Kaspersky SD-WAN
- Справка Kaspersky SD-WAN
- О Kaspersky SD-WAN
- Архитектура решения
- Развертывание Kaspersky SD-WAN
- Резервирование компонентов решения
- Об архиве установки
- О режимах выполнения действий attended, unattended и partially attended
- Подготовка устройства администратора
- Работа с паролями
- Настройка конфигурационного файла
- Изменение графических элементов веб-интерфейса оркестратора
- Замена вышедшего из строя узла контроллера
- Обновление Kaspersky SD-WAN
- Удаление Kaspersky SD-WAN
- Вход и выход из веб-интерфейса оркестратора
- Лицензирование Kaspersky SD-WAN
- Интерфейс решения
- Переход к API оркестратора
- Управление инфраструктурой Kaspersky SD-WAN
- Работа с доменами
- Работа с центрами обработки данных
- Работа с подсетями управления
- Работа с контроллерами
- Работа с VIM
- Управление пользователями и их правами доступа
- Работа с правами доступа
- Работа с LDAP-подключениями
- Работа с пользователями
- Работа с группами LDAP-пользователей
- Включение и выключение двухфакторной аутентификации для всех пользователей
- Работа с запросами на подтверждение
- Ограничение продолжительности пользовательского сеанса
- Просмотр и завершение активных пользовательских сеансов
- Мультитенантность
- Управление устройствами CPE
- О взаимодействии между устройством CPE и оркестратором
- О взаимодействии между устройством CPE и контроллером
- Учетные данные по умолчанию устройств CPE модели KESR
- Сценарий: автоматическая регистрация устройства CPE (ZTP)
- Сценарий: развертывание на платформе виртуализации VMware и автоматическая регистрация (ZTP) устройства vCPE
- Сценарий: повторная регистрация устройства CPE
- Работа с шаблонами CPE
- Работа с устройствами CPE
- Добавление устройства CPE
- Генерация веб-адреса с базовыми параметрами устройства CPE
- Регистрация устройства CPE вручную
- Отмена регистрации устройства CPE
- Указание адреса устройства CPE
- Включение и выключение устройства CPE
- Перезагрузка устройства CPE
- Выключение питания устройства CPE
- Подключение к консоли устройства CPE
- Просмотр пароля устройства CPE
- Экспорт параметров подключения к оркестратору и контроллеру, и интерфейсов SD-WAN из устройства CPE
- Экспорт сетевых интерфейсов из устройства CPE
- Изменение идентификатора DPID устройства CPE
- Удаление устройств CPE
- Двухфакторная аутентификация устройства CPE
- Работа с сертификатами
- Автоматическое удаление и выключение устройств CPE
- Группировка устройств CPE с помощью тегов
- Настройка журналов на устройствах CPE
- Указание NTP-серверов на устройствах CPE
- Работа с модемами
- Обновление прошивки
- Обновление прошивки на устройстве CPE вручную
- Загрузка прошивки в веб-интерфейс оркестратора
- Запланированное обновление прошивки на выбранных устройствах CPE
- Запланированное обновление прошивки на устройствах CPE с указанными тегами
- Восстановление прошивки устройства CPE модели KESR-M1
- Восстановление прошивки устройства CPE модели KESR-M2–5
- Соответствие моделей устройств CPE с версиями прошивок
- Удаление прошивки
- Дополнительная настройка устройств CPE с помощью скриптов
- Работа с сетевыми интерфейсами
- Создание сетевых интерфейсов
- Создание сетевого интерфейса с автоматическим назначением IP-адреса по протоколу DHCP
- Создание сетевого интерфейса со статическим IPv4-адресом
- Создание сетевого интерфейса со статическим IPv6-адресом
- Создание сетевого интерфейса для подключения к LTE-сети
- Создание сетевого интерфейса для подключения к PPPoE-серверу
- Создание сетевого интерфейса без IP-адреса
- Изменение сетевого интерфейса
- Выключение и включение сетевого интерфейса
- Отмена применения параметров сетевых интерфейсов к устройству CPE
- Удаление сетевого интерфейса
- Создание сетевых интерфейсов
- Настройка подключения устройства CPE к оркестратору и контроллеру
- Работа с интерфейсами SD-WAN
- Работа с сервисными интерфейсами
- Работа с группами OpenFlow-портов
- Настройка UNI для подключения устройств CPE к сетевым сервисам
- Добавление статического маршрута
- Фильтрация маршрутов и пакетов трафика
- Обмен маршрутами по протоколу BGP
- Обмен маршрутами по протоколу OSPF
- Обнаружение ошибок маршрутизации с помощью протокола BFD
- Обеспечение высокой доступности с помощью протокола VRRP
- Передача multicast-трафика с помощью протоколов PIM и IGMP
- Работа с виртуальными таблицами маршрутизации (VRF)
- Отслеживание информации о пакетах трафика с помощью протокола NetFlow
- Диагностика устройства CPE
- Выполнение запланированных задач на устройствах CPE
- Диапазоны IP-адресов и подсетей для устройств CPE
- Управление межсетевым экраном
- Работа с зонами межсетевого экрана
- Работа с передачами
- Работа с шаблонами межсетевого экрана
- Настройка основных параметров межсетевого экрана
- Настройка маркировки DPI
- Работа с правилами межсетевого экрана
- Работа с наборами IP
- Работа с DNAT-правилами
- Работа с SNAT-правилами
- Изменение шаблона межсетевого экрана устройства CPE
- Управление сетевыми сервисами и виртуализация сетевых функций
- Работа с шаблонами сетевых сервисов
- Работа с сетевыми сервисами
- Создание сетевого сервиса
- Изменение сетевого сервиса
- Развертывание сетевого сервиса
- Проверка консистентности сетевого сервиса
- Повторное развертывание сетевого сервиса
- Выключение и включение автоматического восстановления сетевого сервиса
- Просмотр журнала работы сетевого сервиса
- Удаление сетевого сервиса
- Сценарий: развертывание виртуальной сетевой функции
- Сценарий: развертывание физической сетевой функции
- Работа с пакетами VNF и PNF
- Указание краткого описания общего сетевого сервиса
- Работа с виртуальными сетевыми функциями
- Выбор варианта развертывания виртуальной сетевой функции
- Настройка внешних точек подключения виртуальной сетевой функции
- Настройка основных параметров виртуальной сетевой функции
- Размещение виртуальной сетевой функции в центре обработки данных и на устройстве uCPE
- Остановка и запуск виртуальной сетевой функции или входящей в ее состав VDU
- Пауза и снятие с паузы виртуальной сетевой функции или входящей в ее состав VDU
- Перевод виртуальной сетевой функции или входящей в ее состав VDU в состояние сна и активное состояние
- Программная перезагрузка виртуальной сетевой функции или входящей в ее состав VDU
- Аппаратная перезагрузка виртуальной сетевой функции или входящей в ее состав VDU
- Повторное развертывание виртуальной сетевой функции или входящей в ее состав VDU
- Автоматическое восстановление виртуальной сетевой функции или входящей в ее состав VDU
- Работа с снимками состояния VDU
- Работа с физическими сетевыми функциями
- Настройка P2P-сервиса
- Настройка P2M-сервиса
- Настройка M2M-сервиса
- Настройка общей сети (OS 2 SHARED)
- Настройка виртуального маршрутизатора (OS vRouter)
- Настройка VLAN
- Настройка VXLAN
- Настройка плоской сети
- Настройка UNI
- Мониторинг компонентов решения
- Указание сервера Zabbix
- Указание сервера Zabbix-прокси
- Настройка мониторинга устройств CPE
- Просмотр результатов мониторинга
- Просмотр проблем
- Просмотр состояния решения и его компонентов
- Просмотр журналов
- Просмотр и удаление сервисных запросов
- Отправка уведомлений об устройствах CPE пользователям
- Выбор уровня детализации журналов Docker-контейнеров
- Мониторинг устройств CPE, VNF и PNF с помощью протокола SNMP
- Мониторинг соединения
- Построение сети SD-WAN между устройствами CPE
- Качество обслуживания (QoS)
- Передача трафика между устройствами CPE и клиентскими устройствами с помощью транспортных сервисов
- Дублирование пакетов трафика
- Сценарий: направление трафика приложения в транспортный сервис
- Работа с транспортными сервисами Point-to-Point (P2P)
- Работа с транспортными сервисами Point-to-Multipoint (P2M)
- Работа с транспортными сервисами Multipoint-to-Multipoint (M2M)
- Работа с транспортными сервисами L3 VPN
- Работа с транспортными сервисами IP multicast
- Работа с транспортными сервисами в шаблоне экземпляра SD-WAN
- Работа с транспортными сервисами в шаблоне CPE
- Зеркалирование и перенаправление трафика между устройствами CPE
- Приложения
- Глоссарий
- Контроллер
- Оркестратор
- Пакет PNF
- Пакет VNF
- Плоскость передачи данных
- Плоскость управления сетью
- Тенант
- Транспортная стратегия
- Шлюз SD-WAN
- Экземпляр SD-WAN
- Customer Premise Equipment (CPE)
- Physical Network Function (PNF)
- Port security
- Software-Defined Networking (SDN)
- Software-Defined Wide Area Network (SD-WAN)
- Universal CPE (uCPE)
- Virtual Deployment Unit (VDU)
- Virtual Infrastructure Manager (VIM)
- Virtual Network Function Manager (VNFM)
- Обращение в Службу технической поддержки
- Информация о стороннем коде
- Уведомления о товарных знаках
Управление сетевыми сервисами и виртуализация сетевых функций
Сетевые сервисы
Сетевые сервисы передают трафик по сети и применяют к нему сетевые функции, например WAN-оптимизацию, шейпинг и защиту трафика. Каждый сетевой сервис имеет топологию, которую вы строите с помощью графического конструктора. В топологию можно добавить компоненты и подключить их друг к другу.
Вы можете построить топологию в шаблоне сетевого сервиса, после назначить этот шаблон сетевого сервиса тенанту. Вместе с шаблоном сетевого сервиса тенанту автоматически назначаются добавленные в топологию шаблона компоненты. Тенант может создавать и разворачивать сетевые сервисы, при необходимости используя назначенные шаблоны сетевых сервисов, а также изменять уже развернутые сетевые сервисы.
С помощью сетевых сервисов вы можете развернуть экземпляры SD-WAN. Сетевой сервис для развертывания экземпляра SD-WAN называется сетевым сервисом SD-WAN (далее сервис SD-WAN).
Пример построенной топологии сетевого сервиса представлен на рисунке ниже.
Топология сетевого сервиса
Виртуализация сетевых функций
Виртуализация сетевых функций (англ. network function virtualization, далее также NFV) позволяет использовать виртуализированные хранилища, вычислительные ресурсы и сети для предоставления сетевых функций и их объединения в сетевые сервисы.
Вы можете разворачивать виртуальные сетевые функции (англ. Virtual Network Functions, далее также VNF) и физические сетевые функции (Physical Network Functions, далее также PNF) в сетевых сервисах. Разница между виртуальными и физическими сетевыми функциями заключается в том, что оркестратор не управляет жизненным циклом физических сетевых функций. Поддерживается использование сетевых функций сторонних производителей.
Kaspersky SD-WAN соответствует архитектуре, указанной в спецификации NFV MANO (NFV Management and Network Orchestration) ETSI, которая представлена следующими основными функциональными компонентами:
- Оркестратор.
Контролирует инфраструктуру решения, выполняет функции оркестратора NFV (NFVO), а также управляет сетевыми сервисами и распределенными VNFM. Вы можете управлять оркестратором с помощью веб-интерфейса и REST API при использовании внешних северных (англ. northbound) систем.
- Менеджер виртуальных сетевых функций (VNFM).
Управляет жизненным циклом виртуальных сетевых функций с помощью SSH, плейбуков Ansible, скриптов и атрибутов Cloud-init.
- Менеджер виртуальной инфраструктуры.
Управляет вычислительными и сетевыми ресурсами, а также ресурсами хранения в рамках инфраструктуры NFV. Используется для связи сетевых функций с помощью виртуальных соединений, подсетей и портов.
Может быть развернут в центре обработки данных или на устройстве uCPE. Развертывание VIM в центре обработки данных, подразумевает централизованное управление жизненным циклом VNF, в то время как VIM, развернутый на устройстве uCPE, позволяет доставлять VNF на удаленные площадки и управлять этими VNF локально. Развернутый VIM требуется добавить в веб-интерфейс оркестратора.
В качестве VIM используется облачная платформа OpenStack.
- Система мониторинга Zabbix – отслеживает состояние виртуальных и физических сетевых функций и сообщает оркестратору о необходимости восстановить или масштабировать сетевую функцию.
- Инфраструктура NFV – состоит из физических ресурсов, таких как аппаратные хранилища, серверы и сетевые устройства.
- Контроллер.
Централизованно управляет наложенной сетью:
- строит сетевую топологию;
- создает транспортные сервисы;
- управляет устройствами CPE по протоколу OpenFlow;
- распределяет трафик между соединениями;
- обеспечивает мониторинг соединений и автоматически переключает трафик на резервное соединение, если основное соединение выходит из строя.
Для развертывания контроллера вам нужно развернуть физическую сетевую функцию контроллера, которая содержится в архиве установки. Контроллер управляется оркестратором.
На рисунке ниже показана взаимосвязь между компонентами решения и инфраструктурой NFV. Белым цветом отмечены компоненты внешних решений, зеленым – компоненты Kaspersky SD-WAN, а красными линиями – связи между компонентами.
Инфраструктура NFV