Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Criar um novo artigo
1518
Apresentações
9
Útil
6
Comentários

SDWAN-VIPTELA: A JORNADA I

SamuelGLN
Spotlight
Spotlight

em ‎08-15-2023 01:46 PM

Durante os meus estudos para o CCNP acabei me “desviando” um pouco do caminho e apreciando muito subir labs com a solução SDWAN Cisco (Viptela). O objetivo desse artigo é trazer uma introdução da solução e apresentar a ideia por trás.

Redes WAN foram projetadas, em grande parte, utilizando MPLS como forma de entregar conectividade entre empresas e a criação de novos serviços baseados nessa tecnologia como VPNv4/v6 e engenharia de tráfego com MPLS TE para trazer maior controle ao tráfego do ISP. Contudo, redes WAN tradicionais não conseguem ser escaláveis na velocidade exigida para conseguir entregar as necessidades que o negócio requer. Redes de hardware centralizado/fisico acabam por ser mais caras, inflexiveis (possuem capacidade fixa) além de aumentar a dificuldade de suporte uma vez que precisam ser configuradas box-by-box. Tudo isso resulta em uma rede mais propensa a erros de configurações e vulnerabilidades de segurança. Adicionalmente podemos perceber que padrões de tráfegos atuais já são bem diferentes do que tínhamos antes da grande expansão dos serviços em nuvem e com isso criou-se requisitos para gerenciamento, garantia de segurança e desempenho das redes WAN. Visando toda essa mudança/evolução das redes WAN surgiu a solução Software-Defined Wide-Area Network (SDWAN) que inclui recursos (capabilities) que reduzem o custo e a complexidade das redes bem como promove a continuidade do negócio com rápida capacidade de inovação e benefícios como:

- Melhor experiência para o usuário como por exemplo com a utilização de Direct Internet Access and Centralized Internet Link to Cloud Applocations.

- Redes ágeis e seguras com utilização de tuneis Edge to Edge via Internet Protocol Security (IPsec).

- Redução de custos separando o Data Plane da Control Plane visto que os Edges não precisam de tanto recursos de hardware para fazer apenas o encaminhamento de dados.

SamuelGLN_0-1692127847624.png

Falando mais sobre a solução, podemos separar os componentes de uma rede SDWAN em 4 planos, sendo eles:

  •  Plano de Gestão
  •  Plano de Orquestração
  •  Plano de Controle
  •  Plano de Dados
SamuelGLN_1-1692127877426.png

 

Plano de Gestão (vManage): O vManage é o ponto de gestão central da estrutura e permite adicionar ou remover controladores e Edges através de um dashboard. vManage também suporta configurações via REST e NETCONF. (Configurações aplicadas via dashboard são enviadas aos equipamentos via netconf)

Plano de Orquestração (vBond): É o único elemento que normalmente recebe um IP público roteado na internet e alcançável pelos demais elementos da rede SDWAN. Na inicialização da rede ele estabelece um túnel DTLS com os vSmarts e com o Edges. Ele é provavelmente o elemento mais importante da rede pois possibilita a autenticação inicial dos demais participantes da estrutura. Múltiplos vBonds podem ser ativos para garantir alta disponibilidade (vEdges podem se conectar apenas com um vBond, considere usar DNS para múltiplos vBonds).

Plano de Controle (vSmart): O plano de controle é o cérebro da rede SDWAN e é responsável por receber as informações do Edges via DTLS e através delas definir as melhores rotas. Cada vEdges pode se conectar com até 3 vSmarts mas apenas um é necessário para que receba os updates. Importantes frisar que o vSmart não entra no plano de dados, ou seja, o tráfego nunca passa por ele para ir de um ponto a outro. Para se comunicar com os Edges o vSmart utiliza o Overlay Management Protocol (OMP) estabelecendo uma sessão com cada Edge. O protocolo OMP é muito parecido com o próprio BGP e é transportando dentro do túnel DTLS. A função do vSmart pode ser comparada também como BGP Router Reflector.

SamuelGLN_2-1692127920818.png

Plano de Dados (vEdge ou cEdge): Os Edges da rede são responsáveis pelo envio dos dados. Cada Edge estabelece uma sessão DTLS e OMP segura com o vSmart e informa as suas rotas internas para a estrutura.

Considerações importantes:

  • Os tuneis DTLS são negociados usando certificados SSL. Enquanto a negociação ocorre para subir o túnel cada device verifica se recebeu um certificado assinado pela root CA e se possui uma organization-name e serial number validos.

  • A comunicação DTLS ocorre via UDP na porta 12346.

Overlay Management Protcol (OMP)

O OMP é o protocolo escolhido para ser o protocolo de roteamento das redes SDWAN. É um protocolo bem parecido com o BGP e utilizados para transportar informações entre os sites na camada overlay. Os tuneis OMP são estabelecidos somente entre os WAN Edges e o vSmart dentro do túnel DTLS.

Transport Locator (TLOC)

O transport locator é utilizado para identificar a interface WAN dos Edges e é utilizado como next-hop das rotas recebidas via OMP fazendo com que o next-hop deixe de ser associado diretamente com um IP de WAN. Ele é composto por três informações principais:

  • SYSTEM IP: Análogo ao router ID, precisa ser único em cada Edge device da rede SDWAN.

  • COLOR: São nomes utilizados para identificar o transporte WAN utilizado pelos Edge devices. As colors metro-ethernet, mpls, and private1, private2, private3, private4, private5, and private6 são consideradas colors privadas.

  • ENCAPSULATION: Pode ser GRE ou IPSEC.

O TLOC fecha uma sessão BFD (Bidirectional Foward Detect) entre cada IP de WAN associado ao TLOC do Edge e só irá considerar uma rota como válida caso o TLOC associado ao next-hop dela esteja ativo. A opção TLOC restrict pode ser utilizada para garantir que um TLOC associado a uma WAN com color MPLS feche a sessão BFP apenas com TLOC associado a WAN color MPLS do Edge remoto.

SamuelGLN_3-1692127957376.png

VPN

Para as redes SDWAN as VPN são basicamente VRFs utilizadas para entregar diferentes redes de diferentes sites. Importante apenas se atentar as VPNs 0 e 512 que são VPNs reservadas para transporte/global e gerencia out of band respectivamente.

Fazendo agora uma analise de tudo que abordamos podemos resumir as conexões do plano de controle da seguinte forma:

 
SamuelGLN_4-1692128000480.png

 

  • Temos uma conexão permanente entre o vSmart e o vManage com o vBond (Orchestrator).

  • Uma conexão TLS ou DTLS permanente entre o vManage e o vSmart.

  • Uma conexão DTLS temporária entre cada Edge e o vBond (Utilizada apenas para se autenticar a rede SDWAN)

  • Uma conexão TLS ou DTLS permanente entre cada Edge e o vManage (Apenas um dos transportes disponíveis é escolhido para essa conexão)

  • Conexão TLS ou DTLS permanente entre cada Edge e o vSmart (Uma conexão em cada transporte disponível)

Para finalizar, agora que já sabemos como a topologia funciona podemos falar do processo de adição de Edges. Quando um novo Edge é adicionado a rede SDWAN ele passa por um processo de autenticação para ingressar e ser parte da rede. Esse por sua vez pode ser resumido em 4 fases:

  1. O novo Edge irá tentar se autenticar no Vbond através de uma conexão DTLS criptografada. Uma vez autenticado o vBond envia ao Edge os IPs do vManage e vSmart. O vBond também envia ao vSmart e vManage um aviso sobre o novo Edge que deseja ingressar na rede.

  2. Uma vez autenticado a sessão DTLS com o vBond é derrubada e uma sessão TLS ou DTLS é estabelecida com o vManage e caso tenha alguma configuração já disponível ela é encaminhada do vManage ao Edge.

  3. O Edge agora tenta estabelecer um sessão TLS ou DTLS com o vSmart em cada transporte disponível. Ao se autenticar ao vSmart uma conexão OMP é estabelecida para que receba as informações da rede (prefixos, TLOCs e rotas de serviço, chaves de criptografia e políticas).

  4. O Edge tenta estabelecer sessões BFD para o TLOC remoto com cada Edge da rede utilizando IPSec. (Essa será a conexão utilizada para encaminhamento de dados entre os Edges).

 
SamuelGLN_5-1692128000541.png

Espero que esse breve resumo da solução SDWAN te ajude a entender um pouco melhor o seu funcionamento. Estarei em breve trazendo mais artigos abordando de maneira mais prática com labs e use cases utilizando o eve-ng.

Caso queria se aprofundar mais nos conceitos de SDWAN da Cisco recomendo fortemente o Guia de design da Cisco SD-WAN.

 
 
 
Comentários
Gabriela Godoi do Prado
Community Manager
Community Manager
‎08-15-2023 01:46 PM

Parabéns pelo primeiro conteúdo na Comunidade @SamuelGLN! Excelente  

Reginaldo Silva
Level 1
Level 1
‎08-16-2023 11:08 AM

Muito bom o conteúdo, @SamuelGLN , parabéns!!!

lincolnrcorrea
Level 1
Level 1
‎08-18-2023 07:15 AM

Ótimo conteúdo!

marcelosilva140900
Level 1
Level 1
‎08-19-2023 07:44 AM

Conteúdo muito bem elaborado, parabéns pela dedicação Samuel !

Leonardo Santana
Spotlight
Spotlight
‎08-23-2023 07:19 PM

Otimo conteúdo, parabéns!

andrestefan28
Level 1
Level 1
‎01-15-2024 11:35 AM

Sensacional Samuel, obrigado por compartilhar... ajudou demais aqui nas anotações para o CCNP

Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Pergunte aos Especialistas Comunidade de FSO Vídeo dos últimos eventos
Customers Also Viewed These Support Documents