng.

Những ưu điểm của công nghệ SD-WAN:

Nâng cao chất lượng dịch vụ và ứng dụng giữa các chi nhánh và Remote Office.
Giảm chi phí triển khai mạng WAN và nâng cao chất lượng mạng thông qua việc sử dụng các kết nối di động và các đường truyền giá rẻ.
Linh hoạt ưu tiên khả năng đáp ứng cho các ứng dụng quan trọng của doanh nghiệp hơn các loại dữ liệu khác.
Đảm bảo tính liên tục của mạng và có khả năng khắc phục sự cố do thiên tai, duy trì kết nối dù mạng bị lỗi nhiều lần.
Tăng cường bảo mật kết nối trên mạng WAN khi các ứng dụng và dữ liệu di chuyển sang Cloud.
Giảm độ phức tạp của hệ thống mạng tại chi nhánh bằng cách hợp nhất các dịch vụ vào trong một thiết bị (SDWAN Router) đặt tại mạng biên để có thể quản lý tập trung và áp đặt các chính sách.

II. KIẾN TRÚC MẠNG CISCO SD-WAN

Kiến trúc mạng SD-WAN bao gồm 4 Plane:

Orchestration Plane: Mặt phẳng điều phối hoạt động chứa các vBond.
Management Plane: Mặt phẳng quản lý bằng giao diện chứa các vManage.
Control Plane: Mặt phẳng điều khiển chứa các vSmart.
Data Plane: Mặt phẳng dữ liệu chứa các vEdge.

1. vBond – Orchestration Plane

vBond là thành phần điều phối giao tiếp chức năng giữa vManage và vSmart. (giữa Control Plane và Management Plane)

Các đặc điểm của vBond:

Điều phối trung gian giữa Control Plane và Management Plane.
Đóng vai trò làm điểm xác thực ban đầu (First Point of Authentication)
Điều phối lệnh từ vSmart/vManage tới các vEdge (Router Edge) chi nhánh.
Yêu cầu đặt IP Public để giao tiếp với các vEdge tại chi nhánh và hỗ trợ NAT, các Component khác phải thấy được IP Address của vBond.
Multi-Tenant hoặc Single Tenant.
Khả năng phục hồi cao (High Resilient)

2. vManage – Management Plane

vManage là thành phần cung cấp Web Application quản lý các thành phần khác trong hệ thống bằng giao diện.

Các đặc điểm của vManage:

Quản lý và dự phòng tập trung.
Tập trung các Policies và Template.
Multi-Tenant hoặc Single Tenant.
Troubleshooting và Monitoring.
Software Upgrades, Alert, Syslog, SNMP, CLI.
GUI with RBRAC (Role-based Access Control)
Giao diện lập trình (REST, NETCONF)
Khả năng phục hồi cao (High Resilient)

3. vSmart – Control Plane

vSmart là Controller điều phối các Action và Event tới các vEdge ở Data Plane.

Các đặc điểm của vSmart:

Fabric Discovery – Tự động Discorery các Node trong mạng Fabric.
Điều phối thông tin điều khiển từ Control Plane xuống các vEdge.
Điều phối các chính sách định tuyến (Routing Policy) của Data Plane và App-aware xuống các vEdge Router.
Thực thi các Control Plane Policies.
Giảm độ phức tạp của Control Plane.
Khả năng phục hồi cao (High Resilient)

4. vEdge – DataPlane

vEdge là các Router biên đặt tại các chi nhánh (Branch) hoặc Remote Office nhằm đảm bảo giao tiếp giữa các mạng nội bộ chi nhánh tới trụ sở.

Các đặc điểm của vEdge:

Thiết bị Router Edge WAN nên cần cấu hình IP Public.
Secure Data Plane với các Router Edge đầu xa (tương tự IPSec)
Secure Control Plane với các vSmart Controller.
Thực thi các Routing Policies Data Plane và App-Aware.
Xuất được trạng thái hoạt động và hiệu năng.
Tận dụng các giao thức định tuyến truyền thống như OSPF, BGP, VRRP.
Hỗ trợ triển khai Zero Touch (Automation Trust Device)
Các Form Physic hoặc Virtual (100Mb, 1Gb, 10Gb, 20Gb+)

Bên cạnh vEdge còn có cEdge vốn là ISR/ASR Router, cả vEdge và cEdge đều là những SD-Wan Router.

III. GIAO THỨC ĐỊNH TUYẾN OMP TRONG SD-WAN

1.Overlay Management Protocol (OMP)

Overlay Management Protocol (OMP) là một giao thức điều khiển chạy bên trong các đường hầm DTLS/TLS Tunnel giữa các vEdge Router chi nhánh và vSmart Controller. Giao thức OMP được dùng để trao đổi các thông tin về Routing, Policy và Management giữa các vSmart Controllers và vEdge Routers trên mặt phẳng Overlay Network.

Mặc định, giao thức OMP được Enable trên các vEdge và vSmart mà không cần phải cấu hình hay xin phép ủy quyền từ Admin. Khi vEdge và vSmart xác thực thành công và thiết lập được DTLS/TLS Tunnel, giao thức OMP sẽ thiết lập quan hệ Neighbor giữa hai thiết bị và trao đổi các thông tin với nhau (tương tự BGP)

OMP quảng bá 3 loại Route trong mạng SD-WAN:

OMP Routes (vRoutes)
TLOCs (Transport Locations)
Service Routes

2. OMP Route (vRoute)

OMP Route giúp cho các vSmart có thể học được mô hình mạng Overlay và các dịch vụ đang có trong hệ thống mạng. Giao thức OMP sẽ thu thập các thông tin định tuyến từ các Site nội bộ chi nhánh bao gồm các Route Connected, Static, OSPF, BGP.

vSmart Controller sẽ xử lý các OMP Route được học từ các vEdge Router chi nhánh khác hoặc từ một Controller khác để xác định sơ đồ mạng và tính toán ra những đường đi tốt nhất đến đích. Sau đó nó sẽ quảng bá thông tin học được từ các Router Edge này đến các Router Edge khác.

OMP Route được quảng bá từ vEdge tới vSmart và nó quảng bá các thuộc tính:

TLOC: Giá trị Next-Hop của OPM Route, thuộc tính này tương tự như BGP Next-Hop. TLOC là tập hợp gồm ba giá trị: System IP, Color, Encapsulation.
Origin: Chỉ ra nguồn gốc của vRoute, một Route có nguồn gốc từ BGP, OSPF, Connected, Static cùng với giá trị Metric của Route ban đầu.
Originator: Địa chỉ IP mà từ đó Rute được lan truyền.
Preference: Độ ưu tiên của OMP Route dùng để chọn ra Route tốt nhất (theo giá trị cao) nếu có nhiều hơn hai OMP Route tồn tại, mặc định là 0.
Service: Các dịch vụ mạng liên kết với OMP Route.
Site ID: Định danh của Site trung gian mà OMP Route được truyền qua, thường là đại diện cho một Site chi nhánh.
Tag: Giá trị tùy chọn dùng để chỉ ra một Route cụ thể và thực thi các hành động tương ứng trên Route đó.
VPN: VPN-ID mà trong đó OMP Route được lan truyền.

3. TLOCs (Transport Locations)

Transport Locator (TLOC) là giá trị giúp xác định địa chỉ của lớp vận chuyển, qua đó xác định được các Next-Hop Route trong mạng Underlay. TLOC là một tập hợp bao gồm 3 thành phần:

System IP: Địa chỉ IPv4 của các Router OMP (vEdge Router) được dùng để gửi ra các bản cập nhật OMP Update.
Color: Chỉ ra loại kết nối được sử dụng (MPLS, 3G, 4G, …)
Encapsulation: Chỉ ra loại đường hầm của lớp Transport.

TLOC được quảng bá giữa các vEdge và vSmart, TLOC quảng bá các thuộc tính:

TLOC Private Address: Địa chỉ IP Private của Interface kết nối với TLOC.
TLOC Public Address: Địa chỉ đã được NAT của TLOC.
Carrier: Định danh của Carrier Type, thường được dùng để xác định mạng truyền dẫn là Public hay Private.
Color: Xác định kiểu kết nối Public hay Private.
Encapsulation Type: Loại đóng gói Tunnel (IPSec, GRE)
Preference: Độ ưu tiên được dùng để phân biệt giữa các TLOCs quảng bá trên cùng một OMP Route, mặc định là 0.
Site ID: Định danh của Site trung gian mà OMP Route được truyền qua.
Tag: Giá trị tùy chọn dùng để chỉ ra một Route cụ thể và thực thi các hành động tương ứng trên Route đó.
Weight: Giá trị dùng để phân biệt các TLOC khác nhau nếu một OMP Route gửi hai hay nhiều TLOC cùng lúc (Mặc định là 0)

4. Service Routes

Service Route là các Route tượng trưng cho các dịch vụ kết nối vào vEdge Router hay tới các mạng nội bộ bên dưới Site chi nhánh mà vEdge kết nối vào. Các vEdge Router sẽ quảng bá các Route này tới vSmart Controller.

OMP Route Redistribution: OMP tự động thực hiện Redistribute một số loại Route mà nó học được từ bên trong Site nội bộ hoặc từ các Routing Peering.

Connected
Static
OSPF intra-area routes
OSPF inter-area routes

Administrative Distance (AD) cũng đóng vai trò quan trọng trong việc lựa chọn Best Path. vSmart và vEdge sẽ ưu tiên chọn Lower hoặc Lowest AD để xác định Best Route.

5. Bidirectional Forwarding Detection (BFD)

Bidirectional Forwarding Detection (BFD) là một giao thức hoạt động giữa các thành phần vSmart và vEdge nhằm mục đích kiểm tra và phát hiện các sự cố xảy ra trên đường truyền SD-WAN chẳng hạn như: Up/Down, Loss/Latency/Jitter và IPSec Tunnel MTU.

Một trong những giải pháp kiểm tra sự cố đường truyền giữa các Router nhanh chóng là điều chỉnh thời gian gửi các gói Hello và Keep-Alive trên các giao thức định tuyến đến một giá trị rất nhỏ. Tuy nhiên, thời gian phát hiện ra sự cố vẫn chưa thực sự nhanh lắm và số lượng các Hello quá nhiều sẽ làm tiêu tốn CPU và giải pháp này không hiệu quả khi số lượng Router mở rộng số lượng.

Giao thức BFD sử dụng dùng các gói Hello có kích thước nhỏ để phát hiện các sự cố mất đường truyền giữa hai vEdge Router càng sớm càng tốt, nhờ đó mà giúp các vEdge Router giảm thiểu các chu kỳ sử dụng CPU nhằm giúp cho thời gian hội tụ cũng diễn ra ở tốc độ rất nhanh.

VD: Đối với giao thức EIGRP khi gán các giá trị Hello và Hold-Time tương ứng là 1 giây và 3 giây. Các Router Neighbor sẽ phát hiện các sự cố trong vòng 3 giây và sau đó mạng sẽ hội tụ lại. Tuy nhiên điều này không đủ nhanh và cần nhiều chu kỳ xử lý CPU để quản lý tất cả các gói EIGRP Hello.

=> Nếu dùng BFD giữa các Router dù cho mặc định thời gian Hello Interval 5 giây và Hold-Time 15 giây thì nếu có bất kỳ sự cố xảy ra, BFD sẽ gửi cảnh báo cho EIGRP sao cho EIGRP có thể tiến hành hội tụ ngay mà không cần chờ thêm một khoảng thời gian Hold-Time nào cả.

Cơ chế này sẽ ít tiêu tốn tài nguyên CPU vì các gói tin BFD có kích thước nhỏ hơn, gửi nhanh hơn và thời gian để xử lý cũng ít hơn. Trong các hệ thống Router dùng định tuyến phân bố (Distributed Linecard), BFD thậm chí còn hiệu quả hơn vì các Linecard sẽ xử lý BFD chứ CPU không xử lý. Khoảng thời gian BFD có thể gán xuống các giá trị dưới 1 giây, vì vậy khả năng phát hiện các sự cố sẽ nhanh hơn rất nhiều hơn bất kỳ giao thức định tuyến nào khác.

Bài viết kỹ thuật

GIỚI THIỆU CÔNG NGHỆ CISCO SD-WAN VIPTELA

I. CÔNG NGHỆ CISCO SD-WAN

1. Giới Thiệu SD-WAN

WAN (Wide Area Network) là một mạng diện rộng kết nối hệ thống mạng tại văn phòng chính (Head Office/Head Quarter) và các chi nhánh (Branch Office/Remote Office) nhằm mục đính chia sẻ tài nguyên, thông tin, ứng dụng với nhau.

Control Plane: Dữ liệu từ chi nhánh sẽ được Router định tuyến chọn ra đường đi tốt nhất tới trụ sở.

Data Plane: Cũng trên Router, dữ liệu sẽ được đóng gói với định dạng phù hợp và truyền tải đi trên đường vật lý.

Management Plane: Quản trị viên quản lý Router bằng Telnet, SSH, SNMP.

=> Kiến trúc mạng WAN truyền thống tập hợp các chức năng điều khiển, vận chuyển và quản lý trên cùng một thiết bị (Router) nên sẽ kém linh hoạt khi có nhiề thiết bị.

Đối với mạng WAN truyền thống, các kênh truyền dẫn chi phí cao DSL, MPLS, Fiber, LTE tách biệt với nhau và kết nối bằng các cụm Router Edge tại chi nhánh. Do đó chi phí triển khai rất tốn kém nhưng hiệu năng mạng thì không hiệu quả.

SD-WAN hỗ trợ ghép các kênh truyền dẫn chi phí thấp DSL, MPLS, Fiber, LTE bằng cách ảo hóa các dịch vụ chạy qua các kênh truyền ấy thành những tài nguyên mạng gọi là Resource Pool.

Các kênh truyền WAN được đưa vào một Resource Pool và các Traffic của các ứng dụng sẽ truyền dẫn qua Resource Pool đó. Qua đó, tận dụng tối đa khả năng đáp ứng của Resource Pool.

Controller sẽ đóng vai trò quản lý, điều khiển mọi hoạt động giao tiếp và truyền dữ liệu trong hệ thống mạng, quản trị viên chỉ cần giám sát và thao tác trên Controller mà không cần phải quan tâm các thiết bị bên dưới.

2. Ưu điểm của SD-WAN

Các Router Edge giữa các Site chỉ thực hiện định tuyến lưu lượng mạng dựa trên địa chỉ TCP/IP nên độ trễ của việc định tuyến này sẽ dẫn tới tốc độ truy cập và chia sẻ dữ liệu của các ứng dụng trong doanh nghiệp bị chậm.

SD-WAN sử dụng phần mềm (Controller) để điều hướng Traffic trên mạng WAN và nó không chỉ điều hướng Traffic theo địa chỉ TCP/IP mà còn dựa trên các yêu tố sau:

Priority: Độ ưu tiên của lưu lượng mạng.

QoS: Chất lượng dịch vụ.

Policy: Các yêu cầu và chính sách bảo mật.

Những ưu điểm của công nghệ SD-WAN:

Nâng cao chất lượng dịch vụ và ứng dụng giữa các chi nhánh và Remote Office.

Giảm chi phí triển khai mạng WAN và nâng cao chất lượng mạng thông qua việc sử dụng các kết nối di động và các đường truyền giá rẻ.

Linh hoạt ưu tiên khả năng đáp ứng cho các ứng dụng quan trọng của doanh nghiệp hơn các loại dữ liệu khác.

Đảm bảo tính liên tục của mạng và có khả năng khắc phục sự cố do thiên tai, duy trì kết nối dù mạng bị lỗi nhiều lần.

Tăng cường bảo mật kết nối trên mạng WAN khi các ứng dụng và dữ liệu di chuyển sang Cloud.

Giảm độ phức tạp của hệ thống mạng tại chi nhánh bằng cách hợp nhất các dịch vụ vào trong một thiết bị (SDWAN Router) đặt tại mạng biên để có thể quản lý tập trung và áp đặt các chính sách.

II. KIẾN TRÚC MẠNG CISCO SD-WAN

Kiến trúc mạng SD-WAN bao gồm 4 Plane:

Orchestration Plane: Mặt phẳng điều phối hoạt động chứa các vBond.

Management Plane: Mặt phẳng quản lý bằng giao diện chứa các vManage.

Control Plane: Mặt phẳng điều khiển chứa các vSmart.

Data Plane: Mặt phẳng dữ liệu chứa các vEdge.

1. vBond – Orchestration Plane

vBond là thành phần điều phối giao tiếp chức năng giữa vManage và vSmart. (giữa Control Plane và Management Plane)

Các đặc điểm của vBond:

Điều phối trung gian giữa Control Plane và Management Plane.

Đóng vai trò làm điểm xác thực ban đầu (First Point of Authentication)

Điều phối lệnh từ vSmart/vManage tới các vEdge (Router Edge) chi nhánh.

Yêu cầu đặt IP Public để giao tiếp với các vEdge tại chi nhánh và hỗ trợ NAT, các Component khác phải thấy được IP Address của vBond.

Multi-Tenant hoặc Single Tenant.

Khả năng phục hồi cao (High Resilient)

2. vManage – Management Plane

vManage là thành phần cung cấp Web Application quản lý các thành phần khác trong hệ thống bằng giao diện.

Các đặc điểm của vManage:

Quản lý và dự phòng tập trung.

Tập trung các Policies và Template.

Multi-Tenant hoặc Single Tenant.

Troubleshooting và Monitoring.

Software Upgrades, Alert, Syslog, SNMP, CLI.

GUI with RBRAC (Role-based Access Control)

Giao diện lập trình (REST, NETCONF)

Khả năng phục hồi cao (High Resilient)

3. vSmart – Control Plane

vSmart là Controller điều phối các Action và Event tới các vEdge ở Data Plane.

Các đặc điểm của vSmart:

Fabric Discovery – Tự động Discorery các Node trong mạng Fabric.

Điều phối thông tin điều khiển từ Control Plane xuống các vEdge.

Điều phối các chính sách định tuyến (Routing Policy) của Data Plane và App-aware xuống các vEdge Router.

Thực thi các Control Plane Policies.

Giảm độ phức tạp của Control Plane.

Khả năng phục hồi cao (High Resilient)

4. vEdge – DataPlane

vEdge là các Router biên đặt tại các chi nhánh (Branch) hoặc Remote Office nhằm đảm bảo giao tiếp giữa các mạng nội bộ chi nhánh tới trụ sở.

Các đặc điểm của vEdge:

Thiết bị Router Edge WAN nên cần cấu hình IP Public.

Secure Data Plane với các Router Edge đầu xa (tương tự IPSec)

Secure Control Plane với các vSmart Controller.

Thực thi các Routing Policies Data Plane và App-Aware.

Xuất được trạng thái hoạt động và hiệu năng.

Tận dụng các giao thức định tuyến truyền thống như OSPF, BGP, VRRP.

Hỗ trợ triển khai Zero Touch (Automation Trust Device)

Các Form Physic hoặc Virtual (100Mb, 1Gb, 10Gb, 20Gb+)

Bên cạnh vEdge còn có cEdge vốn là ISR/ASR Router, cả vEdge và cEdge đều là những SD-Wan Router.

III. GIAO THỨC ĐỊNH TUYẾN OMP TRONG SD-WAN

1.Overlay Management Protocol (OMP)

OMP quảng bá 3 loại Route trong mạng SD-WAN:

OMP Routes (vRoutes)

TLOCs (Transport Locations)

Service Routes

2. OMP Route (vRoute)