Escolar Documentos
Profissional Documentos
Cultura Documentos
Consultoria de Soluções
Agosto/2019
Underlay vs Overlay
6
5
4
Uma rede sobreposta, ou rede overlay, é uma rede criada virtualmente por
3 cima de uma já existente (underlay). Originalmente, a internet era uma rede
sobreposta, já que ela se utilizava da rede de telefone para funcionar, mas
atualmente, com VoIP, o caso vem se invertendo. Os nós nas redes
sobrepostas podem ser imaginados como sendo conectados por laços
2
virtuais, cada um representando um caminho, que podem passar por
diversos laços físicos, na rede em que estão sobrepostos.
Vantagens
• Escalável
1 • Orquestrada por Software
• Pacotes encapsulados entre origem e destino
• Encaminhamento de tráfego por múltiplos caminhos
• Implantação mais rápida
Componentes da solução SD-WAN
Orquestrador
Orquestrador possui toda a inteligência
Orquestrador é o componente autoritativo
responsável pelas configurações
Não participa das decisões de roteamento
dos fluxos e redirecionamentos de tráfego
Edge
Recebe toda a política e configurações do
Orquestrador
Classifica o tráfego Gateway
Aplica política baseada em observação da qualidade • Possibilita a conexão com rede MPLS EBT e
dos links feita em tempo real com serviços DC Lapa
Decisões de roteamento tomadas localmente
SD-WAN vs WAN Híbrida
Funcionalidades
• BGP • Regras de firewalls de saída em camada 4 e 7 baseadas em aplicações,
• OSPF protocolos, endereço IP de origem e porta, e IP de destino e porta
• Roteamento estático • Rate limit de saída por aplicação
• NAT • Criação de uma camada de abstração entre os links de internet/MPLS
• VRF (Segmentação fim a fim) existentes nas localidades (IPsec overlay) possibilitando funcionalidades
• Throughput de pacotes IP de 64bytes a 1500bytes adicionais, tais como:
• LLQ • Otimização de aplicações
• Policing • Controle inteligente de conexões
• VRRP • Conectividade segura
• TACACS+ • BreakOut Internet local (possibilitar a saída de internet local para
• ACL determinadas aplicações)
• Syslog • DC redundancy (conectar à mais de um datacenter para manter a
• Netflow disponibilidade das aplicações)
• SNMPv2 e v3 • Direcionar tráfego baseado em políticas por aplicação
• NTP • Aplicar o uso inteligente de links com monitoração dinâmica de
• PPPoE Client, DHCP client, IP Fixo na WAN desempenho, degradação e falha
• 802.1Q • WAN link aggregation
• Interfaces 10/100/1000 Ethernet óticas ou Elétricas roteaveis • Failover automático Layer 3 (incluindo conexões VPN)
• Classificação tráfego IP de acordo com os campos DiffServ (DSCP) • 3G / 4G USB modem failover, com modem padrão Claro ZTE MF79S
• Multicast PIM-SM (RFC-2362) • Non-VeloCloud Sites(NVS) - conexão entre o Gateway(VCG) x Firewall (o
• IGMPv2 na LAN qual pode ser do Cliente), via túnel IPSec
• WiFi
Segurança no SD-WAN
Outras features de segurança
• Segmentação: segregação de tráfego fim
a fim com politicas de filtro especificas
por segmento, isolando assim o impacto
de potenciais incidentes e prevenindo
que ameaças se espalhem via
movimento lateral no site remoto
• Criptografia de 256bits nos túneis IPSec
para tráfego overlay
• Uso de protocolos Netflow e Syslog
que exporta dados capturados pelo
equipamento VeloCloud para uma
central de correlação de eventos de
segurança com recurso SIEM
A política de roteamento é determinada pelo cliente, mas geralmente o encaminhamento de tráfego • Firewall intrínseco com aplicação de
é feita da seguinte forma: regras de saída em camada 4 e 7
• Aplicações corporativas instaladas na matriz (DC privado): convergem para a matriz, por meio baseadas em aplicações, protocolos,
de túnel SD-WAN, com alto desempenho endereço IP de origem e porta, e IP de
• Aplicações corporativas instaladas na nuvem (DC público): convergem, por meio de túnel SD- destino e porta. Preferencialmente
WAN, para o VCG > BBIP > ASs dos provedores de serviço na Nuvem (AWS, Azure etc) aplicado em sites remotos
• Demais serviços Internet. Opções: • Hardening padrão do equipamento CPE
• Internet BreakOut local (sem firewall ou com firewall (VNF ou appliance) para proteção contra ataques destinados
• Cloud Security ao dispositivo
• Internet Backhaul (firewall do cliente no site matriz)
HA (Alta Disponibilidade)
Cluster
1. Each hub reports usage and load stats to the Velocloud Controller (VCC)
periodically. VCC maintains a list of hubs in an increasing order of their
load
2. Branch VCE requests VCC for hub IP address
3. VCC assigns least loaded hub to the branch VCE
4. There will be NO state sync between the hubs in the cluster
5. Branch VCE sets up tunnel to the assigned hub
• Elabora projeto de alto nível (HLD) da rede do cliente, baseado nas informações de site survey.
Consultoria Primesys • Caso necessário interage com o GC, GDN e CSol para obter as informações necessárias da rede do
cliente para elaborar o projeto HLD.
• Elabora o projeto detalhado de rede (LLD), contendo todos os detalhes necessários para implementar o
Engenharia Primesys projeto, informando como conectar os equipamentos (interfaces), endereços IP e rotas
Gerente de • Coordena as ações de Implantação (entrega de CPEs, infra necessária, interação com o cliente, acessos IP
Implantação etc) e acompanhamento de cronograma/cumprimento de prazos.
Operação / • Configura a rede do cliente de acordo com o projeto detalhado de rede (LLD)
Implantação