Цифровая экономика заключается не только, и не столько, в наличии умных гаджетов в руках пользователя, но также и в том, как организуются сети, и какие именно решения применяются внутри того, что называется не совсем точным понятием «сеть». Насущным требованием для цифровой экономики является создание территориально распределённых сетей дата-центров DCI (Data Center Interconnect), которые «сшивают» много физических дата-центров в одну распределённую «ткань» (fabric), представляющую собой единый территориально распределённый логический дата-центр.

Территориально распределенные корпоративные сети WAN (Wide Area Network) требуются компаниям со многими филиалами и точками продаж. Однако, физические выделенные линии требуют больших затрат (даже если они арендуются у операторов), а иногда такой способ просто неосуществим технически. До последнего времени для этой цели использовалась технология виртуальных частных сетей VPN (Virtual Private Network), а также многопротокольная коммутация по меткам MPLS (Mlulti-Protocol Label Switching).

Зачем нужна SD-WAN

Однако, все эти способы страдали одним существенным недостатком: сети, построенные на их основе, по своей природе статичны. Их топологию нельзя менять «на лету», а создание новой VPN требует большой работы по её настройке.

На помощь приходит технология SDN (Software Defined Network), которую многие «ИТ-шники» прозвали «вынос мозга». Но вовсе не потому, что она сложна (не так уж она и сложна). А потому, что в SDN «мозги» сетевых элементов (маршрутизаторов, межсетевых экранов, граничных контроллеров и пр.), действительно выносятся на верхний уровень. То есть, топология обычной сети, где каждый сетевой элемент сам решал, на какой порт ему направить очередной пакет, разделяется на две плоскости: управления (Control Plane), и передачи данных (Data Plane). Куда пойдет следующий пакет, решает Control Plane на контроллере SDN, а Data Plane в сетевом элементе (коммутаторе, маршрутизаторе или другом) осуществляет только продвижение пакетов со входа устройства на его выход, по загруженным в устройство настройкам от контроллера. При этом менять топологию VPN и создание новых логических сетей внутри физической сети можно удаленно и быстро, без того, чтобы сетевой инженер наносил «визиты вежливости» каждому сетевому элементу.

Однако, SDN пока хорошо работает только внутри дата-центра. Для соединения дата-центров DCI требуется новое решение: программно-конфигурируемая WAN, SD-WAN (Software Defined WAN).

SD-WAN – это не столько технология, сколько другой подход к проектированию и развертыванию глобальной сети предприятия, в которой используется SDN для наиболее эффективной маршрутизации трафика и управления им.

До эпохи SDN, WAN создавалась примерно так:

Такая сеть работает хорошо, пока экскаваторщик Вася не перерубит ковшом кабель, или не будет перегружена сеть 3G/LTE.

С SD-WAN картина иная:

В SD-WAN становится возможным управлять трафиком централизованно, при помощи программного обеспечения SDN-контроллера. Сети VPN теперь можно прокладывать очень быстро, гибко из конфигурировать и масштабировать. То есть, несколько разрозненных ранее соединений объединяются в виртуальный сегмент сети. При этом сетевому администратору нет необходимости отправляться в удалённый филиал (или нанимать там ещё одного администратора). Теперь всё можно быстро сделать из места расположения контроллера SD-WAN, сводя к минимуму, или полностью устранив, ручную настройку сетевых устройств.

SD-WAN позволяет более рационально управлять дорогостоящими MPLS-каналами, арендованными у оператора связи, отправляя низкоприоритетные потоки трафика по более дешевым каналам публичного Интернета.

Как построить SD-WAN?

В каналах корпоративных сетей между офисами чаще всего используются три основных сервиса: виртуализация рабочих мест VDI (virtual desktop infrastructure), голосовая связь по IP-сети VoIP (voice over IP) и видеоконференция. Отказ, или плохая работа любого из них замедляет бизнес-процесс предприятия, а, например, отказ связи с POS-терминалами может вообще парализовать работу торгового центра.

У решения SD-WAN есть много возможностей повышения качества и производительности сервисов, чувствительных к задержкам, таким как VoIP, или требующих большой полосы, как видеоконференция через VDI, а также для стабильной работы приложений VDI в дата-центре.

Рассмотрим типичную ситуацию подключения корпоративной сети предприятия удалённого офиса к дата-центру. Основной трафик, включая критичные приложения, конфигурируется через скоростной MPLS-канал. Один-два маршрута могут быть заданы через широкополосной доступ Интернет, для резервирования основного канала через MPLS.

Казалось бы, хорошая схема. Однако, не всё в ней так хорошо.

Во 1-х, в MPLS всегда будет много неиспользованной полосы, потому что соединения заданы статично (а канал – дорогой). С другой стороны, при насыщении полосы MPLS, не так-то легко переместить какую-то часть трафик в ШПД, в этом случае требуется ручное вмешательство администратора.

Во 2-х, восстановление «упавшего» канала может занять несколько секунд, а то и минут, при этом приложения пользователей не будут отвечать на запросы, а все текущие сессии может понадобиться перезалогинивать. Ясно, что бизнес-процессы предприятия будут при этом нарушены.

В 3-х, после восстановления соединений через резервные каналы производительность критичных приложений серьёзно снизится, поскольку все остальные приложения также будут использовать эти каналы. Возрастет процент потерь пакетов в VoIP, что снизит качество голоса, в видеоконференции появятся помехи, а приложения VDI будут сильно подтормаживать.

В 4-х, подключение дополнительных филиалов может быть довольно накладным, т.к. понадобится покупать новые устройства (маршрутизаторы, межсетевые экраны, и пр.). Это увеличивает стоимость владения сети филиала, добавляет работы сервисному персоналу и ведет к необходимости расширения штата инженеров ИТ-отдела. Растут расходы и на командировки.

В 5-х, администрирование такой сети довольно сложное и требует много времени. Трафик каждого приложения нужно конфигурировать по своему маршруту. Если маршрут до удалённого офиса занимает более одного «хопа» между маршрутизаторами, да ещё через сети различных типов, то качество сервиса QoS будет трудно поддерживать, и мониторить такой маршрут тоже сложно.

Все перечисленные проблемы будут множиться, при возрастании количества как филиалов, так и дата-центров. А использование облачных приложений ситуацию ещё больше усложняет.

А теперь давайте посмотрим, как SD-WAN решает все эти проблемы.

Измерение и мониторинг сетевых маршрутов

Устройства SD-WAN измеряют время передачи пакетов, джиттер и процент потерь, затем они создают «карту» параметров производительности и «здоровья» всех маршрутов в WAN. Эти данные используются для автоматического выбора наиболее подходящих маршрутов для различных потоков и типов трафика. В том числе, каналы ШПД могут активно использоваться для всех типов приложений и не требуют ручного подключения.

SD-WAN выбирает оптимальные маршруты по различным видам соединений, чтобы обеспечить наилучшее возможное качество для голоса и видео через WAN. Устройства SD-WAN в центре и на удалённой площадке создают «карту» доступных маршрутов WAN между площадками. Карта включает данные по производительности и качеству каждого маршрута. Когда приложение инициирует сессию, SD-WAN на стороне посылки выбирает маршрут с наивысшим качеством и наименьшей задержкой, или несколько таких маршрутов, если одного не хватает.

Восстановление после аварий

SD-WAN способна быстро восстановить соединение после аварии. Например, если канал MPLS перегружен, или не отвечает на запросы, приёмное устройство быстро определит, что в потоке не хватает пакетов, и за несколько миллисекунд перемещает текущие сессии VoIP на наилучшие оставшиеся маршруты WAN. Пользователи при этом не ощутят никаких перерывов в сессии.

Экономичность

Технология SD-WAN также более экономична, нежели традиционные методы DCI. Конечно, каналы ШПД или мобильной сети также могут испытывать деградацию качества, однако очень маловероятно, что качество упадёт сразу во всех каналах. SD-WAN может динамически и перемещать трафик на лучший доступный канал, таким образом, общее качество потока получается не хуже, чем в дорогом операторском канале MPLS. Это особенно актуально, если учесть, что решение вопроса о расширении полосы пропускания обычной WAN занимает недели, если не месяцы, а стоимость каналов MPLS исчисляется сотнями долларов в месяц на мегабит/с.

Приоретизация трафика и динамический выбор маршрутов

Другое важное достоинство технологии SD-WAN – приоретизация трафика и возможность гранулярного управления качеством сервиса (QoS) в зависимости от приложений. Например, для голосовой в бизнес-сессиях может быть задан наивысший приоритет относительно других приложений, или задано такое же качество, как и для приложений в реальном времени, таких как видеоконференция или VDI, или критичные бизнес-приложения предприятия.

Динамический выбор маршрутов позволяет назначать прямые маршруты между офисами компании, тем самым снижая задержки передачи между двумя местоположениями и полосу, задействованную в центральном дата-центре.

Итак, вкратце, преимущества SD-WAN следующие:

1. Сеть SD-WAN между дата-центрами, а также провайдерами облачных услуг, легко разворачивать и администрировать. Больше не нужно посылать ИТ-профессионалов в командировки, чтобы конфигурировать каждое сетевое устройство.
2. Возможность использования гибридной сети. Филиалы многих компаний уже подключены по MPLS, эти каналы можно оставить и добавить к ним недорогие интернет-каналы, и задать политики трафика так, что недешёвый MPLS будет использоваться очень экономно, только для приоритетных сервисов, например, VoIP. А при наличии хорошей полосы в Интернет, можно и весь трафик отправлять через обычные широкополосные сети, включая 3G/LTE, и на этом много сэкономить.
3. Автоматическое администрирование трафика. SD-WAN позволяет приоритезировать трафик, и быстро перенаправлять потоки трафика между каналами, если какой-то из них вдруг откажет.