Kaspersky SD-WAN

О Kaspersky SD-WAN

Kaspersky SD-WAN используется, чтобы строить программно-определяемые распределенные сети (англ. Software Defined WAN, далее сети SD-WAN) для маршрутизации трафика по каналам передачи данных с применением технологии SDN (Software Defined Networking). Основной особенностью таких сетей является возможность автоматического определения наиболее эффективных маршрутов передачи трафика.

Технология SDN подразумевает разделение плоскости управления сетью (англ. control plane) и плоскости передачи данных (англ. data plane). Плоскость управления сетью состоит из

и . Она контролирует передачу пакетов трафика по сети через (далее устройства CPE, устройства), которые установлены на клиентских площадках и образуют плоскость передачи данных. Альтернативным методом управления сетью является API.

Виртуализация сетевых функций (англ. Network Function Virtualization, NFV) выполняется в соответствии со стандартами, указанными в спецификации NFV MANO (NFV Management and Network Orchestration) Европейского института по стандартизации в области телекоммуникаций (англ. European Telecommunications Standards Institute, ETSI).

Решение предназначено для операторов связи (англ. service providers), а также организаций, имеющих крупную филиальную сеть, и заменяет стандартные маршрутизаторы в распределенных сетях. Процесс развертывания не зависит от транспортных технологий, используемых в вашей сети. Поддерживается использование нескольких туннелей для передачи трафика с учетом требований приложений к пропускной способности и качеству обслуживания.

С помощью Kaspersky SD-WAN вы можете выполнять следующие задачи:

  • Интеллектуальное управление трафиком.
  • Автоматическая настройка устройств CPE. Эта функциональность позволяет задействовать меньше специалистов при развертывании устройств на площадках.
  • Централизованное управление инфраструктурой сети через веб-интерфейс оркестратора. Например, вы можете использовать веб-интерфейс, чтобы настраивать устройства CPE и туннели.
  • Постоянный мониторинг топологии сети и автоматическое реагирование на ее изменение. Например, вы можете настроить передачу трафика по резервному туннелю, если при работе основного туннеля возникает сбой.
  • Автоматическое реагирование сети на изменения качества обслуживания в каналах передачи данных, чтобы соответствовать требованиям различных приложений, используемых в сети.

На рисунке ниже представлена схема сети SD-WAN, которая построена с помощью решения Kaspersky SD-WAN.

На рисунке изображена сеть SD-WAN с двумя удаленными и одним центральным офисом, а также ЦОД и оператором cвязи.

Схема сети SD-WAN

В этом разделе справки

Комплект поставки

Аппаратные и программные требования

Требования к общему хранилищу (shared storage)

Что нового

В начало
[Topic 237477]

Комплект поставки

О приобретении решения вы можете узнать на сайте "Лаборатории Касперского" (https://www.kaspersky.ru) или у компаний-партнеров.

В комплект поставки входят следующие компоненты:

  • Docker-контейнеры для развертывания решения:
    • knaas-ctl;
    • knaas-orc;
    • knaas-www;
    • knass-vnfm;
    • knaas-vnfm-proxy.
  • Прошивка для установки устройств CPE и последующей работы с ними.
  • Файл с текстом Лицензионного соглашения, в котором указано, на каких условиях вы соглашаетесь пользоваться решением.
  • Файлы онлайн-справки Kaspersky SD-WAN для обеспечения возможности просмотра документации без подключения к интернету.

Состав комплекта поставки может отличаться в зависимости от региона, в котором распространяется решение.

В начало
[Topic 249139]

Аппаратные и программные требования

В решение входят следующие программные модули:

  • Оркестратор, который входит в backend-часть решения.
  • Веб-интерфейса оркестратора, который входит во frontend-часть решения.
  • База данных оркестратора (MongoDB версии 5.0.7).
  • .
  • Веб-сервер NGINX, который используется для балансировки запросов HTTP и HTTPS к VNFM и предоставления веб-прокси устройствам CPE и VNF.
  • Резидентная база данных Redis версии 6.2.7.
  • Контроллер SD-WAN.

Модули разворачиваются в виде Docker-контейнеров для независимой установки и масштабирования. При необходимости вы можете предоставлять дополнительные ресурсы каждому модулю (ядра процессора, оперативная память) и распределять их между несколькими серверами, чтобы увеличить общую производительность.

Компоненты Kaspersky SD-WAN могут быть развернуты на нескольких физических серверах или виртуальных машинах (далее также ВМ). Поддерживаются платформы виртуализации KVM и VMware. Вам нужно обеспечить наличие серверов или виртуальных машин для установки Kaspersky SD-WAN, внешней системы мониторинга Zabbix версии 5.0.26, а также контроллера SD-WAN.

Существует два варианта развертывания контроллера:

  • В виде VNF в облачной платформе OpenStack (релиз Xena). Узлы контроллера размещаются на вычислительных узлах.
  • В виде на отдельных виртуальных машинах.

Перед развертыванием Kaspersky SD-WAN убедитесь, что ваша сетевая инфраструктура соответствует следующим аппаратным и программным требованиям.

Аппаратные требования

В таблицах ниже представлены требования к аппаратным ресурсам. Обратите внимание, что эти требования зависят от количества управляемых устройств CPE, которые используются в экземпляре SD-WAN. В таблицах указаны типовые значения, поэтому если требуется рассчитать точные требования для вашей схемы развертывания, обратитесь в техническую поддержку "Лаборатории Касперского".

Аппаратные требования к серверам или виртуальным машинам для развертывания оркестратора

Устройства CPE

Ядра процессора

Оперативная память, ГБ

Дисковое пространство, ГБ

Сетевые адаптеры

Виртуальные машины

до 50

8

8

105

2

3

до 100

8

10

110

2

3

до 250

8

12

125

2

3

до 500

8

16

150

2

3

до 1000

10

24

200

2

3

до 5000

12

32

600

2

3

до 10000

16

64

1100

2

5

Аппаратные требования к серверам или виртуальным машинам для развертывания остальных компонентов решения

Устройства CPE

Ядра процессора

Оперативная память, ГБ

Дисковое пространство, ГБ

Сетевые адаптеры

Контейнеры

Контроллер SD-WAN

до 50

4

8

64

2

3

до 100

6

8

64

2

3

до 250

8

16

64

2

3

до 500

8

16

64

2

6

до 1000

8

16

64

2

12

до 5000

8

16

64

2

60

до 10000

8

16

64

2

120

VNFM

до 50

4

8

20

2

3

до 100

4

8

20

2

3

до 250

4

8

20

2

3

до 500

4

8

20

2

3

до 1000

4

10

20

2

3

до 5000

4

12

20

2

3

до 10000

4

16

20

2

3

Система мониторинга Zabbix

до 50

4

8

100

2

3

до 100

4

10

200

2

3

до 250

6

12

350

2

3

до 500

8

24

600

2

3

до 1000

10

32

1100

2

3

до 5000

12

64

5100

2

3

до 10000

16

128

10100

2

3

Если требуется подключить более 250 устройств CPE, развертываются дополнительные кластеры контроллеров SD-WAN.

Более подробную информацию об аппаратных требованиях к системе мониторинга Zabbix можно получить из официальной документации решения Zabbix.

При развертывании решения настраивается офлайн-карта (англ. offline map). Вам необходимо учитывать следующие требования к свободному дисковому пространству:

  • Офлайн-карта (central-fed-district-latest.osm.pbf) занимает около 100 ГБ.
  • Данные для геокодинга занимают около 10 ГБ.

Мы рекомендуем учитывать возможность использования переподписки на этапе планирования ресурсов для развертывания экземпляра SD-WAN. Максимальный коэффициент переподписки, доступный, когда вы развертываете контейнеры, составляет 3. Коэффициент определяется следующими характеристиками экземпляра SD-WAN:

  • количество используемых устройств CPE;
  • частота изменений состояния сети;
  • скорость передачи трафика;
  • размер передаваемых пакетов трафика.

Требования к каналам

Поддерживаются следующие каналы:

  • транспортные сети MPLS;
  • широкополосные каналы для подключения к интернету;
  • арендуемые линии связи;
  • беспроводные подключения, в том числе 3G, 4G, LTE и 5G;
  • спутниковые каналы связи.

Программные требования

Требуется платформа Docker версии 1.5 или выше. Поддерживаются следующие 64-разрядные операционные системы:

  • Ubuntu версии 20 LTS и выше.
  • Astra Linux версии 1.7 и выше (уровень защищенности: "Орел").

Поддерживаемые браузеры

Вы можете использовать следующие браузеры, чтобы работать с веб-интерфейсом оркестратора:

  • Google Chrome версии 100 и выше.
  • Firefox версии 100 и выше.
  • Microsoft Edge версии 100 и выше.
  • Opera версии 90 и выше.
  • Safari версии 15 и выше.

Требования к устройствам CPE

Kaspersky SD-WAN поддерживает использование следующих устройств:

  • KESR-M1-R-5G-2L-W.
  • KESR-M2-K-5G-1L-W.
  • KESR-M2-K-5G-1S.
  • KESR-M3-K-4G-4S.
  • KESR-M4-K-2X-1CPU.
  • KESR-M4-K-8G-4X-1CPU.
  • KESR-M5-K-8G-4X-2CPU.
  • KESR-M5-K-8X-2CPU.

Специалисты "Лаборатории Касперского" протестировали работоспособность устройств CPE при предоставлении услуги L3 VPN (см. таблицу ниже). На тестируемых устройствах не использовалась технология DPI (Deep Packet Inspection), а также было выключено шифрование трафика.

Протестированные модели устройств CPE (услуга L3 VPN)

Модель

Размер пакетов, байт

Пропускная способность (Мбит/сек)

KESR-M1

 

IMIX (417)

30

Large (1300)

115

KESR-M2

 

IMIX (417)

165

Large (1300)

241

KESR-M3

 

IMIX (417)

805

Large (1300)

1150

KESR-M4

IMIX (417)

1430

Large (1300)

2870

KESR-M5

 

IMIX (417)

2875

Large (1300)

5750

Более подробная информация о характеристиках устройств CPE, которые вы можете использовать в Kaspersky SD-WAN, содержится на официальной странице решения.

В начало
[Topic 239105]

Требования к общему хранилищу (shared storage)

Kaspersky SD-WAN использует общее хранилище (англ. shared storage, далее также хранилище), чтобы обеспечить отказоустойчивость. В этом хранилище содержатся следующие папки с необходимыми оркестратору данными:

  • backups – резервные копии конфигураций VNF и PNF;
  • firmware – прошивки устройств CPE;
  • images – образы VNF;
  • vnf_configs – файлы, которые могут использоваться скриптами при конфигурации VNF;
  • vnf_descriptions – VNF-дескрипторы.

Мы рекомендуем использовать собственное общее хранилище. Существуют следующие требования к развертываемому общему хранилищу:

  • Поддержка одновременной записи и чтения с нескольких хостов.
  • Рекомендованный размер зависит от размера размещаемых файлов, но не менее 40 ГБ доступного защищенного пространства, поддерживающего дальнейшее расширение.
  • Пропускная способность канала передачи данных между хранилищем и оркестратором: не менее 1 ГБит/с, рекомендуется использовать 10-гигабитный Ethernet или 8-гигабитный FC (Fiber Channel).
  • Поддерживаемое значение IOPS (input/output operations per second): не менее 250, рекомендуется не менее 400.
  • Тип хранилища:
    • NFS.
    • iSCSI.
    • FC.
    • CephFS.
  • Хранилище должно быть монтировано.
  • Поддержка сохранения работоспособности при перезагрузке хоста.
В начало
[Topic 251413]

Что нового

В Kaspersky SD-WAN 2.1 появились следующие возможности и доработки:

В начало
[Topic 248911]