GIỚI THIỆU VỀ CISCO SD-WAN -

Giới thiệu về Cisco SD-WAN

1.Khái niệm về SD-WAN

Ngày nay, các doanh nghiệp ngày càng phát triển và mở rộng không ngừng trên quy mô toàn thế giới. Cùng với sự phát triển của công nghệ 4.0, các nhu cầu về các thiết bị di động, thiết bị IoT, ứng dụng SaaS (software-as-a-service) và dịch vụ điện toán đám mây cũng tăng trưởng chóng mặt. Cùng với đó là các nhu cầu bảo mật ngày càng tăng, các ứng dụng đòi hỏi phải được ưu tiên và tối ưu hoá, có tính sẵn sàng cao, trong khi các yếu tố như chi phí, thời gian và nhân lực triển khai, vận hành hệ thống phải được giảm xuống.

Vì vậy, kiến trúc mạng diện rộng WAN đang đối mặt với những thách thức lớn trong bối cảnh phát triển này. Bởi vì trong một kiến trúc mạng diện rộng WAN cơ chế điều khiển và chuyển tiếp dữ liệu được kết hợp, đi liền với nhau trên cùng một thiết bị vật lý và mỗi thiết bị vật lý độc lập với nhau. Nếu số lượng thiết bị càng nhiều, càng gây nên sự phức tạp trong mạng lưới và gây khó khăn cho người quản trị mạng trong quá trình vận hành và điều khiển hệ thống. Việc có bất kỳ sự thay đổi nào trong các thiết bị của mạng đều mất rất nhiều thời gian, chi phí cao và bắt buộc phải có sự tham gia của nhà sản xuất thiết bị.

Ngoài ra, mạng diện rộng WAN không có khả năng mở rộng vì các nhu cầu đối với các trung tâm dữ liệu tăng nhanh chóng, nên mạng cũng buộc phải tăng (kích thước) theo, dẫn tới mạng trở nên quá phức tạp với hàng trăm, hàng ngàn thiết bị, những thiết bị này lại cần phải được cấu hình và điều khiển. Những người quản trị cũng buộc phải đưa ra dự báo về lưu lượng dữ liệu để mở rộng mạng.

Việc phụ thuộc vào nhà sản xuất thiết bị làm bị động trong việc phát triển của mạng diện rộng WAN. Các nhà mạng và các công ty cố gắng áp dụng các khả năng và dịch vụ mới trong việc đáp ứng các nhu cầu kinh doanh hoặc nhu cầu người dùng. Tuy nhiên các nhà mạng và công ty lại phải phụ thuộc vào các chu kỳ cập nhật firmware thiết bị của nhà sản xuất. Và điều đáng nói là những chu kỳ này có thể kéo dài lên đến 3 năm hoặc nhiều hơn nữa. Ngoài ra việc thiếu các chuẩn hóa, hay giao diện mở làm giới hạn khả năng điều chỉnh mạng của các nhà mạng.

Các chính sách mạng không đồng nhất cũng dẫn đến mỗi lần thực hiện một chính sách thì người quản trị mạng phải cấu hình hàng ngàn thiết bị. Ví dụ trong một doanh nghiệp lớn, mỗi khi một máy chủ mới được phát sinh thì người quản trị phải mất hàng giờ, thậm chí là vài ngày để thực hiện cấu hình cần thiết. Tính phức tạp của mạng hiện tại làm cho công việc này trở nên khó khăn đối với các nhà quản trị để có thể áp dụng một bộ phối hợp truy cập, hay quy tắc bảo mật, QoS và các chính sách người dùng khác.

Đặc biệt mạng diện rộng WAN còn gặp rất nhiều vấn đề kết nối tới các dịch vụ điện toán đám mây như không đủ băng thông hoặc chi phí băng thông cao, downtime cao, hiệu suất SaaS kém, hoạt động phức tạp, quy trình làm việc phức tạp để kết nối các dịch vụ đám mây, thời gian triển khai dài, khả năng hiển thị ứng dụng bị hạn chế.

Trong những năm gần đây, giải pháp SD-WAN (viết tắt của Software-Defined Wide-Area Networking) đã phát triển để giải quyết những thách thức mà mạng WAN truyền thống đang gặp phải. Giải pháp SD-WAN là một giải pháp để triển khai trên mạng diện rộng WAN dựa trên công nghệ SDN. SD-WAN là một kiến trúc mạng đơn giản hoá việc quản trị và vận hành một hệ thống mạng diện rộng WAN bằng cách tách biệt phần cứng mạng ra khỏi các cơ chế điều khiển, các thành phần điều khiển này sẽ được đưa về quản lý tập trung bằng phần mềm. (Hình 1.3)

Hiện nay, trên thị trường có rất nhiều thương hiệu nổi tiếng đang triển khai giải pháp công nghệ SD-WAN như các giải pháp công nghệ SD-WAN của Cisco (Cisco SD-WAN Meraki, Cisco SD-WAN Viptela), công nghệ SD-WAN của Fortinet, Peplink, Zyxel, Sophos, VMware-Velocloud, HP-Aruba, …

Hình 1.1: Software-Defined Wide-Area Networking (SDN)

2. Tổng quan về giải pháp Cisco SD-WAN

Giải pháp Cisco SD-WAN là dựa trên kiến trúc SD-WAN mà hãng Cisco cung cấp tới các doanh nghiệp cho phép chuyển đổi kỹ thuật số, đám mây doanh nghiệp. Nó tích hợp đầy đủ các giao thức định tuyến, bảo mật, chính sách và điều phối vào các mạng quy mô lớn. Cisco SD-WAN có hỗ trợ multi-tenancy (nhiều khách hàng cùng sử dụng chung cơ sở dữ liệu nhưng lại hoàn toàn độc lập với nhau) hoặc được phân phối trên nền tảng đám mây với tính tự động hoá cao, an toàn, có thể mở rộng và nhận biết ứng dụng với các phân tích phong phú như phân tích ứng dụng, các kết nối, lưu lượng mạng,… (Hình 2.1)

Hình 2.1: Giải pháp Cisco SD-WAN

Công nghệ Cisco SD-WAN giải quyết các vấn đề và thách thức của việc triển khai mạng. Một số lợi ích bao gồm:

- Quản lý tập trung và quản lý chính sách, cũng như đơn giản hoá hoạt động, giúp giảm thời gian xây dựng và triển khai.

- Tận dụng hiệu quả các công nghệ WAN để cắt giảm chi phí và tăng tính đa dạng trong kết nối. Điều này có nghĩa là các kiểu truyền tải có thể là bất kỳ kiểu truyền tải nào, chẳng hạn như Internet, MPLS, 3G/4G/LTE, vệ tinh hoặc các đường truyền thuê bao riêng.

- Triển khai linh hoạt. Do sự tách biệt giữa control plane và data plane, thiết bị có thể được triển khai tại cơ sở hoặc trên đám mây hoặc kết hợp cả hai.

- Bảo mật mạnh mẽ và toàn diện bao gồm khả năng mã hoá dữ liệu mạnh mẽ, phân đoạn mạng đầu cuối, nhận dạng chứng chỉ của thiết bị với các chính sách, kết hợp cùng với tường lửa và dịch vụ khác.

- Kết nối liền mạch giữa các chi nhánh, đám mây và mạng WAN.

- Khả năng hiển thị và nhận biết ứng dụng với Service-Level Agreement (SLA) theo thời gian thực.

- Tự động hoá tối ưu các ứng dụng đám mây (SaaS, IaaS), dẫn đến hiệu suất ứng dụng được cải thiện cho người dùng.

- Khả năng phân tích chi tiết cho phép khắc phục sự cố nhanh chóng và đưa ra các đề xuất để lập kế hoạch phân phối tài nguyên hiệu quả.

3. Các tính năng nổi bật trong giải pháp Cisco SD-WAN

Hiện nay, giải pháp Cisco SD-WAN được sử dụng chính cho bốn trường hợp sau:

- Dùng cho việc tự động và kết nối an toàn giữa các văn phòng, trung tâm dữ liệu và các đám mây công cộng/riêng tư thông qua các kiểu truyền tải độc lập.

- Dùng cho việc tối ưu hoá hiệu suất ứng dụng nhầm cải thiện trải nghiệm sử dụng ứng dụng cho người dùng tại các văn phòng.

- Dùng cho việc truy cập Internet trực tiếp một cách an toàn.

- Dùng cho việc kết nối các văn phòng với các ứng dụng đám mây qua một đường đi tối ưu và thông qua các điểm Colocation/Exchange để có thể áp dụng các dịch vụ bảo mật.

3.1 Mạng WAN tự động và kết nối an toàn

Việc tự động kết nối an toàn trong mạng WAN nhằm tập trung vào việc cung cấp các kết nối an toàn giữa các chi nhánh, trung tâm dữ liệu, các địa điểm, các đám mây công cộng và riêng tư qua một mạng truyền tải độc lập. Việc tự động này cũng bao gồm việc triển khai các dịch vụ, chính sách cho các thiết bị một cách đơn giản bằng cách sử dụng các mẫu chính sách phổ biến có sẵn và có thể mở rộng trong việc quản lý tự động, điều khiển từ xa. (Hình 3.1)

Hình 3.1: Mạng WAN tự động kết nối an toàn tới các dịch vụ đám mây

Trong Cisco SD-WAN có các đặc tính phù hợp cho việc tự động kết nối an toàn cho mạng WAN:

- Cấu hình tự động hoàn toàn Zero-touch provisioning ZTP: Là tính năng cung cấp điều khiển từ xa cho bộ định tuyến ở bất kỳ đâu trong mạng WAN. Bộ định tuyến WAN Edge sẽ tự động phát hiện các bộ điều khiển và tự động tải các cấu hình, chính sách đã được thiết lập trước đó trước khi thiết lập các đường hầm IPsec để kết nối tới các thành phần còn lại trong mạng. Việc cung cấp tự động giúp giảm các chi phí về nhân sự IT.

- Mở rộng băng thông: cho phép tận dụng các kết nối băng thông rộng để truyền các lưu lượng của các ứng dụng thay vì chỉ dùng các đường truyền này như một giải pháp dự phòng. Bằng cách tận dụng hết các đường MPLS hoặc thậm chí thay thế MPLS bằng các giải pháp băng thông rộng, các doanh nghiệp có thể gia tăng băng thông WAN trong khi vẫn giảm thiểu các chi phí mạng WAN.

- Phân đoạn VPN: Việc tách biệt lưu lượng truy cập vào bộ định là một giải pháp nhầm tăng tính bảo mật cho hệ thống mạng. Lưu lượng truy cập vào bộ định tuyến sẽ được gán một VPN, không chỉ tách biệt lưu lượng người dùng mà còn tách biệt thông tin bảng định tuyến. Điều này đảm bảo rằng lưu lượng người dùng trong một VPN không thể truyền hay nhận dữ liệu từ VPN khác trừ khi được cấu hình để làm như vậy. Khi lưu lượng được truyền qua WAN, một nhãn sẽ được chèn sau tiêu đề ESP để xác định VPN mà lưu lượng của người dùng thuộc về.

Hình 3.2: Phân đoạn End-to-end

- Quản lý tập trung: vManage thường đảm nhận việc quản lý lỗi, cấu hình, theo dõi hiệu suất hệ thống và bảo mật. vManage còn cung cấp sự đơn giản trong việc triển khai các dịch vụ, chính sách, định tuyến bằng những mẫu chính sách có sẵn, dẫn đến việc giảm thời gian triển khai.

3.2 Tối ưu hoá hiệu suất ứng dụng

Hiện nay, có rất nhiều vấn đề về mạng có thể ảnh hưởng đến hiệu suất sử dụng ứng dụng của người dùng, có thể bao gồm việc bị mất gói tin, mạng WAN bị tắc nghẽn, có độ trễ cao và việc lựa chọn đường đi trong mạng WAN không được tối ưu. Tối ưu hóa trải nghiệm sử dụng ứng dụng là rất quan trọng để cung cấp việc trải nghiệm ứng dụng tốt nhất cho người dùng. Giải pháp Cisco SD-WAN có thể giảm thiểu sự mất mát, chập chờn và độ trễ cũng như khắc phục các lỗi chuyển tiếp của mạng WAN bằng cách lựa chọn những con đường đi tối ưu nhất nhầm để tối ưu hoá hiệu suất ứng dụng.

Công nghệ Cisco SD-WAN sẽ giúp giải quyết vấn đề tối ưu hoá hiệu suất ứng dụng nhờ vào các đặc tính sau:

- Định tuyến nhận biết ứng dụng: Là cho phép tạo các chính sách SLA – tuỳ chỉnh cho lưu lượng truy cập và đo lường hiệu suất thời gian thực bằng BFD. Lưu lượng ứng dụng được chuyển hướng đến các điểm liên kết WAN hỗ trợ SLA cho ứng dụng đó. Khi bị giảm hiệu suất và SLA bị vượt qua thì lưu lượng truy cập có thể được chuyển hướng đến các đường dẫn khác tối ưu hơn. (Hình 3.3)

Hình 3.3: Định tuyến nhận diện ứng dụng

- Chất lượng dịch vụ (QoS): QoS bao gồm phân loại và kiểm soát lưu lượng truy cập trên các cổng interface của bộ định tuyến WAN. Cùng với đó, tính năng QoS được thiết kế để giảm thiểu độ trễ, chập chờn và mất gói của các luồng ứng dụng quan trọng.

3.3. Truy cập Internet trực tiếp an toàn

Trong mạng WAN truyền thống, lưu lượng truy cập đến Internet từ các chi nhánh sẽ được điều chỉnh lại ở trung tâm dữ liệu, nơi lưu lượng truy cập có thể được quét và kiểm tra trong một lớp bảo mật trước khi lưu lượng truy cập từ chi nhánh ra ngoài Internet và ngược lại. Theo thời gian, nhu cầu về lưu lượng truy cập Internet ngày càng tăng và ngày càng có nhiều công ty sử dụng dịch vụ đám mây cho các ứng dụng của họ. Vì vậy, cách mà lưu lượng truy cập phải đi qua một trung tâm dữ liệu như vậy sẽ tăng độ trễ và ảnh hưởng đến hiệu suất ứng dụng.

Truy cập Internet trực tiếp (DIA) có thể giúp giải quyết những vấn đề về độ trễ và tăng hiệu suất ứng dụng bằng cách cho phép chi nhánh truy cập vào Internet trực tiếp thông qua một VPN. (Hình 3.4)

Hình 3.4: Truy cập Internet trực tiếp so với truy cập Internet tập trung

DIA có thể đặt ra những thách thức về bảo mật vì lưu lượng truy cập internet từ các chi nhánh cũng cần bảo mật trước các mối đe dọa từ Internet. Cisco SD-WAN có thể giúp giải quyết vấn đề này bằng cách tận dụng các tính năng bảo mật của SD-WAN được nhúng trên các thiết bị IOS XE SD-WAN hoặc sử dụng cổng Internet an toàn (SIG).

Các tính năng bảo mật SD-WAN của IOS XE bao gồm các Firewall để nhận biết các ứng dụng doanh nghiệp, hệ thống sẽ phát hiện xâm nhập (IDS)/hệ thống ngăn chặn xâm nhập (IPS), bảo mật lớp DNS/Web, Lọc URL, SSL Proxy và bảo vệ trước các phần mềm độc hại (AMP).

3.4. Kết nối đa đám mây

Với sự phát triển về tốc độ kết nối ngày càng nhanh như hiện nay thì có rất nhiều ứng dụng đã và đang có trên rất nhiều đám mây và có thể truy cập qua nhiều phương tiện, thiết bị. Kết nối đa đám mây là cách kết nối tối ưu tới các ứng dụng đám mây IaaS hoặc SaaS từ các chi nhánh thông qua đường hầm tối ưu, cũng như cách kết nối hiệu quả với với các dịch vụ đám mây này thông qua các điểm Colocation/Exchang, nơi có thể áp dụng các dịch vụ bảo mật.

Trong Cisco SD-WAN có tính năng Cloud onRamp cho các ứng dụng đám mây IaaS, SaaS và các điểm Colocation/Exchang nhầm tự động đưa ra và điều hướng những lưu lượng từ các văn phòng đi tới các nhà cung cấp dịch vụ đám mây một cách tối ưu nhất. (Hình 3.5)

Hình 3.5: Tính năng Cloud onRamp của Cisco SD-WAN

4. Các mô hình triển khai cho giải pháp Cisco SD-WAN

Cisco SD-WAN Viptela: Đây là giải pháp được ưu tiên hơn cho các tổ chức cần một giải pháp SD-WAN với các yêu cầu tương thích với các kết nối cloud, định tuyến cao cấp, bảo mật cao cấp và các sơ đồ phức tạp khi kết nối đến đám mây. (Hình 1.10)

Cisco SD-WAN Meraki: Đây là giải pháp được khuyến cáo cho các tổ chức cần tích hợp các giải pháp UTM (Unified Threat Management) có sẵn với chức năng SD-WAN. Hoặc giải pháp này cũng phù hợp với những khách hàng đã dùng Meraki trước đó. UTM là giải pháp bảo mật trong đó bao gồm tất cả các tính năng bảo mật như firewall, VPN, ngăn ngừa xâm nhập IPS, antivirus, antispam và các giải pháp lọc nội dung. (Hình 4.1)

Hình 4.1: Các giải pháp của Cisco SD-WAN

Tác giả: Nhóm SD-WAN - Phòng kỹ thuật VnPro

Thông tin khác

» LAB 7: VIẾT POLICY NAT CHO SERVICE VPN VỚI CENTRALIZED DATA POLICY (05.02.2021)
» LAB 6: VIẾT TEMPLATE CẤU HÌNH OSPF CHO vEDGE TRONG CISCO SD-WAN (03.02.2021)
» LAB 5: VIẾT CÁC TEMPLATE CƠ BẢN CHO VSMART VÀ ĐẨY CẤU HÌNH CHO VSMART (01.02.2021)
» LAB 4: VIẾT CÁC TEMPLATE CƠ BẢN CHO VEDGE VÀ ĐẨY CẤU HÌNH CHO CÁC WAN VEDGE (28.01.2021)
» LAB 3: TRIỂN KHAI HỆ THỐNG CISCO SD-WAN VỚI HAI ĐƯỜNG TRANSPORT. (25.01.2021)
» LAB 2: TRIỂN KHAI THIẾT BỊ VEDGE VÀO HỆ THỐNG CISCO SD-WAN (21.01.2021)
» LAB 1: CẤU HÌNH CƠ BẢN BAN ĐẦU TRONG SDWAN (18.01.2021)
» Hướng dẫn cài đặt EVE-OVA & Image SD-WAN dành cho người mới bắt đầu (15.01.2021)