SD-Wan Nasıl Çalışır ?

[Nizam-ı Alem]

ROHAN2 WORLD 1-120 TR TİPİ OFFICIAL YOHARA, BALATHOR VE AMON! 80. GÜNÜNDE! +10.000 ONLİNE! HİLE VE BOT %100 ENGELLİ HEMEN TIKLA!

SD-WAN Dağıtımı​

Bir şirket geleneksel WAN mimarisini Yazılım Tanımlı WAN'a taşımaya karar verdiğinde, her zaman ilk önce gelen şey denetleyicileri dağıtmaktır. Bir sonraki adım ana veri merkezlerini ve hub sitelerini ve son olarak kampüsler ve şubeler gibi uzak siteleri taşımaktır.

Bunu bu sırayla yapmanın ana fikri, hub sitelerinin göç süresince SD-WAN ve SD-WAN olmayan siteler arasındaki trafiği yönlendirmesidir. Elbette, eğer yepyeni bir sıfırdan dağıtım ise, sıranın çok da önemi yoktur.
​

Denetleyici Dağıtım Seçenekleri​

Yazılım Tanımlı WAN'ın temel avantajlarından biri, denetleyicilerin genel bulutta dağıtılabilmesidir.Bu, CAPEX/OPEX maliyetlerini önemli ölçüde azaltabilir ve yönetim düzlemi/kontrol düzleminin genel kullanılabilirliğini ve yedekliliğini iyileştirebilir. Bu modeli, tüm denetleyicilerin şirket içinde dağıtıldığı senaryoyla karşılaştırın. Raf alanı, güç, soğutma, fiziksel sunucular, hipervizör ve sanal makineler veya kapsayıcılar barındırmanız gerekir. Yedekliliği ve yedeklemeleri kendi başınıza yönetmeniz gerekir. Bulut seçeneklerini kullanarak, yönetim/kontrol düzlemini IaaS (Altyapı-Hizmet-olarak) veya hatta SaaS (Yazılım-Hizmet-olarak) olarak tüketebilirsiniz.

Cisco, müşterilerine aşağıdaki seçenekleri sunmaktadır:
​

• Cisco tarafından barındırılan bulut - Mevcut dağıtımlarla ilgili bulduğum bilgiler, çoğu müşterinin (%90'ın üzerinde) bu yaklaşımı tercih ettiğini gösteriyor. Bu aynı zamanda satıcının önerdiği modeldir çünkü Cisco tüm denetleyicilerin sağlanmasıyla ilgilenir, yedekleme ve felaket kurtarmayı onlar halleder. Müşteri temel olarak, vManage'i kullanarak cihazları için özel yapılandırma şablonları oluşturarak ve katman yapısını yöneterek SD-WAN kontrol düzlemini bir Yazılım-Hizmet-olarak (SaaS) tüketiyor.​
• Genel bulut - Müşteri, denetleyicileri Azure ve AWS gibi genel bulutlarda barındırmaya karar verebilir. Bu senaryoda, denetleyiciler bir servis sağlayıcı veya müşteri tarafından yönetilebilir.​
• Şirket içi - Elbette, denetleyiciler şirketin veri merkezlerine veya özel bulutlarına dağıtılabilir. Bu senaryoda, müşteri yedeklemelerden ve felaket kurtarmalarından sorumludur. Bu genellikle bölgesel düzenleyicilere uyması gereken finans ve hükümet kurumlarında geçerlidir.​

Denetleyiciler çalışır duruma geldiğinde, aralarında güvenli bağlantılar kurmaları gerekir. Şu an itibariyle, temel güvenli protokol söz konusu olduğunda seçilebilecek iki seçenek vardır - TCP taşıma kullanan TLS ve UDP taşıma kullanan DTLS. Varsayılan olarak, tüm denetleyiciler DTLS seçeneğini kullanır.

SD-WAN sıfır güven ortamında dağıtılırsa, Şekil 3 denetleyiciler arasındaki tüm kalıcı bağlantılar için Katman 4 bilgilerini gösterir. vManage ve vSmart üzerindeki her çekirdeğin vBond'a kalıcı bir DTLS bağlantısı yaptığını ve bunun vManage ile vBond arasında dört bağlantı ve vSmart ile vBond arasında iki bağlantı ile sonuçlandığını unutmayın.

​

WAN Edge Yönlendiricilerinin Yerleştirilmesi​

WAN uç cihazlarının güvenli bir şekilde sisteme dahil edilmesi SD-WAN çözümünün çok önemli bir parçasıdır.
​

Kimlik ve Beyaz Listeleme​

Cisco SD-WAN çözümü, vEdge cihazlarının kimliğini doğrulamak ve onlara güvenmek için bir beyaz listeleme modeli kullanır. Bu, bir WAN uç yönlendiricisinin kontrol düzlemine katılmasına izin verilmeden önce, tüm SD-WAN denetleyicileri tarafından önceden bilinmesi gerektiği anlamına gelir. Her cihaz, Şasi Kimliği ve sertifika seri numarasıyla benzersiz bir şekilde tanımlanır.
​

Denetleyicilere ulaşılabilirlik​

SD-WAN denetleyicileri dağıtıldığında ve geçerli sertifikalara sahip olduğunda, WAN uç yönlendiricileri yerleştirme sürecini başlatabilir. Bu noktada,En önemlisi, vEdge aygıtlarının tüm mevcut taşımalar aracılığıyla tüm denetleyicilere erişilebilir olduğundan emin olmaktır.İlk bakışta kolay ve basit bir adım gibi geliyor ama derinlemesine baktığınızda bazı kararlar almanız gerektiğini görebilirsiniz.

Edge cihazı, sağlanan her taşıma üzerinde bir kontrol bağlantısı kurmaya çalışır, önce vBond orkestratörüne bir tane başlatır, sonra diğer denetleyicilere bağlanmayı dener. Tüm kullanılabilir taşımalar, en düşük arayüz numarasına WAN bağlantısıyla başlanarak tek tek denenir. Uzak bir sitenin bir özel MPLS devresi ve bir geniş bant İnternet bağlantısına sahip olduğu tipik senaryoya bakalım. WAN edge cihazı, İnternet ve MPLS hattı üzerinden denetleyicilere bağlanmayı dener. Ancak denetleyiciler genel bir bulutta veya başka bir 3. taraf bulutta dağıtılırsa, denetleyicilerin genel IP adreslerine varsayılan olarak MPLS devresi üzerinden ulaşılabilir mi? Sanırım hayır, tüm genel öneklerin yeniden dağıtıldığı bir MPLS hizmeti yoktur.

Bu sorunu çözen üç yaygın uygulama vardır:
​

1. MPLS, her iki taşımaya da sahip bir veri merkezi veya bölgesel hub üzerinden yönlendirilerek genel buluta erişilebilirliğe sahiptir. Bu yöntem, Şekil 4'ün sol tarafında gösterilmiştir.​
2. Denetleyicilerin genel yönlendirilebilir IP adresleri MPLS bulutuna yeniden dağıtılır ve sağlayıcı kenar yönlendiricisi bunları vEdge'e duyurur. Bu yöntem, Şekil 4'ün sağ tarafında gösterilmiştir.​
3. Yalnızca İnternet bağlantısı üzerinden bir kontrol düzlemi bağlantısı kurmak mümkündür. Edge, SD-WAN yapısına katılabilir ancak bir kontrol düzlemi yedekliliğine sahip olmaz, bu nedenle bu yaklaşım hiç önerilmez.​

Onboarding süreci​

​

Kaplama kumaşının birleştirilmesi​

Şimdi her şeyi bir araya getirelim ve bir WAN kenar cihazını kaplama kumaşına ekleme sürecinin her adımını takip edelim. Diyelim ki bu örnek için bir Viptela vEdge 1000 kullanacağız.
​

• Adım 0. IP Erişilebilirliği - Önyükleme sırasında, vEdge cihazı DHCP aracılığıyla bir IP adresi, varsayılan ağ geçidi ve DNS bilgisi alır. Yerinde DHCP hizmeti yoksa, bu bilgi CLI veya bir yapılandırma şablonu kullanılarak manuel olarak yapılandırılabilir.​
• Adım 1. Sıfır Dokunmalı Sağlama - WAN Edge yönlendiricisi, ztp.viptela.com URL'sini çözümleyerek ZTP sunucusuna ulaşmaya çalışır ve kuruluş adıyla birlikte SD-WAN vBond orkestratörü hakkında bilgi almak için HTTPS kullanır.​
• Adım 2. Kimlik Doğrulama - WAN uç cihazı, kök sertifikası ve seri numarasıyla orkestratöre kimlik doğrulaması yapar. Kimlik doğrulama başarılı olursa, vBond vManage ve vSmart
  denetleyici bilgilerini geri gönderir.​
• Adım 3. Yönetim Düzlemine Bağlantı - Edge daha sonra vManage'e güvenli bir bağlantı kurar ve NETCONF kullanarak yapılandırmayı indirir.​
• Adım 4. Kontrol Düzlemine Bağlantı - Önceki tüm adımlar başarılı olursa, yönlendirici vSmart denetleyicilerine güvenli bir bağlantı kurar ve SD-WAN kaplama yapısına katılır​

SD-WAN katmanının birleştirilmesi süreci Şekil 6'da görselleştirilmiştir. Bazı güvenli bağlantıların geçici, bazılarının ise kalıcı olduğunu unutmayın.
​

SD-WAN İşletimi, Yönetimi ve İdaresi​

Yazılım Tanımlı WAN'ın güzelliği, geleneksel kutudan kutuya yaklaşımdan ziyade bir Sistem olarak çalıştırılmasıdır. Bu, çözümün İşletimi, Yönetimi ve İdaresi (OAM) söz konusu olduğunda yepyeni bir olasılıklar dünyasının kapılarını açar. Başlıca faydalarından bazıları şunlardır:
​

• Merkezi yönetim - ve operasyonel basitlik, değişim ve dağıtım sürelerinin azaltılmasıyla sonuçlanır.​
• Taşımadan bağımsız üst katman - Alt katman taşıması üst katman kumaşından soyutlandığı için, taşımaların herhangi bir kombinasyonu aktif/aktif bir şekilde kullanılabilir. Bu, şirketin bant genişliği maliyetlerini önemli ölçüde azaltır.​
• Gelişmiş güvenlik - OSPF ve BGP'nin geleneksel kontrol düzlemi güvenliğini SD-WAN'ın kontrol düzlemi şifrelemesiyle karşılaştırırsanız, ikincisinin sıfır güven güvenlik modeliyle sertifika kimliği kullanarak açıkça daha kapsamlı olduğu görülür.​
• Uygulama görünürlüğü - Gerçek zamanlı analiz ve uygulama görünürlüğü çözümün temel bir parçasıdır. Bu, hizmet düzeyi anlaşmalarının (SLA) uygulanmasını ve belirli performans ölçümlerinin izlenmesini sağlar​

​

 

[Tolstoy]

Eline sağlık

 

[Nizam-ı Alem]

Eline sağlık

Saolun Sayın Yöneticim.

 

[ınvectus]

Paylaşım için teşekkürler.