Содержание
О Kaspersky SD-WAN
Kaspersky SD-WAN используется, чтобы строить программно-определяемые распределенные сети (англ. Software Defined WAN, далее сети SD-WAN) для маршрутизации трафика по каналам передачи данных с применением технологии SDN (Software Defined Networking). Основной особенностью таких сетей является возможность автоматического определения наиболее эффективных маршрутов передачи трафика.
Технология SDN подразумевает разделение плоскости управления сетью (англ. control plane) и плоскости передачи данных (англ. data plane). Плоскость управления сетью состоит из
и . Она контролирует передачу пакетов трафика по сети через (далее устройства CPE, устройства), которые установлены на клиентских площадках и образуют плоскость передачи данных. Альтернативным методом управления сетью является API.Виртуализация сетевых функций (англ. Network Function Virtualization, NFV) выполняется в соответствии со стандартами, указанными в спецификации NFV MANO (NFV Management and Network Orchestration) Европейского института по стандартизации в области телекоммуникаций (англ. European Telecommunications Standards Institute, ETSI).
Решение предназначено для операторов связи (англ. service providers), а также организаций, имеющих крупную филиальную сеть, и заменяет стандартные маршрутизаторы в распределенных сетях. Процесс развертывания не зависит от транспортных технологий, используемых в вашей сети. Поддерживается использование нескольких туннелей для передачи трафика с учетом требований приложений к пропускной способности и качеству обслуживания.
С помощью Kaspersky SD-WAN вы можете выполнять следующие задачи:
- Интеллектуальное управление трафиком.
- Автоматическая настройка устройств CPE. Эта функциональность позволяет задействовать меньше специалистов при развертывании устройств на площадках.
- Централизованное управление инфраструктурой сети через веб-интерфейс оркестратора. Например, вы можете использовать веб-интерфейс, чтобы настраивать устройства CPE и туннели.
- Постоянный мониторинг топологии сети и автоматическое реагирование на ее изменение. Например, вы можете настроить передачу трафика по резервному туннелю, если при работе основного туннеля возникает сбой.
- Автоматическое реагирование сети на изменения качества обслуживания в каналах передачи данных, чтобы соответствовать требованиям различных приложений, используемых в сети.
На рисунке ниже представлена схема сети SD-WAN, которая построена с помощью решения Kaspersky SD-WAN.
Схема сети SD-WAN
Комплект поставки
О приобретении решения вы можете узнать на сайте "Лаборатории Касперского" (https://www.kaspersky.ru) или у компаний-партнеров.
В комплект поставки входят следующие компоненты:
- Docker-контейнеры для развертывания решения:
- knaas-ctl;
- knaas-orc;
- knaas-www;
- knass-vnfm;
- knaas-vnfm-proxy.
- Прошивка для установки устройств CPE и последующей работы с ними.
- Файл с текстом Лицензионного соглашения, в котором указано, на каких условиях вы соглашаетесь пользоваться решением.
- Файлы онлайн-справки Kaspersky SD-WAN для обеспечения возможности просмотра документации без подключения к интернету.
Состав комплекта поставки может отличаться в зависимости от региона, в котором распространяется решение.
В началоАппаратные и программные требования
В решение входят следующие программные модули:
- Оркестратор, который входит в backend-часть решения.
- Веб-интерфейса оркестратора, который входит во frontend-часть решения.
- База данных оркестратора (MongoDB версии 5.0.7).
- .
- Веб-сервер NGINX, который используется для балансировки запросов HTTP и HTTPS к VNFM и предоставления веб-прокси устройствам CPE и VNF.
- Резидентная база данных Redis версии 6.2.7.
- Контроллер SD-WAN.
Модули разворачиваются в виде Docker-контейнеров для независимой установки и масштабирования. При необходимости вы можете предоставлять дополнительные ресурсы каждому модулю (ядра процессора, оперативная память) и распределять их между несколькими серверами, чтобы увеличить общую производительность.
Компоненты Kaspersky SD-WAN могут быть развернуты на нескольких физических серверах или виртуальных машинах (далее также ВМ). Поддерживаются платформы виртуализации KVM и VMware. Вам нужно обеспечить наличие серверов или виртуальных машин для установки Kaspersky SD-WAN, внешней системы мониторинга Zabbix версии 5.0.26, а также контроллера SD-WAN.
Существует два варианта развертывания контроллера:
- В виде VNF в облачной платформе OpenStack (релиз Xena). Узлы контроллера размещаются на вычислительных узлах.
- В виде на отдельных виртуальных машинах.
Перед развертыванием Kaspersky SD-WAN убедитесь, что ваша сетевая инфраструктура соответствует следующим аппаратным и программным требованиям.
Аппаратные требования
В таблицах ниже представлены требования к аппаратным ресурсам. Обратите внимание, что эти требования зависят от количества управляемых устройств CPE, которые используются в экземпляре SD-WAN. В таблицах указаны типовые значения, поэтому если требуется рассчитать точные требования для вашей схемы развертывания, обратитесь в техническую поддержку "Лаборатории Касперского".
Аппаратные требования к серверам или виртуальным машинам для развертывания оркестратора
Устройства CPE |
Ядра процессора |
Оперативная память, ГБ |
Дисковое пространство, ГБ |
Сетевые адаптеры |
Виртуальные машины |
---|---|---|---|---|---|
до 50 |
8 |
8 |
105 |
2 |
3 |
до 100 |
8 |
10 |
110 |
2 |
3 |
до 250 |
8 |
12 |
125 |
2 |
3 |
до 500 |
8 |
16 |
150 |
2 |
3 |
до 1000 |
10 |
24 |
200 |
2 |
3 |
до 5000 |
12 |
32 |
600 |
2 |
3 |
до 10000 |
16 |
64 |
1100 |
2 |
5 |
Аппаратные требования к серверам или виртуальным машинам для развертывания остальных компонентов решения
Устройства CPE |
Ядра процессора |
Оперативная память, ГБ |
Дисковое пространство, ГБ |
Сетевые адаптеры |
Контейнеры |
---|---|---|---|---|---|
Контроллер SD-WAN |
|||||
до 50 |
4 |
8 |
64 |
2 |
3 |
до 100 |
6 |
8 |
64 |
2 |
3 |
до 250 |
8 |
16 |
64 |
2 |
3 |
до 500 |
8 |
16 |
64 |
2 |
6 |
до 1000 |
8 |
16 |
64 |
2 |
12 |
до 5000 |
8 |
16 |
64 |
2 |
60 |
до 10000 |
8 |
16 |
64 |
2 |
120 |
VNFM |
|||||
до 50 |
4 |
8 |
20 |
2 |
3 |
до 100 |
4 |
8 |
20 |
2 |
3 |
до 250 |
4 |
8 |
20 |
2 |
3 |
до 500 |
4 |
8 |
20 |
2 |
3 |
до 1000 |
4 |
10 |
20 |
2 |
3 |
до 5000 |
4 |
12 |
20 |
2 |
3 |
до 10000 |
4 |
16 |
20 |
2 |
3 |
Система мониторинга Zabbix |
|||||
до 50 |
4 |
8 |
100 |
2 |
3 |
до 100 |
4 |
10 |
200 |
2 |
3 |
до 250 |
6 |
12 |
350 |
2 |
3 |
до 500 |
8 |
24 |
600 |
2 |
3 |
до 1000 |
10 |
32 |
1100 |
2 |
3 |
до 5000 |
12 |
64 |
5100 |
2 |
3 |
до 10000 |
16 |
128 |
10100 |
2 |
3 |
Если требуется подключить более 250 устройств CPE, развертываются дополнительные кластеры контроллеров SD-WAN.
Более подробную информацию об аппаратных требованиях к системе мониторинга Zabbix можно получить из официальной документации решения Zabbix.
При развертывании решения настраивается офлайн-карта (англ. offline map). Вам необходимо учитывать следующие требования к свободному дисковому пространству:
- Офлайн-карта (central-fed-district-latest.osm.pbf) занимает около 100 ГБ.
- Данные для геокодинга занимают около 10 ГБ.
Мы рекомендуем учитывать возможность использования переподписки на этапе планирования ресурсов для развертывания экземпляра SD-WAN. Максимальный коэффициент переподписки, доступный, когда вы развертываете контейнеры, составляет 3. Коэффициент определяется следующими характеристиками экземпляра SD-WAN:
- количество используемых устройств CPE;
- частота изменений состояния сети;
- скорость передачи трафика;
- размер передаваемых пакетов трафика.
Требования к каналам
Поддерживаются следующие каналы:
- транспортные сети MPLS;
- широкополосные каналы для подключения к интернету;
- арендуемые линии связи;
- беспроводные подключения, в том числе 3G, 4G, LTE и 5G;
- спутниковые каналы связи.
Программные требования
Требуется платформа Docker версии 1.5 или выше. Поддерживаются следующие 64-разрядные операционные системы:
- Ubuntu версии 20 LTS и выше.
- Astra Linux версии 1.7 и выше (уровень защищенности: "Орел").
Поддерживаемые браузеры
Вы можете использовать следующие браузеры, чтобы работать с веб-интерфейсом оркестратора:
- Google Chrome версии 100 и выше.
- Firefox версии 100 и выше.
- Microsoft Edge версии 100 и выше.
- Opera версии 90 и выше.
- Safari версии 15 и выше.
Требования к устройствам CPE
Kaspersky SD-WAN поддерживает использование следующих устройств:
- KESR-M1-R-5G-2L-W.
- KESR-M2-K-5G-1L-W.
- KESR-M2-K-5G-1S.
- KESR-M3-K-4G-4S.
- KESR-M4-K-2X-1CPU.
- KESR-M4-K-8G-4X-1CPU.
- KESR-M5-K-8G-4X-2CPU.
- KESR-M5-K-8X-2CPU.
Специалисты "Лаборатории Касперского" протестировали работоспособность устройств CPE при предоставлении услуги L3 VPN (см. таблицу ниже). На тестируемых устройствах не использовалась технология DPI (Deep Packet Inspection), а также было выключено шифрование трафика.
Протестированные модели устройств CPE (услуга L3 VPN)
Модель |
Размер пакетов, байт |
Пропускная способность (Мбит/сек) |
---|---|---|
KESR-M1
|
IMIX (417) |
30 |
Large (1300) |
115 |
|
KESR-M2
|
IMIX (417) |
165 |
Large (1300) |
241 |
|
KESR-M3
|
IMIX (417) |
805 |
Large (1300) |
1150 |
|
KESR-M4 |
IMIX (417) |
1430 |
Large (1300) |
2870 |
|
KESR-M5
|
IMIX (417) |
2875 |
Large (1300) |
5750 |
Более подробная информация о характеристиках устройств CPE, которые вы можете использовать в Kaspersky SD-WAN, содержится на официальной странице решения.
В началоТребования к общему хранилищу (shared storage)
Kaspersky SD-WAN использует общее хранилище (англ. shared storage, далее также хранилище), чтобы обеспечить отказоустойчивость. В этом хранилище содержатся следующие папки с необходимыми оркестратору данными:
- backups – резервные копии конфигураций VNF и PNF;
- firmware – прошивки устройств CPE;
- images – образы VNF;
- vnf_configs – файлы, которые могут использоваться скриптами при конфигурации VNF;
- vnf_descriptions – VNF-дескрипторы.
Мы рекомендуем использовать собственное общее хранилище. Существуют следующие требования к развертываемому общему хранилищу:
- Поддержка одновременной записи и чтения с нескольких хостов.
- Рекомендованный размер зависит от размера размещаемых файлов, но не менее 40 ГБ доступного защищенного пространства, поддерживающего дальнейшее расширение.
- Пропускная способность канала передачи данных между хранилищем и оркестратором: не менее 1 ГБит/с, рекомендуется использовать 10-гигабитный Ethernet или 8-гигабитный FC (Fiber Channel).
- Поддерживаемое значение IOPS (input/output operations per second): не менее 250, рекомендуется не менее 400.
- Тип хранилища:
- NFS.
- iSCSI.
- FC.
- CephFS.
- Хранилище должно быть монтировано.
- Поддержка сохранения работоспособности при перезагрузке хоста.
Что нового
В Kaspersky SD-WAN 2.1 появились следующие возможности и доработки:
- Поддержан протокол динамической маршрутизации OSPF.
- Поддержаны дополнительные сценарии соединения между устройствами CPE в случае расположения шлюза SD-WAN за NAT.
- Поддержаны дополнительные сценарии работы устройств CPE с одновременным использованием каналов Internet и MPLS.
- Поддержана настройка IP-адресов контроллера на WAN-интерфейсах устройств CPE.
- Поддержана работа с картой топологии SD-WAN без подключения к сети.
- Добавлена ротация токена и пароля для устройств CPE.
- Поддержано шифрование данных мониторинга при их отправке вне туннеля SD-WAN.