Durante os meus estudos para o CCNP acabei me “desviando” um pouco do caminho e apreciando muito subir labs com a solução SDWAN Cisco (Viptela). A ideia desse artigo é trazer uma introdução da solução e apresentar a ideia por trás disso.
As redes WAN foram projetadas, em grande parte, utilizando MPLS como forma de entregar conectividade entre empresas e a criacao de novos servicos baseados nessa tecnologia como servicos de VPNv4/v6, e engenharia de trafego com o MPLS TE para trazer maior controle ao trafego do ISP. Os padrões de tráfegos atuais já são bem diferentes do que tínhamos antes da grande expansão dos serviços em nuvem e com isso criou-se requisitos para gerenciamento, garantia de segurança e desempenho das redes WAN. Visando toda essa mudança/evolução das redes WAN surgiu a solução Software-Defined Wide-Area Network (SDWAN) e com ela vieram os benefícios como:
- Melhor experiencia para o usuário
- Redes ágeis e seguras com utilização de tuneis Edge to Edge via Internet Protocol Security (IPsec).
- Redução de custos separando o Data Plane da Control Plane visto que os Edges não precisam de tanto recursos de hardware para fazer apenas o encaminhamento de dados.
Fonte: Design Zone for Branch/WAN - Guia de design da Cisco SD-WAN - Cisco
Falando mais sobre a solução, podemos separar os componentes de uma rede SDWAN em 4 planos, sendo eles:
- Plano de Gestão
- Plano de Orquestração
- Plano de Controle
- Plano de dados
Fonte: Design Zone for Branch/WAN - Guia de design da Cisco SD-WAN - Cisco
Plano de Gestão (vManage): O vManage é o ponto de gestão central da estrutura e permite adicionar ou remover controladores e Edges através de um dashboard. vManage também suporta configurações via REST e NETCONF. (Configurações aplicadas via dashboard são enviadas aos equipamentos via netconf)
Plano de Orquestração (vBond): É o único elemento que normalmente recebe um IP publico roteado na internet e alcançável pelos demais elementos da rede SDWAN. Na iniciação da rede ele estabelece um túnel DTLS com os vSmarts e com o Edges. Ele é provavelmente o elemento mais importante da rede pois ele possibilita a autenticação inicial dos demais participantes da estrutura. Múltiplos vEdges podem ser ativos para garantir alta disponibilidade (vEdges podem se conectar apenas com um vBond, considere usar DNS para múltiplos vBonds).
Plano de Controle (vSmart): O plano de controle é o cérebro da rede SDWAN e é responsável por receber as informações do Edges via DTLS e através delas definir as melhores rotas. Cada vEdges pode se conectar com até 3 vSmarts mas apenas um é necessário para que receba os updates. Importantes frisar que o vSmart não entra no plano de dados, ou seja, o tráfego nunca passa por ele para ir de um ponto a outro. Para se comunicar com os Edges o vSmart utiliza o Overlay Management Protocol (OMP) estabelecendo uma sessão com cada Edge. O protocolo OMP é muito parecido com o próprio BGP e é transportando dentro do túnel DTLS. A função do vSmart pode ser comparada também como BGP Router Reflector.
Fonte: Cisco Software-Defined Wide-Area Networks book.
Plano de Dados (vEdge ou cEdge): Os Edges da rede são responsáveis pelo envio dos dados. Cada Edge estabelece uma sessão DTLS e OMP segura com o vSmart e informa as suas rotas internas para a estrutura.
Considerações importantes:
Os tuneis DTLS são negociados usando certificados SSL. Enquanto a negociação ocorre para subir o túnel cada device verifica se recebeu um certificado assinado pela root CA e se possui uma organization-name e serial number validos.
A comunicação DTLS ocorre via UDP na porta 12346.
Overlay Manegement Protocol (OMP): Protocolo de roteamento dinâmico da rede overlay utilizado para propagar rotas entre o vSmart e os Edges.
Overlay Management Protcol (OMP)
O OMP é o protocolo escolhido para ser o protocolo de roteamento das redes SDWAN. É um protocolo bem parecido com o BGP e utilizados para transportar informações entre os sites na camada overlay. Os tuneis OMP são estabelecidos somente entre os WAN Edges e o vSmart dentro do túnel DTLS.
Transport Locator (TLOC)
O transport locator é utilizado para identificar a interface WAN dos Edges e é utilizado como next-hop das rotas recebidas via OMP fazendo com que o next-hop deixe de ser associado diretamente com um IP de WAN. Ele é composto por três informações principais:
SYSTEM IP: Análogo ao router ID, precisa ser único em cada Edge device da rede SDWAN.
COLOR: São nomes utilizados para identificar o transporte WAN utilizado pelos Edge devices. As colors metro-ethernet, mpls, and private1, private2, private3, private4, private5, and private6 são consideradas colors privadas.
ENCAPSULATION: Pode ser GRE ou IPSEC.
O TLOC fecha uma sessão BFD (Bidirectional Foward Detect) entre cada IP de WAN associado ao TLOC do Edge e só irá considerar uma rota como válida caso o TLOC associado ao next-hop dela esteja ativo. A opção TLOC restrict pode ser utilizada para garantir que um TLOC associado a uma WAN com color MPLS feche a sessão BFP apenas com TLOC associado a WAN color MPLS do Edge remoto.
Fonte: Design Zone for Branch/WAN - Guia de design da Cisco SD-WAN - Cisco
VPN
Para as redes SDWAN as VPN são basicamente VRFs utilizadas para entregar diferentes redes de diferentes sites. Importante apenas se atentar as VPNs 0 e 512 que são VPNs reservadas para transporte/global e gerencia out of band respectivamente.
Fazendo agora uma analise de tudo que abordamos podemos resumir as conexões do plano de controle da seguinte forma:
Fonte: Design Zone for Branch/WAN - Guia de design da Cisco SD-WAN - Cisco
Temos uma conexão permanente entre o vSmart e o vManage com o vBond (Orchestrator).
Uma conexão TLS ou DTLS permanente entre o vManage e o vSmart.
Uma conexão DTLS temporária entre cada Edge e o vBond (Utilizada apenas para se autenticar a rede SDWAN)
Uma conexão TLS ou DTLS permanente entre cada Edge e o vManage (Apenas um dos transportes disponíveis é escolhido para essa conexão)
Conexão TLS ou DTLS permanente entre cada Edge e o vSmart (Uma conexão em cada transporte disponível)
Para finalizar, agora que já sabemos como a topologia funciona podemos falar do processo de adição de Edges. Quando um novo Edge é adicionado a rede SDWAN ele passa por um processo de autenticação para ingressar e ser parte da rede. Esse por sua vez pode ser resumido em 4 fases:
O novo Edge irá tentar se autenticar no Vbond através de uma conexão DTLS criptografada. Uma vez autenticado o vBond envia ao Edge os IPs do vManage e vSmart. O vBond também envia ao vSmart e vManage um aviso sobre o novo Edge que deseja ingressar na rede.
Uma vez autenticado a sessão DTLS com o vBond é derrubada e uma sessão TLS ou DTLS é estabelecida com o vManage e caso tenha alguma configuração já disponível ela é encaminhada do vManage ao Edge.
O Edge agora tenta estabelecer um sessão TLS ou DTLS com o vSmart em cada transporte disponível. Ao se autenticar ao vSmart uma conexão OMP é estabelecida para que receba as informações da rede (prefixos, TLOCs e rotas de serviço, chaves de criptografia e políticas).
O Edge tenta estabelecer sessões BFD para o TLOC remoto com cada Edge da rede utilizando IPSec. (Essa será a conexão utilizada para encaminhamento de dados entre os Edges).
Fonte: Design Zone for Branch/WAN - Guia de design da Cisco SD-WAN - Cisco
Espero que esse breve resumo da solução SDWAN te ajude a entender um pouco melhor o seu funcionamento. Estarei em breve trazendo mais artigos abordando de maneira mais prática com labs e use cases utilizando o eve-ng.
Caso queria se aprofundar mais nos conceitos de SDWAN da Cisco recomendo fortemente o Guia de design da Cisco SD-WAN.
Great article so far, thanks for sharing. . Do you also have a tutorial about deco mesh WiFi and how to install it https://www.tp-link.com/ph/home-networking/deco/? Planning to buy one for our second floor, since right now the internet signal is so weak and my husband is working from home..
Bom dia Samuel, fiquei quase 1 mês (devido ao tempo que tenho) para subir o LAB de SD-WAN em uma plataforma de aluguel de rack que vem acompanhado com curso. Depois de finalmente subir realizando toda a autenticação (CA) com o vBond de forma manual as conexões caiam depois ou a cada 5, 10 minutos. Em contato com a plataforma de aluguel me informaram que como o consumo de hardware é absurdo (palavras deles) isso poderia acontecer, ou seja, tive que cancelar a plataforma porque não conseguiria usar, com o propósito de ter a imersão que gostaria. Devido a isso tive que abandonar o lab, estou estudando pelo curso e pelo livro que um amigo me emprestou.. para não ficar sem ter contato analiso a rede do cliente que estou trabalhando que possui SD-WAN. Excelente artigo parabéns. Obrigado por compartilhar conhecimento.
Excelente artigo. 10.