Mạng diện rộng WAN là gì?
Chức năng chính của một mạng máy tính là giúp truyền dữ liệu từ một máy nguồn đến một máy đích. Một mạng diện rộng là mạng bao phủ một khu vực địa lý rộng lớn để nhằm mục đích kết nối các mạng máy tính cục bộ.
Trong một hệ thống mạng tại một doanh nghiệp tiêu biểu, mạng WAN có thể dùng để kết nối hệ thống mạng tại văn phòng chính (Head Office - HO) và các mạng tại các chi nhánh (branch) nhằm mục đích chia sẽ tài nguyên, ứng dụng, thông tin.
Để một dữ liệu có thể gửi từ một người dùng ở chi nhánh đi đến một máy chủ ở văn phòng chính, một hệ thống mạng sẽ có ba chức năng chính:
Chức năng điều khiển (control plane): thiết bị gateway (router) ở chi nhánh sẽ quyết định định tuyến như thế nào. Giả sử từ chi nhánh đi về văn phòng chính có hai đường truyền WAN, chức năng điều khiển trên router chi nhánh (hoặc router ở HO) sẽ chọn lựa tuyến đường tốt hơn hoặc chọn lựa sử dụng cả hai đường truyền
Chức năng dữ liệu (data plane): các thông tin người dùng sẽ được định dạng như thế nào, được đóng gói và truyền đi như thế nào.
Chức năng quản trị (management plane): Các thiết bị sẽ được truy cập và được quản trị như thế nào? Ví dụ như truy cập thông qua telnet, SSH hoặc quản lý thông qua giao thức SNMP.
Tóm tắt: Trong mạng WAN truyền thống, ba chức năng này nằm tập trung trên từng router, trên từng thiết bị kết nối. Mỗi khi ta muốn thay đổi, chúng ta phải vào từng thiết bị để thay đổi cấu hình.
SDWAN là gì?
Software-define Wide Area Network (SD-WAN) là một kiến trúc mạng trong đó tách biệt phần điều khiển và phần quản trị ở các thiết bị gateway, hiện đang nằm phân bố trên từng thiết bị, đưa về quản lý tập trung bằng phần mềm. Do dùng phần mềm cho chức năng điều khiển tập trung nên các lưu lượng chạy từ chi nhánh về văn phòng chính hoặc từ chi nhánh đi ra Internet được điều phối một cách thông minh. Chức năng data plane thì để lại trên từng thiết bị, không di chuyển lên quản lý tập trung.
Bằng cách tập trung các cấu hình của mạng SDWAN, quản lý hiệu quả truy cập của các ứng dụng và các chính sách bảo mật, một doanh nghiệp có thể giảm thiểu đáng kể các chi phí điều hành mạng WAN.
Tóm tắt: Mạng SD-WAN đơn giản hóa việc quản trị và vận hành một hệ thống mạng diện rộng WAN bằng cách tách biệt phần cứng của mạng ra khỏi các cơ chế điều khiển của nó.
.png)
Hình vẽ bên dưới mô tả một kiến trúc mạng SDWAN từ hãng Cisco.
Vì sao SDWAN?
Khi các ứng dụng tiếp tục được chuyển sang dùng cloud, các kỹ sư mạng nhanh chóng nhận ra là các mạng WAN truyền thống chưa bao giờ được thiết kế cho cloud.
Ngày nay, các ứng dụng apps không chỉ được host trong trung tâm dữ liệu của doanh nghiệp mà còn được host trong
Khi so sánh và nhìn lại các giải pháp mạng diện rộng truyền thống với việc sử dụng các thiết bị định tuyến router, chúng ta thấy các giải pháp WAN truyền thống không thân thiện với các giải pháp điện toán đám mây. Các lưu lượng mạng thường sẽ chảy từ chi nhánh đi ngược lên văn phòng chính HO, nơi có các chính sách về bảo mật của doanh nghiệp đang được áp dụng. Các router lúc này chỉ định tuyến lưu lượng mạng dựa trên địa chỉ TCP/IP. Độ trễ gây ra bởi cách định tuyến này dẫn đến tốc độ truy cập apps chậm và thiếu tính sáng tạo. Một số người dùng thường so sánh là các ứng dụng kinh doanh quan trọng của họ chạy nhanh hơn khi họ đang ở nhà hoặc khi họ dùng trên các thiết bị di động (!).
Giải pháp SDWAN dùng phần mềm và các chức năng điều khiển để điều hướng lưu lượng mạng trên WAN. Mô hình SDWAN được thiết kế để hỗ trợ hoàn toàn các ứng dụng được host trong các trung tâm dữ liệu, được host trong các đám mây và các giải pháp SaaS. Lý do của các ưu điểm này là SDWAN quản lý lưu lượng dựa trên không chỉ địa chỉ TCP/IP mà còn dựa trên:
Khi SDWAN gửi các lưu lượng mạng đi đến cloud như SaaS và IaaS thông qua Internet, các người dùng cuối sẽ nhận được chất lượng truy cập tốt nhất.
Tóm tắt: Sự thông minh và khả năng nhận dạng lưu lượng của các apps cho phép SDWAN định tuyến các lưu lượng mạng dựa trên apps chứ không chỉ đơn giản dựa vào các địa chỉ TCP/IP.
Khả năng tự động học và tự động điều chỉnh của SDWAN
Bằng cách giám sát liên tục các ứng dụng và các tài nguyên WAN, một mạng SDWAN có thể điều chỉnh nhanh chóng khi các điều kiện mạng thay đổi để duy trì các hiệu quả ứng dụng cao nhất. Mạng SDWAN sẽ ảo hóa các dịch vụ truyền dẫn thường được dùng trong mạng diện rộng như MPLS, các dịch vụ Internet băng thông rộng và 4G/5G/LTE. Sau đó SDWAN sẽ xem các dịch vụ này như những tài nguyên mạng (resource pool). SDWAN cho phép tận dụng các kết nối băng thông rộng trong resource pool để truyền các lưu lượng của các apps.
Tóm tắt: Đưa hết đường truyền WAN vào một resource pool để quản lý. Tận dụng hết resource pool này.
Vấn đề bảo mật
Các SDWAN controller thường sẽ được cài đặt trước các thông tin để các router chi nhánh muốn kết nối vào phải thực hiện xác thực. Các thông tin xác thực này sẽ đảm bảo là chỉ có những thiết bị đã xác thực mới có được quyền truy cập vào mạng trục SDWAN fabric. Thông tin dùng để xác thực có thể dựa vào mã số serial no hoăc dựa vào các chứng thực điện tử. Sau mỗi lần xác thực thành công, các SDWAN controller sẽ thiết lập một đường hầm bảo mật dTLS đến từng router router. Ngoài ra, dữ liệu truyền giữa các mạng chi nhánh về văn phòng chính HO cũng được mã hóa. Một số hiện thực SDWAN còn trang bị thêm tính năng tường lửa cho các router ở chi nhánh.
Tóm tắt: Hầu hết các luồng dữ liệu giữa các thành phần SDWAN đều sẽ được mã hóa dùng các giao thức như DTLS hoặc IPSEC. Tính năng firewall được trang bị cho các router chi nhan1hm router biên.
Giao thức mới OMP
Các router chi nhánh và SDWAN controller sẽ thiết lập quan hệ láng giềng trong giao thức OMP (Overlay Management Protocol OMP). OMP là một giao thức tựa như BGP, có thể quảng bá các routes, các giá trị next-hop, các khóa và các thông tin chính sách cần thiết để duy trì mạng SDWAN. SDWAN controller sẽ xử lý các OMP route được học từ các router SDWAN ở các chi nhánh khác hoặc từ SDWAN controller để xác định các sơ đồ mạng và tính được đường đi tốt nhất đến mạng đích. Sau đó nó sẽ quảng bá các thông tin học được từ các router này đến các router khác.
Tóm tắt: OMP là một giao thức định tuyến giữa SDWAN controller và các router chi nhánh.
Đặng Quang Minh
Email: dangquangminh@vnpro.org
vSmart controller cũng triển khai các chính sách được tạo ra trên vManage, chẳng hạn như các chuỗi dịch vụ, các kỹ thuật lưu lượng, các phân mảnh trên sơ đồ VPN topology. Ví dụ khi có một chính sách tạo ra trên vManage cho một ứng dụng (chẳng hạn như Youtube) trong đó yêu cầu không được mất gói nhiều hơn 1% và độ trễ ít hơn 150ms, chính sách đó sẽ được tải xuống vSmart Controller. vSmart controller sẽ chuyển các chính sách này sang một định dạng mà các router SDWAN có thể hiểu. Sau đó các router sẽ tự động triển khai các chính sách mà không cần sử dụng giao diện dòng lệnh CLI. VSmart controller cũng hoạt động kết hợp với vBond để thực hiện xác thực các thiết bị khi nó tham gia vào mạng SDWAN và cũng sẽ sắp đặt các kết nối trên các SDWAN router. vSmart controller thường sẽ được cài đặt trước các thông tin để cho phép vSmart xác thực tất cả các SDWAN router muốn kết nối vào. Các thông tin xác thực này sẽ đảm bảo là chỉ có những thiết bị đã xác thực được quyền truy cập vào mạng trục SDWAN fabric. Sau mỗi lần xác thực thành công, các vSmart controller sẽ thiết lập một đường hầm dTLS đến từng SDWAN router.
Trong giai đoạn hiện tại, các dịch vụ băng thông rộng được sử dụng nhiều trong kiến trúc mạng SDWAN của doanh nghiệp. Ngoài các mối quan tâm về hiệu quả, về độ tin cậy, về bảo mật, chúng ta thường nghe nhắc đến các yếu tố như:
.png)
Đáp án cho các câu hỏi trên là chuyển đổi sang một nền tảng SDWAN mới trong đó hợp nhất đường truyền, định tuyến, tối ưu hóa mạng WAN, tường lửa, phân tách mạng và các chức năng điều khiển bên trong một nền tảng platform duy nhất. SDWAN cho phép tận dụng các kết nối băng thông rộng để truyền các lưu lượng của các ứng dụng thay vì chỉ dùng các đường truyền này như một giải pháp dự phòng. Bằng cách tận dụng hết các đường MPLS hoặc thậm chí thay thế MPLS bằng các giải pháp băng thông rộng, các doanh nghiệp có thể gia tăng băng thông WAN trong khi vẫn giảm thiểu các chi phí mạng WAN.
Các lợi ích của SDWAN cho mạng doanh nghiệp
SDWAN NÂNG CAO
Quản trị một mạng doanh nghiệp trở nên ngày càng phức tạp khi các hệ thống mạng sử dụng các cách tiếp cận dùng nhiều đám mây, các ứng dụng di chuyển vào các dịch vụ điện toán đám mây, các thiết bị di động và IoT phát triển gia tăng trong hạ tầng mạng và các chi nhánh có các kết nối đến Internet. Quá trình chuyển đổi số này là cho công nghệ SDWAN ngày càng phổ biến.
SDWAN giúp giải quyết các vấn đề sau:
Cisco hiện có hai giải pháp SDWAN:
Cisco SDWAN dựa trên Viptela: Đây là giải pháp được ưu tiên hơn cho các tổ chức cần một giải pháp SDWAN với các yêu cầu tương thích với các kết nối cloud, định tuyến cao cấp, bảo mật cao cấp và các sơ đồ phức tạp khi kết nối đến cloud.
Meraki SDWAN: đây là giải pháp được khuyến cáo cho các tổ chức cần tích hợp các giải pháp UTM có sẵn (Unified Threat Management) với chức năng SDWAN. Hoặc giải pháp này cũng phù hợp với những khách hàng đã dùng Meraki trước đó. UTM là giải pháp bảo mật nhiều-trong-một trong đó bao gồm tất cả các tính năng bảo mật: firewall, VPN, ngăn ngừa xâm nhập IPS, antivirus, antispam và các giải pháp lọc nội dung.
Hai giải pháp SDWAN này có thể đạt cùng một mục tiêu thiết kế, nhưng phần còn lại của tài liệu này chỉ tập trung mô tả giải pháp Cisco SDWAN dựa trên Viptela.
.png)
Kiến trúc Cisco SDWAN
Cisco SDWAN (dựa trên Viptela) là một kiến trúc mạng ảo dùng để thúc đẩy quá trình chuyển đổi số và chuyển sang điện toán đám mây trong mạng doanh nghiệp. Hình bên dưới mô tả một kiến trúc của mạng Cisco SDWAN
.png)
Hình vẽ trên mô tả cách thức SDWAN dùng để kết nối các văn phòng ở xa, các chi nhánh, các mạng campus, các trung tâm dữ liệu và các dịch vụ điện toán đám mây dùng bất kỳ các hạ tầng mạng truyền dẫn nào bên dưới, chẳng hạn như Internet, 3G/4G LTE và MPLS. Nó cũng minh họa cách thức các thành phần này quản lý mạng trục SDWAN fabric vào trong các data center, các đám mây riêng hoặc các public cloud.
Giải pháp Cisco SDWAN có 4 thành phần chính:
vManage Network Management System (NMS): Ứng dụng này là nơi ta có thể quản trị SDWAN. vManage cũng được dùng để tạo các cấu hình cho các thiết bị và triển khai các thay đổi.
vSmart controller: Là bộ não của giải pháp.
SDWAN router: SDWAN bao gồm cả router vEdge và router cEdges.
vBond orchestrator: ứng dụng này sẽ thực hiện việc xác thực và sắp xếp các kết nối giữa SDWAN router và vSmart controllers.
vAnalytics: Ứng dụng này là tùy chọn (optional) dùng để phân tích và đảm bảo dịch vụ.
vSmart controller thường sẽ được cài đặt trước các thông tin để cho phép vSmart xác thực tất cả các SDWAN router muốn kết nối vào. Các thông tin xác thực này sẽ đảm bảo là chỉ có những thiết bị đã xác thực được quyền truy cập vào mạng trục SDWAN fabric. Sau mỗi lần xác thực thành công, các vSmart controller sẽ thiết lập một đường hầm dTLS đến từng SDWAN router. Sau đó các router SDWAN và vSmart controller sẽ thiết lập quan hệ láng giềng trong giao thức OMP (Overlay Management Protocol OMP). OMP là một giao thức tựa như BGP, có thể quảng bá các routes, các giá trị next-hop, các khóa và các thông tin chính sách cần thiết để duy trì mạng SDWAN.
vSmart controller sẽ xử lý các OMP route được học từ các router SDWAN (hoặc từ các vSmart controller) để xác định các sơ đồ mạng và tính được đường đi tốt nhất đến mạng đích. Sau đó nó sẽ quảng bá các thông tin học được từ các routes này đến các router SDWAN khác trong mạng SDWAN fabric.
vSmart controller cũng triển khai các chính sách được tạo ra trên vManage, chẳng hạn như các chuỗi dịch vụ, các kỹ thuật lưu lượng, các phân mảnh trên sơ đồ VPN topology. Ví dụ khi có một chính sách tạo ra trên vManage cho một ứng dụng (chẳng hạn như Youtube) trong đó yêu cầu không được mất gói nhiều hơn 1% và độ trễ ít hơn 150ms, chính sách đó sẽ được tải xuống vSmart Controller. vSmart controller sẽ chuyển các chính sách này sang một định dạng mà các router SDWAN có thể hiểu. Sau đó các router sẽ tự động triển khai các chính sách mà không cần sử dụng giao diện dòng lệnh CLI. VSmart controller cũng hoạt động kết hợp với vBond để thực hiện xác thực các thiết bị khi nó tham gia vào mạng SDWAN và cũng sẽ sắp đặt các kết nối trên các SDWAN router.
Các router VEdge và cEdge
Các router SDWAN sẽ cung cấp các chức năng WAN cơ bản, chức năng bảo mật, cloud. Các router này có thể hiện diện dưới dạng phần cừng, phần mềm, được host ở trong cloud hay như là các router ảo. Các router này thường nằm ở vùng biên của một site chẳng hạn như các văn phòng chi nhánh, các văn phòng ở xa, mạng campus hoặc các trung tâm dữ liệu.
Các router SDWAN hỗ trợ các tính năng chuẩn của router, chẳng hạn như OSPF, BGP, ACL, QoS và các chính sách định tuyến, các thông tin điều khiển và các chức năng data plane. Từng SDWAN router tự động thiết lập một kết nối bảo mật DTLS với vSmart và hình thành một quan hệ láng giềng trong giao thức OMP chạy bên trong tunnel. Các router SDWAN cũng thiết lập các phiên IPSEc với các SDWAN router khác. Các router SDWAN sẽ có các cơ chế thông minh để thực hiện các quyết định liên quan đến định tuyến, high availability HA, các interface, quản lý ARP và các ACL. vSmart controller cũng cung cấp các route ở xa và các thông tin cần thiết để xây dựng SDWAN fabric.
Có hai tùy chọn khác nhau của router SDWAN.
vEdge: là phiên bản nguyên thủy ban đầu của Viptela, chạy Viptela.
cEdge: phần mềm Viptela tích hợp bên trong Cisco IOS-XE. Phần mềm này hỗ trợ trên các router CSR, ISR, ASR1K, ENCS và các router chạy trong cloud như CSRv, ISRv. Phiên bản SDWAN được dùng trong hệ điều hành Cisco IOS XE không phải là một phiên bản IOS XE chuẩn. Chỉ có một số tính năng của SDWAN được chuyển đổi vào trong phiên bản IOS XE SDWAN. vManage cho phép cung cấp cấu hình và khôi phục lỗi trên các router IOS XE SDWAN theo cùng một cách như vEdge routers.
Sự khác biệt chủ yếu giữa SDWAN cEdge và vEdge được trình bày trong bảng dưới đây:
vBond Orchestrator
Ứng dụng vBond sẽ xác thực vSmart controller và các SDWAN router và các kết nối giữa chúng. Đây là thiết bị duy nhất phải có một IP thật sao cho tất cả các thiết bị SDWAN khác trong mạng có thể kết nối đến nó. vBond là một SDWAN router chỉ thực hiện chức năng sắp xếp của vBond.
Các chức năng chính của router vBond là
Kết nối control plane: Mỗi vBond có một kết nối thường trực thông qua một tunnel DTLS với từng vSmart controller. Hơn nữa, vBond dùng kết nối DTLS để giao tiếp với các router SDWAN khác khi các router kết nối vào mạng SDWAN, sau đó xác thực chúng và cho phép các router này tham gia vào mạng. Chức năng xác thực cơ bản của một SDWAN router là dùng certificates và RSA cryptography.
NAT traversal: vBond thực hiện kết nối ban đầu giữa router SDWAN và vSmart controller khi một hoặc cả hai SDWAN router và vSmart đều phía sau một thiết bị có NAT địa chỉ. Trong tình huống này, các kết nối peer-to-peer chuẩn được dùng.
Cân bằng tải: trong một domain với nhiều vSmart, vBond sẽ tự động thực hiện cân bằng tải trên các SDWAN router xuyên suốt các vSmart controllers.
vAnalytics
Chức năng này là một chức năng tùy chọn và có nhiều tính năng bao gồm
Các khả năng này có thể mang lại nhiều lợi ích cho SDWAN. Ví dụ, nếu một chi nhánh đang hiện tượng độ trễ mạng cao hoặc mất gói trên đường MPLS, vAnalytics sẽ phát hiện tình trạng này và so sánh độ mất gói hoặc độ trễ đó với các tổ chức khác trong cùng khu vực để xem các hệ thống mạng của doanh nghiệp khác có cùng độ trễ hay cùng độ mất gói như nhau không. Nếu là phải, vAnalytics có thể báo cáo vấn đề cho các nhà cung cấp dịch vụ Service Provider. vAnalytics cũng giúp dự đoán bao nhiêu băng thông là cần cho bất kỳ vị trí nào. Tính năng này là hữu ích khi chúng ta cần hạ băng thông của một đường truyền để tiết kiệm chi phí.
Trong các thành phần của SDWAN, các SDWAN router và vBond thì có thể ở dạng phần cứng vật lý và các máy ảo VM. vMnage và vSmart chỉ có ở dạng VMs.
Tất cả các VM, bao gồm CSRv, ISRv và vEdge có thể host tại mạng doanh nghiệp, chạy trên ESXi hay KVM hoặc nó có thể host trên AWS và MS Azure.
Cisco SD-WAN Cloud OnRamp
Kiến trúc mạng WAN truyền thống không được thiết kế để tối ưu cho cloud. Khi các doanh nghiệp chuyển sang dùng các ứng dụng SaaS chẳng hạn như Office365 và các public cloud như AWS và MS Azure, hạ tầng mạng hiện tại cho thấy nhiều vấn đề liên quan đến sự phức tạp và các trải nghiệm của người dùng cuối. Giải pháp SDWAN bao gồm các chức năng để tối ưu các ứng dụng SaaS và IaaS. Tính năng này được gọi là Cloud OnRamp.
Cloud OnRamp cho phép các trải nhiệm tốt nhất cho các ứng dụng SaaS bằng cách giám sát liên tục tốc độ truy cập các ứng dụng khác nhau trên các tuyến đường khác nhau. Sau đó tuyến đường tốt nhất sẽ được chọn dựa theo các đơn vị đo lường về hiệu năng mạng (jitter, loss và delay). Hơn nữa, tính năng này giúp đơn giản hóa các kết nối đến các mạng hybric cloud hoặc multicloud bằng cách mở rộng SDWAN vào trong public cloud. Khả năng mở rộng và khả năng sẵn sàng vẫn được đảm bảo trong tình huống này.
Cloud OnRamp cho dịch vụ SaaS
Các ứng dụng SaaS hiện diện chủ yếu trên Internet. Để có thể đặt được mức ứng dụng tối ưu, lưu lượng đi ra Internet cần được tính toán tối ưu. Hình vẽ bên dưới mô tả một hệ thống mạng với hai kết nối Internet trực tiếp (DIA) từ hai nhà cung cấp dịch vụ Internet khác nhau.
.png)
Khi tính năng này Cloud OnRamp cho SaaS được cấu hình cho một ứng dụng trên vManage, router SDWAN ở chi nhánh sẽ gửi các thông điệp http-probe trên cả hai kết nối đến các ứng dụng SaaS để đo lường độ trễ và mất gói. Dựa vào kết quả, router SDWAN sẽ biết đường truyền nào đang thực hiện tốt hơn và sẽ cho phép các lưu lượng SaaS đi ra trên mạch đó. Quá trình giám sát tiếp tục, và nếu có một thay đổi trong kết nối của ISP2, router SDWAN sẽ thực hiện các quyết định định tuyến tương ứng.
