Treinamento SD-WAN

Consultoria de Soluções
Agosto/2019
 Underlay vs Overlay

6
5

4
Uma rede sobreposta, ou rede overlay, é uma rede criada virtualmente por
3 cima de uma já existente (underlay). Originalmente, a internet era uma rede
sobreposta, já que ela se utilizava da rede de telefone para funcionar, mas
atualmente, com VoIP, o caso vem se invertendo. Os nós nas redes
sobrepostas podem ser imaginados como sendo conectados por laços
2
virtuais, cada um representando um caminho, que podem passar por
diversos laços físicos, na rede em que estão sobrepostos.
Vantagens
• Escalável
1 • Orquestrada por Software
• Pacotes encapsulados entre origem e destino
• Encaminhamento de tráfego por múltiplos caminhos
• Implantação mais rápida
 Componentes da solução SD-WAN
Orquestrador
 Orquestrador possui toda a inteligência
 Orquestrador é o componente autoritativo
responsável pelas configurações
 Não participa das decisões de roteamento
dos fluxos e redirecionamentos de tráfego

Edge
 Recebe toda a política e configurações do
Orquestrador
 Classifica o tráfego Gateway
 Aplica política baseada em observação da qualidade • Possibilita a conexão com rede MPLS EBT e
dos links feita em tempo real com serviços DC Lapa
 Decisões de roteamento tomadas localmente
SD-WAN vs WAN Híbrida
 Funcionalidades
• BGP • Regras de firewalls de saída em camada 4 e 7 baseadas em aplicações,
• OSPF protocolos, endereço IP de origem e porta, e IP de destino e porta
• Roteamento estático • Rate limit de saída por aplicação
• NAT • Criação de uma camada de abstração entre os links de internet/MPLS
• VRF (Segmentação fim a fim) existentes nas localidades (IPsec overlay) possibilitando funcionalidades
• Throughput de pacotes IP de 64bytes a 1500bytes adicionais, tais como:
• LLQ • Otimização de aplicações
• Policing • Controle inteligente de conexões
• VRRP • Conectividade segura
• TACACS+ • BreakOut Internet local (possibilitar a saída de internet local para
• ACL determinadas aplicações)
• Syslog • DC redundancy (conectar à mais de um datacenter para manter a
• Netflow disponibilidade das aplicações)
• SNMPv2 e v3 • Direcionar tráfego baseado em políticas por aplicação
• NTP • Aplicar o uso inteligente de links com monitoração dinâmica de
• PPPoE Client, DHCP client, IP Fixo na WAN desempenho, degradação e falha
• 802.1Q • WAN link aggregation
• Interfaces 10/100/1000 Ethernet óticas ou Elétricas roteaveis • Failover automático Layer 3 (incluindo conexões VPN)
• Classificação tráfego IP de acordo com os campos DiffServ (DSCP) • 3G / 4G USB modem failover, com modem padrão Claro ZTE MF79S
• Multicast PIM-SM (RFC-2362) • Non-VeloCloud Sites(NVS) - conexão entre o Gateway(VCG) x Firewall (o
• IGMPv2 na LAN qual pode ser do Cliente), via túnel IPSec
• WiFi
 Segurança no SD-WAN
Outras features de segurança
• Segmentação: segregação de tráfego fim
a fim com politicas de filtro especificas
por segmento, isolando assim o impacto
de potenciais incidentes e prevenindo
que ameaças se espalhem via
movimento lateral no site remoto
• Criptografia de 256bits nos túneis IPSec
para tráfego overlay
• Uso de protocolos Netflow e Syslog
que exporta dados capturados pelo
equipamento VeloCloud para uma
central de correlação de eventos de
segurança com recurso SIEM
A política de roteamento é determinada pelo cliente, mas geralmente o encaminhamento de tráfego • Firewall intrínseco com aplicação de
é feita da seguinte forma: regras de saída em camada 4 e 7
• Aplicações corporativas instaladas na matriz (DC privado): convergem para a matriz, por meio baseadas em aplicações, protocolos,
de túnel SD-WAN, com alto desempenho endereço IP de origem e porta, e IP de
• Aplicações corporativas instaladas na nuvem (DC público): convergem, por meio de túnel SD- destino e porta. Preferencialmente
WAN, para o VCG > BBIP > ASs dos provedores de serviço na Nuvem (AWS, Azure etc) aplicado em sites remotos
• Demais serviços Internet. Opções: • Hardening padrão do equipamento CPE
• Internet BreakOut local (sem firewall ou com firewall (VNF ou appliance) para proteção contra ataques destinados
• Cloud Security ao dispositivo
• Internet Backhaul (firewall do cliente no site matriz)
HA (Alta Disponibilidade)
Cluster
1. Each hub reports usage and load stats to the Velocloud Controller (VCC)
periodically. VCC maintains a list of hubs in an increasing order of their
load
2. Branch VCE requests VCC for hub IP address
3. VCC assigns least loaded hub to the branch VCE
4. There will be NO state sync between the hubs in the cluster
5. Branch VCE sets up tunnel to the assigned hub

Data plane session from Branch VCE

to Hub cluster over MPLS / Internet
Control plane session from Branch
and Hub VCEs to the Controller
Topologia Típica (antes do SDWAN)

Neste exemplo, o site Hub / DC hospeda

aplicações corporativas internas e a VPN MPLS
conecta as filiais e o data center. O firewall no
data center fornece acesso central à Internet e
a todo o tráfego Internet das filiais (backhaul).
Em termos de roteamento, cada site remoto
anuncia seu prefixo local para a VPN MPLS e
aprende os prefixos dos outros sites e a rota
padrão da VPN MPLS.
Topologia Típica (depois do SDWAN)
Aproveitando as conexões WAN existentes como MPLS e
Internet, a solução SD-WAN VMware cria uma rede
Overlay para conectar todos os sites SD-WAN
independentemente do transporte Underlay. O site
remoto no canto inferior direito que possui apenas um
circuito Internet vai construir túneis Overlay usando
apenas essa conexão com a Internet, enquanto o outro
site SD-WAN com MPLS + Internet se conectará ao SD-
WAN Overlay construindo túneis usando tanto o MPLS
como o acesso Internet. O posicionamento dos CPEs SD-
WAN (VCEs) no diagrama é lógico e eles não precisam
estar diretamente conectados aos links WAN, já que é
mandatório colocar os HUBs SD-WAN atrás do firewall e
fora do caminho do tráfego do DC (ex. DMZ com serviços
que o cliente publica para a Internet). Após a ativação, os
VCEs usarão o roteamento estático / dinâmico para
aprender as redes subjacentes e permitir tráfego entre a
rede Overlay SD-WAN e os sites remotos não-SD-WANs.
Dimensionamento
 Fluxo de Atividades
• Apresenta solução ao cliente
GC/GDN • Negocia condições comerciais
• Solicita informações necessárias complementares para ativação da rede
• Interage com o cliente e coleta informações da rede para fins de dimensionamento e orçamento da
CSOL proposta de SDWAN. Preenche a planilha de Site Survey, informando quais protocolos serão usados,
serviços disponíveis (ex.: voz) e outros aspectos importantes do projeto.
• Auxilia o CSOL em relação a dúvidas sobre dimensionamento, topologia de rede, protocolos a serem
Serviços RT usados.

• Elabora projeto de alto nível (HLD) da rede do cliente, baseado nas informações de site survey.
Consultoria Primesys • Caso necessário interage com o GC, GDN e CSol para obter as informações necessárias da rede do
cliente para elaborar o projeto HLD.

• Elabora o projeto detalhado de rede (LLD), contendo todos os detalhes necessários para implementar o
Engenharia Primesys projeto, informando como conectar os equipamentos (interfaces), endereços IP e rotas

Gerente de • Coordena as ações de Implantação (entrega de CPEs, infra necessária, interação com o cliente, acessos IP
Implantação etc) e acompanhamento de cronograma/cumprimento de prazos.

Operação / • Configura a rede do cliente de acordo com o projeto detalhado de rede (LLD)
Implantação