ТРИ ОБЛАСТИ ПРИМЕНЕНИЯ SDN
На сегодняшний день для SDN можно выделить три целевых сегмента. Первый, где данная технология уже хорошо освоена, — это сети ЦОДов. На таких объектах целью внедрения SDN часто является виртуализация сетевой инфраструктуры. Наряду с виртуализацией серверов и СХД, она представляет необходимое условие реализации виртуальных (программно определяемых) ЦОДов. Технология SDN оказывается наиболее востребованной в тех ЦОДах, где существует большая гетерогенная физическая инфраструктура ИТ, включающая разные архитектуры серверов (x86, Power, SPARC) и различные гипервизоры (Linux KVM, VMware vSphere, MS Hyper-V и др.), поскольку она позволяет унифицировать управление такой инфраструктурой.
Тимофей Смелянский, директор по развитию бизнеса ЦПИКС, называет три основных результата, которых удается добиться при использовании технологии SDN в ЦОДах:
- сокращение времени выделения виртуальной инфраструктуры и развертывания сред разработки и тестирования (в реальных проектах разница может быть больше чем на порядок);
- оптимизация использования ресурсов физической ИТ-инфраструктуры и существенное сокращение издержек на простои и управление;
- оптимизация вложений в физическую ИТ-инфраструктуру за счет более активного использования принципов программно определяемого ЦОДа (SD-DC).
Специалист ЦПИКС рекомендует использовать SDN в ЦОДе при наличии достаточно большой виртуальной инфраструктуры (сотни виртуальных машин и десятки физических серверов), а также при потребности снизить расходы на обслуживание ИТ-инфраструктуры. Последней цели удается добиться благодаря существенному повышению уровня автоматизации соответствующих процессов.
Среди факторов, способствующих внедрению SDN в ЦОДах, — наличие достаточно современного сетевого оборудования, малая протяженность каналов связи при их высоком качестве (высокие скорости и малые задержки) и количестве (как правило, ячеистая структура или, по крайней мере, дублирование основных каналов).
В сетях операторов связи — второй целевой сегмент внедрения SDN — ситуация иная: большие расстояния и частые проблемы с каналами связи, включая отсутствие резервирования, низкая пропускная способность, высокие задержки и их вариация (джиттер). Все это, очевидно, затрудняет внедрение технологии SDN, в основе которой лежат декомпозиция традиционных коммутаторов и вынос (централизация) логики контроля и управления. Задачу усложняет и большой парк унаследованного сетевого оборудования, неспособного эффективно интегрироваться в сеть SDN. Неудивительно, что в телекоммуникационной отрасли развертывание SDN пока не пошло дальше тестовых инсталляций.
Как считает Тимофей Смелянский, главная проблема внедрения SDN операторами связи — интеграция контроллеров с уже используемыми коммутаторами. Он выделяет три группы используемых сегодня коммутаторов: аппаратные решения на базе сетевых процессоров и микросхем ASIC плюс программные реализации на основе архитектуры x86. Интеграция (с контроллерами SDN) программных коммутаторов и устройств на базе сетевых процессоров — задача не очень сложная, но сами эти устройства стоят дорого. Коммутаторы на ASIC — продукты недорогие, а потому более распространенные, но с ними как раз и возникают сложности интеграции при внедрении SDN.
Одна из задач, которая может «подтолкнуть» использование SDN операторами связи, обусловлена консолидацией отрасли в результате поглощения небольших операторов. Интеграция сетей приобретаемых компаний, построенных на оборудовании различных вендоров, — настоящая головная боль для сетевых специалистов. SDN позволяет унифицировать различные гетерогенные сети на уровне системы управления, что повышает эффективность обслуживания. «[При внедрении SDN] CAPEX сократить вряд ли удастся, а вот снижение OPEX будет очень значительным», — утверждает Тимофей Смелянский.
Одна из главных проблем сегодня — обеспечение комплексного решения SDN, охватывающего не только ЦОДы, но и транспортную сеть, чтобы преимуществами «программной определяемости» можно было воспользоваться во всей цепочке предоставления сервисов «из конца в конец». Такую амбициозную задачу поставили перед собой разработчики компании Brain4Net и, как утверждает ее генеральный директор Олег Щапов, решили ее, создав универсальную сетевую фабрику SDN, работающую не только в ЦОДе, но и за его пределами. Разработанное решение работает на втором уровне модели OSI в тесной интеграции с сервисами L3 и ориентировано на использование открытых сетевых платформ.
По мнению Олега Щапова, обратить внимание на SDN компании побуждают экономия затрат на создание инфраструктуры благодаря возможности выбора оборудования альтернативных поставщиков, снижение операционных затрат, а также повышение конкурентоспособности за счет более быстрого внедрения новых сервисов и приложений.
Важной тенденцией развития сетевых решений эксперт Brain4Net считает вынос сервисной логики из сетевого оборудования, что позволяет выбирать недорогие устройства из большого числа предложений и строить инфраструктуру «из кубиков». Наряду с декомпозицией сетевых устройств происходит и декомпозиция сетевых сервисов. «Все сложные сервисы разбиваются на микросервисы, из которых формируются те сервисы, которые необходимы конкретному заказчику в данный момент времени», — считает Олег Щапов.
Третий сегмент внедрения SDN — построение многофилиальных распределенных корпоративных сетей. Соответствующие решения получили название SD-WAN. Сегодня это, пожалуй, самое «горячее» направление в области SDN. Хотя подходы и детали реализации таких сетей разнятся от вендора к вендору, основные решаемые ими задачи понятны: это возможность быстрого подключения филиалов, оптимизация использования каналов WAN, автоматизация процессов эксплуатации сети, повышение ее доступности.
.png "Драйверы внедрения SD-WAN") |
| Драйверы внедрения SD-WAN |
ЗАЧЕМ НУЖНА SD-WAN
Зачем нужен новый подход к построению территориально распределенных сетей? Отвечая на этот вопрос, Михаил Соболев из компании Citrix указывает на повышение сложности таких сетей, что затрудняет их обслуживание и развитие, поиск неисправностей, обеспечение безопасности и требует привлечения высококвалифицированных (читай, дорогостоящих) специалистов службы эксплуатации и пр. Подход SD-WAN призван упростить решение этих задач.
Объясняя суть технологии SD-WAN, Олег Щапов говорит следующее: «Если раньше для подключения нового филиала к корпоративной сети могли потребоваться недели и месяцы, то сейчас достаточно отправить устройство в филиал и просто подключить его к сети: автоматически будут произведены все необходимые настройки и подключены все необходимые сетевые сервисы. Современные решения SD-WAN позволяют автоматически определить, через какой тип подключения нужно маршрутизировать трафик данного приложения — частный канал связи, Интернет или сеть сотовой связи. Это позволит снизить нагрузку на дорогие каналы связи и использовать сеть Интернет для передачи некритичного трафика».
Решения SD-WAN автоматически выявляют неисправность на канале связи (или ухудшение его характеристик) и автоматически же переводят трафик на другие каналы. При этом никакого разрыва сеанса связи не происходит и пользователь приложения ничего не замечает. «Для повышения качества работы определенных приложений, например сеанса голосовой или видеосвязи, их трафик может дублироваться по нескольким каналам, тогда на устройстве-приемнике будут выбираться пакеты, которые в данный момент времени доставлены с минимальной потерей и задержкой, — поясняет Михаил Соболев. — Другой возможный вариант — балансировка одной сессии между несколькими каналами, что позволяет задействовать большую транспортную «трубу», скажем, при скачивании больших файлов».
ТОНКАЯ РЕГУЛИРОВКА
Citrix представила на RUS.NET 2017 свое решение SD-WAN на базе устройств NetScaler. Это полноценные маршрутизаторы с функциями обеспечения безопасности, глубокого анализа трафика (DPI), балансировки трафика и пр. Решение способно идентифицировать трафик более 4000 приложений, что дает широкие возможности для регулирования их использования. «Например, можно блокировать возможность просмотра Facebook, разрешив при этом пользоваться мессенджером, чтобы удаленные коллеги могли взаимодействовать между собой. Или, наоборот, блокировать мессенджер, оставив возможность просматривать новости Facebook», — говорит специалист Citrix.
.png "В качестве централизованного контроллера сети SD-WAN в решении Citrix используется продукт NetScaler SD-WAN Center") |
| В качестве централизованного контроллера сети SD-WAN в решении Citrix используется продукт NetScaler SD-WAN Center |
«Фишка» решения Citrix — глубокая интеграция с ее продуктами XenDesktop и XenApp. Решения SD-WAN способны «разбирать» закрытый трафик этих систем и оптимальным образом использовать все имеющиеся каналы для их доставки.
В качестве контроллера управления сети SD-WAN выступает NetScaler SD-WAN Center. Эта виртуальная машина, которая поставляется в комплекте с другими продуктами SD-WAN, обеспечивает централизованное администрирование и управление, а также сбор информации по конфигурации, накопление различных отчетов (например, по выполнению SLA) и пр. Как и положено системе SD-WAN, решение Citrix реализует принцип автоматического развертывания (zero touch deployment): достаточно подключить доставленное в филиал устройство, и конфигурационные параметры будут автоматически загружены и активированы.
КОГДА ВАЖНА БЕЗОПАСНОСТЬ
Важное, а для многих заказчиков ключевое преимущество SD-WAN — повышение сетевой безопасности. Неудивительно, что на RUS.NET 2017 свои решения SD-WAN, наряду с Citrix, Brain4Net и VMware, представила и компания Fortinet, известная прежде всего своими продуктами для обеспечения безопасности. Она реализовала поддержку SD-WAN на базе имеющихся продуктов, формирующих так называемую фабрику безопасности для комплексного решения задач ИБ. В состав решения SD-WAN входят межсетевые экраны FortiGate, средства организации беспроводных локальных сетей FortiExtender, а также системы централизованного управления (FortiManager) и аналитики (FortiAnalyzer).
.png "Системы SD-WAN объединяют все доступные каналы связи в единое виртуальное соединение и распределяют по нему трафик приложений с учетом их приоритета и текущих характеристик каждого канала") |
| Системы SD-WAN объединяют все доступные каналы связи в единое виртуальное соединение и распределяют по нему трафик приложений с учетом их приоритета и текущих характеристик каждого канала |
Как отмечают в Fortinet, для реализации расширенных функций SD-WAN компания использует собственные процессоры безопасности (FortiASIC), применение которых ускоряет выполнение задач, связанных непосредственно с безопасностью и обеспечением сетевыми подключениями. Оптимизированная архитектура FortiASIC поддерживает реализацию функций глубокого анализа и инспекции трафика.
Специалисты Fortinet также обращают внимание на важность работы с зашифрованным трафиком. Согласно последнему отчету об исследовании угроз компании Fortinet, доля зашифрованного трафика составляет более 50% от общего объема корпоративного трафика. Это затрудняет мониторинг и анализ трафика, а также снижает эффективность маршрутизации сетей SD-WAN. Как утверждают в Fortinet, реализованные компанией расширенные функции SD-WAN поддерживают применение разрешенных шифров SSL и обеспечивают наивысшую в своем классе пропускную способность при инспекции SSL, что гарантирует безопасную и эффективную доставку шифрованного трафика.
В целом, как считает Алексей Андрияшин, руководитель группы системных инженеров Fortinet, сегодня обеспечение информационной безопасности требует нового подхода, который можно реализовать, используя комплексные решения безопасности, интегрируемые в сетевую инфраструктуру. Среди причин, усложняющих решение задач сетевой безопасности, — рост числа подключенных устройств, в том числе благодаря развитию Интернета вещей, размывание границ сетей, уже упомянутое повышение доли зашифрованного трафика и др. Ответом Fortinet на новые вызовы и стала «фабрика безопасности», в состав которой входит комплекс различных продуктов.
.png "Brain4Net в качестве стартового комплекта предлагает решение B4N Network Starter на базе одного стандартного COTS-сервера (Commercial Off-The-Shelf)") |
| Brain4Net в качестве стартового комплекта предлагает решение B4N Network Starter на базе одного стандартного COTS-сервера (Commercial Off-The-Shelf) |
СНОВА ГИБРИДНЫЙ ПОДХОД?
По мнению Тимофея Смелянского, «каждый вендор понимает SD-WAN так, как это ему выгодно, чтобы решение SD-WAN лучше коррелировало с его линейкой продуктов». Специалист ЦПИКС выделяет два подхода к реализации концепции SD-WAN. При первом подходе устанавливаемое в филиале устройство SD-WAN наделяется максимальным числом функций, включая DPI, продвинутые функции безопасности, шифрования и пр. Главный недостаток этого подхода — высокая стоимость таких устройств, что может отпугнуть многих заказчиков. Кроме того, в этом случае ограничена возможность управления сетевыми функциями (сервисами), поскольку они «прошиты» в конечных устройствах.
Второй подход — когда все сервисы выносятся в облако (ЦОД), а у клиента устанавливается очень простое (недорогое) устройство. Его задачи сводятся к маркировке трафика и его пробросу (например, по каналу IPsec) до ЦОДа. Помимо существенного снижения стоимости устройств, данный подход решает задачу гибкого управления сервисами. Но возникает другая проблема, связанная с каналами связи. Ряд сервисов выдвигают достаточно высокие требования к пропускной способности таких каналов, величине задержки и пр.
Единого универсального решения SD-WAN, способного оптимально решить все задачи, просто не существует. Поэтому надо искать компромисс, а возможно, идти по пути гибридного подхода, сочетающего первый из рассмотренных вариантов со вторым.
УПРАВЛЕНИЕ ИЗ ОБЛАКА
Хотя представители компании Zyxel Communications не бросаются модными терминами со словосочетанием SD, ее разработки решают во многом те же задачи, что и системы SDN. Zyxel представила на форуме свою облачную систему управления сетевой инфраструктурой Nebula, которая служит для работы с сетями, построенными на основе проводных и беспроводных устройств Zyxel.
.png "Облачная система управления Nebula поддерживает беспроводные точки доступа, маршрутизаторы, аппаратные межсетевые экраны и другие устройства Zyxel") |
| Облачная система управления Nebula поддерживает беспроводные точки доступа, маршрутизаторы, аппаратные межсетевые экраны и другие устройства Zyxel |
Nebula поддерживает беспроводные точки доступа, маршрутизаторы, аппаратные межсетевые экраны и другие устройства. Система в реальном времени собирает и выдает на один экран различные данные: статистику по трафику, информацию о состоянии устройств, расположении сегмента сети, его загруженности и пр. Вся эта информация доступна через Web-интерфейс на компьютере, планшете и смартфоне оператора. Nebula позволяет не только одновременно управлять несколькими удаленными сегментами сети, но и сохранять и быстро загружать настройки при запуске нового сегмента. С помощью мобильного приложения Nebula монтажнику достаточно отсканировать QR-код на крышке подключенного к сети устройства, и оно будет автоматически зарегистрировано и настроено для работы.
«Большинство компаний, которые продают оборудование, получают большую часть своего дохода, предоставляя услуги инсталляции и послепродажной поддержки. Подход Cloud Networking может помочь перейти от продаж продуктов к продажам решений и сервисов с постоянным доходом», — подчеркнул Денис Тяпаев, глава офиса Zyxel Communications в России.
В целом форум RUS.NET 2017 показал важное значение сетевой инфраструктуры, современных архитектур и технологий, таких как SDN, NFV и управление из облака, в деле цифровой трансформации бизнеса операторов связи, провайдеров услуг ЦОДов, а также компаний и организаций из различных отраслей экономики.
Александр Барсков, ведущий редактор «Журнала сетевых решений/LAN»