Разделы

ПО Безопасность Бизнес Телеком Цифровизация ИТ в банках Ритейл Маркет

Разбор рынка SD-WAN: какие существуют решения и кому они нужны

На рынке становится все более популярной концепция SD-WAN, которая представляет из себя применение идеологии программно-определяемых сетей (SDN) в распределенных корпоративных сетях. О том, каким компаниям нужны решения SD-WAN, что они дают бизнесу и чем отличаются предложения ведущих вендоров, рассказал в своей статье для CNews Александр Сигачев, ведущий эксперт SD-WAN-центра ИТ-компании «Крок».

Определений термина SD-WAN примерно столько же, сколько производителей решений на рынке. Самый популярный вопрос про технологию SD-WAN, который задают заказчики, звучит так: «А это действительно что-то новое, или просто маркетинговый термин, означающий overlay-сеть с системой управления и мониторинга в комплекте?»

Некоторые производители действительно не ушли дальше overlay и простейшего управления. Но качественные изменения происходят. На развитых рынках, где обороты высоки, а новые технологии внедряются быстро, набирает популярность новый подход к построению и обслуживанию корпоративных сетей. Это программно-определяемые распределенные сети.

Абстрактно говоря, концепция SD-WAN представляет собой применение идеологии программно-определяемых сетей (SDN) к распределенным корпоративным сетям. Прежде всего, это означает отделение в той или иной степени управления процессом передачи данных (Control Plane) от, собственно, обработки процесса передачи данных (Data Plane).

В традиционной сети каждый маршрутизатор получает информацию из собственных настроек и от соседей по протоколам маршрутизации, обсчитывает ее и составляет таблицу соответствия данным в заголовках пакетов исходящим портам и next-hop-адресам. Сеть при этом представляет совокупность маршрутизаторов, каждый из которых осуществляет этот процесс независимо.

Для того чтобы изменить поведение сети в целом, необходимо изменить настройки каждого из маршрутизаторов. Отделение Control Plane от Data Plane предполагает наличие центра принятия решений о том, как должна вести себя сеть. С этим центром работает администратор сети, определяя соответствующие политики. Далее центр сообщает оконечным SD-WAN-устройствам, что именно нужно настроить, чтобы эти политики реализовать. «Сообщает» для большинства случаев означает «компилирует и рассылает конфигурационные файлы, а также корректирует атрибуты обновлений основного протокола маршрутизации».

Компоненты и архитектура решений SD-WAN

Оконечные устройства

Это те устройства, которые заменяют привычные WAN-маршрутизаторы. В них нас обычно интересует производительность и доступный функционал. У большинства производителей, помимо функционала маршрутизации, в оконечных устройствах доступен функционал межсетевого экрана, а у некоторых — еще и оптимизации трафика.

Важным критерием выбора оборудования может быть наличие или отсутствие необходимых сетевых интерфейсов, например, одного или нескольких встроенных LTE-модемов или точки доступа Wi-Fi для внутренних пользователей.

Большинство производителей имеет в своем портфолио виртуальные оконечные устройства, а для аппаратных устройств есть два подхода: собственное железо или установка на x86-платформы сторонних производителей (Whitebox). Вариант Whitebox часто означает более низкие цены. В теории он также должен устранять привязку заказчика к производителю оборудования: купил софт SD-WAN и установил на любое x86-железо. Но на практике использовать можно только платформы, протестированные производителем SD-WAN.

Оркестраторы

Оркестратор — это средство управления сетью. Как правило, именно на них настраиваются параметры оконечных устройств, политики маршрутизации трафика, функционал безопасности. Из настроек, выполняемых на оркестраторе, создаются конфигурационные файлы для контроллеров и оконечных устройств, после чего эти файлы отправляются на сами устройства. Часто оркестратор осуществляет и основной мониторинг сети — доступность устройств, портов, каналов связи, загрузку интерфейсов.

Средства аналитики

Средства аналитики позволяют получать сложные отчеты на основании данных, собираемых с оконечных устройств: историю качества работы каналов, сетевых приложений, доступности узлов и т.п. У многих производителей средства аналитики доступны только из их собственного облака, но существуют и решения, развертываемые на территории заказчика.

Контроллеры

Контроллеры отвечают за применение политик маршрутизации трафика на сеть. Ближайшим их аналогом в традиционных сетях можно считать BGP Route Reflector. Глобальные политики, которые администратор настраивает в оркестраторе, приводят к тому, что контроллеры меняют состав своих таблиц маршрутизации и рассылают обновленную информацию на оконечные устройства. Как правило, рассылка маршрутной информации в SD-WAN-сетях происходит с помощью проприетарных протоколов. Это нужно потому, что SD-WAN-маршрут часто содержит не только префиксы и next-hop, но и внушительный набор дополнительных нестандартных атрибутов, необходимых для работы продвинутой маршрутизации.

Возможности SD-WAN

Технология SD-WAN позволит компаниям: увидеть качество работы приложений в сети. ИТ-службе недостаточно просто видеть в системе мониторинга, что все узлы и каналы сети работают и доступны. Необходимо понимать, почему на работающей сети те или иные приложения функционируют нестабильно. Еще лучше — видеть тренды, например, за последние полгода ухудшилось качество работы видеоконференцсвязи — увеличились задержки, потери пакетов. Ситуация может быть еще не критической, жалоб от пользователей пока нет, но есть возможность разобраться в ситуации до того, как пользователи это заметят.

Отделение Control Plane от Data Plane предполагает наличие центра принятия решений о том, как должна вести себя сеть. С этим центром работает администратор сети, определяя соответствующие политики

Оптимизировать использование каналов связи. Типичная схема подключения площадки к корпоративной сети — это один дорогой, но гарантирующий качество канал и запасной тоннель поверх дешевого интернет-соединения. При этом пока основной канал находится в работе, интернет-соединение простаивает. Решение SD-WAN помогает в автоматическом режиме отслеживать качество работы интернет-соединения и сгружать на него трафик части приложений, к примеру, электронной почты или передачи файлов. Такой подход позволяет отказаться от очередного апгрейда полосы пропускания дорогостоящего канала, а значит, сэкономить деньги.

Повысить отказоустойчивость. Качество передачи данных в каналах может временами деградировать, к примеру, из-за неполадок в сети оператора. Если решение SD-WAN может отслеживать параметры работы приложений и качество каналов связи, то почему бы ему не переключать с проблемного канала на нормально работающий трафик наиболее важные приложения? Если основной канал вдруг начал терять пакеты, стоит пропустить VoIP-трафик через резервное интернет-соединение, пусть оно и не гарантирует качество, но по данным системы мониторинга в данный момент его обеспечивает. Пользователи от этого только выиграют.

Другой сценарий — основной канал на площадке отсутствует, но есть 2-3 интернет-соединения — по кабелю и через LTE. Автоматизированное переключение трафика приложений с одного канала на другой позволит выжать максимум из каналов с негарантированным качеством передачи данных. Некоторые решения предлагают для таких ситуаций функционал восстановления либо дупликации пакетов: потерянные пакеты восстанавливаются либо за счет хэш-функций, либо за счет одновременной передачи их копий по нескольким каналам.

Облегчить внедрение новых узлов сети. Большинство производителей решений SD-WAN стремятся обеспечить так называемый Zero-Touch Provisioning (ZTP). Это означает возможность развертывания оконечного устройства без необходимости выезда сетевого специалиста на площадку. Задача человека, присутствующего на площадке, сводится к тому, чтобы правильно подключить к устройству все кабели и включить его, а устройство само подключится к системе. После этого администратор сети сможет проверить его работоспособность и донастроить необходимые параметры. Существуют разные варианты загрузки на устройство первичной конфигурации. Самые популярные из них — с помощью DNS-запросов через облако вендора, с подключенного USB-накопителя либо открытием гиперссылки с ноутбука, подключенного к устройству по Wi-Fi или Ethernet.

Упростить и ускорить перенастройку сети. В традиционной сети конфигурации устройств обычно представлены исключительно в текстовом виде. При изменениях, затрагивающих значительные сегменты, администраторы делают в текстовых редакторах шаблоны, правят их и вставляют на конкретные устройства, одно за другим. Решения SD-WAN, как правило, реализуют разбивку конфигураций на шаблоны с параметрами нативно. Часть конфигурации может быть реализована с помощью политик. Их можно быстро применить к большому количеству устройств, используя визард, к примеру, если необходимо обеспечить на всех устройствах маркировку пакетов, принадлежащих одному приложению, или пропустить весь трафик этого приложения через прокси. Производители SD-WAN решений в своих подходах ищут баланс между простотой настройки и разнообразием доступных администратору параметров. Заказчикам при выборе решения следует определиться, что для них важнее.

Обеспечить локальный доступ в интернет на удаленных площадках. С ростом использования приложений из публичных облаков, пропускать возросший интернет-трафик поверх корпоративной сети — через продвинутые межсетевые экраны, установленные на центральной площадке, — становится дорого. Необходимо обеспечивать доступ в интернет пользователям прямо на местах. Установка межсетевых экранов на каждой площадке и их последующее администрирование может сильно усложнить жизнь подразделения, отвечающего за информационную безопасность. Во многих решениях SD-WAN функционал межсетевого экранирования с IPS, URL-фильтрацией и антивирусной защитой встроен в сами оконечные устройства SD-WAN. Управление политиками безопасности при этом происходит централизованно с оркестратора.

Обеспечить управление виртуальными сетевыми функциями. Многие решения SD-WAN умеют разворачивать NFV-устройства и управлять ими из единой точки.

Модели покупки SD-WAN

On-premise-модель: заказчик покупает все компоненты решения и размещает их у себя. Контроллеры и оркестраторы — в корпоративных ЦОД, а оконечные устройства — на периметрах локальных сетей удаленных площадок. Преимущества такого подхода — полный контроль за работой системы, безопасность. Недостатки: заказчику необходимо выделять серверные ресурсы и обеспечивать отказоустойчивое размещение центральных компонентов.

Облачная модель: заказчик покупает и размещает у себя только оконечные устройства. Все центральные компоненты (оркестратор, контроллеры, средства аналитики) размещены в облаке вендора. Заказчик платит за пользование решением и получает доступ к интерфейсу управления. Внедрение происходит быстро, отказоустойчивость центральных компонентов обеспечивает вендор. Модель не очень популярна на российском рынке, а для многих заказчиков недоступна в силу внутренней политики безопасности и регуляторных ограничений.

Модель управляемых сервисов: центральные компоненты SD-WAN внедряет у себя оператор связи. После этого он продает SD-WAN своим как сервис: устанавливает клиентам оконечные устройства, дает им доступ к интерфейсу управления и берет плату за пользование сервисом. Что-то среднее между предыдущими двумя подходами.

В ценообразовании преобладает OpEx, то есть подписочная модель оплаты продукта. Это общемировая тенденция. Тем не менее, большинство вендоров осознают специфику российского рынка и активно прорабатывают модели с постоянным лицензированием. Иногда в качестве «почти постоянных» лицензий предлагаются подписки на 5-7 лет. С крупными заказчиками возможны индивидуальные соглашения.

Обзор основных игроков на российском рынке

Cisco

Зашла на рынок SD-WAN-решений, приобретя компанию Viptela. Сейчас это решение в процессе встраивания в экосистему Cisco, и это уже сильный игрок на рынке с опытом инсталляций SD-WAN на тысячи площадок. В портфолио аппаратных устройств объединилось оборудование Viptela и маршрутизаторы Cisco на базе IOS XE, для которых выпускается специальное ПО IOS XE SD-WAN. Возможность использовать существующие маршрутизаторы при переводе корпоративной сети на SD-WAN — сильнейший аргумент в пользу Cisco для заказчиков, чьи сети построены на этом оборудовании. Помимо аппаратных устройств, доступны виртуальные — на базе vEdge Cloud (VMWare) и Cloud Services Router (VMWare или KVM), а также облачные — для Microsoft Azure и Amazon Web Services.

Кроме того, решение будет интересно для заказчиков, которые не могут использовать иностранные алгоритмы шифрования пользовательского трафика. В решении Cisco предусмотрена возможность отключения шифрования на стороне SD-WAN-маршрутизаторов. Более того, сама компания разработала техническое решение по взаимодействию с криптошлюзами одного из российский производителей, по сути, SD-WAN с шифрованием на российских криптоалгоритмах.

В решении Cisco доступен весь функционал, которого ждут от SD-WAN. На большинстве новых маршрутизаторов есть функционал безопасности — межсетевой экран, IPS, URL-фильтрация, фильтрация приложений, антивирус и DNS-Security. Решение позиционируется как для Enterprise, так и для операторского уровня, для предоставления Managed Services. Функционал мониторинга производительности сетевых приложений позволяет отслеживать качество работы не только для внутрикорпоративных приложений, но и для публичных облачных сервисов, вроде Office365 или Dropbox. Для внутрикорпоративных приложений SD-WAN-сеть найдет оптимальный путь прохождения трафика, а для публичных — оптимальную точку выхода из корпоративной сети, через которую сервис доступен лучше всего.

VMWare

История SD-WAN от VMWare похожа на историю Cisco. Гигант виртуализации купил другого уверенного производителя решений — VeloCloud и сейчас активно встраивает его в свою продуктовую линейку. Решение также закрывает все основные ожидания от SD-WAN, особенно впечатляет функционал ZTP: добавить новое устройство в систему можно, подключившись к включенному на нем по умолчанию Wi-Fi и открыв специальную гиперссылку с ноутбука или планшета. Из технических нюансов: администратору недоступен интерфейс командной строки оконечных устройств.

Citrix

Решение выросло из линейки продуктов NetScaler. На сегодняшний день оно обладает средним функционалом и будет близко тем, кто использует Citrix VDI, оптимизаторы или балансировщики нагрузки от этого производителя. При тестировании нам показался немного сырым интерфейс управления, но весь основной функционал, включая межсетевые экраны, в нем реализован. Решение легко запускается полностью on-premise.

Riverbed

Относительно недорогое решение, огромным плюсом которого является нативная интеграция с одним из сильнейших на рынке решений по оптимизации трафика от этого же вендора. Система управления обладает очень удобным интерфейсом. Кроме того, производитель выпускает коммутаторы ЛВС и точки доступа Wi-Fi, что позволяет собирать сети небольших офисов целиком на оборудовании Riverbed и управлять ими из единой точки.

Huawei

Решение построено на существующих линейках маршрутизаторов и системе управления Agile Controller, которая в данный момент претерпевает значительные обновления. Может быть интересно тем, кто по тем или иным причинам не готов покупать решения от производителей из США. Производитель активно обновляет линейку маршрутизаторов. Huawei ориентируется на Managed SP и крупных Enterprise-заказчиков.

Versa Networks

Компания начала с решений для операторов связи, но постепенно и успешно продвигается в корпоративный сегмент. В качестве оконечных сетевых устройств используются x86-платформы от Dell, Advantech, Lanner и Silicom. Список постоянно расширяется. Межсетевые экраны доступны на всех устройствах. Цены на устройства — средние.

Интерфейс управления, пожалуй, один из самых сложных, но вместе с тем, и самых гибких. Сказываются операторские корни решения: настроить в два клика почти ничего не получится, но количество параметров, доступных для тюнинга, впечатляет.

Nokia Nuage

Тяжеловес операторского уровня. Предлагает свое решение в том числе и для Enterprise-клиентов, хотя речь скорее идет только о крупном Enterprise. Из особенностей — для хранения статистических данных о сети в решениях Nuage используется ElasticSearch. С этой платформы можно запрашивать данные через открытый API и представлять в любом виде с помощью сторонних средств.

Главное отличие от Versa — использование собственных оконечных устройств. Виртуальные и облачные (MS Azure и AWS) устройства также имеются.

Juniper

Решение от Juniper также ориентировано на операторский сегмент. Оно основано на классических маршрутизаторах и является очень гибким в плане функционала. Из гибкости вытекают и его недостатки — сложность во внедрении и необходимость в высоком уровне экспертизы.

Oracle

И Oracle тоже. В 2018 году компания приобрела производителя решений SD-WAN Talari Networks из Сан-Хосе. Теперь решение продается от имени Oracle, в качестве основного достоинства заявляется отказоустойчивость, для реализации которой применяют ряд патентованных технологий. Оконечные устройства предлагаются аппаратные, рассчитанные на пропускную способность от 100Мбит/с до 5Гбит/с, виртуальные и облачные для Amazon Web Services и Microsoft Azure. Заявляют поддержку BGP, NAT, WAN-оптимизации и NGFW-сервисы от Palo Alto.

Peplink

Производитель предлагает решение исключительно с облачным управлением. Позиционирует себя в сегментах транспорта, логистики и промышленности. Решение включает в себя функции отслеживания местоположения транспортных средств, на которых размещаются оконечные устройства. В портфолио есть оконечные устройства, рассчитанные на одновременное подключение до четырех мобильных операторов, защищенные от перегрева, вибрации и ударной нагрузки, предназначенные для уличного размещения, а также переносные «в чемодане». Обеспечить надежное подключение к интернету там, куда дорого и сложно тянуть кабели, раздать Wi-Fi в городских автобусах, отследить положение грузовиков или речных трамвайчиков, обеспечить подключение SCADA на газопроводе — это про Peplink.

Brain4Net

Российский производитель сервисной платформы SDN/NFV, участник Инновационного центра «Сколково». Решение SD-WAN строится на базе компонентов этой платформы и оборудования сторонних производителей, потенциально — любых с архитектурой x86, но желательно протестированных производителем (список уже протестированных устройств есть на сайте и включает в себя российские компании). Решение использует протокол OpenFlow для управления SD-WAN-сетью, но поддерживает и традиционную статическую и динамическую маршрутизацию, а также классический сетевой функционал QoS, NAT, Multicast.

Функционально решение может уступать лидерам рынка, однако огромным плюсом является возможность построения решения целиком на ПО и оборудовании российского производства. Это означает повышение доли импортозамещения, а также отсутствие проблем с ввозом оборудования из-за регуляторных ограничений.

Zyxel

Недорогое решение с управлением из облака. Производитель обещает в ближайшем будущем реализовать on-prem. Доступен функционал фильтрации веб-контента и приложений для локального доступа в интернет на площадках, ZTP через e-mail, смс и приложение, динамический выбор путей прохождения трафика по приложениям и базовую WAN-оптимизацию. В портфолио, на момент подготовки материала, всего три устройства, самое производительное поддерживает до 2,6 Гбит/с трафика межсетевого экранирования и до 1 ГбитVPN-трафика.

Fortinet

Один из сильнейших производителей межсетевых экранов. Имеет в России сертификацию ФСТЭК, позволяющую применять оборудование в государственных информационных системах до 1 класса защищенности включительно, а также в информационных системах до 1 уровня защищенности персональных данных включительно. Привлекательная по сравнению с конкурентами цена. Как показало тестирование, у решения удобный интерфейс, который легко освоить. Хорошо поддерживаемая документация в доступной форме.

Именно из межсетевых экранов выросло решение SD-WAN от Fortinet. В нем отсутствуют контроллеры, распространяющие маршрутную информацию на оконечные устройства, поэтому централизованное управление реализовано исключительно на основе шаблонов конфигураций, распространяемых управляющим ПО FortiManager. Тем не менее, решение Fortinet дает возможность перераспределять трафик по каналам передачи данных, осуществляя их мониторинг с помощью ICMP, HTTP, TCP/UDP Echo и TWAMP. Возможности минимизировать потери пакетов за счет увеличения потребления полосы пропускания (Forward Error Correction) также присутствуют.

Как и в случае с Riverbed, на оборудовании Fortinet можно собрать небольшой офис целиком. В плане интеграции с сетями по традиционным протоколам маршрутизации, устройства FortiGate представляют достаточно богатый функционал, правда, часть его недоступна ни из FortiManager, ни из веб-интерфейса самих межсетевых экранов, а только из интерфейса командной строки.

Как внедрять

В случае если внедрение происходит на существующей корпоративной сети в рамках обновления оборудования, правильным будет протестировать решение SD-WAN на пилотной зоне в несколько узлов. Для этого необходимо развернуть центральные компоненты и несколько оконечных устройств и настроить обмен маршрутной информацией с существующей корпоративной сетью. Большинство решений поддерживают сопряжение с традиционными сетями по BGP и OSPF. В процессе обкатки на пилотном сегменте можно изучить весь функционал, закрыть имеющиеся задачи, привыкнуть к процедурам развертывания новых площадок, изменения сетевых политик и разрешения проблем. После этого можно спокойно расширять SD-WAN на всю корпоративную сеть.

«Крок» развивает компетенции по SD-WAN-решениям с 2016 г. В компании есть собственный SD-WAN-центр, где инженеры ИТ-компании тестируют технологии российских и зарубежных разработчиков под различные отрасли — ритейл, банки, транспортные компании, промышленные и добывающие предприятия и др. В SD-WAN-лаборатории развернуты технологические стенды Cisco, Versa Networks и Riverbed.

Краткое сравнение решений SD-WAN

Производитель Оконечные устройства Сильные стороны Кому может подойти
Brain4Net x86-Whitebox, виртуальные устройства 1) Импортозамещение;
2) Отсутствие рисков, связанных с регуляторным ограничением;
3) Поддержка на русском языке;
4) Лицензирование по подписке и по бессрочной модели
Тем, кому актуально импортозамещение
Cisco Собственные: линейка Viptela, маршрутизаторы ISR/ASR, виртуальные (для VMWare и KVM), облачные (Microsoft Azure, Amazon WS). Доступна собственная x86-платформа ENCS 1) Широкий функционал и портфолио оконечных устройств;
2) Качественная документация и система обучения;
3) Высокое качество сервисной поддержки;
4) Гибкое построение конфигураций на основе шаблонов;
5) Богатый функционал по интеграции с традиционными сетями
Средним и крупным организациям от 100 площадок. Особенно выгодно может быть тем, у кого уже есть оборудование Cisco, для которого производитель выпускает SD-WAN IOS
Citrix Собственные аппаратные и виртуальные 1) Надежное решение;
2) Поддержка гипервизоров Citrix Hypervisor, VMWare, HyperV, KVM;
3) Поддержка облаков Amazon WS и Microsoft Azure;
4) Легкий запуск по модели on-premise
Тем, у кого Citrix VDI, и тем, кто привык к оптимизаторам, балансировщикам от Citrix
Fortinet Собственные аппаратные и виртуальные 1) Основа решения — один из лучших на рынке межсетевых экранов;
2) Единственный с сертификацией ФСТЭК;
3) Низкая для своего сегмента цена;
4) Возможность централизованного управления дополнительными сетевыми устройствами — точками доступа и коммутаторами;
5) Оконечные устройства могут работать при полном отказе центральных компонентов
Тем, кто привык использовать межсетевые экраны Fortigate и тем, кто обязан применять в своей сети сертифицированное оборудование
Huawei Собственные аппаратные и виртуальные 1) Отсутствие рисков, связанных с регуляторным ограничением;
2) Разработчик — крупный игрок на рынке сетевого оборудования, который вкладывает значительные средства в разработку решений
Сам производитель ориентируется на крупный Enterprise и Managed SP
Juniper Собственные аппаратные и виртуальные 1) Гибкий функционал;
2) Основано на классических линейках оборудования
Операторам связи
Nokia/Nuage Собственные аппаратные (в том числе x86-uCPE) и виртуальные (VMWare, Hyper-V, KVM, Docker), облачные (MS Azure, AWS, Google Cloud) 1) Широкий функционал;
2) Надежность;
3) Богатое портфолио оконечных устройств
Операторам связи и крупным корпоративным заказчикам
Oracle Собственные аппаратные, виртуальные (VMWare и Hyper-V), облачные (Amazon WS, Microsoft Azure) Высокая отказоустойчивость Финансовый сектор и все, для кого в приоритете минимальный простой
Peplink Собственные аппаратные 1) Сильное специализированное решение для внедрения в сложных средах;
2) CAPEX-модель;
3) Поддержка до 4 LTE-модемов на оконечном устройстве
Предприятиям транспорта, логистики и промышленности для подключения транспортных средств или площадок со сложными условиями с точки зрения температуры, влажности и внешних воздействий
Riverbed Собственные аппаратные и виртуальные 1) Нативная интеграция с их решением по оптимизации (одним из сильнейших на рынке);
2) Удобный интерфейс;
3) Низкая для своего сегмента цена
Тем, для кого важен функционал оптимизации трафика
Versa Networks x86-Whitebox, виртуальные 1) Средняя уровень цен;
2) Широкий функционал;
3) Собственное ПО аналитики
Крупный Enterprise и Managed SP
VMWare Собственные аппаратные и виртуальные 1) Разработчик — крупный и надежный игрок на рынке;
2) Удобный ZTP
Тем, у кого высока доля продуктов VMWare в инфраструктуре
Zyxel Собственные аппаратные Низкая цена Тем, кто хочет заменить Mikrotik, получив при этом готовое решение с централизованным управлением и технической поддержкой от производителя

Источник: «Крок», 2019

Александр Сигачев