Dynamic Multi-path Optimization (DMPO)
Potężne rozwiązanie VMware SD-WAN by VeloCloud (zwane również VMware NSX SD-WAN) umożliwia przedsiębiorcom klasy Enterprise oraz oczywiście mniejszym organizacjom jak najlepsze jednoczesne wykorzystanie posiadanych łączy WAN (w tym także internetowych) działających w oparciu o różne technologie (xDSL, MPLS, Coaxial Cable, Fiber, 4G, 5G) jak i również media transmisyjne (przewodowe jak i bezprzewodowe). Przez utylizację w maksymalnym możliwym stopniu rozumieć należy maksymalizację przepustowości dostępnych w ramach poszczególnych łącz jak i również gwarancję najwyższej wydajności aplikacji. Unikalna architektura rozwiązania VMware SD-WAN została przygotowana w taki sposób, aby zapewnić powyższe zarówno dla aplikacji chmurowych (w modelu SaaS czy też IaaS) jak i on-premise. To wymaga budowy logicznej sieci nakładkowej (overlay network) . Sieć składająca się w istocie z wielu tunelów ma możliwość monitorowania oraz adaptacji do zmian następujących w czasie rzeczywistym w sieci fizycznej WAN (sieć underlay – fizyczna sieć transportowa). W celu zapewnienia logicznej sieci nakładkowej, która będzie odporna na wszelkie fluktuacje czy też nagłe pogorszenie warunków po stronie fizycznej sieci transportowej oraz zagwarantuje wydajność fizycznych, dostępnych łączy WAN w czasie rzeczywistym VMware opracował technologię optymalizacji ruchu realizowanego przez różne łącza WAN, czyli Dynamic Multi-path Optimization (DMPO). W kolejnych sekcjach przedstawimy kluczowe komponenty oraz odpowiedź dlaczego jest to tak unikalny wyróżnik, którego nie oferuje żaden inny producent rozwiązania sieci rozległych definiowanych programowo.
Permanentny monitoring
Urządzenie VMware SD-WAN Edge po wykryciu nowego łącza WAN ustanawia tunele DMPO z jedną lub kilkoma bramami VMware SD-WAN Gateway (rozproszona sieć bram, rozmieszczona na całym świecie lub lokalnie u dostawców usług zapewniająca skalowalność, redundancję oraz optymalizację tras danych dla aplikacji (on-premise oraz chmurowych), oddziałów firmy oraz Centrów Przetwarzania Danych) po czym dokonuje testu przepustowości z najbliższą taką bramą. Z uwagi na fakt, iż brama zwykle rezyduje w punktach dostępowych (Internet Point of Presence) do sieci Internet można również zidentyfikować publiczny adres IP danego łącza WAN w przypadku, gdy interfejs urządzenia SD-WAN Edge znajduje się za urządzeniem NAT/PAT. Analogiczna sytuacja ma miejsce wobec łączy dedykowanych. W ramach wspomnianych testów SD-WAN Edge bada utratę pakietów, opóźnienie oraz jitter dla każdego, osobnego pakietu w ramach każdego, poszczególnego tunelu DMPO. Odbywa się to poprzez wysyłanie pakietu posiadającego znacznik czasowy oraz numer sekwencyjny (waga pakietu to pojedyncze bajty) co 100 ms (dzieje się to kiedy użytkownik nie wykorzystuje danego łącza). Sterowanie ruchem pakietów z danej aplikacji realizowane jest niezależne od kierunku transmisji tzn. trasa dla ruchu przychodzącego może być zupełnie inna aniżeli dla ruchu wychodzącego i bez opierania swojego działania na routingu asymetrycznym.MPLS Class of Service (CoS)
W przypadku posiadania dedykowanych łącz MPLS, w ramach umówionych z operatorem warunków zarządzania i rezerwacji dostępnego pasma przesyłowego umożliwiającego uzyskanie gwarantowanej jakości strumienia danych dla poszczególnych aplikacji (Class of Service) możliwe jest skonfigurowanie DMPO w taki sposób, aby pod kątem monitorowania dostępnych łączy oraz sterowania ruchem z aplikacji uwzględniała obowiązujące klasy usług.Dynamiczne sterowanie ruchem z aplikacji (Dynamic Application Steering)
DMPO dokonuje identyfikacji ruchu korzystając z atrybutów w ramach warstw L2- L7, którymi są tagi VLAN, adres IP, typ protokołu oraz samej aplikacji. Na tej podstawie dokonuje sterowania per pakiet dla danej aplikacji (DMPO jest świadome z jakim rodzajem ruchu aplikacji ma do czynienia) w oparciu o skonfigurowane polityki biznesowe oraz warunki łącza w bieżącej chwili. Polityka biznesowa zawiera tzw. inteligentne domyślne ustawienia Smart Defaults, które określają domyślne zachowanie kierowania i priorytet dla ponad 2500 aplikacji.Agregacja pasma dla danego przepływu ruchu z aplikacji
W przypadku aplikacji, które mogą skorzystać ze zwiększonego pasma (dotyczy to przykładowo transferu plików) mechanizm DMPO poprzez operację równoważenia obciążenia per dany pakiet zawarty w danym, pojedynczym przepływie danej aplikacji wykorzystuje wszystkiego dostępne łącza internetowe, aby dostarczyć wspomniane pakiety do punktu docelowego. DMPO bierze pod uwagę aktualną wydajność sieci WAN w czasie rzeczywistym i decyduje, które trasy powinny być używane do wysyłania pakietów w ramach danego przepływu. DMPO wykonuje również ponowne sekwencjonowanie w punkcie docelowym, aby upewnić się, że nie odebrano poza kolejnością pakietów. Przykład działania: Mamy dwa łącza WAN, każde o przepustowości 50 Mbit/s co daje 100 Mbit/s zagregowanego pasma. QoS jest aplikowany indywidualnie per łącze oraz dla połączenia zagregowanego.Kompensacja negatywnych warunków łącz – GAME CHANGER
Jeśli ze ściśle określonych powodów (przykładowo: z zaufanego łącza MPLS na niezaufane Internetowe dla płatności bądź alternatywne, dostępne łącze nie oferuje lepszych warunków transmisji ) nie jest możliwe skierowanie ruchu z danej aplikacji bądź określonego rodzaju ruchu na drugie łącze DMPO uruchamia mechanizmy korekcji błędów na czas trwania problemów z łączem. Rodzaj korekt zależy oczywiście od typu błędów oraz aplikacji, w ramach której następuje dany przepływ pakietów. W przypadku aplikacji czasu rzeczywistego (transmisja audio-wideo) będzie to FEC (Forward Error Correction) celem kompensacji utraty pakietów. Dodatkowo również załączane jest buforowanie jittera, kiedy ten pojawi się na łączu WAN. Dla aplikacji korzystających z TCP jak wspomniany wcześniej transfer plików wykorzystanie NACK (Negative Acknowledgement) niesie ze sobą korzyści w tym scenariuszu. Po detekcji brakującego pakietu DMPO działające po stronie odbiorcy pakietu informuje DMPO uruchomione na urządzeniu nadającym o konieczności retransmisji tego pakietu. Zapewnia to ochronę aplikacji przed wykryciem przez nie utraty pakietów co prowadzi do maksymalizacji okna TCP i umożliwia osiągnięcie wysokiej wydajności transmisji TCP w warunkach występowania utraty pakietów po stronie łącza WAN. Poniżej przedstawiono przykładowy scenariusz, w którym doszło do tymczasowej niedostępności łącza MPLS, zaś w łączu stricte internetowym (realizowanego przez medium koncentryczne) doszło do utraty pakietów oraz pojawienia się jittera. Wyniki przedstawione w formie graficznej pokazują, iż ochrona realizowanej transmisji pakietów przez DMPO następuje w trybie natychmiastowym od momentu wykrycia tych sytuacji- w ciągu niecałej sekundy następuje przekierowanie ruchu na drugie, dostępne łącze oraz zapewniana jest bieżąca kompensacja niekorzystnych dla transmisji pakietów warunków.
Gotowe, wzorcowe polityki biznesowe (Business Policy Framework) oraz inteligentny zbiór ustawień domyślnych (Smart Defaults)
Administrator ma możliwość kontroli QoS, sterowania ruchem z aplikacji oraz usługami, które stworzą politykę biznesową opisującą w jaki sposób ruch z danego rodzaju aplikacji będzie realizowany. Zestaw inteligentnych ustawień domyślnych zapewnia gotową politykę biznesową rozpoznającą ponad 2500 aplikacji. DMPO podejmuje decyzje w zakresie sterowania ruchem z aplikacji w oparciu o rodzaj aplikacji, warunki panujące w danym łączu WAN w czasie rzeczywistym (stopień obciążenia łącza, jitter, utrata pakietów) oraz politykę biznesową. Na poniższych zrzutach ekranów przykładowa polityka:
Oczywiście za pomocą DMPO możemy w prosty sposób zdecydować jak będzie wyglądała komunikacja dla danej aplikacji – służą do tego cztery modele usług sieciowych dostępnych w ramach rozwiązania VMware SD-WAN. W ramach nich definiujemy czy ruch ma zostać przekierowany bezpośrednio do Internetu (dla aplikacji niekrytycznych, ale zaufanych), kierowany wieloma trasami (różnymi łączami co dotyczy aplikacji krytycznych), kierowanie do proxy chmurowego (Symantec Cloud Secure Web Gateway bądź Zscaler Internet Access ) jak i również czy ma być przekierowywany do Data Center organizacji celem chociażby inspekcji ruchu przez firmowe systemy zabezpieczeń: IPS, IDS, filtrowanie sieci, dekrypcja SSL zanim zostanie dopuszczony do wyjścia do Internetu.
Jeszcze słów kilka o samym sterowaniu trasami pakietów oraz kompensacji negatywnych warunków w nich panujących
Wiadomo już, że DMPO realizuje zmianę trasy dla danego typu aplikacji w przypadku pogorszenia się warunków panujących na łączu głównym (dla tej aplikacji) bądź niedostępności tego połączenia:
Krótkie podsumowanie
VMware SD-WAN by VeloCloud jako jedyne na rynku daje możliwość tak szerokiego sterowania ruchem dla danej aplikacji, a przede wszystkim umożliwia ciągłość transmisji ruchu aplikacyjnego dzięki innowacyjnym rozwiązaniom kompensacji niekorzystnych warunków panujących w łączu (WAN/ Internet) takimi jak jitter, utrata pakietów, opóźnienie na łączu jak również maksymalnego wykorzystania dostępnego w ramach wielu, różnych łącz WAN (dedykowanych typu MPLS, szerokopasmowych, radiowych) pasma.Zobacz także:
Ridgebot
Czym jest Ridgebot? RidgeBot, stworzony przez firmę Ridge Security, to w pełni zautomatyzowany robot do testów penetracyjnych. Korzysta z technologii opartej na sztucznej inteligencji do oceny i identyfikacji luk bezpieczeństwa, obejmując nie tylko aplikacje, lecz...
Jak dobrze znasz swoją powierzchnię ataku? Pięć wskazówek, jak zmniejszyć ryzyko narażenia na ataki.
Czym jest powierzchnia ataku? Powierzchnia ataku to cały obszar organizacji lub systemu, który jest podatny na atak ze źródła zewnętrznego. Składa się ze wszystkich punktów dostępu, których nieautoryzowana osoba może użyć do wejścia do systemu. Obejmuje to wszystko,...
Deep dive Hybrid Entra Join
Co się dzieje z maszyną w trakcie hybrydowego dołączenia (hybrid entra join)? Deep dive Hybrid Entra Join. Proces wdrożenia hybrydowego maszyn jest procesem złożonym i skomplikowanym przez co bardzo często mogą pojawić się błędy na etapie dodawania. W tym wpisie...
