De techniek achter een SD-WAN
In de eerdere blogs van Harald de Wilde en Roy Ramakers werd er al gesproken over wat een SD-WAN (Software Defined Wide Area Network) is en wat redenen zijn om een SD-WAN te implementeren. In deze derde blog gaat Fred Rabouw in op de onderdelen van een SD-WAN en legt hij uit hoe deze onderdelen samenwerken.
De componenten
Een SD-WAN bestaat uit een aantal componenten, zoals aangegeven in afbeelding 1:
Afbeelding 1: Componenten van het SD-WAN
Centraal in het SD-WAN staat de vManage. Deze wordt in afbeelding 1 bovenaan weergegeven. De vManage is een softwareapplicatie die het gehele SD-WAN beheert. Alle componenten die onder de vManage afgebeeld staan, krijgen hun configuratie vanuit de vManage aangeleverd. De vManage bevat de GUI (Graphical User Interface), van waaruit het gehele netwerk zichtbaar is en gemanaged kan worden.
Onderin afbeelding 1 ziet u de vEdges. Een vEdge is het zogenaamde ‘werkpaard’ van het SD-WAN. Deze staat in de verschillende vestigingen van het bedrijf die aangesloten zijn op het SD-WAN. De VEdge kan een fysieke appliance zijn of een virtuele machine in een server.
Afbeelding 1: vEdge’s
De vEdge is een router die verkeer transporteert tussen de verschillende vestigingen van de organisatie.
De vSmarts, weergegeven in het midden van afbeelding 1, zijn het eerste onderdeel van de ‘control plane’. Zij beheren de routeringstabellen en encryptiesleutels van de SD-WAN-oplossing. Hun werk is vergelijkbaar met die van een Route Reflector in het BGP-protocol. De vSmarts worden vanuit de vManage simpel geconfigureerd: dit vereist slechts enkele muisklikken.
De vBond, links van de vSmart in afbeelding 1, is het tweede onderdeel van de control plane. De vBond dient als wegwijzer voor een nieuw opgestarte vEdge. De vBond zorgt ervoor dat de vEdges de vSmart en de vManage kunnen vinden. Op die maner worden de verschillende vEdges in het netwerk opgenomen.
De vManage
De centrale beheertool is zoals gezegd de vManage. Deze biedt een GUI om het netwerk te beheren en configureren. Hier volgen enkele voorbeelden van de schermen waarop het netwerk gemonitord kan worden:
Afbeelding 2: Het vManage dashboard
In afbeelding 2 wordt het centrale scherm van het vManage dashboard weergegeven. Daarop wordt de status van het netwerk aangegeven. Zoals op de bovenste balk te zien is, herkent de vManage zeven vEdges in zijn domein. Aan de hand van de rode pijl is te zien dat één daarvan geen connectiviteit vertoont. Iets boven het midden ziet u dat dit resulteert in één site die niet bereikbaar is.
In afbeelding 3 wordt een link tussen twee datacenters weergegeven. Hier ziet u de latency en jitter over verloop van de tijd.
Afbeelding 3: Statistieken van interfaces
Vanzelfsprekend houdt vManage tevens de probleemmeldingen bij: alarmeringen van de onderliggende componenten (vEdges, vSmarts, vBonds) worden hier verzameld en weergegeven. In afbeelding 4 ziet u dat er op 12 oktober rond 2 uur kritieke problemen optraden. In de lijst eronder kan de specifieke waarschuwing gevonden worden en kan er ingezoomd worden op de details rondom het voorgevallen probleem.
Afbeelding 4: Alarmeringen in het netwerk
De verbindingen
Er is binnen een SD-WAN sprake van twee typen verbindingen. Zo zijn er verbindingen tussen de verschillende vEdges. Dit zijn verbindingen in de data plane waar verkeer van gebruikers overheen loopt. Ook zijn er verbindingen van de vEdge naar respectievelijk de vSmarts, de vManage en de vBond. Hierover verloopt geen verkeer van gebruikers, maar alleen controle-verkeer en management-verkeer (de control plane):
Afbeelding 5: Twee typen verbindingen
De verbindingen in de data plane zijn altijd IPsec verbindingen. Al het verkeer van gebruikers wordt dus altijd ge-encrypt. Sleutelbeheer voor deze encryptie wordt door de vSmart uitgevoerd; daarvoor hoeft de vEdge geen protocol te gebruiken. Het sleutelbeheer kost de vEdge dus geen CPU-cycles: dit scheelt meteen in de schaalbaarheid van de oplossing.
De verbindingen naar de control plane en de management plane zijn altijd DTLS/TLS tunnels en dus ook altijd ge-encrypt. Ook hier is al het verkeer dus optimaal beschermd.
Samengevat
Een SD-WAN bestaat normaal gesproken uit:
- een vManage
- (of meer indien gewenst)
- twee vSmarts
- (of meer indien gewenst)
- twee vBonds
- (of meer indien gewenst)
- Per locatie één of meerdere (denk aan redundantie!) vEdge’s
- Al het beheer wordt uitgevoerd vanuit de vManage
- De vManage wordt gebruikt als beheerportaal. Hierin wordt gedefinieerd wat mag en wat niet mag, wie met wie mag praten, welke applicaties voorrang krijgen en welke verboden zijn.
Wilt u meer weten over wat SD-WAN voor u kan betekenen? Bezoek dan onze website. Of neem contact op met uw Cisco Partner of Account Manager.
