Guia de Instalação Cisco SD-WAN
As WANs tradicionais foram projetadas usando MPLS para conectividade, onde a maioria do tráfego da filial flui dentro dos limites da intranet da empresa. No entanto, novos aplicativos de nuvem (SaaS), como o Microsoft Office 365 e o Salesforce.com, além dos serviços na nuvem pública (IaaS), como o Amazon Web Services (AWS) e o Azure, estão mudando os padrões de tráfego.
Hoje, a maior parte do tráfego empresarial flui para as nuvens públicas e a Internet. Essa mudança cria novos requisitos com relação a segurança, desempenho das aplicações, conectividade com a nuvem, gerenciamento da WAN e operações.
A Cisco SD-WAN oferece uma maneira totalmente nova de gerenciar e operar sua infraestrutura de WAN. É uma solução baseada em nuvem que fornece uma arquitetura de serviços segura, flexível e completa.
A solução Cisco SD-WAN é composta por 4 camadas: Orchestration Plane (Orquestração), Management Plane (Gerenciamento), Control Plane (Controle) e Data Plane (Dados). Em cada camada, teremos equipamentos dedicados com uma determinada função.
Neste artigo você vai aprender os conceitos fundamentais da arquitetura SD-WAN, os diferentes componentes e como instalar uma rede SD-WAN.
No final do artigo você encontrará links para material de referência, caso queira aprofundar os conceitos aqui apresentados.
Orchestration Plane (vBond)
vBond é um dos controladores Cisco SD-WAN e é responsável por coordenar todo o processo de inicialização dos vSmarts e dos Edges.
É o único controlador que precisa ter um IP público alcançável por todos dispositivos na rede SD-WAN. Durante o processo de inicialização, ele estabelece túneis DTLS com os vSmarts e com os Edges, autenticando todos os participantes na rede SD-WAN.
O vBond é um equipamento virtual podendo ser instalado em hypervisors e plataformas cloud.
Management Plane (vManage)
vManage é o controlador responsável pelo sistema de gestão central da rede SD-WAN.
Permite adicionar e eliminar os controladores e edges. As configuração são feitas usando o dashboard e em seguida enviadas para os equipamentos via netconf.
Também é responsável por armazenar configurações, que podem ser automaticamente aplicadas aos outros equipamentos.
O vManage é um equivamento virtual podendo ser instalado em hypervisors e plataformas cloud.
Control Plane (vSmart)
vSmart é o controlador responsável por:
- Conexões a nível do control plane – cada vSmart estabelece e mantém conexões com cada edge, usando túneis DTLS, que carregam informação necessária para o vSmart definir a topologia de rede. Com base nesta informação, o vSmart calcula as melhores rotas e informa os edges. O vSmart não faz parte do plano das rotas (data plane).
- OMP (Overlay Management Protocol) – o protocolo OMP é similar ao BGP, fazendo com o que o vSmart trabalhe como Route Reflector. O OMP é transportado dentro do DTLS e transporta dados como rotas, next-hops e políticas. O vSmart estabelece sessões OMP com todos os edges.
- Propagação das rotas – mantém uma tabela de rotas de todos os edges denominada rotas OMP. De acordo as políticas definidas, as rotas são anunciadas ou filtradas a nível do vSmart.
O vSmart é um equivamento virtual podendo ser instalado em hypervisors e plataformas cloud.
Plano de Dados (vEdge/cEdge)
Roteador WAN vEdge ou cEdge é responsável pelo envio dos dados na rede como se fosse um router. Os principais componentes do roteador wan edge:
- Plano de controle DTLS – cada edge estabelece uma ligação segura com o vSmart, informando sobre as rotas para criação da topologia de rede.
- OMP – cada edge estabelece uma sessão OMP com o vSmart.
- Protocolos – os edges suportam vários protocolos como BGP, OSPF, VRRP, BFD.
- RIB/FIB – os edges suportam várias tabelas de roteamento
- Data plane – os edges suportam encaminhamento de dados, IPSec, QoS, ACLs, etc.
OMP
OMP (Overlay Management Protocol) – protocolo de roteamento dinâmico na rede Overlay, usado para propagação das redes entre o vSmart e os edges.
Site ID
Um Site ID é um identificador exclusivo de um site na rede overlay SD-WAN com um valor numérico de 1 a 4294967295 (2^32-1) e identifica o local de origem de um prefixo anunciado. Este ID deve ser configurado em todos os edges incluindo os controladores, e deve ser o mesmo para todos os dispositivos WAN Edge que residem no mesmo local. Um site pode ser um data center, uma filial, um campus ou algo semelhante. Por padrão, os túneis IPsec não são formados entre roteadores edges dentro do mesmo site que compartilham o mesmo site-id.
System IP
Um System IP é um endereço IPv4 que identifica exclusivamente o dispositivo independentemente de quaisquer endereços de interface. Similar a um router id, ele é atribuído à interface do sistema que reside na VPN 0 e nunca é anunciado. Uma prática recomendada, no entanto, é atribuir esse endereço IP do sistema a uma interface de loopback e anunciá-lo em qualquer VPN de serviço. Ele pode então ser usado como um endereço IP de origem para SNMP e logging, facilitando a correlação de eventos de rede com o vManage.
Organization Name
Organization Name é um nome atribuído à rede overlay de SD-WAN. Todos os equipamentos da mesma empresa precisam ter o mesmo Organization Name. Este nome é usado no certificado durante o processo de autenticação dos equipamentos.
TLOC
Um TLOC, ou Transport Location, é o ponto de conexão onde um edge se conecta à rede de transporte WAN. Um TLOC é identificado exclusivamente e representado por uma tupla tripla, consistindo no System IP, cor do link e encapsulamento (Generic Routing Encapsulation [GRE] or IPsec).
Color
A cor do link se aplica a roteadores WAN Edge ou controladores vManage e vSmart e ajuda a identificar um TLOC individual; TLOCs diferentes recebem rótulos de cores diferentes.
Virtual private networks (VPNs)
Na rede overlay SD-WAN, as VPNs fornecem segmentação, tal como as VRFs. Cada VPN é isolada uma da outra e cada uma tem sua própria tabela de encaminhamento. Uma interface ou subinterface é configurada explicitamente em uma única VPN e não pode fazer parte de mais de uma VPN. As labels são usadas em atributos de rota OMP e no encapsulamento de pacotes, que identifica a VPN à qual um pacote pertence.
Existem duas VPNs principais presentes por padrão nos dispositivos e controladores WAN Edge, VPN 0 e VPN 512.
VPN 0 é a VPN de transporte. Ela contém as interfaces que se conectam a rede WAN. Conexões DTLS/TLS aos controladores são iniciadas a partir desta VPN. Rotas estáticas ou default ou um protocolo de roteamento dinâmico precisam ser configurados dentro desta VPN.
VPN 512 é a VPN de gerenciamento. Ele transporta o tráfego de gerenciamento "out-of-band" de e para os dispositivos Cisco SD-WAN. Essa VPN é ignorada pelo OMP e não é transportada pela rede overlay.
Além das VPNs padrão já definidas, é necessário criar uma ou mais VPNs do lado do serviço que contenham interfaces que se conectem à rede do site local e transportem o tráfego de dados do usuário. Recomenda-se selecionar VPNs de serviço no intervalo de 1 a 511, mas valores mais altos podem ser escolhidos, desde que não se sobreponham às VPNs padrão e reservadas.
Instalação dos controladores
A comunicação entre os diferentes integrantes da rede SD-WAN, occorre em duas camadas:
- Underlay – comunicação nas redes tradicionais WAN
- Overlay – comunicação segura entres os equipamentos SD-WAN
O processo de instalação dos equipamentos, requer que todos sejam validados e autenticados antes de se ligarem à camada overlay. A autenticação é garantida pelo uso de certificados digitais, emitidos por uma Root CA conhecida por todos. Neste lab usaremos uma Root CA empresarial, emitida por um router CSR1000V.
Inicialmente os controladores autenticam-se entre si e posteriormente autenticam os edges que se ligam à rede.
Devido a extensão das configurações, elas serão anexadas neste artigo.
Instalação dos Edges
Os edges podem ser instalados usando as seguintes opções:
- Instalação usando um servidor ZTP (Zero-Touch-Provisioning) – O servidor ZTP mantém uma lista de dispositivos WAN Edge autorizados. O servidor ZTP pode ser implantado no datacenter desde que Edge consiga resolver o nome ztp.viptela.com para acessar o servidor ZTP após a conexão com o transporte WAN.
- Instalação usando o processo Plug-and-Play (PnP) – os edges são instalados de forma automática com mínimo de intervenção humana. O roteador tenta resolver o nome do servidor PnP em devicehelper.cisco.com para autenticar-se junto do vBond e em seguida do vManage e do vSmart.
- Instalação manual – os edges são instalados usando parâmetros de configuração mínima.
- Configure os parâmetros de system
- Configure a interface WAN
Na figura abaixo vemos o processo de autenticação do edge na rede overlay SD-WAN.
Devido a extensão das configurações, elas serão anexadas neste artigo.
Após configurar os controladores e os edges, a camada overlay SD-WAN terá estabelecido uma rede full mesh. Ou seja todos os edges terão estabelecidos túneis DTLS/TLS entre si e sessões OMP com o vSmart.
Leitura adicional
Consulte as notas de versão, guias de configuração e guia de solução de problemas para obter mais informações sobre SD-WAN.
● Cisco.com SD-WAN Page: https://www.cisco.com/c/en/us/solutions/enterprise-networks/sd-wan
● Cisco SD-WAN Release Notes: https://www.cisco.com/c/en/us/support/routers/sd-wan/products-release-notes-list.html
● Cisco SD-WAN Configuration Guides: https://www.cisco.com/c/en/us/support/routers/sd-wan/products-installation-and-configuration-guides-list.html
◦ Cisco SD-WAN: WAN Edge Onboarding Deployment Guide: https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/SDWAN/sd-wan-wan-edge-onboarding-deploy-guide-2019dec.pdf
◦ SD-WAN Controller Certificates and Authorized Serial Number File Deployment Guide: https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/SDWAN/cisco-sd-wan-certificates-deploy-2020aug.pdf
◦ SD-WAN End-to-End Deployment Guide: https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/SDWAN/SD-WAN-End-to-End-Deployment-Guide.pdf