27 января Cisco провела вебинар «Изучаем механизмы и технологии SD-WAN для управления трафиком приложений».
27 января компания Cisco провела вебинар на тему «Как это работает: изучаем механизмы и технологии Cisco SD-WAN для управления трафиком приложений». Участники онлайн-мероприятия узнали, из каких компонентов состоит архитектура Cisco SD-WAN, и как информация о принципах их работы помогает в решении задач, которые прежде казались нерешаемыми.
Не зависеть от периметра среды
Денис Коденцев, старший архитектор Cisco, детально рассмотрел технологии, лежащие в основе Cisco SD-WAN, которые обеспечивают максимально возможное качество работы бизнес-приложений в условиях распределенной межфилиальной сети с потенциально ненадежными каналами связи и развернутой системой гибридной работы. Отдельное внимание было уделено таким решениям, как AppQoE (Application Quality of Experience), Application Aware Routing, Forward Error Correction, DRE-оптимизация, Per-tunnel QoS и т.д. Денис Коденцев также рассказал о том, как использовать механизмы, мало известные широкому кругу пользователей.
«С помощью Cisco SD-WAN можно получить доступ к приложениям через любое облако без ущерба для контроля, безопасности и производительности, – заявил Денис Коденцев. – Это значительно расширяет возможности заказчиков Cisco, не желающих ограничиваться минимальным набором услуг и зависеть от периметра среды, транспортной системы или местоположения. Разнообразие современных сетевых сервисов позволяет одновременно контролировать сразу несколько направлений – от производительности приложений до безопасного доступа в Интернет – и корректировать функции программно-определяемой сети в зависимости от потребностей компании».
Качество работы приложений
Денис Коденцев отметил по своему опыту работы с заказчиками, что клиенты SD-WAN, как правило, при выборе этой технологии фокусируются не на имеющихся возможностях централизованного управления, не на возможности быстрого развертывания филиальных маршрутизаторов, а на способности SD-WAN повысить шансы максимально стабильной, надежной, качественной работы наиболее важных для заказчика приложений, причем, вне зависимости от того, что происходит в сети у оператора связи, от нагрузки на каналы и пр.
В технологии SD-WAN скрывается очень большое количество полезных инструментов, о которых у рядовых заказчиков не всегда имеется ясное и четкое представление: как они работают, за счет каких механизмов решают задачи, как взаимодействуют друг с другом. К основным инструментам SD-WAN, обеспечивающим качество работы приложений, Денис Коденцев отнес следующие четыре блока: 1) привычный всем сетевым инженерам Quality of Service (QoS), занимающий несколько меньший объем в технологии SD-WAN; 2) Application Aware Routing; 3) избыточное кодирование (FEC); 4) WAN-оптимизация.
Перед изложением основной части докладчик напомнил, что SD-WAN включает в себя набор программных контроллеров, которые обычно размещаются либо в облаке Cisco, либо в дата-центре оператора связи, обслуживающего заказчика, либо в ЦОДе самого заказчика. Эти котроллеры и обеспечивают всю ту логику, взаимодействие и управление маршрутизаторами, размещаемыми в филиалах. Принципиальным моментом для сети SD-WAN является то, что при нормальной эксплуатации, при повседневном штатном режиме работы управление сетью осуществляется исключительно централизованно – через систему управления vManage. При этом в каждом филиале заказчика устанавливается один (если клиенту не требуется резервирование или масштабирование) или несколько маршрутизаторов. Далее, SD-WAN предполагает (не требует), чтобы каждый такой филиал был подключен к Интернету несколькими каналами (INET, MPLS, 4G) – только тогда заказчик получает от технологии SD-WAN ее дополнительные преимущества.
Говоря о возможности обеспечения качественной работы приложений, Денис Коденцев заострил внимание, что речь здесь идет «в первую и последнюю очередь» о трафике, который идет между филиалами. А управляющий, сигнальный трафик, с помощью которого контроллеры взаимодействуют с маршрутизаторами в филиалах, в этом процессе, по суди дела, не участвует. Еще раз, все те уникальные механизмы, которые в SD-WAN обеспечивают управление трафиком приложений, настраиваются, конечно же, на контроллерах, но функционируют эти механизмы только между маршрутизаторами, поскольку весь пользовательский трафик в сетях SD-WAN всегда передается только маршрутизаторами – он никогда не направляется в сторону контроллера.
Quality of Service (QoS)
В классической сети, которая не использует механизмы SD-WAN, мы контролируем только сам маршрутизатор и ту сеть, которая находится внутри филиала. Как только трафик выходит в сторону оператора связи, традиционная сеть полностью утрачивает контроль над этим самым трафиком: «Мы ничего не можем сделать для того, чтобы тот пакет, который был отправлен в сеть оператора связи, дошел бы до места назначения со 100% (или близкой к тому) вероятностью». Таким образом, в традиционной сети мы не контролируем, как наш трафик передается между филиалами. Поэтому обычное QoS заканчивается, как только пакет покидает WAN-интерфейс на маршрутизаторе.
Итак, контролировать передающую среду мы не можем, но мы можем контролировать ее состояние: мы можем близко к реальному режиму времени оценивать состояние среду между филиалами и на основе этой оценки состояния среду принимать какие-то решения, а технология уже может автоматизировать эти решения, предпринимать компенсирующие действия, чтобы важный для нас трафик все-таки доходил по назначению.
Очевидно, что механизмы Quality of Service встроены в любой маршрутизатор и не являются чем-то особенным для сети SD-WAN.
Затем Денис Коденцев детально проанализировал использование стандартного набора механизмов QoS для управления трафиком при наличии нескольких каналов, подробно остановившись на таких инструментах, как Device QoS (Queuing, Shaping, Policing, PLP), WAN Edge Router Device QoS, Edge Router Queuing, DSCP and COS (802.1p), Data Policy Application, Data Policy for QoS, Re-Marking the BFD, Per-Tunnel QoS, Adaptive Quality of Service, Per-VPN QoS, QoS Visibility and Monitoring. «Все эти механизмы собираются как конструктор LEGO и позволяют нам на одном выходном интерфейсе маршрутизатора определить, какой трафик должен выходить в этот интерфейс в первую очередь», – подытожил свой анализ Денис Коденцев.
Докладчик также уделил внимание DPI – Deep Packet Inspection, технологии проверки сетевых пакетов по их содержимому с целью регулирования и фильтрации трафика, а также накопления статистических данных. Дело в том, что в сетях SD-WAN давно уже используются механизмы сигнатурного анализа, которые позволяют заглядывать не только в IP-заголовок, но и в нагрузочную часть пакета, определяя, к какому конкретно сетевому приложению он относится. В решениях Cisco для этих механизмов есть некий зонтичный термин – Application Visibility and Recognition (возможность маршрутизатора классифицировать трафик на основе сигнатурного анализа). Как особо подчеркнул Денис Коденцев, Cisco обновляет набор сигнатур с каждой новой версией своего сетевого ПО.
Application Aware Routing
Application Aware Routing – это особые механизмы маршрутизации и перемаршрутизации трафика, на основании того, какому приложения этот трафик соответствует. Фактически речь тут идет о маршрутизации, которая учитывает не только IP-адреса трафика, но и то, какому приложению он принадлежит.
Маршрутизация с учетом приложений отслеживает характеристики сети и пути туннелей данных между маршрутизаторами vEdge и использует собранную информацию для расчета оптимальных путей для трафика данных. Эти характеристики включают потерю пакетов, задержку, а также нагрузку, стоимость и пропускную способность канала. Возможность учитывать при выборе пути различные факторы, отличные от тех, которые используются стандартными протоколами маршрутизации, такие как префиксы маршрута, метрики, информация о состоянии канала и удаление маршрута на пограничном маршрутизаторе, – все это дает заказчику целый ряд преимуществ.
При нормальной работе сети путь, по которому проходит трафик данных приложения через сеть, можно оптимизировать, направив его на каналы глобальной сети, которые поддерживают требуемые уровни потери пакетов, задержки и джиттера, определенные в SLA приложения.
В случае перебоев в работе сети или программных сбоев снижение производительности можно свести к минимуму. Кроме того, отслеживание состояния сети и пути с помощью маршрутизации с учетом приложений в режиме реального времени может помочь быстро выявить проблемы с производительностью и автоматически активировать стратегии, которые перенаправляют трафик данных на наилучший доступный путь. Когда сеть восстанавливается после аварийного отключения или мягкого сбоя, маршрутизация с учетом приложений автоматически корректирует пути трафика данных. Затраты на сеть могут быть снижены, поскольку трафик данных более эффективно сбалансирован по нагрузке. Производительность приложений может быть увеличена без обновления WAN.
Решение Application Aware Routing состоит из трех элементов.
1) Идентификация – вы определяете интересующее клиента приложение, а затем создаете централизованную политику данных, которая сопоставляет приложение с конкретными требованиями SLA. Вы выделяете интересующий трафик данных, сопоставляя заголовки уровней 3 и 4 в пакетах, включая префиксы и порты источника и получателя, протокол и поле DSCP. Как и в обычном случае со всеми централизованными политиками данных, вы настраиваете их на контроллере vSmart, который затем передает их на соответствующие маршрутизаторы vEdge.
2) Мониторинг и измерение – программное обеспечение использует пакеты BFD для непрерывного мониторинга трафика данных в туннелях между маршрутизаторами vEdge и периодически измеряет характеристики производительности туннеля. Для оценки производительности программное обеспечение отслеживает потери трафика в туннеле и измеряет задержку, анализируя время прохождения трафика в одном направлении туда и обратно.
3) Сопоставление трафика приложения с конкретным транспортным туннелем. Последним шагом является сопоставление трафика данных приложения с туннелем, который обеспечивает желаемую производительность приложения. Решение о сопоставлении основано на двух показателях: критерий наилучшего пути, вычисленный на основе измерений, выполненных для соединений WAN, и на ограничениях, указанных в политике, специфичной для маршрутизации с учетом приложений.
Избыточное кодирование (FEC)
Forward Error Correction – это техника помехоустойчивого кодирования и декодирования, позволяющая исправлять ошибки методом упреждения. Она применяется для исправления сбоев и ошибок при передаче данных путем передачи избыточной служебной информации, на основе которой может быть восстановлено первоначальное содержание.
При передаче критичного трафика по каналам со значительным процентом потерь, FEC может быть автоматически активирован и позволяет при необходимости восстановить потерянную часть данных. При этом незначительно повышается используемая полоса передачи, но значительно повышается надежность.
Дупликация потоков данных: дополнительно к FEC политика может предусматривать автоматическое дублирование трафика выбранных приложений в случае еще более серьезного уровня потерь, которые не удается компенсировать с помощью FEC. В этом случае выбранные данные будут передаваться по всем туннелям в сторону филиала-получателя с последующей де-дупликацией (отбрасывания лишних копий пакетов). Данный механизм, как не сложно увидеть, заметно увеличивает утилизацию каналов, но также значительно повышает надежность передачи данных.
