Netscaler SD-WAN – челнок для «сетевой фабрики»

    Не так давно написал пост про SD-WAN, в котором попытался раскрыть суть этой технологии, ее плюсы и минусы. Теперь поговорим об одном из решений, предназначенных для создания программно-конфигурируемых сетей (SDN) между предприятием и облачным дата-центром, а также между центральным и удалённым офисами предприятия. Оно становится особенно актуальным в тех случаях, когда расширение полосы пропускания имеющегося WAN занимает недели, если не месяцы, а организация дополнительного WAN канала затруднительна и требует значительных инвестиций, так как стоимость операторских каналов довольно высока. Заинтересовавшихся прошу под кат.


    1. Зачем нужен SD-WAN


    Территориально распределённые корпоративные сети WAN (Wide Area Network) требуются компаниям с несколькими дата-центрами, большим количеством филиалов и точек продаж, как внутри одного города, так и по всей стране и даже миру. Однако физические выделенные линии для них требуют всё бóльших затрат (даже если они арендуются у операторов), а иногда такой способ просто невозможен. Обычно для построения выделенных линий используются технологии виртуальных частных сетей через Интернет VPN (Virtual Private Network), а также операторские каналы с многопротокольной коммутацией по меткам MPLS (Multi-Protocol Label Switching).

    Однако сети на их основе по своей природе статичны. Их топологию нельзя менять «на лету», а создание новой VPN требует большой работы по её настройке.

    И тут на помощь приходит технология SDN (Software Defined Network), которую можно охарактеризовать как «вынос мозга». Но вовсе не потому, что она сложна (не так уж она и сложна), а потому, что в SDN «мозги» (управляющая панель — Control Plane) сетевых элементов (маршрутизаторов, межсетевых экранов, граничных контроллеров и пр.), действительно, выносятся на верхний уровень. То есть, топология традиционной сети (где каждый сетевой элемент сам решал, на какой порт ему направить очередной пакет, и был разделен на две плоскости: управления – Control Plane, и передачи данных – Data Plane), заменяется на другую, где плоскость управления отделена от сетевых элементов. Куда пойдет следующий пакет, решает Control Plane на контроллере SDN, а Data Plane в сетевом элементе осуществляет только продвижение пакетов со входа на выход, по настройкам от контроллера. При этом менять топологию и создавать новые VPN можно удаленно и быстро, не нанося «визиты вежливости» каждому сетевому элементу в отдельности.

    Первоначально предполагалась работа SDN внутри одного дата-центра. Для соединения дата-центров, DCI (Data Center Interconnect), или для подключения локальной сети удалённого филиала предприятия к основному дата-центру, требуется новое решение: Software Defined WAN (SD-WAN), которое позволяет более эффективно использовать WAN каналы за счёт гибкого перераспределения трафика между различными сетевыми соединениями.

    SD-WAN – это не столько технология, сколько другой подход к проектированию и развертыванию глобальной сети предприятия, в которой используется SDN, как наиболее эффективный способ маршрутизации трафика и управления им.

    Традиционно, WAN создавались примерно так:

    Рисунок 1.1. Традиционная архитектура WAN.

    Такая сеть работает стабильно и хорошо, пока экскаваторщик дядя Вася не перерубит ковшом кабель оператора, или не будет перегружена сеть 3G/LTE, или не произойдёт ещё что-то непредвиденное. В этом случае может понадобиться много времени, чтобы восстановить нормальную работу предприятия.
    Чтобы застраховаться от таких неожиданностей, как раз и нужен SD-WAN:


    Рисунок 1.2. Архитектура SD-WAN.

    В SD-WAN становится возможным управлять трафиком централизованно, при помощи программного обеспечения SDN-контроллера. Сети VPN теперь можно создавать очень быстро, а конфигурировать и масштабировать их — гибко. Несколько разрозненных ранее соединений объединяются контроллером SD-WAN в единую «виртуальную сеть». При этом сетевому администратору головного офиса нет необходимости отправляться в удалённый филиал (или нанимать там ещё одного администратора). Теперь всё можно быстро сделать из места расположения контроллера SD-WAN, сводя к минимуму или полностью устранив ручную настройку удалённых сетевых устройств.

    SD-WAN позволяет более рационально использовать дорогостоящие MPLS-каналы, арендованные у оператора связи, отправляя низкоприоритетные потоки трафика по более дешевым каналам публичного Интернета.

    Поэтому, можно выделить три основных преимущества, которые могут стимулировать организацию перейти на SD-WAN:

    1. Удобство построения распределённой филиальной сети. Решение SD-WAN между дата-центрами и провайдерами облачных услуг легко разворачивать и администрировать. Больше не нужно посылать ИТ-профессионалов в командировки, чтобы конфигурировать каждое сетевое устройство.
    2. Возможность использования гибридной сети. Филиалы многих компаний уже подключены по MPLS. Эти каналы можно оставить в работе, но добавить к ним недорогие интернет-каналы и задать политики трафика так, что недешёвый MPLS будет использоваться очень экономно, только для приоритетных сервисов, например, корпоративной телефонной связи VoIP (Voice over IP) или других критичных для бизнеса приложений. А при наличии достаточно хорошей полосы и качества канала Интернет, можно и весь трафик отправлять через обычные широкополосные сети, включая 3G/LTE.
    3. Автоматическое управление трафиком. SD-WAN позволяет настроить приоритеты различного типа трафика и каналов и быстро перенаправлять потоки трафика между каналами, в зависимости от изменяющихся параметров сетевых соединений.

    2. Как построить SD-WAN на NetScaler?


    Компании, которые активно занимаются вопросами централизации ИТ инфраструктуры очень часто используют следующие сервисы: виртуализация рабочих мест VDI (Virtual Desktop Infrastructure и/или терминальные сервисы) внутри которых работают критические бизнес приложения, голосовая связь по IP-сети VoIP (voice over IP) и видеоконференция. Отказ или плохая работа любого из них замедляет бизнес-процесс предприятия.

    У решения SD-WAN NetScaler есть возможность повышения качества и производительности сервисов, чувствительных к задержкам, таким как VoIP, или требующих большой полосы, как видеоконференция через VDI.

    Рассмотрим типичную схему подключения корпоративной сети предприятия удалённого офиса к дата-центру. Основной трафик, включая критичные приложения, конфигурируется через скоростной выделенный MPLS-канал. Ещё один-два маршрута могут быть заданы через широкополосный доступ Интернет для резервирования основного канала.


    Рисунок 2.1. Резервирование каналов в традиционной WAN.

    Казалось бы, хорошая схема. Однако, в ней не всё так хорошо.

    Во-первых, в MPLS всегда будет много неиспользованной полосы, потому что соединения заданы статично (а канал – дорогой). С другой стороны, при насыщении полосы MPLS не так-то легко переместить какую-то часть трафик в ШПД, в этом случае требуется ручное вмешательство администратора. А расширить существующий выделенный канал, далеко не всегда представляется возможным.

    Во-вторых, восстановление «упавшего» канала может занять несколько секунд, а то и минут. При этом приложения пользователей не будут отвечать на запросы, а все текущие активные сессии может понадобиться переустановить, а в случае использования обычных клиент-серверных приложений, работающих не в среде VDI или терминального сервера, придётся осуществить отмену неподтверждённых транзакций. Ясно, что нормальное течение процессов предприятия будет при этом нарушено.

    В-третьих, после аварийного перехода на резервные каналы, производительность критичных бизнес-приложений может серьёзно снизиться, поскольку все остальные приложения также будут использовать эти каналы. Возрастёт процент потерь пакетов в VoIP (что снизит качество голоса), в видеоконференции появятся помехи, а приложения VDI будут сильно подтормаживать.

    В-четвёртых, подключение дополнительных филиалов может оказаться довольно накладным, т.к. понадобится покупать новые устройства (маршрутизаторы, межсетевые экраны, и пр.). Это увеличивает стоимость владения сети филиала, добавляет работы сервисному персоналу и ведёт к необходимости расширения штата инженеров ИТ-отдела. Возрастут и расходы на командировки.

    В-пятых, администрирование такой сети, дело довольно сложное и требует много времени. Трафик каждого приложения нужно конфигурировать по своему маршруту. Если маршрут до удалённого офиса занимает более одного «хопа» между маршрутизаторами, да ещё через сети различных типов, то будет трудно поддерживать качество сервиса (QoS), и сложно осуществлять мониторинг такого маршрута.

    Все перечисленные проблемы будут множиться, как при возрастании количества филиалов, так и каналов связи между ними и датацентром(ами). А добавление в эту схему облачных приложений ещё больше усложнит ситуацию.

    2.1 Измерение и мониторинг сетевых маршрутов


    Контроллеры NetScaler SD-WAN измеряют время передачи пакетов, джиттер и процент потерь. Эти данные используются для автоматического выбора наиболее подходящих маршрутов для различных потоков и типов трафика.


    Рисунок 2.2. Добавление тэгов в трафик WAN для создания карты маршрутов в NetScaler SD-WAN.

    Решение от Citrix выбирает оптимальные маршруты по различным видам соединений, чтобы обеспечить наилучшее возможное качество для передачи через WAN различных типов трафика. Система может автоматически определить по «отпечатку» более 4000 разнообразных приложений. Устройства NetScaler в центре и на удалённой площадке создают «карту» доступных WAN маршрутов между площадками. Карта включает данные по производительности и качеству, а также «стоимости» каждого маршрута. Когда приложение инициирует сессию, контроллер NetScaler SD-WAN на стороне отправления выбирает маршрут по совокупности нескольких метрик, учитывая «важность приложения» и «стоимость канала» или несколько таких маршрутов, если одного не хватает.

    Однако качество маршрута может со временем измениться. Контроллер NS SD-WAN на исходной стороне добавляет метки (tag) в каждый пакет, который через него проходит. Контроллер на стороне приёма считывает эти «тэги» и фиксирует время пересылки пакета по сети, а также анализирует последовательность пакетов, чтобы получить информацию по потерям пакетов, джиттеру и другим параметрам данного маршрута. Также он делает эту информацию доступной для других устройств SD-WAN в сети, которые постоянно модифицируют свои «карты» по этой информации для выбора наилучших путей на основе текущих данных.

    2.2 Восстановление после аварий


    NetScaler SD-WAN способен быстро восстановить соединение после аварии. Например, если канал MPLS перегружен или не отвечает на запросы, приёмное устройство быстро определит, что в потоке не хватает пакетов, и за несколько миллисекунд перемещает текущие сессии на наилучшие оставшиеся маршруты WAN. Пользователи при этом не ощутят никаких перерывов в текущем вызове.

    2.3 Альтернатива традиционному использованию


    NetScaler SD-WAN также более экономичен, нежели традиционные методы DCI. Конечно, каналы ШПД или мобильной сети также могут испытывать деградацию качества, однако очень маловероятно, что качество упадёт сразу во всех каналах. NetScaler SD-WAN может динамически и «попакетно» перемещать трафик на лучший доступный канал, таким образом, общее качество потока получается не хуже, чем при статичном использовании операторского MPLS. Это особенно актуально, если учесть, что решение вопроса о расширении полосы пропускания обычной WAN занимает недели, если не месяцы, не говоря уже о стоимости расширения выделенных каналов.

    2.4 Присвоение приоритета трафику и QoS


    Другое важное достоинство NetScaler SD-WAN – назначение трафику уровня приоритета и возможность гранулярного управления качеством сервиса (QoS) в зависимости от конкретного приложений. Приложения, в настройках NetScaler, по умолчанию можно «раскладывать» по трем основным категориям: «real-time» (в реальном времени), «interactive» (интерактивные) и «bulk» (пассивные). Если требуется бóльшая точность, то могут быть введены относительные приоритеты по таким факторам, как IP-адрес, метка DSCP, порт источника или назначения.
    Например, для голосового трафика в бизнес-сессиях может быть задан наивысший приоритет относительно других приложений, или задано такое же качество, как для приложений в реальном времени, таких как видеоконференция или VDI, или критичных бизнес-приложений предприятия.

    2.5 Дублирование пакетов


    Если требуется обеспечить наивысшую возможную доступность сервиса, может использоваться такая функция, как «дублирование пакетов» (Packet duplication) «бизнес-критичного» приложения, которая посылает две копии каждого пакета по независимым друг от друга маршрутам. Качество сервиса зависит в числе прочего от процента потерь пакетов, а при дупликации, этот процент будет практически нулевым.


    Рисунок 2.3. Дублирование пакетов в NetScaler SDWAN.

    Контроллер на стороне приёма использует первый полученный пакет и игнорирует второй. Конечно, для дублирования пакетов нужна дополнительная полоса, но при этом достигается превосходное качество например речевых сообщений за счёт использования самого быстрого канала. Кроме того, обеспечивается высокая надёжность сетевой составляющей в работе бизнес приложений, поскольку вероятность того, что оба пакета в обоих каналах будут потеряны, крайне низка.

    Решение имеет и другие полезные функции, повышающее качество и производительность приложений, чувствительных к задержкам: VoIP, видеоконференция и виртуализация.

    Контроллер на стороне приёма использует первый полученный пакет и игнорирует второй. Конечно, для дублирования пакетов нужна дополнительная полоса, но при этом достигается превосходное качество например речевых сообщений за счёт использования самого быстрого канала. Кроме того, обеспечивается высокая надёжность сетевой составляющей в работе бизнес приложений, поскольку вероятность того, что оба пакета в обоих каналах будут потеряны, крайне низка.

    Решение имеет и другие полезные функции, повышающее качество и производительность приложений, чувствительных к задержкам: VoIP, видеоконференция и виртуализация.

    Динамический способ выбора маршрутов позволяет назначать прямые маршруты между офисами компании, тем самым снижая задержки передачи между двумя площадками, и полосу, задействованную в головном дата-центре.

    Функция Traffic Shaping и динамическое резервирование полосы пропускания дают дополнительные возможности управления качеством услуг для приложений различных классов.

    Функция Packet reordering полностью устраняет возможность потерь пакетов, а также избавляет приложения от задач запроса повторной передачи пакетов.

    Функция Stateful Firewall отслеживает состояние и характеристики сетевого соединения. Stateful Firewall может отличать разрешённые пакеты в трафике от неразрешённых или нераспознанных. Лишь пакеты, отвечающие установкам данного соединения пропускаются через граничный маршрутизатор.

    Функция DPI (глубокий анализ пакетов) – помогает отсечь неразрешённые в политиках контроллера типы трафика с определёнными видами протоколов или рабочей нагрузки.

    Конфигурация политик WAN не представляет никакой сложности, поскольку система управления NetScaler SD-WAN Center имеет интуитивно понятный интерфейс, а также настраиваемые панели для мониторинга параметров маршрутов WAN через различные внешние сети.

    В зависимости от редакции NetScaler SD-WAN обеспечивает и компрессию передаваемых данных, т.е. удаление ненужных или повторяющихся символов, и битовое кэширование, т.е. хранение битового набора, передаваемого трафика как на стороне приёма, так и на стороне передающего устройства. Таким образом, устраняется необходимость повторной передачи однотипного трафика по WAN каналам.

    Итак, вкратце, преимущества NetScaler SD-WAN следующие:

    • Снижение трафика WAN.
    • Маршрутизация по наиболее быстрому маршруту.
    • Наилучшее качество QoS для высокоприоритетных приложений.
    • Высокая сетевая безопасность.
    • Простота администрирования каналов, соединяющих удалённые офисы и филиалы предприятия с дата-центрами.
    • Использование недорогих каналов Интернета (как фиксированного, так и мобильного), вместо дорогих выделенных каналов.
    • Возможность более эффективно использовать дорогие выделенные каналы
    • Возможность мониторинга маршрутов WAN для поиска неисправностей.

    Например, для применения NetScaler SD-WAN в сценарии Xen Desktop VDI был получен результат снижения в несколько раз требуемой полосы между офисом и дата-центром, где «размещаются» виртуальные машины пользователей:


    Рисунок 2.4. Снижение требуемой полосы между офисом и дата-центром с NetScaler SD-WAN.

    Спасибо за внимание, готов ответить на ваши вопросы в комментариях.
    Поделиться публикацией

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое