Akademin för Innovation, Design och Teknik.
Västerås, Sverige
Examensarbete för högskoleingenjörsexamen i nätverksteknik
UTVÄRDERING AV UTVALDA SD-WAN
PRODUKTER
Jacob Åkerblom
jam13005@student.mdh.se
Examinator: Mats Björkman
Mälardalens högskola, Västerås, Sverige
Handledare: Lennie Carlén Eriksson
Mälardalens högskola, Västerås, Sverige
Handledare: Martin Mella,
Curitiba AB, Stockholm, Sverige
Abstract
This comparative study aims to investigate the markets vendors of networking equipment defined as Software Defined Wide Area Networks (SD-WAN). SD-WAN is an innovative technology that applies virtualization and software defined networking concepts in Wide Area Networks (WAN) to create cost-effective networks. The study has been done at Curitiba, a consulting firm in selected WAN-Optimization and SD-WAN products. The purpose is to evaluate SD-WAN solutions on to-day’s market and specify in what type of enterprise networks a solution should be applied. The investigation starts with examining todays enterprise networks to later compare them to SD-WAN. Five network vendors SD-WAN products will then be examined, these are Cisco IWAN, Cloud-Genix, Riverbed SteelConnect, Talari and Viptela. Products from Viptela is further examined in a test that investigates the complexity of configuring said product. Beyond the evaluation of SD-WAN vendor’s, todays state of practice will be compared to SD-SD-WAN. Cisco ISD-WAN is a merge of Cisco’s previous features which together forms a complete SD-WAN solution, to achieve a complete solution the products must be complemented by software licenses. CloudGenix is a new networking vendor offering a SD-WAN solution similar to many other vendors but distinguish themselves with their advanced application identification. Riverbed SteelConnect is interesting for organizations loo-king for a complete and simplified solution with a centralized web interface. Talari was one of the first SD-WAN vendors and focuses on application performance and reliability but lacks some of the functionality other vendors offers. Viptela provides a simplified SD-WAN solution with high scalability. SD-WAN as a solution have many exiting features, organizations who plans to upgrade their current WAN-infrastructure should examine SD-WAN options.
Sammanfattning
Denna jämförelsestudie ämnar att undersöka marknadens leverantörer av nätverksutrustning de-finierade som Software Defined Wide Area Networks(SD-WAN). SD-WAN är en innovativ tek-nik som applicerar virtualisering och Software defined networking koncept i Wide Area Networks (WAN) för att skapa kostnadseffektiva nätverk. Studien har utförts på företaget Curitiba som idag arbetar med konsulttjänster inom utvalda WAN-optimering och SD-WAN-produkter. Arbetets syfte är att utvärdera SD-WAN-lösningar och specificera i vilken typ av företagsnätverk lösningen bäst appliceras. Undersökningen börjar med en utredning av dagens organisationsnätverk för att kun-na utföra en jämförelse mot SD-WAN. Därefter utvärderas fem leverantörer av nätverksutrustning definierade som SD-WAN, dessa är: Cisco IWAN, CloudGenix, Riverbed Steelconnect, Talari och Viptela. Produkter från Viptela utvärderas i ett test som undersöker komplexiteten i konfiguration av produkten. Utöver SD-WAN jämförelsen undersöks dagens state of practice och vilka fördelar samt nackdelar denna har över SD-WAN. Cisco IWAN är en sammanslagning av Ciscos tidiga-re funktioner som tillammans bildar en komplett SD-WAN-lösning, för att uppnå detta behöver produkterna kompletteras med programvarulicenser. CloudGenix är en nystartad nätverksleveran-tör som erbjuder en SD-WAN-produkt som liknar många andra aknätverksleveran-törer men utmärker sig med avancerad applikationsidentifikation. Riverbed SteelConnect är intressant för organisationer som söker en simplifierad helhetslösning med ett centraliserat gränssnitt. Talari var en av de första SD-WAN-leverantörerna och fokuserar på applikationsprestanda och pålitlighet men saknar några av funktionerna som de andra aktörerna erbjuder. Viptela erbjuder en simplifierad SD-WAN-lösning med hög skalbarhet. SD-WAN som teknik har många spännande funktioner, organisationer som planerar att investera i en uppgradering av WAN-infrastruktur bör undersöka SD-WAN alternativ.
Innehåll
1 Introduktion 5 1.1 Problemformulering . . . 5 1.2 Begränsningar . . . 5 1.3 Syfte . . . 6 2 Bakgrund 7 2.1 Begrepp . . . 72.1.1 Control-, data- och management plane . . . 7
2.1.2 Topologier . . . 7
2.1.3 Mätvärden . . . 8
2.1.4 Policy Based Routing . . . 8
2.1.5 Constraint based routing . . . 8
2.1.6 Quality of Service . . . 8
2.1.7 Applikationsidentifikation . . . 8
2.1.8 Software defined networking . . . 8
2.2 WAN-lösningar . . . 9
2.2.1 Dedikerad länk . . . 9
2.2.2 Virtual private network . . . 9
2.2.3 Multiprotocol label switching . . . 9
2.2.4 SD-WAN . . . 10 2.3 Dagens WAN . . . 11 2.4 Leverantörer av SD-WAN . . . 12 2.4.1 Cisco IWAN . . . 12 2.4.2 CloudGenix . . . 13 2.4.3 Riverbed SteelConnect . . . 14 2.4.4 Talari . . . 15 2.4.5 Viptela . . . 17 3 Metod 20 3.1 Tester . . . 20 4 Resultat 21 4.1 Genomförda tester . . . 21
4.1.1 Viptela - Grundläggande konnektivitet . . . 21
4.1.2 Viptela - ZTP . . . 22
4.1.3 Viptela - Uppdatera mjukvara . . . 22
5 Diskussion 23 5.1 Utvärdering . . . 24 5.1.1 Cisco IWAN . . . 24 5.1.2 CloudGenix . . . 24 5.1.3 Riverbed SteelConnect . . . 24 5.1.4 Talari . . . 24 5.1.5 Viptela . . . 25 5.2 Relaterade arbeten . . . 25 6 Slutsats 27 6.1 Framtida arbeten . . . 27 Referenser 28
Bilaga A Konfiguration av testmiljö 30 A.1 Konfiguration av R1 . . . 30 A.2 Konfiguration av R2 . . . 30 A.3 Konfiguration av R3 . . . 30 A.4 Konfiguration av R4 . . . 31 A.5 SW1/SW2 . . . 31
Bilaga B Konfiguration av Viptela 32 B.1 Bilder . . . 32 Bilaga C Intervju med Kristian Karlsson, Riverbed Technologies 34
Figurer
1 MPLS-Header . . . 10 2 vManage . . . 18 3 Testmiljö . . . 20 4 Jämförelsetabell . . . 21 5 Output från Site2 . . . 226 Site1 och Site2 har uppdaterats till 16.1.0 . . . 22
7 Device template appliceras på Site1 och Site2. . . 32
8 Excel-dokument med enhetsspecifika värden. . . 32
9 Den resulterande konfigurationen i CLI-form. . . 33
1
Introduktion
Wide area network (WAN) är ett nätverk som sammankopplar geografiskt skilda nätverk. Organi-sationer behöver idag koppla ihop kontor utplacerade över hela världen för att fördela resurser med varandra, resurserna placeras oftast i organisationens datacenter som består av en serverpark. För att åstadkomma detta har en uppsjö av teknologier tagits fram, bland annat X.25, Virtual Private Network(VPN) Frame relay och Asynchronous Transfer Mode(ATM).
Många trender inom IT-branschen är idag under förändring, organisationer använder sig mer och mer av molntjänster till exempel Software as a service (SaaS), Platform as a service (PaaS) och Infrastructure as a service (IaaS)[1]. Alla dessa tjänster är molntjänster som flyttar applika-tioner från datacentret till molnet. Trenderna vi ser inom IT-branschen har skapat ett behov av nya WAN-lösningar.
Nästa generations WAN-lösning spås att bli Software-defined WAN (SD-WAN). SD-WAN är inte en helt ny lösning utan snarare en tillämpning av flera existerande lösningar. Teknologin är i dagsläget relativt ny på marknaden och har enligt Bjarne Munch et al. en marknadsandel på mindre än 1% men förutspås till 30% inom en period av tre år[1]. SD-WAN används för att ansluta kontor och datacenter med varandra oavsett typ av nätverksförbindelse vilket ger nätverket större flexibilitet.
Curitiba AB, grundat år 2013, är ett Stockholmsbaserat företag med nordiska kunder vars kon-tor sträcker sig över hela världen. Curitiba jobbar idag med implementation och drift av utvalda lösningar från aktörerna Riverbed, Talari och Palo Alto. Denna rapport ämnar att undersöka vilka aktörer som erbjuder SD-WAN-lösningar för att hitta nya effektiva lösningar.
1.1
Problemformulering
Denna studie ämnar undersöka nuvarande SOP och jämföra detta med vad SD-WAN erbjuder. I dagsläget finns ca 20 aktörer inom tillverkning av SD-WAN-produkter[2]. Många av tillverkarna är nystartade företag, specialiserade inom SD-WAN-lösningar. Arbetets syfte är att utvärdera några av de aktörer som anser sig ha SD-WAN-lösningar och jämföra dem med varandra och därefter identifiera i vilken typ av organisationer lösningarna bäst tillämpas. Produkterna jämförs på dessa punkter:
1. Vilka säkerhetsfunktioner erbjuds?
2. Stöds applikationsidentifikation och path selection?
3. Hur fungerar konfiguration och driftsättnign av nya enheter? 4. Hur fungerar övervakning och trafikanalys?
5. Vilka signifikanta övriga tjänster erbjuder produkten?
1.2
Begränsningar
Studien ämnar att undersöka dagens SD-WAN-lösningar men kommer på grund av tidsbrist inte avhandla samtliga lösningar som idag finns på marknaden. Lösningarna som avhandlas kommer delvis vara leverantörer Curitiba använder sig av idag, Talari, Viptela och Riverbed. Lösningen Cisco IWAN har valts då Cisco är en av de största aktörerna på nätverksmarknaden idag. Cloud-Genix är ett nystartat företag specialiserat inom SD-WAN och blev utnämnd till Garnters "Cool Networking Vendors 2015"[3]. Testerna begränsas av de SD-WAN-produkter som finns tillgängliga, i Curitibas laborationsmiljö finns produkter från Viptela och Talari.
1.3
Syfte
Dagens SD-WAN-produkter är idag properitära, organisationer behöver därför veta att produk-ten de investerar i löser nätverkets nuvarande och framtida behov. Den produkt eller tjänst som organisationen erbjuder har även stor betydelse för nätverket, banker och sjukvård har höga krav på säkerhet medan detaljhandeln har höga krav på skalbarhet. Studiens syfte är att hitta SD-WAN-lösningar som löser en organisations nuvarande och framtida behov. Studien kommer även diskutera vilka för- och nackdelar SD-WAN har i förhållande med nuvarande SOP. Konfidentiell information i tester kommer censureras.
2
Bakgrund
Detta avsnitt förklarar begrepp och WAN-lösningar som kommer användas i jämförelsestudien vid beskrivning och jämförelse mellan produkterna. Därefter avhandlas vilka WAN-lösningar som idag används av organisationer och hur detta hänger ihop. Sista stycket beskriver fem leverantörer av SD-WAN utrustning.
2.1
Begrepp
Avsnittet beskriver allmänna begrepp inom nätverksteknik bland annat topologier, prestanda och funktioner.
2.1.1 Control-, data- och management plane
Nätverksenheters funktioner kan delas upp i tre olika kategorier baserat på deras funktionalitet, control plane, data plane och management plane[4, s. 44-45]. Control plane ansvarar för hur trafik i nätverk hanteras för att sedan placera dessa instruktioner i tabeller, ofta i hårdvaran. Hårdvaruta-bellerna läses av data plane som ansvarar för att vidarebefordra inkommande trafik. Management plane används för att konfigurera och övervaka enheten, exempelvis via protokollet Simple Network Management protocol (SNMP).
2.1.2 Topologier
Inom nätverksvärlden benämns en organisations kontor som en site. För att ansluta flera siter med varandra finns idag tre stora toplogier som används, Hub-and-spoke, partially meshed och fully meshed [5, s. 372]. Toplogierna används inom WAN-lösningar men även hybridlösningar är vanligt. Hub-and-spoke är när flera siter kopplar ihop sig mot en centralpunkt, ofta organisationens datacenter[5, s. 168-171]. I denna topologi benämns siterna som spoke och centralenheten kallas för hub. Denna lösning lämpar sig bra när alla tjänster ligger i datacentret men om en spoke vill sända trafik till en annan spoke måste trafiken traversera nätverkets hub. För att trafik ska ta en optimal väg kan istället topologin fully meshed användas, då skapas en anslutning till varje site. Partial mesh är en liknande topologi där anslutningar skapas efter behov, utrustningen behöver därmed manuellt konfigureras när behov uppstår. För att partial mesh ska fungera optimalt är det lämpligt att börja med en förstudie som undersöker hur trafiken flödar över organisationens siter, detta görs till exempel med Netflow.
Skalbarheten för ett fully meshed nätverk är dålig jämfört med hub-and-spoke. En organisation med 15 siter behöver använda sig av 14 anslutningar vid hub-and-spoke som kan räknas ut med formel 1, där funktionen av s ger antalet anslutningar som behövs och bokstaven s representerar antalet siter.
f (s) = s − 1 (1) Om organisationen istället skulle använda en fully-mesh topologi behövs 105 anslutningar vil-ket kan räknas ut med funktion 2 där funktionen av s ger antalet anslutningar som behövs och bokstaven s representerar antalet siter. Det skulle därmed behövas fler anslutningar för samma antalet siter i en fully-meshed topologi vilket ger topologin en sämre skalbarhet.
g(s) = s ∗ (s − 1)
2.1.3 Mätvärden
Inom nätverksteknik används ett antal mätvärden för att beskriva prestanda[6, s. 446].
• Latency är tiden det tar för ett paket att skickas över nätverket till destinationen, generellt anges tiden i millisekunder.
• Jitter är fördröjningens variation och mäts även den i millisekunder.
• Packet loss är hur många paket som har skickats men inte kommit fram till destinationen, mäts generellt i procent.
• Troughput är hur mycket trafik en nätverksenhet eller länk kan hantera och mäts ofta i bitrate per sekund till exempel Mbps.
2.1.4 Policy Based Routing
Traditionella IP-nätverk använder sig av routingtabellen för att hitta den bästa vägen till ett givet nätverk. Routingtabellen innehåller endast den bästa vägen till ett givet nätverk, vilket skapar många outnyttjade länkar i nätverk byggda med redundans. Policy Based Routing (PBR) ger nät-verksteknikern större flexibilitet över hur trafik färdas i nätverket[7, s. 446-447]. Utifrån protokoll, applikation och IP-adress kan ett paketflöde förbigå routingtabellen och hanteras enligt nätverkets behov. PBR är komplext och svårt att implementera i stor skala i dagens nätverk.
2.1.5 Constraint based routing
Constraint based routing (CBR) liknar PBR i den bemärkelsen att den används för att förbigå routingtabellen. Målet med CBR är att styra om trafik om den primära länkens kvalité försämras, exempelvis hög packet loss[8]. Detta sker dynamiskt utifrån de policys som konfigurerats. Likt PBR är CBR komplext att implementera i större skala.
2.1.6 Quality of Service
Quality of Service(QoS) används för att prioritera vissa typer av trafik[9]. Inkommande trafik pri-oriteras utifrån paketets protokoll alternativt applikationsidentifikation. Därefter hanteras paketet utifrån deras prioritet, viktig trafik får företräde genom nätverket. End-to-End QoS är när trafik prioriteras genom hela nätverkets infrastruktur. Ofta används QoS för att prioritera trafik känslig för fördröjning till exempel Voice over IP(VoIP).
2.1.7 Applikationsidentifikation
För en nätverkstekniker är det viktigt att förstå vilken typ av trafik som passerar nätverket. För att göra detta kan en nätverksenhet analysera inkommande pakets header och klassificicera trafik utifrån protokoll och destination, dvs lager 3- och lager 4-information. En mer avancerad funktion är Deep Packet Inspection (DPI) som genom att analysera paketets innehåll kan klassificera trafik ner på lager 7[10]. Denna klassificering är en viktig del av brandväggsfunktionalitet men används även inom QoS och PBR.
2.1.8 Software defined networking
SDN är ett nytt tillvägagångssätt inom nätverk där control plane bryts ut från enheten vilket ger nätverkstekniker mer flexibilitet över hur trafik hanteras i nätverket[11, s. 1-3]. Nätverksutrust-ningen som nu endast sköter data plane benämns som forwarding devices. Control plane hanteras istället av en centraliserad SDN controller. Controllern kör ett operativsystem designat för att fördela nätverksresurser och kallas Network operating system (NOS). SDN har även två applica-tion programming interface (API), northbound interface och southbound interface. Southbound interface hanterar kommunikationen mellan forwarding devices och SDN controllern[11, s. 11-12].
Kommunikationen använder sig av protokoll vars uppgift är att beskriva hur forwarding device ska hantera inkomna paket. För denna kommunikation finns flertalet protokoll, bland annat den öppna standarden Openflow. Northbound interface används för att påverka hur paket hanteras av forwarding devices genom nätverksapplikationer[11, s. 18-19]. Detta ger SDN stor flexibilitet då en organisation kan installera eller utveckla en nätverksapplikation utefter behov. Nätverksappli-kationerna kan bland annat hantera QoS, PBR och lastbalansering. SDN tillämpas oftast inom datacenter för att fördela nätverksresurserna på ett effektivt sätt.
2.2
WAN-lösningar
Organisationer med ett behov av att dela resurser mellan geografiskt skilda platser kan använda sig av ett WAN. På marknaden finns idag flertalet tekniker för detta ändamål som nu kommer presenteras.
2.2.1 Dedikerad länk
Dedikerade länkar mellan två organisationer kan hyras från en internetleverantör även kallad leased line[5, s. 80-85]. Denna metod har dock många nackdelar, bland annat är den dyr jämfört med en vanlig internetförbindelse och har dålig skalbarhet. En dedikerad länk har dock fördelen att organisationen får full kontroll över QoS och har generellt lågt jitter och latency.
2.2.2 Virtual private network
Virtual private network (VPN) skapar en krypterad tunnel genom ett nätverk mellan två punkter och används ofta över delade medium[5, s. 315-319]. Dagens VPN-tunnlar konfigureras generellt med IPSec. IPSec är ett ramverk som förlitar sig på tidigare utvecklade algoritmer för krypte-ring, autentisekrypte-ring, nyckelutbyte och integritet. Det går även att använda sig utav Generic routing encapsulation (GRE) men då förvinner de säkerhetsmekanismer IPsec erbjuder. Ändpunkternas uppgift är att inkapsla paketflöden vars destination är andra sidan av tunneln i en VPN-header och kryptera innehållet. Det finns två sätt att implementera VPN, Site-to-site och remote-access.
• Site-to-Site används för att skapa en tunnel mellan två geografiskt skilda platser till exempel två siter [5, s. 317-318]. Tunnlarna konfigureras manuellt på vardera sida av tunneln. • Remote-access används av klienter för att skapa en tunnel vid behov mot en
VPN-server [5, s. 318-319]. Tekniken har varit revolutionerande då användare nu har möjlighet att koppla upp sig mot organisationens nätverk från valfri ort via internet. För att klienten ska ansluta sig används en applikation vars uppgift är att etablera en tunnel mot VPN-servern men det finns även webbaserade lösningar.
2.2.3 Multiprotocol label switching
Packetswitching är en familj WAN-tekniker där paket skickas över ett delat medium[12, s. 27-29]. Till denna familj hör bland annat protokollen X.25, Frame Relay och ATM. Protokollen används för att skapa en tunnel genom nätverket och benämns Virtual Circuit (VC). Packetswitching hyrs ofta från en internetleverantör och är generellt billigare än dedikerade länkar då flera företag delar på samma nätverk, vilket även medför högre latency och jitter.
Gemensamt för de ovan angivna protokollen är att de inte används i stor utsträckning idag utan istället ersatts av tekniken Multiprotocol label switching (MPLS)[13]. MPLS använder sig av labels för att avgöra hur paketet ska hanteras till skillnad från vanlig IP-routing där paketets destinationsadress används, detta gör att lager 3-informationen aldrig behöver undersökas. Det är då möjligt att låta dedikerad hårdvara istället för mjukvara vidarebefordra trafiken genom nät-verket vilket ger bättre prestanda. Denna fördel är inte lika signifikant i dagens nätverk där nu IP-forwarding har flyttats till hårdvaran men var en stor fördel när MPLS släpptes. En router som använder sig av MPLS kallas för Label Switching Router (LSR)[14, s. 3-5]. Routern genererar en
lokalt unik label för varje Forwarding Equivalence Class (FEC). Generellt så placeras varje subnät i en enskild FEC men QoS kan ändra detta beteende. Ett MPLS-nätverk behöver därmed ett rou-tingprotokoll i bakgrunden för att få vetskap om vilka subnät som finns i nätverket.
Varje LSR skapar en egen tabell över FEC med tillhörande labels [14, s. 10-12]. Denna infor-mation behöver distribueras till direktanslutna LSRs vilket görs av ett Label Distribution Pro-tocol(LDP). Protokollets uppgift är att distribuera routerns labels för varje FEC till enhetens LSR grannar och placeras i Next Hop Label Forwarding Entry (NHLFE).
Figur 1: MPLS-Header
När ett paket anländer till ett MPLS-nätverk kollar LSR vilken FEC paketet tillhör och läg-ger på en 32-bitars MPLS-header[15, s. 3]. Figur 1 visar en MPLS-header, label bits innehåller paketets label och är, experimental bits används i dagsläget för QoS. Bottom of stack används för att signalera att flera labels används på samma paket och Time To Live (TTL) används för att undvika routingloopar.
MPLS-headern placeras mellan lager 2- och lager 3-headern, den label som appliceras innehåller den label som next hop valt för den givna FEC vilket finns i NHLFE[14, s. 14-15]. När nästa LSR tar emot paketet läser den in headern och utför sedan en Label Swap. Paketets MPLS-header får en ny MPLS-header utifrån NHLFE. Varje FEC har en VC som i MPLS-världen benämns Label Switch path (LSP) och är den väg en given FEC kommer ta igenom MPLS-nätverket. Med hjälp av PBR och CBR kan en nätverkstekniker konfigurera nätverkets LSP:s.
2.2.4 SD-WAN
SD-WAN är en gren av tekniken SDN och bygger på samma grunder, ett logiskt överliggande nät-verk skapas på organisationens WAN-nätnät-verk oavsett vilken anslutningsmetod som används [16]. Detta gör att internet-förbindelser, MPLS, och trådlösa tekniker som long term evolution(LTE) i folkmun benämnt 4G är möjliga anlutningsmetoder [17]. Det logiska överliggande nätverket ut-går från en logisk centralpunkt som hanterar nätverkets resurser. Policys exempelvis CBR kan appliceras från den centrala enhetet vilket förenklar administration och konfiguration. Dagens SD-WAN-produkter är properitära och skiljer sig ofta från varandra. Nuvarande SD-SD-WAN-produkter är properitära vilket gör det svårt att definiera lösningens beståndsdelar. Generellt består lösning-arna definerade som SD-WAN av:
• Abstraktion från underliggande WAN-förbindelser
• Aktivt utnyttjande av samtliga tillgängliga nätverksförbindelser • Centraliserad hantering av policys
2.3
Dagens WAN
Dagens nätverk har en viktig arbetsroll för dagens organisationer, ett avbrott i nätverket kan ibland stoppa eller förhindra organisationens produktion. Kommunikationen mellan siter bör vara säker, organisationer vill inte att affärshemligheter ska kunna avlyssnas och därför krypteras trafiken al-ternativt skickas över ett medium som organisationen har full kontroll över till exempel dedikerade länkar. Trafik som färdas i nätverk har olika behov av prestanda, VOIP-trafik har högre krav på prestanda för att användarna i samtalet ska kunna förstå varandra. Cisco systems rekommenderar att latency ska ligga under 150ms, jitter under 30ms och högst 1% packet loss för att VoIP ska fungera bra [18, s. 1.33].
För att undvika avbrott designas nätverk med redundans och undviker Single point of Failure (SPOF). Idag finns många typer av nätverksanslutningar, hybrid-WAN är när flera anslutnings-metoder används [19]. Många företag implementerar flera nätverksförbindelser för att uppnå re-dundans men använder sig av en active/passive lösning för att undvika bland annat routingloopar [20]. Active/passive betyder att endast en av de redundanta enheterna används och kallas active och den passiva enheten tar över om den aktiva får ett avbrott. I en active/active lösning används båda enheterna samtidigt men skapar ett mer komplext nätverk. Enheterna konfigureras från ett Command line interface (CLI) som skiljer sig mellan nätverksleverantörer. Denna komplexitet är en stor faktor till att 35% av dagens nätverksavbrott inträffar på grund av mänskliga fel enligt en studie utförd av Zk Research [20].
Dessa trender har på senare år börjat ändras, många av dagens applikationer ligger idag i mol-net till exempel Office365. Det är svårt att implementera nya policys på en global skala då alla enheter konfigureras från ett CLI manuellt och det finns väldigt liten automation för att förenkla nätverksteknikers arbete [20]. Redundans uppnås ofta genom att använda redundanta enheter i en active/passive lösning vilket ger en ökad pålitlighet men även en öknad kostnad kombinerat med att en av enheterna inte används under normala förhållanden. Många av dagens organisationer har inte råd med redundanta MPLS-förbindelser och använder sig av vanliga internetförbindelser med IPSec vid avbrott av MPLS.
2.4
Leverantörer av SD-WAN
Detta avsnitt avhandlar några av aktörererna på SD-WAN-marknaden. Aktörerna beskrivs i alfa-betisk ordning.
2.4.1 Cisco IWAN
Cisco är ett väletablerat företag i nätverksindustrin med många properitära protokoll och funk-tioner. Cisco Intelligent WAN (IWAN) är en applicering av tidigare properitära protokoll och funktioner som tillsammans bildar en komplett SD-WAN-lösning [21] [22].
IWAN är oberoende av vad för typ av nätverksanslutning som används och använder tekniken Dynamic Multipoint VPN (DMVPN) för uppsättning av IPSec tunnlar mellan siter [22]. DMVPN är en skalbar VPN-lösning som stödjer antingen en full-mesh topologi eller en dynamisk on-demand spoke-to-spoke topologi där en IPSec tunnel dynamiskt sätts upp mellan två siter vid behov. QoS kan konfigureras per-tunnel och trafik identifieras med Cisco Application Visibility and Control (AVC). Path selection bygger på Cisco Performance Routing (PfR) som monitorerar prestanda på förbindelser och tar routingbeslut utifrån detta för att uppfylla applikationers behov. Application Policy Infrastructure Controller Enterprise Module (APIC-EM) kan centralt hantera konfiguration av nätverkets enheter och snabbt distribuera nya policys till enheter [23]. Med Cisco Network Plug and Play är det möjligt att nya enheter automatisk laddar ner konfiguration från APIC-EM om enheten får en Dynamic Host Configuration Protocol (DHCP)-adress och internetanslutning [24]. Alternativt kan verktyget Cisco Prime Infrastructure (CPI) användas för konfiguration, monito-rering och att analysera trafik i nätverket [25]. IWAN stöds på Ciscos Integrated Services Router (ISR) 4000 serien som även har stöd för många andra funktioner bland annat WAN-optimering med Cisco Wide Area Application Services (WAAS)[26]. IWAN stöds även på Cisco Aggregation Services Routers (ASR) 1000 serien och den virutella Cloud Services Router 1000v serien [21].
2.4.2 CloudGenix
CloudGenix är ett nätverksföretag inriktat på SD-WAN-produkter år 2014[27]. CloudGenix utmär-ker sig bland övriga aktörer med sin applikationsidentifikation som kan identifiera applikationer även om den är krypterad [28].
GloudGenix erbjuder enheter som placeras i nätverkets siter och datacenter som tillsammans bildar ett överliggande logiskt nätverk benämnt Instant on Networking (ION) Fabric[28]. Enhe-terna benäms som ION elements och finns både som fysiska och mjukvarubaserade enheter. ION elements skapar tunnlar till andra ION elements som krypteras med AES256-IPSec och använder PKI för autentisering, krypteringsnyckeln byts automatiskt varje timme. Control-plane hanteras av en centraliserad enhet, CloudGenix Central Controller. Kontrollern ansvarar även för konfiguration och övervakningen av ION Fabric och manageras via ett grafiskt webbgränssnitt. Utifrån webb-gränssnittet kan nätverksteknikern undersöka vilken typ av trafik som går i nätverket. CloudGenix Central Controller kan antingen köras som virtuell maskin i molnet eller på fysisk utrustning i organisationens datacenter.
Zero Touch Provisioning (ZTP) är en automatiserad lösning för att simplifiera driftsättning av nya enheter [28]. CloudGenix ION elements är inställda för att hämta konfiguration automatiskt, alla enheter levereras med ett certifikat för att identifiera enheten. När enheten startar och kopplas in till nätverket kommer den automatiskt hämta konfiguration från CloudGenix Central Controller om ZTP används. CloudGenix har även stöd för service chaining, som används när trafik behöver passera en enhet till exempel en brandvägg, Intrusion Detection System (IDS) eller en lastbalan-serare. Trafiken dirigeras då först till tjänsten innan den skickas vidare till sin destination. Path selection är en CBR liknande funktion som använder sig av nätverkets nuvarande prestanda vid routingbeslut. CloudGenix tar routingbeslut utifrån applikationens behov av prestanda specifici-erat i en Service Level Agreement (SLA) och prestanda av länkar mäts kontinuerligt [28]. Path selection konfigureras centralt från CloudGenix Central Controller i ett simplifierat gränssnitt. CloudGenix använder Application Fingerprinting som med hjälp av sessionsdata kan identifiera applikationer och sub-applikationer. Sub-applikationer är när flera applikationer använder samma flöde, med hjälp av application fingerprinting är det då möjligt att urskilja dessa. Till skillnad från DPI är det möjligt att identifiera krypterade dataflöden.
2.4.3 Riverbed SteelConnect
Riverbed, startat år 2002, har länge varit pionjärer inom WAN-optimering och med inköpet av tyska SD-WAN-leverantören Ocedo har de nu släppt sin första SD-WAN-produkt i Early access[29][30]. Riverbed SteelConnect erbjuder förutom en edge-router också LAN-switchar och accesspunkter (AP). Informationen som följer kommer från en intervju med Kristian Karlsson, tekniskt ansvarig för Riverbed Technologies i Norden, intervjun finns i bilaga C. Riverbed har ett tätt samarbete med Microsoft vilket gör att de är snabbare på att stödja nya applikationer från Microsoft.
Riverbed SteelConnect har kombinerat SD-WAN-lösningen de köpte från Ocedo med DPI, path selection och QoS från deras tidigare produkter för WAN-optimering, Riverbed Steelhead. QoS och duplicering av paket finns inte i produkten idag utan är en kommande funktion. SteelConnect Ga-teways är en edge-router med SD-WAN funktionalitet men har även en inbyggd brandvägg. För att identifiera applikationer används samma DPI som Riverbed idag använder i andra produkter, detta görs med hjälp av DPI och Riverbed har möjlighet att identifiera över 1300 applikationer. Service chaining finns inbyggt i produkten, men service chaining kan även integreras med Riverbeds WAN-optimering. WAN-optimeringen förändrar ett paketflödes protokoll vilket kan göra att nätverkets gateway kan få svårt att urskilja vad för typ av trafik det är som behövs för att kunna göra rätt path selection. Samarbetet mellan Riverbeds Steelheed och Gateway löser detta problem genom att Steelhead berättar vad för typ av trafik den optimerade trafiken är. Full mesh IPSec-tunnlar konfigureras automatiskt mellan siter och använder sig av AES256-kryptering med AutoVPN. Det går även att köra siter med hub-and-spoke topologi benämnt Leaf Mode i SteelConnect. Gateways kan även köras i Amazon Virtual private Cloud (VPC) för att lättare hantera molntjänster. Föru-tom en gateway innehåller SteelConnect accesspunkter och switchar som alla konfigureras centralt från SteelConnect manager. I intervjun berättar Kristian att SteelConnect inte har alla funktioner som andra leverantörer erbjuder men påpekar att det är få av dagens organisationer som har ett behov av dessa, bland funktioner som inte stödjs nämns bland annat dot1x .
Riverbed har lagt stort fokus på att lösningen ska vara simpel att administrera. Konfiguration och trafikanalys hanteras centralt från Riverbed SteelConnect manager, i dagsläget är detta en molntjänst i Amazon Web Services (AWS) men det kommer vara möjligt i framtiden att installera tjänsten på egen hårdvara. Riverbed använder Steelflow som är en egen variant av protokollet Netflow som används för att analysera trafiken som passerar nätverket. Konfigurationen av siter är annorlunda från övriga SD-WAN-lösningar, SteelConnect använder sig av en globalkonfiguration för alla siter. En zon i Riverbeds lösning är ett VLAN med ett tilldelat subnät. När en ny site eller zon skapas hämtar den automatiskt ett ledigt VLAN och IP-range. Med lager 2-VPN är det möjligt att en zon sträcker sig över flera siter, med hjälp av detta kan användare ha samma behörigheter i nätverket oavsett vilken ort de befinner sig på. Siter kan konfigureras innan de driftsätts med shadow appliances, när enheten väl ska driftsättas är det möjligt med Riverbeds ZTP-lösning att skicka enheten direkt ut till en site. Riverbed erbjuder en VPN-klient som i dagsläget är i beta.
2.4.4 Talari
Talari släppte sin första SD-WAN-produkt år 2008 och har idag kunder i över 35 länder[31]. Talaris fokus ligger på vad dem själva kallar Thinking WAN, med detta menar de att nätverket anpassar sig efter nuvarande nätverkets status dynamiskt för att uppnå hög tillgänglighet.
Talari erbjuder både fysiska och virtuella enheter som bildar en logisk topologi över nuvarande WAN-infrastruktur och detta nätverk benämns som Adaptive Private Network (APN) [32]. De fy-siska och virtuella enheterna kallas för Adaptive Private Network Appliance (APNA) och kommer i flertalet olika modeller. Kommunikationen mellan APNAs kan använda flera kommunikationstek-niker bland annat MPLS, internet och trådlösa tekkommunikationstek-niker som LTE.
Network Control Node (NCN) är nätverkets centrala nod och härifrån konfigureras alla AP-NA i nätverket [32]. NCN är en tjänst som körs på en APNA, alla modeller förutom Talar T510 och T370 kan agera NCN [33]. Client nodes är övriga APNA som inte agerar NCN. När ett nytt nätverk ska konfigureras görs all konfiguration till en början på NCN via ett webbgränssnitt som sedan applicerar konfiguration till alla APNA i nätverket [34].Trafik mellan APNAs enkapsuleras och färdas via Conduits, dessa kan både skapas manuellt och dynamiskt [32]. Conduits är liknande en VPN-tunnel och har möjlighet att krypteras. Alla client nodes skapar alltid en conduit till NCN. Vid driftsättning av ett nytt nätverk konfigureras alla enheter från NCNs webbgränsnitt konfi-gureras som sedan skickas till alla enheter i nätverket[34]. Talari Aware är ett webbaserat gränssnitt som kan används för att konfigurera och monitorera ett APN, en instans av Talari Aware har stöd för upp till 256 enheter. Talari Aware installeras som en virtuell server i nätverket men går även att installera som en molntjänst med Talari Aware for AWS[35]. Utifrån webbgränssnittet konfi-gureras enheterna med nya policys centralt, Aware kan automatiskt upptäcka felkonfigurationer mellan enheter i nätverket och varna innan dem appliceras. Aware används även för att övervaka nätverket och analysera prestanda.
Vid inkommande paket från WAN kalkylerar APNA nuvarande prestanda på förbindelsen, den-na information används sedan för att klassificera routes i tre olika kategorier, GOOD, BAD och DEAD[36]. En route anses vara DEAD om inga paket mottagits över länken på 1.5 sekunder och APNA kommer inte skicka paket över en route som är klassificerad DEAD. Conduits med hög la-tency, jitter eller packet loss anses BAD och APNA kommer endast använda BAD routes om inga GOOD routes är tillgängliga. APNA bestämmer vilken GOOD route som ska användas utifrån nuvarande prestanda hos tillgängliga länkar. Routingen i ett Talari nätverk utgår från en routing-tabell som istället för att dirigera inkommande trafik till next-hop interface, skickar trafiken till en av fyra tjänster på enheten[32].
• Conduit Network Service Trafik som färdas från en APNA till en APNA enkapsuleras med Talari Reliable Protocol (TRP) och skickas via Conduit Network Service.
• Internet Network Service Trafik som färdas till en tjänst på internet.
• Intranet Network Service Site-to-Site trafik som färdas till en site utan APNA.
• Passthrough Network Service Trafik som inte ska traversera WAN, bland annat bro-adcasts och management trafik till enheten.
Tjänsterna kan sedan konfigureras med regler som liknar PBR och matchar baserat på IP-headers. Dessa regler ger stor flexibilitet över hur paket hanteras i APN bland annat genom QoS-policys. Reglerna specificerar även hur trafiken ska skickas på tillgängliga interface, standardin-ställningen är Load balancing.
• Load Balancing Med Load balancing kan ett paketflöde vid behov använda flera förbindelser samtidigt.
• Duplicate Path Paketflöden kommer dupliceras över två olika vägar till destinationen, detta ökar chanserna för att trafiken kommer fram i tid för trafik som är känslig för latency. • Persistent Path Paketflöden kommer använda samma väg för flödet så länge latency inte
ökar med 50ms över länken.
• Override Service Manuell konfiguration för trafik som inte ska manipuleras av APNA. Bypass mode kan användas för att nätverket ska fungera även fast APNA är offline med hjälp av Fail to wire[32]. När bypass mode är konfigurerat och enheten är offline kommer enhetens portar fungera som en brygga mellan ethernet kablarna. Om bypass mode inte används kommer ingen trafik passera när enheten är offline.
Det finns tre modeller för hög tillgänglighet i ett APN, Parallel Inline HA, Serial Inline HA och One Arm HA[33]. Modellerna är en active/passive lösning liknande VRRP men använder ett properitärt protokoll kallat Redundant APN Control Protocol (RACP). I One Arm HA lösning används PBR för att dirigera trafik som ska hanteras av APN till en APNA. Parallel inline HA och Serial Inline HA är modeller där all WAN-trafik passerar enheterna. I Parallel inline HA placeras enheterna parallellt och använder inte bypass mode för att undvika spanning-tree loopar. I Serial Inline HA placeras enheterna seriellt och använder sig av bypass mode och har längre tid innan överslag från den primära till passiva sker. Tabellen nedan jämför dessa modeller.
Modell Komplexitet i konfigurations Fysisk komplexitet Tid innan överslag One Arm HA Hög Låg <1s Parallel Inline HA Medium Medium <1s Serial Inline HA Medium Låg 5-15s
2.4.5 Viptela
Viptela är en ny aktör på marknaden grundat år 2012[37]. Idag har tusentals siter driftsatts med Viptelas lösning och används av mer än 15 företag i Fortunes top 500, år 2015.
Viptelas lösning bildar en logisk topologi över nuvarande WAN-lösning, detta logiska nätverk går under namnet Secure Extensible Network (SEN)[38] och består av fyra huvudkomponenter, vManage, vSmart, vBond och vEdge [39]. vEdge är en edge-router som finns tillgänglig som fysisk produkt samt som virtuell server. vManage, vSmart och vBond är mjukvarukomponenter och kan hyras som molntjänst av Viptela alternativt installeras på en virtuell server. vBond kan även köras som en tjänst på vEdge-routers.
vManage Network Management System (NMS) är ett centraliserat grafiskt konfigurations- och administrations-verktyg [39]. Verktyget installeras på en server och konfigureras primärt från det grafiska webbaserade gränssnittet[40]. vManage används för att konfigurera, administrera och över-vaka alla enheter i SEN.
vSmart Controller är nätverkets intelligens och hanterar control plane för domänens vEdges[39]. En domän i Viptelas terminologi är en logisk gruppering av vEdge routers och vSmart controllers, Viptelas nuvarande enheter stödjer endast en domän[41] och en domän kan maximalt bestå av 20 stycken vSmart Controllers. vSmart etablerar en krypterad tunnel med varje vEdge i domänen, i en domän med flertalet vSmart hanterar en vSmart en delmängd av vEdges. Om en vSmart Controller blir otillgänglig i en domän med flertalet vSmart Controllers dirigeras vEdges till en annan vSmart Controller. Protokollet Overlay Management Protocol (OMP) används över de eta-blerade tunnlarna för att distribuera control-plane trafik mellan enheterna. vSmart Controllern upprätthåller en fullständig routingtabell över den routinginformation som distribuerats via OMP från andra vEdge och vSmart controllers. vSmart Controller är en mjukvara som installeras på en server, det är även möjligt att använda samma server för båda tjänsterna.
Vid implementering av nya enheter i SEN autentiseras dem automatiskt mot vBond innan kon-figurationen laddas ner på enheten[39]. Det är viktigt att vBond har en publik IP-adress då detta behövs under autentiseringsprocessen av nya vEdges för att undvika problem med NAT. Efter att en vEdge har autentiserat sig mot vBond dirigeras den till en vSmart Controller, om det finns flera vSmart Controllers i domänen ansvarar vBond för att lastbalansera antalet vEdges en vSmart har kontroll över.
vEdge routers är edge-router som placeras i utkanten av organisationens siter[39]. Det finns flertalet fysiska enheter och modellerna skiljer sig på bland annat maximal troughput, formfaktor och antalet nätverksinterface. vEdge kan även installeras som en mjukvara på en server. vEdge routerns uppgift är att dirigera trafik ut på tillgängliga WAN-förbindelser utifrån vSmart control-lerns instruktioner. vEdge routern berättar även vilka tillgängliga subnät som finns på den siten, för att få reda på denna information används redistribuering från standardiserade routingprotokoll till exempel OSPF och BGP in i OMP. Standardinställningen distribuerar directly-connected och OSPF routes automatiskt[42].
Administration och övervakning av SEN hanteras med hjälp av det webbaserade gränssnittet vManage [40]. Efter att användaren autentiserat sig mot vManage visas en överblick över nuva-rande nätverkets status, figur [2] visar denna överblick. Webbgränssnittet innehåller verktyg för övervakning, det går bland annat att se geografisk karta över enheternas placering och status över IPSec tunnlar. Övervakning kan även ske med SNMP, Viptelas lösning stödjer Community-based SNMP version 2 och är avslaget default [43].
All konfiguration av vEdge, vSmart och vBond är centraliserat i administrationsverktyget vMa-nage [44]. För att en Viptela enhet ska ansluta sig till ett SEN-nätverk behöver den först konfigure-ras manuellt, denna konfiguration består av systeminställningar och ip-adressen till vBond. Enheten behöver dessutom en internetanslutning på ett interface, antingen via DHCP eller en statisk kon-figuration av IP-adress. Med hjälp av Viptelas ZTP lösning kan vEdges hämta sin konkon-figuration
Figur 2: vManage
automatiskt. Enheterna autentiseras mot Viptelas ZTP-server som verifierar enheten och dirigerar den till organisationens vBond, för att detta ska fungera behöver enheten en DHCP-adress. När enheten autentiserats mot nätverket görs konfigurationen med hjälp av mallar, feature templates, device templates och policys. Konfigurationen skickas till enheterna via protokollet Netconf [39]. Feature templates används för att konfigurera funktioner, för detta finns det färdiga mallar. Device templates är en samling av feature templates som samlas och appliceras på en eller flera enheter. Värden som är unika för varje enhet till exempel IP-adress konfigureras i webbgränssnittet. Det är även möjligt att med Variables spreadsheet skapa ett excel-dokument med denna information och ladda upp i webbgränssnittet [45]. Policys används för att påverka trafikflöde i nätverket och är uppdelade i routing policy och data policy [46]. Routing policys används för att influera control plane och data policys används för att styra trafiken i data plane. Avancerade policys används vid konfiguration av bland annat application-aware routing som är Viptelas benämning på path selection. Enheterna kan även konfigureras med CLI antingen via enhetens fysiska konsolport eller genom SSH. vManage har möjlighet att ansluta sig via SSH från webbläsarfönstret.
OMP är ett egenutvecklat protokoll som används för att distribuera control-plane trafik i en hub-and-spoke topologi där vSmart agerar hub och vEdge agerar spoke via en Datagram Transport Layer Security (DTLS)-tunnel[47]. vEdge informerar vSmart om tillgängliga nätverk på den site där vEdge är placerad. OMP kan konfigureras för att redistribuera routes från routingprotokollen BGP och OSPF. vSmart tar sedan beslut utifrån den insamlade informationen om hur trafik ska färdas i nätverket och distribuerar detta till alla vEdges, denna kommunikation görs med protokol-let OMP. Service chaining i Viptelas lösning konfigureras centralt på vSmart controllern med hjälp av policys [48]. vEdge annonserar tillgängliga tjänster till vSmart som dirigerar trafik inställd för service chaining till närmaste site där tjänsten finns.
Application-Aware routing är Viptelas implementation av path selection. Applikationer identi-fieras med hjälp av Viptelas Application Visibility, som kan identifiera trafik ner på lager 7 [49]. Datakommunikation över IPSec tunnlar mellan vEdges använder automatiskt BFD som övervakar prestanda på anslutningar. När prestanda försämras över en länk kan application-aware routing dirigera om trafiken runt problemet. Trafik som har höga krav på prestanda till exempel Vo-IP kan konfigureras med en kravspecifikation på den prestanda som behövs, detta benämns som SLA. VoIP trafik kommer då använda den länk som ger bäst prestanda utifrån kravspecifikationen. QoS-policys konfigureras på ingående och utgående interface på vEdge. Trafik identifieras med hjälp av information från IP-headern och DPI och policys utför handlingar utifrån vad som konfigurerats[50]. vEdge har även stöd för mirroring, som duplicerar paket och skickar dem över
två olika anslutningar för att öka chanserna att paketet kommer fram. Fyra typer av QoS regler kan konfigureras.
• Classify Data Packets vEdge identifierar trafik och markerar den med DSCP-värde. • Schedule Data Packets Kategoriserar paket i prioritetsköer, paket placerad i en högre
prioritetskö har företräda i nätverket.
• Rewrite Data Packets Inkommande markerad trafik får en ny klassificiering.
• Police Data Packets Policing kan används för att reglera den maximala bandbredden en applikation kan använda sig utav.
Alla hårdvarubaserade vEdge har ett inbyggt Trusted Board ID chip som innehåller ett publikt och ett privat signerat certifikat som används vid autentisering mot vBond[39]. All kommunika-tion mellan enheter i ett Viptela SEN-nätverk sker automatiskt krypterat direkt från uppstart[51]. Control-plane trafik mellan vSmart, vBond och vEdge kommunicerar via DTLS eller Transport Layer Security (TLS). DTLS används som standard och är baserat på TLS protokollet men an-vänder sig istället av UDP. TLS anan-vänder sig istället av vanlig TCP vid kommunikation.
vEdges skapar automatiskt Full-mesh IPSec VPN-tunnel topologi, dvs en VPN-tunnel till varje vEdge i domänen[51]. Tunnlarna använder AES256 för krypering. IKE används inte för nyckelut-byte utan istället används existerande control-plane kommunikation via DTLS.
Segmentering är en teknik för att separera fysiska nätverk[52]. Viptelas SEN har möjligheten att separera nätverk ifrån varandra genom att dela in dem i olika VPN-nätverk och därefter använ-da separata routingtabeller på vEdges. Viptelas segmentering konfigureras centralt jämfört med liknande funktionalitet, exempelvis Virtual Routing Forwarding (VRF) som konfigureras via CLI per enhet i Cisco utrustning.
En nätverksdesigner bör undvika Single Point of Failure (SPOF) för att skapa ett robust nätverk med hög tillgänglighet, detta gäller även i Viptelas SEN[53]. Det kan därför vara bra att använda sig av redundanta vBond och vSmart för att nätverket ska fungera normalt även vid enhetsfel och otillgänglighet. För siter med två eller flera redundanta vEdges konfigureras samma Site-id så att vSmart controllern förstår att de är placerade på samma site. Här används active/active vilket betyder att båda enheterna aktivt skickar och tar emot trafik. Komponenterna i ett SEN-nätverk kommunicerar konstant med varandra via DTLS, detta gör att problem upptäcks snabbt. Varje vEdge har kontakt med två stycken vSmart Controllers om det finns tillgängligt i nätverket vil-ket gör att inget avbrott sker om en av de två sessionerna avbryts. vEdge router har även stöd för standardiserade protokoll som Bidirectional Forwarding Detection (BFD) och Virtual Router Redundancy Protocol (VRRP). Protokollet VRRP kan konfigureras för att erbjuda redundans för enheters default gateways[54].
3
Metod
För att besvara frågorna i problemformuleringen behöver SD-WANs beståndsdelar identifieras och definera vad som kännetecknar en SD-WAN-lösning. Därefter insamlas produktinformation om marknadens SD-WAN-aktörer och dess produkter utifrån den dokumentation som erbjuds av ak-töreren. En intervju genomförs med Kristian Karlsson på Riverbed Technologies då deras produkt är såpass ny att dokumenation av produkten ej är släppt. Produkterna jämförs med avseende på säkerhet, QoS, path selection, administration, övervakning och övriga funktioner. Därefter utvärde-ras produkterna med avseendet vilken typ av nätverksmiljö produkten bäst tillämpas. Jämförelse mellan aktörernas produkter kommer presenteras i en tabell.
3.1
Tester
Fördjupning av utvalda aktörers produkter genomförs i testmiljön med målet att identifiera pro-duktens användarvänlighet. Testmiljön består av SD-WAN-enheter och nätverksutrustning från Cisco. Cisco-utrustningen består av routrar, switchar och lager tre switchar som används för att simulera ett större nätverk. Curitiba ansvarar för tillgång till laborationsutrustning och testerna sker på Curitibas kontor.
Topologin [3] som används i testet simulerar ett WAN-nätverk med två siter sammankoppla-de av två Service Provisammankoppla-der (SP). SP_A simulerar ett MPLS nätverk och SP_B simulerar en SP ansluten till internet i R3. SW1 och SW2 är egentligen samma fysiska Switch i testet döpt till SW1/SW2, de separeras med hjälp av VLAN. Konfiguration av testmiljön finns i bilaga A. En File Transfer Protocol (FTP)-server finns i Site2 för att skapa trafik mellan siterna.
Figur 3: Testmiljö
Testet som genomförs utvärderar komplexiteten i att konfigurera ett hybrid-WAN med två si-ter, för detta behövs en grundläggande konfiguration av båda siterna. Om en produkt erbjuder en särskilt intressant funktion kan den komma att utforskas i ett separat test. Huvudsyfte är att undersöka komplexiteten vid konfiguration av de specificerade funktionerna, prestanda kommer inte undersökas.
4
Resultat
Figur 4: Jämförelsetabell
Figur [4] jämför produkterna i studien mot varandra baserat på vilka funktioner de stödjer, alla funktioner är inte med i tabellen. Alla lösningar har stöd för hybrid-WAN med internet-förbindelser, MPLS och trådlösa tekniker som 4G. Lösningarna erbjuder centraliserad konfiguration från ett webbgränssnitt förutom Cisco IWAN som har centraliserad CLI-konfiguration. Cisco IWAN och Talari har inget inbyggt stöd för service chaining men det går att konfigurera manuellt. Riverbed SteelConnect kommer under året släppa stöd för QoS och mirroring.
4.1
Genomförda tester
Studien har genomfört tester av Viptelas utrustning, nedan följer vad hur dessa har gått till.
4.1.1 Viptela - Grundläggande konnektivitet
Testet syftade att skapa grundläggande konnektivitet mellan två siter med hjälp av två vEdges, benämnda Site1 och Site2. Vid testets påbörjan är vManage, vBond och vSmart installerade som molntjänst av Viptela, ingen konfiguration av dessa komponenter har utförts. Utrustningen som används är Viptelas vEdge 100 med mjukvaruversion 15.4.5 med fem gigabit ethernet portar och 100Mbps troughput. Enheterna konfigurerades med grundläggande inställningar från konsolporten.
• Systemkonfiguration Hostname, System IP och Site ID. • vBond-konfiguration vBond IP och organisationens namn.
• Interface-konfiguration IP-adress, tunnel-interface och default route för internet interface. När båda enheterna var konfigurerade verifierades deras konnektivitet med kommandona show control connection och show bfd session. Show control connection visar information om DTLS-tunnlar och show bfd session ger en överblick över DTLS-tunnlar mellan siter. Output från enheten placerad på Site2 visas i figur [5]. Site2 har DTLS-tunnlar till vSmart och vManage, och en IPSec tunnel till Site1.
Nästa steg i testet är att konfigurera enheterna. Feature templates skapades för att hantera konfiguration av enhetens alla interface och starta en DHCP-server på LAN-interfacet. Därefter skapades en device template innehållande alla feature templates som tidigare konfigurerats och applicerades på Site1 och Site2. Enhetsspecifika värden konfigurerades i ett excel-dokument som laddades upp till vManage.
Appliceringen av konfiguration sker i fyra steg, figurerna [7] [8] [9] [10] i bilaga B visar den konfiguration som gjorts.
Figur 5: Output från Site2
4.1.2 Viptela - ZTP
I detta test utvärderas Viptelas ZTP. Simulationen består av att en ny enhet med standardinställ-ningar anländer till Site2 och ska med minimal ansträngning konfigureras genom att automatiskt kontakta Viptelas ZTP-server som dirigerar routern till Curitibas vBond, vSmart och vManage.
Routern på Site2 återställs till standardinställningar med kommandot Request reset configura-tion. Interface GE0/4 är konfigurerat som DHCP-klient och vBond är inställt på ztp.viptela.com som standard. Site2 Ge0/4 kopplas in i 3G-routern LAN-interface. Utifrån denna förbindelse kon-taktar Site2 ztp.viptela.com och via enhetens serienummer och certifikat dirigeras till Curitibas vBond som autentiserar enheten och dirigerar den till vSmart och vManage. Site2 hämtar enhets-konfiguration automatiskt vManage och hämtar control-plane information från vSmart.
4.1.3 Viptela - Uppdatera mjukvara
Utrustningen vEdge 100 använder sig av Viptelas mjukvara med version 15.4.x på Site1 och Site2. Testets mål är att uppgradera dessa enheter till senaste versionen som finns ute på marknaden idag, vilket är 16.1.0.
Från vManage specificerades vilken mjukvaruversion som ska installeras och de enheter som ska uppdateras, i detta fall Site1 och Site2. Efter den nya mjukvaran är nerladdad behöver enheten en omstart. Totalt tog uppdateringen tio minuter. Figur [10] visar att uppdateringen har gått bra.
5
Diskussion
Dagens nätverk där applikationer flyttas till molnet förändrar hur organisationens nätverk bör de-signas. Enligt Cisco Enterprise QoS Solution Reference Network Design Guide bör HTTP-traffik klassificeras i prioriteten Best-effort, men i dagens nätverk där HTTP-trafik kan vara affärskritiskt behöver trafiken prioriteras[18, s. 1-21]. Dagens WAN är inte designade för att leverera låg laten-cy till molntjänster vilket nu är möjligt med SD-WAN. En fördel som inte diskuterats tidigare i rapporten är möjligheterna med virtuella forwarding devices, enheterna kan placeras i molnet för att ge insikt i hur trafik hanteras end-to-end till molntjänster och med stöd för path selection. Or-ganisationer som använder sig av molntjänster eller planerar att flytta till molntjänster kan därför tjäna mycket på att övergå till en SD-WAN-lösning.
Alla SD-WAN-produkter som nämnts i studien har ett grafiskt gränssnitt med verktyg för konfiguration, övervakning och trafikanalys. Att centralisera dessa verktyg förenklar arbetet och minskar risken för mänskliga felkonfigurationer som skapar avbrott i nätverket. Den underliggande komplexiteten i lösningen finns kvar men med det grafiska gränssnittet abstraheras detta vilket kan medföra att juniora nätverkstekniker kan utföra mer komplicerade uppgifter. Att samla verktyg för konfiguration, övervakning och trafikanalys på samma ställe minskar arbetsbördan. Verktygen fungerar bra för dessa ändamål och minskar behovet av externa tjänster för övervakning till ex-empel Nagios och trafikanalys till exex-empel Netflow, men det är viktigt att påpeka att verktygen är properitära och inte kan hantera utrustning från en annan leverantör. Många av tjänsterna kan hyras som molntjänst av leverantören vilket minskar komplexiteten.
Automatiserad driftsättning av nya siter är en enorm fördel för organisationer med behov av att implementera nya siter snabbt. Enheten kan skickas direkt till den nya siten istället för att först packas upp, konfigureras och packas ner av en nätverkstekniker innan den skickas. Automatisering är viktigt inom IT-branschen där arbetskraft ofta är dyr. Organisationer med behov av att kunna expandera snabbt till exempel detaljhandel kommer spara mycket arbetskraft med ZTP.
Med Hybrid-WAN är det möjligt att utnyttja olika typer av anslutningar vilket skapar flexibi-litet och kan möjliggöra besparingar genom att låta organisationer gå bort från dyra MPLS-länkar när avtalen ska förnyas. Med SD-WAN är det möjligt att använda flera typer av anslutningar: MPLS, internet och trådlösa tekniker i en active/active lösning. Många organisationer känner rädsla över att skicka affärskritisk kommunikation över internetlänkar där de inte har kontroll över prestanda. Med path selection och multipla länkar är det möjligt att utvärdera vilken länk som som erbjuder de krav trafiken kräver i en SLA, vilket hanteras dynamiskt av enheten. Talari och Viptela erbjuder möjligheten att duplicera paket över olika länkar för att öka pålitligheten av af-färskritisk kommunikation.
5.1
Utvärdering
Studien utvärderar de produkter som avhandlats: Cisco IWAN, CloudGenix, Riverbed SteelCon-nect, Talari och Viptela. Produkternas styrkor och svagheter diskuteras och i vilken typ av orga-nisationer lösningen bäst tillämpas.
5.1.1 Cisco IWAN
Cisco IWAN skiljer sig mot resterande SD-WAN-lösningar, det är inte en separat lösning utan en funktion tillgänglig på nyare modeller av deras routrar. Men för att få en komplett lösning liknande vad andra SD-WAN-leverantörer erbjuder behövs flertalet komponenter och licenser[55]. De fysiska forwarding devices som används är Ciscos ISR 4000-serie vilka har stöd för många fler funktioner än de forwarding devices andra SD-WAN-leverantörer erbjuder men är även dyrare. Konfigura-tion av enheter är centraliserad men CLI-baserad, andra aktörer erbjuder grafiska gränssnitt. Det finns idag många organisationer som enbart använder Cisco-utrustning där de anställda är vana att arbeta i Cisco-miljö, Cisco IWAN kan då vara en lämplig SD-WAN-lösning. IWAN är en kom-plex lösning med många funktioner som använder dyrare utrustning och licenser. För organisationer som behöver funktionsrika routrar på siter med många användare är Cisco IWAN ett bra alternativ.
5.1.2 CloudGenix
CloudGenix erbjuder precis som många andra SD-WAN-lösningar, fysiska forwarding devices, vir-tuella forwarding devices, ZTP, service chaining, path selection och IPSec-tunnlar. Det som urskiljer CloudGenix från mängden är applikationsidentifieringen, application fingerprinting. När DPI inte räcker till för att identifiera applikationer är CloudGenix den enda lösningen i utvärderingen som använder sig av application fingerprinting. Den stora frågan är dock i vilka organisationer som har behov av denna funktionalitet. Förutom applikationsidentifikationen erbjuder CloudGenix inget som utmärker sig från andra SD-WAN-leverantörer.
5.1.3 Riverbed SteelConnect
Riverbed erbjuder en komplett lösning med routrar, switchar och accesspunkter som alla konfigu-reras centraliserat. Stor vikt har lagts på att skapa ett simpelt gränssnitt som används för hela lösningen och på sikt kommer det även integreras med Riverbeds övriga produkter. SteelConnect lämpar sig därför bra hos organisationer som idag använder andra Riverbed produkter. Lösning konfigureras med en global konfiguration vilket medför automation vid driftsättning av nya siter. Riverbeds tidigare produkter använder sig av path selection med en avancerad applikationsiden-tifikation som de nu tagit med sig till SD-WAN. Samarbetet med Microsoft gör att de är snabba på att stödja nya applikationer. Att användare har samma behörighet i nätverket oavsett var de befinner sig är en spännande funktiom som ingen av de andra i utvärderingsstudien erbjuder och är spännande för organisationer intresserade av en Bring Your Own Device (BYOD) lösning. Steel-Connect är idag fortfarande en ny produkt på marknaden och saknar funktionalitet andra aktörer erbjuder till exemepel QoS. Organisationer som söker en simplifierad helhetslösning har mycket att vinna på att välja Riverbed SteelConnect som kan ersätta utrustning ner i access-lagret och manageras från ett centralt interface. SteelFlow används för att analysera trafiken som går igenom nätverket och det finns bra verktyg för att se vilken väg trafik har tagit.
5.1.4 Talari
Talari är den äldsta produkten i utvärderingstudien och skiljer sig lite mot de andra lösningarna. Där andra leverantörer ersätter utrustning kan Talari fungera tillsamans med befintlig utrustning vilket skapar en lättare driftsättning. Ytterliggare med bypass mode som inte stödjs av de andra lösningarna i studien kan Talaris APNA stängas av men nätverket fungerar ändå, detta gör att Talari effekterna av Talari kan införas i ett befintligt nätverk. För organisationer som är osäkra på
SD-WAN kan Talari vara en intressant produkt då de närsom helst kan sluta använda Talari men fortfarande ha full konnektivitet. Stort fokus i Talaris lösning ligger på prestanda och pålitlighet, vilket gör Talari till en bra lösning för organisationer där affärskommunilation i realtid är kritisk för verksamheten. Talaris path selection gör snabba överslag och failover vid redundanta topologier är under en sekund om Parallel Inline HA eller One arm HA modellerna används. Talari saknar dock funktioner för Service chaining, ZTP och DPI vilket många andra leverantörer erbjuder. Talaris lösning lämpar sig bra i organisationer med många användare utdelat på ett fåtal siter med krav på höga krav på pålitlighet. Jämfört med leverantörer i utvärderingstudien är Talari komplex att konfigurera, dock fortfarande lättare än dagens SOP.
5.1.5 Viptela
Viptelas lösning har utvärderats i testmiljö, det som gjordes var en grundläggande implemen-tation, en ZTP implementation och uppdatering av mjukvara. Största delen av konfiguration i laborationerna utfördes från Viptelas grafiska gränssnitt vManage. Template-systemet gjorde att samma konfiguration för båda enheterna användes och sedan infördes enhetspecefika värden från ett excel-dokument som laddades upp i vManage. Viptelas lösning har därför hög skalbarhet, väl-digt lite konfiguration behövs om en förkonfigurerad device-template används. I testet användes 2 enheter men det kunde lika gärna varit 200, det enda tilläget hade varit de enhetspecefika vär-den som specificeras i ett excel-dokumentet. Konfiguration av SEN görs med feature-templates och policys, policys som App aware routing och QoS konfigureras i CLI-kod vilket är en stor besvikelse. Den lösning Viptela erbjuder är en aning simplifierad jämfört med de andra lösningarna. ZTP och templates automatiserar konfiguration av nya siter, Snehal Patel IT-arkitekt på Klädeskedjan Gap berättar i en intervju med Wall Street Journal att de driftsätter 25 eller fler nya siter per natt med Viptelas lösning[56]. Skalningen sker vertikalt enkelt genom att implementera fler vS-mart Controllers, vManage används fortfarande för att konfigurera hela SEN. Organisationer där skalbarhet och snabbdriftsättning är viktigt bland annat detaljhandeln så passar Viptelas lösning väldigt bra. Viptelas är inte lika funktionsrik som Cisco IWAN men för företag där den funktio-nalitet inte behövs är Viptelas simplifierade lösning att föredra. Lösning tillämpas särskillt bra i detaljhandeln där det är viktigt med snabb och enkel driftsättning av nya siter. Verktygen för att analysera trafik i nätverket var väldigt simplifierade och svårt att visa vilken länk trafik har tagit.
5.2
Relaterade arbeten
Mike Fratto från Current Analysis har i rapporten SD-WAN 2015 Market Update: Vendor Snap-shots Show a Crowded, Competitive Field Attempting to Diversify undersökt SD-WAN-lösningar[21]. Rapporten är skriven år 2015 och därmed är inte Riverbeds Steelconnect med i studien då produk-ten inte var släppt. Han har i rapporproduk-ten indexerat aktörerna i tre kategorier: vulnerable, strong och competitive och diskuterar aktörernas styrkor och svagheter.
Cisco IWAN indexeras i rapporten som competive då lösningen använder enheter som idag finns på ute på marknaden och baserar sig på tidigare funktioner skapade av Cisco till exempel DMVPN, PfR pch ACV. Som svagheter nämner han att lösningen är komplex att konfigurera och behöver APIC-EM eller Cisco Prime för att hantera konfiguration. Han nämner även att ett flertal licenser behöver köpas in för att få lösningen att fungera.
CloudGenix indexeras även den som competive på grund av avancerad applikationsidentifi-kation men Fratto anser att CloudGenix har svårt att urskilja sig från andra leverantörer. Han diskuterar även CloudGenix application fingerprinting som en nackdel då det historiskt sett inte fungerat så bra med en sådan lösning av applikationsidentifikation.
Talari indexeras som strong, Fratto tycker de lägger mycket fokus på WAN-prestanda och på-litlighet medan andra aktörer ger samma sak men med ytterliggare funktioner utöver de Talari
erbjuder. Som styrkor nämner han Talaris funktioner för att säkerställa att prestanda uppfylls. Viptela är den enda aktören som denna studie avhandlat som indexerats som vulnerable i Frattos rapport. Detta beror på att Viptela har svårt att urskilja sig från andra aktörer och inte erbjuder en virtuell lösning. Som styrkor nämner han Viptelas path selection för att säkerhetställa att SLAs uppfylls. Han nämner även att Viptela samarbetar med brandväggstillverkarna F5 och Palo Alto för dirigera trafik genom deras brandväggar vid service chaining.
Mycket av vad Fratto säger i sin analys håller jag med om och återfinns i min utvärdering av produkterna men jag håller inte med om indexeringen. Rapporten är skriven år 2015 och han nämner att Viptela inte erbjuder en virtuell lösning vilket inte längre stämmer, Viptela erbjuder i dagsläget vEdge Cloud som en är en virtuell vEdge med samma funktionalitet som vEdge. Att Viptela sammarbetar med F5 och Palo Alto är något jag inte känner till och heller inte hittade någon fakta om, men om det är sant så är det intressant för organisatior med och F5 Palo Alto brandväggar idag. Jag tycker inte att Talaris fokus på prestanda och pålitlighet är en svaghet utan snarare en fördel, även om det inte passar alla typer av organisationer.
6
Slutsats
Studien har analyserat dagens WAN och jämfört den med SD-WAN som är en ny teknik och idag har få marknandsandelar. Men i IT-branschen där mantrat if it ain’t broke, don’t fix it används flitigt är det få företag som gått över till en SD-WAN-lösning. SD-WAN har dock många fördelar och ett företag som planerar att förändra sin WAN-infrastruktur rekommenderas att åtminstone utvärdera SD-WAN. Eftersom att lösningen skiljer sig mycket mot dagens SOP rekommenderar jag organisationer att utföra ett Proof of Concept innan en fullständig implementation av SD-WAN utförs.
Arbetet har jämfört fem SD-WAN-leverantörer och utvärderat i vilken typ av organisation en SD-WAN-lösning bäst tillämpas. Den utvärdering som utförts i diskussionen ska ses som rekom-mendationer för företag intresserade av att implementera en SD-WAN-lösning. Det kan vara svårt att urskilja marknadens SD-WAN-lösningar från varandra, denna utvärderingsstudie ger organisa-tioner en inblick i några av de produkter som finns på marknaden.
6.1
Framtida arbeten
SD-WAN-marknaden är under ständig utveckling med flera nystartade företag som löper risk för konkurs och uppköp. Jämförelsestudien har försökt välja ut en blandning av mogna och nystarta-de produkter. Studien har avhandlat 5 leverantörer av SD-WAN-utrustning, för en mer komplett utvärdering behövs fler leverantörer undersökas. Utifrån Packetpushers.net finns det idag ca 20 akö-ter på SD-WAN-marknaden, dessa är: BigLeaf Networks, Cisco IWAN, Citrix CloudBridge Virtual WAN, CloudGenix, Ecessa, Elfiq, Fatpipe, Glue Networks, Mushroom Networks, Nuage Networks, Riverbed/Ocedo, Pertion, SilverPeak, Sonus Networks, Talari, TELoIP, Teridon, VeloCloud, Versa Networks, Viptela och Virtela [2]. Et fåtal av dessa aktörer är ej relevanta för studien, till exempel Glue Networks som inte erbjuder egna produkter utan är ett gränssnitt för att orkestera Cisco IWAN.
Referenser
[1] Andrew Lerner Neil Rickard Bjarne Munch, Sorell Slaymaker. Market guide for software-defined wan, 2015. [Online; accessed 20-April-2016].
[2] Packetpushers.net. List of sd-wan vendors. [Online; accessed 19-Maj-2016]. [3] Andrew Lerner. Cool networking vendors, 2015. [Online; accessed 20-Maj-2016]. [4] Franklin H. Smith III Sean Wilkins. CCNP Security SECURE 642-637. Cisco press. [5] Rick Graziani Bob Vachon. CCNA: Connecting Networks. Cisco press.
[6] Erum Frahim Richard Froom, Balaji Sivasubramanian. CCNP Implementing Cisco Switched Networks. Cisco press.
[7] Diana Teare. CCNP Security Implementing Cisco IP Routing. Cisco press.
[8] O. Younis and S. Fahmy. Constraint-based routing in the internet: Basic principles and recent research. IEEE Communications Surveys Tutorials, 5(1):2–13, Third 2003.
[9] J. Gozdecki, A. Jajszczyk, and R. Stankiewicz. Quality of service terminology in ip networks. IEEE Communications Magazine, 41(3):153–159, Mar 2003.
[10] Margaret Rouse. Deep packet inspection (dpi), 2007. [Online; accessed 20-April-2016]. [11] D. Kreutz, F. M. V. Ramos, P. E. Veríssimo, C. E. Rothenberg, S. Azodolmolky, and S. Uhlig.
Software-defined networking: A comprehensive survey. Proceedings of the IEEE, 103(1):14–76, Jan 2015.
[12] Rick Graziani Bob Vachon. CCNA: Accessing the WAN. Cisco press.
[13] A. G. Malis. Converged services over mpls. IEEE Communications Magazine, 44(9):150–156, Sept 2006.
[14] R. Callon E. Rosen, A. Viswanathan. Multiprotocol Label Switching Architecture. RFC 3031, IETF.org, January 2001.
[15] G. Fedorkow Y. Rekhter D. Farinacci T. Li A. Conta A. E. Rosen, D. Tappan. MPLS Label Stack Encoding. RFC 3032, IETF.org, January 2001.
[16] Talari Networks inc. Eight Questions You Must Ask When Considering an SD-WAN. Technical report, 2015.
[17] Margaret Rouse. What is software-defined wan(sd-wan), 2015. [Online; accessed 20-April-2016].
[18] Cisco press. Cisco Enterprise QoS Solution Reference Network Design Guide. Cisco press. [19] Margaret Rouse. hybrid wan, 2015. [Online; accessed 18-Maj-2016].
[20] Zeus Kerravala. hybrid wan, 2015. [Online; accessed 18-Maj-2016].
[21] Mike Fratto. Sd-wan 2015 market update: Vendor snapshots show a crowded, competitive field attempting to diversif. [Online; accessed 05-Maj-2016].
[22] Cisco. Inc. Intelligent wan technology design guide. [Online; accessed 05-Maj-2016].
[23] Zeus Kerravala. Cisco apic enterprise module simplifies network operations. [Online; accessed 05-Maj-2016].
[24] Cisco. Inc. Cisco network plug and play solution data sheet. Technical report, 03 2016. [25] Cisco. Inc. Cisco prime infrastructure. [Online; accessed 25-Maj-2016].
