Kết nối mạng riêng (WAN) như MPLS rất đáng tin cậy nhưng cũng rất tốn kém. Kết nối WAN thường chiếm một phần lớn ngân sách CNTT, vì vậy thật dễ hiểu khi các tổ chức muốn thay thế kết nối WAN riêng của họ bằng kết nối internet thông thường để giảm chi phí.
Để hiểu về SD-WAN, trước tiên chúng ta cần thảo luận về một số "vấn đề" với kết nối WAN truyền thống. Chúng ta có thể lựa chọn giữa kết nối WAN riêng tư hoặc kết nối internet công cộng. Hãy so sánh hai lựa chọn này:
+ Chi phí: kết nối WAN riêng tư như MPLS đắt hơn nhiều so với kết nối internet thông thường.
+ Thời gian triển khai: việc triển khai kết nối WAN riêng tư mất nhiều thời gian hơn so với kết nối internet thông thường.
+ SLA: các nhà cung cấp dịch vụ cung cấp SLA cho kết nối WAN riêng tư, điều mà chúng ta không có với kết nối internet thông thường. Có những nhà cung cấp cung cấp SLA cho kết nối internet "doanh nghiệp", nhưng chúng thường đắt hơn nhiều so với kết nối internet thông thường (dành cho người tiêu dùng).
+ Mất gói tin: kết nối internet có tỷ lệ mất gói tin cao hơn so với kết nối WAN riêng tư như MPLS.
+ QoS: kết nối Internet không cung cấp bất kỳ QoS nào, bạn có thể ưu tiên lưu lượng truy cập phát ra của mình nhưng chỉ vậy thôi, Internet tự nó giống như miền Tây hoang dã. Kết nối WAN riêng tư thường hỗ trợ QoS đầu cuối.
Cách chúng ta sử dụng mạng WAN cũng đã thay đổi theo thời gian. Hầu hết các tổ chức đều có trụ sở chính, người dùng từ xa và có thể một số chi nhánh. Các chi nhánh được kết nối với trụ sở chính bằng WAN riêng hoặc VPN qua internet. Người dùng từ xa sử dụng VPN từ xa qua internet để kết nối.
Ngày nay, các tổ chức cũng chạy các ứng dụng của riêng họ trên đám mây thay vì tại chỗ, và họ sử dụng các ứng dụng như Office 365 hoặc G Suite. Do đó, mô hình lưu lượng truy cập của chúng ta cũng đã thay đổi:
Quản lý mạng như thế nào?
Mỗi router có mặt phẳng điều khiển riêng, và chúng ta sử dụng CLI để tạo thủ công cấu hình router "từng thiết bị". Điều này tốn thời gian và dễ gây lỗi. Chúng ta có thể sử dụng công cụ tự động hóa mạng để làm cho công việc dễ dàng hơn, nhưng mặt phẳn điều khiển vẩn được phân cấp.
SD-WAN hứa hẹn sẽ tiết kiệm chi phí bằng cách kết hợp sử dụng internet và kết nối mạng riêng tư WAN, đồng thời giúp quản lý mạng dễ dàng hơn nhiều.
Một vấn đề với SD-WAN là mỗi nhà cung cấp có một ý tưởng khác nhau về SD-WAN là gì. Tôi sẽ cung cấp cho bạn một cái nhìn tổng quan cơ bản về SD-WAN. Giải pháp SD-WAN có phần mặt phẳng điều khiển được tập trung và được xây dựng với tự động hóa mạng và điều phối mạng. Chúng ta tạo các chính sách mạng áp dụng cho toàn bộ hệ thống mạng và áp dụng (hoặc cài đặt, triển khai) các chính sách đó xuống tất cả các bộ định tuyến từ một vị trí trung tâm. Bạn có thể tạo một chính sách QoS và đẩy nó đến tất cả 500 bộ định tuyến chi nhánh của bạn chỉ với một cú nhấp chuột duy nhất. Chúng tôi không còn sử dụng CLI nữa. Thay vào đó, chúng tôi có một giao diện người dùng đồ họa và sử dụng API để cấu hình và quản lý các kết nối WAN của mình. Một số nhà cung cấp vẫn hỗ trợ CLI nếu bạn muốn khắc phục sự cố.
Chúng tôi sử dụng nhiều kết nối WAN và cân bằng tải từng ứng dụng theo chế độ song song (active/active). Ví dụ, hãy tưởng tượng một trang web có kết nối cáp quang, cáp đồng trục, 4G và DSL. SD-WAN sẽ giám sát tất cả các kết nối WAN này, theo dõi các chỉ số hiệu suất như thông lượng và độ trễ. Sau đó, SD-WAN sẽ chọn kết nối WAN có độ trễ thấp nhất và thông lượng cao nhất để truyền tải dữ liệu.
Khi một liên kết nhất định gặp lỗi, nó có thể chuyển sang tùy chọn tốt nhất tiếp theo. Nó cũng có thể thực hiện điều này ở cấp độ ứng dụng. Bạn có thể sử dụng kết nối cáp quang cho lưu lượng truy cập đến đám mây công cộng và kết nối cáp cho lưu lượng FPT có mức ưu tiên thấp. Nó bảo vệ lưu lượng truy cập qua kết nối internet công cộng với IPSEC.
SD-WAN có thể là một giải pháp thay thế cho đường kết nối WAN riêng tốn kém với SLA cam kết thời gian hoạt động "năm chín" (99,999%). Ý tưởng đằng sau đó là nhiều kết nối WAN luôn đáng tin cậy hơn một kết nối WAN duy nhất.
IWAN là giải pháp SD-WAN đầu tiên của Cisco dành cho nền tảng ISR và được thiết kế cho mạng WAN lai (MPLS và internet) hoặc kết nối chỉ sử dụng internet.
Bên trong họ sử dụng một số giao thức quen thuộc:
DMVPN (Dynamic Multipoint VPN): Cho phép kết nối an toàn nhiều văn phòng từ xa với nhau.
QoS (Quality of Service): Đảm bảo chất lượng dịch vụ cho lưu lượng truy cập, ưu tiên các ứng dụng quan trọng.
DMVPN với QoS: Kết nối mạng riêng ảo đa điểm với đảm bảo chất lượng dịch vụ.
Dịch vụ ứng dụng vùng diện rộng (WAAS) (Wide Area Application Services): Tối ưu hóa hiệu suất cho các ứng dụng chạy trên mạng diện rộng.
Kiểm soát và phân biệt ứng dụng (AVC) (Application Visibility and Control): Theo dõi và quản lý lưu lượng truy cập của các ứng dụng khác nhau.
Định tuyến dựa trên hiệu suất (PfR)(Performance Routing): Chọn đường truyền tốt nhất cho lưu lượng truy cập dựa trên hiệu suất mạng.
Meraki SD-WAN dành cho khách hàng hiện tại của Meraki muốn tận dụng những lợi ích của SD-WAN. Dưới đây là một số tính năng mà nó cung cấp:
Cisco đã mua lại Viptela, một nhà cung cấp SD-WAN lớn, vào năm 2017 và đổi tên thành Cisco SD-WAN. Đây là giải pháp SD-WAN dành cho doanh nghiệp của Cisco.
Giải pháp này bao gồm bốn thành phần chính và một thành phần phân tích tùy chọn:
* vManage (quản lý)
* vSmart (bộ điều khiển)
* vEdge (bộ định tuyến)
* vBond (điều phối)
* vAnalytics (phân tích)
vManage là Hệ thống Quản lý Mạng (NMS) để cấu hình và quản lý toàn bộ giải pháp SD-WAN. Bạn có thể sử dụng giao diện đồ họa hoặc REST API để truy cập nó. Đây là nơi bạn tạo cấu hình thiết bị và chính sách mạng. vManage cũng thông báo cho bạn khi có sự kiện hoặc sự cố gián đoạn.
vSmart là bộ điều khiển trung tâm của kiến trúc. Các bộ điều khiển vSmart quảng cáo các tuyến đường, bảo mật và thông tin chính sách. Cisco SD-WAN sử dụng Giao thức Overlay Management Protocol (OMP) cho điều này. vSmart thực hiện các chính sách mà bạn cấu hình thông qua vManage.
Ví dụ, hãy tưởng tượng bạn tạo một chính sách thông qua vManage, trong đó lưu lượng thoại thời gian thực yêu cầu độ trễ dưới 100ms. Bộ điều khiển vSmart tải xuống chính sách, chuyển đổi nó sang định dạng phù hợp với bộ định tuyến vEdge và sau đó triển khai nó trên tất cả các bộ định tuyến vEdge.
Tất cả các bộ định tuyến vEdge đều kết nối với bộ điều khiển vSmart, tạo thành cấu trúc mạng Hub và Spoke. Cấu trúc này tương tự như một bộ phản chiếu tuyến BGP hoặc một máy chủ DMVPN NHRP. Bộ điều khiển vSmart chỉ tồn tại trong mặt phẳng điều khiển và không bao giờ nằm trong mặt phẳng dữ liệu.
vEdge là các bộ định tuyến phần mềm hoặc phần cứng tại các địa điểm của bạn và chịu trách nhiệm về mặt phẳng dữ liệu. Các bộ định tuyến vEdge kết nối với bộ điều khiển vSmart thông qua kết nối Bảo mật Giao thức Vận chuyển Datagram (DTLS). Nếu bạn muốn sử dụng phần cứng, bạn có các tùy chọn sau:
Nếu bạn muốn sử dụng phần mềm, bạn có hai lựa chọn cho máy ảo:
vBond là bộ điều phối. Nó xác thực bộ điều khiển vSmart và bộ định tuyến vEdge và phối hợp kết nối giữa chúng. Nó thông báo cho bộ định tuyến vEdge mọi nơi và cách kết nối với vManage và bộ điều khiển vSmart. vBond yêu cầu một địa chỉ IP công cộng để tất cả các thiết bị có thể kết nối với nó. Khi một bộ định tuyến vEdge tham gia vào SD-WAN, điều đầu tiên nó liên lạc là bộ điều phối vBond.
vAnalytics là một dịch vụ phân tích tùy chọn. Nó cung cấp cho bạn cái nhìn tổng quan về các ứng dụng và cơ sở hạ tầng của bạn trong toàn bộ SD-WAN. Bạn có thể sử dụng nó để dự báo và nó đưa ra cho bạn các khuyến nghị về lưu lượng truy cập và kết nối WAN của bạn. Điều này có thể hữu ích để tìm hiểu xem bạn có cần nâng cấp hoặc hạ cấp một số kết nối WAN hay không.
Bạn có thể triển khai Cisco SD-WAN bằng cách kết hợp giữa các cloud và or-premises:
• Bộ định tuyến vEdge và trình điều phối vBond có sẵn dưới dạng phần cứng hoặc máy ảo.
• Bộ điều khiển vManage và vSmart chỉ có sẵn dưới dạng máy ảo.
Bạn có thể chạy các máy ảo (VM) trực tiếp trên ESXi hoặc KVM, hoặc lưu trữ chúng tại các nhà cung cấp đám mây như Amazon AWS hoặc Microsoft Azure.
Trong mô hình truyền thống, bạn sẽ tìm thấy tất cả cơ sở hạ tầng và ứng dụng tại chỗ trong một trụ sở chính hoặc trung tâm dữ liệu. Chúng ta kết nối các chi nhánh của mình theo cấu trúc trung tâm và vành đai và định tuyến tất cả lưu lượng truy cập từ các chi nhánh đến trụ sở chính hoặc trung tâm dữ liệu.
Ngày nay, các tổ chức thường sử dụng các ứng dụng SaaS (Software as a service) đám mây như Office 365, Gmail hoặc Salesforce. Thay vì chạy mọi thứ tại chỗ, chúng ta cũng sử dụng dịch vụ laaS trên đám mây công cộng.
Mô hình hub and spoke, nơi chúng ta kết nối và định tuyến tất cả lưu lượng truy cập từ chi nhánh đến trang web chính hoặc trung tâm dữ liệu, không còn hoạt động nữa. Cisco SD-WAN kết nối các trang web trực tiếp với các ứng dụng SaaS hoặc dịch vụ laaS (Liquidity As a Service) này bằng một hoặc nhiều kết nối WAN.
Có hai lựa chọn:
• Cloud onRamp SaaS (nền tảng SaaS trên đám mây)
• Cloud onRamp laaS (nền tảng laas trên đám mây)
Cloud onRamp SaaS giám sát hiệu suất của tất cả các kết nối WAN từ văn phòng chi nhánh đến ứng dụng SaaS. Mỗi đường dẫn sẽ nhận được điểm hiệu suất "chất lượng trải nghiệm" từ 0-10, 10 là điểm cao nhất. Hệ thống đưa ra quyết định theo thời gian thực để chọn đường dẫn hiệu suất tốt nhất giữa người dùng cuối tại văn phòng chi nhánh và ứng dụng SaaS trong đám mây. Bạn có thể theo dõi điều này trong giao diện vManage.
Cloud onRamp laaS mở rộng mạng SD-WAN vào đám mây công cộng. Thông qua vManage, bạn có thể tự động tạo các bộ định tuyến vEdge đám mây trong cơ sở hạ tầng của nhà cung cấp đám mây công cộng. Điều này cho phép bạn kết nối trực tiếp từ các bộ định tuyến vEdge tại chỗ của bạn đi đến các bộ định tuyến vEdge đám mây tại nhà cung cấp đám mây công cộng.
Phước Trí - Kỹ Thuật Viên Vnpro
