Hoy vamos a hablar de SD-WAN, la solución del laboratorio de Kaspersky.
En nuestro almacén tenemos 6 dispositivos de hardware SD-WAN que podemos proporcionarles para que los prueben por sí mismos.
Y en nuestro propio centro de datos se encuentra el componente de gestión, al que podrán conectarse y probar esta solución.
¿Qué es SD-WAN? En primer lugar, es una solución para construir redes distribuidas que deben ser fiables, escalables y seguras. La solución consta de routers especiales, que en la terminología de Kaspersky se denominan CPE o ViewCPE. Se instalan en oficinas, sucursales, puntos de venta y centros de datos. La solución también consta de un sistema de gestión inteligente. Se trata de un orquestador y un controlador que se instalan en la oficina central o en el centro de datos. Todos los routers se conectan al sistema inteligente, que los gestiona.
¿Qué proporciona SD-WAN? En primer lugar, una conexión rápida de nuevos objetos, soporte para diferentes canales de comunicación y sus combinaciones. Es decir, una pasarela con SD-WAN puede funcionar con canales Ethernet, MPLS, LTE. SD-WAN permite simplificar la gestión de la red. SD-WAN garantiza la fiabilidad de las conexiones de red y la centralización de las políticas de seguridad y la configuración de la red mediante plantillas. La arquitectura de alto nivel de SD-WAN es la siguiente. Repasaremos cada nivel por separado para que se hagan una idea de cómo funciona todo esto en conjunto, porque aquí hay muchos componentes.
Empecemos por el nivel inferior. Se trata de SD-WAN CPE, que se instalan en sucursales y puntos de venta. Proporcionan una conexión rápida de sitios remotos a la red corporativa.
Las pasarelas pueden presentarse en forma de equipos físicos o virtuales. Sus tareas incluyen la transmisión segura de datos y el cifrado integrado. Cabe destacar que, a partir de la versión 2.3, se admiten algoritmos de cifrado GOST. Su lista de tareas también incluye el cumplimiento de las políticas de enrutamiento y seguridad. Es decir, se crean plantillas que se adjuntan al dispositivo, lo que garantiza la uniformidad de las políticas. También proporcionan la recopilación y exportación de información para los sistemas de monitorización. En este caso, se trata de ZABEX, que se encuentra en la oficina central o en el centro de datos. Admiten la funcionalidad de despliegue rápido Zero Touch Provision y proporcionan conectividad de usuario cableada e inalámbrica. Los dos modelos son CPE module 1 y module 2, y tienen módulos Wi-Fi.
Esta es una pasarela SD-WAN. En esencia, es la misma CPE que estaba en el nivel inferior. El caso es que simplemente tiene un papel diferente en la topología de la red. También puede ser un equipo físico o virtual.
Aquí ya podemos hablar de un despliegue a prueba de fallos, por lo que hay soporte VRRP para el escenario Active Standby. Si queremos implementar un escenario Active-Active, esto ya se resuelve en el nivel de los protocolos de enrutamiento dinámico. Por ejemplo, mediante el uso de OSPF. Estos dispositivos se instalan normalmente en centros de procesamiento de datos, en oficinas centrales o en nubes públicas privadas. Proporcionan la agregación de túneles seguros desde CPE inferiores.
Pasemos a los componentes de gestión. Se trata del controlador SD-WAN. Es el que forma todas las tablas de conmutación, las tablas de enrutamiento, el que garantiza la construcción de túneles y, a través del protocolo Open Flow, envía la configuración a las pasarelas SD-WAN. El controlador también proporciona la gestión de las políticas de seguridad. En un escenario típico, se trata de una máquina virtual, y también existe la posibilidad de desplegarla a prueba de fallos.
Aquí ya se utiliza el modo (2N+1). Y, una vez más, este es el principal interfaz de interacción entre SD-WAN CPE y el plano de gestión.
¿Qué es el gestor VNF? A menudo surge la situación de que es necesario realizar, por ejemplo, el filtrado de flujo de tráfico, pero las pasarelas Kaspersky SD-WAN no tienen esta capacidad. Aquí es ideal un Next Generation Firewall y se puede crear una cadena de servicios que incluya la inspección de flujo de tráfico. ¿Cómo se implementa esto? Existen dispositivos CPE universales en los que es posible desplegar dispositivos virtuales de las máquinas necesarias del mismo Next Generation Firewall. O, por ejemplo, en un centro de datos en una máquina virtual, se puede desplegar el mismo Next Generation Firewall y, con la ayuda del gestor VNF, configurar una cadena de paso de tráfico precisamente a través de él. También se trata de una máquina virtual, existe la posibilidad de un despliegue a prueba de fallos (N+1). Y en cuanto a sus principales tareas, como hemos dicho, se trata de la gestión de las funciones de red y el control de la instalación, activación, escalado, actualización y terminación de las funciones de red virtuales.
Y ahora pasamos al orquestador SD-WAN. Se trata de una solución Management Plane, una única ventana de interacción con todos sus componentes, porque es desde el orquestador SD-WAN desde donde se introducen los ajustes en la CPE, que luego pasan al controlador, y el controlador ya envía los ajustes hacia las pasarelas SD-WAN.
El orquestador SD-WAN también gestiona el gestor VNF. Normalmente también es una máquina virtual, se despliega en modo a prueba de fallos (N+1), gestiona los controladores y la virtualización. También recopila la telemetría recibida de las pasarelas SD-WAN y garantiza el lanzamiento de plantillas de cadenas de servicios.
Ahora hablemos de las desventajas de las soluciones tradicionales en la organización de la WAN. Aquí podemos destacar tres problemas principales. En primer lugar, clientes y empleados insatisfechos.
Pueden estar insatisfechos por varias razones. La primera de ellas son los retrasos en las conexiones de red. La segunda es la mala calidad del trabajo de las aplicaciones críticas para el negocio. Y la tercera es el largo tiempo de resolución de problemas. El segundo problema son los agujeros en la seguridad de la red debido a la falta de una política unificada. Dado que en las sucursales se utiliza una gran cantidad de equipos de red, respectivamente, se configuran listas de acceso en cada uno de ellos, y con el tiempo se hace cada vez más difícil seguirlos, porque algunos dejan de utilizarse, se olvidan de ellos. Al eliminar cualquier lista de acceso, un servicio puede simplemente fallar, o creamos un agujero en la seguridad de la red, lo cual es muy crítico. Y el tercer problema clave son los costes de soporte y mantenimiento, ya que el 85% de los cambios en la red se configuran manualmente, lo cual es largo, caro y no óptimo. Y, lo que es más importante, existe el riesgo de cometer errores en la configuración, que a su vez pueden conducir a los problemas descritos anteriormente, cuando los clientes y los empleados están insatisfechos porque las aplicaciones y los servicios funcionan mal. También pueden surgir agujeros en la seguridad de la red, lo que puede conducir a pérdidas financieras y de reputación.
Y ahora vamos a comparar las redes WAN clásicas con la solución Kaspersky SD-WAN. Se puede decir que aquí relaciono las desventajas de las redes WAN y cada desventaja se corresponde con una ventaja de la solución Kaspersky SD-WAN. Y, si en las redes WAN clásicas el problema es que tardamos mucho en conectar nuevas oficinas, en SD-WAN todo esto está automatizado gracias a la función Zero Touch Provision. Si en las redes clásicas, para garantizar una alta velocidad en el canal WAN, nos vemos obligados a utilizar costosos canales MPLS, o, por ejemplo, queremos mejorar la calidad del trabajo de alguna aplicación crítica para el negocio, en Kaspersky SD-WAN la fiabilidad de la conexión se puede garantizar incluso en canales Ethernet ordinarios gracias a los mecanismos de duplicación.
Y, si en las redes clásicas cada dispositivo se gestiona por separado, este es un control plane separado, un Management plane separado, en la solución Kaspersky SD-WAN toda la gestión se realiza de forma centralizada desde el interfaz del administrador. Para gestionar las redes clásicas se necesitan especialistas en cada sucursal, y para gestionar Kaspersky SD-WAN basta con uno o dos especialistas para gestionar absolutamente toda la red. Y la desventaja en las redes WAN clásicas son las brechas en la seguridad. Y en Kaspersky SD-WAN esto se cierra por el hecho de que, gracias a las plantillas, podemos subir políticas de seguridad idénticas a un grupo de dispositivos, y allí se integran de forma bastante sencilla los medios de protección y otros servicios de red.
En resumen, Kaspersky SD-WAN es rápido gracias a que tenemos automatización al conectar nuevas sucursales, gracias a que un empleado puede gestionar toda la fábrica SDN. Y la tercera ventaja es que es cómodo. Gracias a que existen mecanismos inteligentes integrados de procesamiento de tráfico, por ejemplo, en caso de problemas con los canales, todas las conmutaciones se producen en modo automático, y a menudo se tarda alrededor de un segundo.
Ahora hablemos de qué tareas ayuda a resolver Kaspersky SD-WAN. Aquí hablaremos del perfil de un posible cliente.
Si generalizamos todo lo anterior, podemos decir que SD-WAN es adecuado para aquellos que tienen una gran red de sucursales distribuidas, para aquellos clientes que están desarrollando y abriendo activamente nuevas oficinas y sucursales, para aquellos que desean reducir los costos de conectar nuevas oficinas a la red. También es adecuado para aquellos que tienen escasez de especialistas de TI calificados y para aquellos que desean garantizar la calidad garantizada del trabajo de las aplicaciones críticas para el negocio. Por industrias, estos pueden ser bancos, compañías de seguros, atención médica, grandes minoristas, organizaciones en el campo de la educación, la industria y los operadores de telecomunicaciones, que pueden proporcionar SD-WAN como un servicio.
Aquí es apropiado hablar sobre algunos ejemplos. Comencemos con una gran cadena de tiendas. Este es un gran minorista que compró canales a un proveedor para incluir servicios internos. Y la implementación de SD-WAN ayudó al minorista a ahorrar alrededor de 165 millones de rublos anuales en canales de comunicación.
El segundo ejemplo es una gran red bancaria. Se enfrentó al reemplazo de cajeros automáticos antiguos. Y con el enfoque tradicional para construir redes WAN, todo el proceso de transición a nuevos cajeros automáticos generalmente tomaba varios años. Con la implementación de SD-WAN, la conexión de nuevos cajeros automáticos se volvió rápida. Conectaron alrededor de 50 cajeros automáticos por día, y eso fue una limitación de la logística, y el proceso de implementación se aceleró varias veces. Aproximadamente en 3 meses, todo se implementó. Y el tercer ejemplo es una organización que asegura la producción de agua mineral. Muy a menudo, dentro de la organización, surgieron casos con un problema en la configuración del equipo, constantemente llegaban solicitudes de que algo no funcionaba. Y la implementación de SD-WAN permitió reducir significativamente los problemas en la red, ya que en esta organización, principalmente, todos los problemas se debieron a la cadena incorrecta de configuración del equipo.
Ahora unas palabras sobre la política de licencias, sobre cómo se lleva a cabo. La licencia se realiza por CPE dependiendo del ancho de banda y la funcionalidad requerida. Supongamos que tenemos una red de 50 dispositivos que requieren 50 megabits por segundo, un dispositivo que debe agregar todos los canales, por ejemplo, un gigabit por segundo, y necesitaremos adquirir 50 licencias para el primer lote de dispositivos y una licencia para el segundo dispositivo.
Ahora un poco sobre los modelos. Se destacan 5 modelos de gateways SD-WAN. Los dos primeros modelos admiten Wi-Fi y LTE. Los modelos más antiguos, 4 y 5, admiten la función VNF y el modo uCPE. El quinto modelo tiene un rendimiento de hasta un gigabit por segundo en modo de cifrado y con reglas DPI habilitadas. En los dos primeros modelos, es posible instalar tarjetas SIM y usar el canal WAN LTE.
Aquí también hablaré sobre las licencias, sobre las capacidades de la solución. Se destacan dos tipos: Standart y Advanced. Para cubrir las necesidades de un cliente típico, en realidad será suficiente la funcionalidad Standart. Dado que Advanced incluye soporte para "multitenencia", que necesitan principalmente los operadores de telecomunicaciones, y se admite el trabajo con multidifusión.
Algunos puntos se resaltan en verde específicamente, ya que estos puntos aparecieron en la nueva versión de SD-WAN, versión 2.3.
La línea de modelos de equipos de red se presenta ante usted.
El rendimiento del primer modelo en WAN es de 50 Mbit por segundo, para el segundo modelo el rendimiento es significativamente mayor: ya son 350 Mbit por segundo. Para el tercer modelo, el ancho de banda es aún mayor: 600 Mbit por segundo. Los modelos cuarto y quinto son los más productivos, respectivamente, 1.2 y 10 gigabits.
Resumamos las capacidades clave de Kaspersky SD-WAN.
En primer lugar, es la gestión centralizada de toda la solución y la funcionalidad de "multitenencia". En segundo lugar, son las plantillas Zero Touch Provisioning, que permiten automatizar el proceso de conexión de un nuevo dispositivo y eliminar errores humanos. En tercer lugar, es la posibilidad de tolerancia a fallos y redundancia con prioridad al tráfico de aplicaciones críticas para el negocio. En cuarto lugar, es la posibilidad de equilibrio en varios canales de comunicación. Por ejemplo, puede tener un gateway que tenga cuatro canales WAN, y los cuatro funcionarán en modo Activo-Activo. Y existe la posibilidad de integrar soluciones de seguridad de red como funciones de red virtuales.
Ahora repasaremos con más detalle las capacidades de Zero Touch Provisioning, veamos cuál es el algoritmo de su funcionamiento.
Por ejemplo, se compra un dispositivo CPE, que se envía a la oficina central. El administrador agrega este dispositivo al inventario y vincula un identificador único del dispositivo dentro del sistema. Después de eso, genera un enlace URL y envía tanto el gateway como el enlace a un empleado en la sucursal. El empleado remoto se conecta por Wi-Fi al dispositivo o mediante una conexión por cable, ingresa este enlace y el dispositivo se conecta automáticamente.
Mecanismo Forward Error Correction, que se utiliza para mejorar el SLA del canal de comunicación mediante la codificación redundante de paquetes.
Aquí en la imagen esto es claramente visible, que enviamos 4 paquetes, el cuarto se pierde, y debido a que codificamos de forma redundante, un paquete perdido puede ser restaurado.
A continuación, la duplicación de paquetes. En esencia, la función está destinada absolutamente a lo mismo, para trabajar con canales de comunicación inestables y de baja calidad. La única diferencia es que la duplicación de paquetes solo es posible en escenarios donde tenemos dos o más canales de comunicación en el dispositivo CPE. Si tenemos dos o más canales, podemos usar la duplicación o incluso combinarlos. Pero aquí es importante tener en cuenta que al usar estos mecanismos, el rendimiento del dispositivo será ligeramente inferior, porque estos mecanismos afectan a la CPU.
Monitoreo de la calidad de los túneles. Podemos rastrear la pérdida de paquetes, el jitter, los indicadores de retraso. Todo esto es posible gracias a que en la superposición se utiliza Ginev, en el que se pueden transmitir campos adicionales. Estos son indicadores de la calidad de los canales.
Es decir, por ejemplo, podemos establecer algunas restricciones de umbral, por ejemplo, queremos usar un canal en el que el jitter sea inferior a 30 ms, la tasa de pérdida sea inferior al 1%, el retraso sea inferior a 150, y los canales que no cumplan con los requisitos establecidos se descartarán de la ruta de transmisión.
La amortización teniendo en cuenta el contexto también es una funcionalidad similar. Aquí, por ejemplo, gracias al motor DPI, podemos seleccionar aplicaciones específicas y decir que estas aplicaciones deben ir, por ejemplo, por el primer-segundo canal.
Y un trabajo muy flexible con las topologías de red.
Podemos implementar absolutamente cualquier topología. Podemos, como, por ejemplo, con el conocido DMVPN, implementar hub-and-spoke, podemos, o mejor dicho, DMVPN en la primera fase, podemos implementar Full Mesh, podemos organizar partidas All Mesh. Todo esto se configura de forma bastante sencilla.
Les contaré brevemente las novedades de la versión 2.3, que se lanzó recientemente. Aquí me gustaría destacar de inmediato que se ha añadido soporte para el cifrado GOST, que muchos clientes estaban solicitando.
En segundo lugar, apareció un mecanismo de Link State Control, que permite detectar mucho más rápido cualquier problema con los canales de comunicación, porque antes era el controlador el que se encargaba de determinar que, por ejemplo, había una alta latencia en el canal. Ahora todo esto ya funciona en el CPE y los fallos se detectan mucho más rápido, y pueden detectarse en menos de un segundo. También hubo otros cambios destinados a mejorar la experiencia del usuario, es decir, se añadió un mecanismo para reiniciar el proceso de registro de la pasarela, se mejoró la interfaz Zero Touch Provisioning, se mejoró el algoritmo de eliminación de CPE y ahora, al eliminar, se restablecen automáticamente los ajustes de la pasarela, y se mejoró el instalador de soluciones.
Ilustraciones proporcionadas por el servicio de prensa de Kaspersky