Построение сети SD-WAN между устройствами CPE

Для передачи трафика вам нужно построить сеть SD-WAN между устройствами CPE с помощью соединений (англ. links), которые строятся поверх нижележащей сети. Устройства CPE строят соединения со всех доступных интерфейсов SD-WAN с типом WAN. Соединения являются однонаправленными. Это значит, что при построении соединения от устройства CPE 1 до устройства CPE 2 автоматически строится соединение от устройства CPE 2 до устройства CPE 1. Перед построением сети SD-WAN требуется обеспечить сетевую связность между устройствами CPE.

Соединения строятся на основании ролей, которые вы назначаете устройствам CPE. Вы можете назначить устройству CPE роль шлюза SD-WAN или стандартного устройства CPE. Шлюзы SD-WAN строят соединения со всеми стандартными устройствами CPE и другими шлюзами SD-WAN. Стандартные устройства CPE строят соединения только со шлюзами SD-WAN. По умолчанию всем устройствам CPE назначена роль стандартных устройств CPE.

Если вы хотите, чтобы между двумя стандартными устройствами CPE было построено соединение, вам нужно назначить этим стандартным устройствам CPE одинаковый топологический тег. Вы также можете сделать стандартное устройство CPE транзитным, чтобы другие устройства CPE могли строить соединения через это устройство CPE.

Соединения между устройствами CPE образуют топологию. В Kaspersky SD-WAN наиболее распространены следующие топологии:

• Hub-and-Spoke – соединения между устройствами CPE строятся через шлюзы SD-WAN.
• Full-Mesh и Partial-Mesh – соединения между устройствами CPE строятся напрямую, либо частично напрямую, частично через шлюзы SD-WAN.

В рамках сети SD-WAN трафик между устройствами CPE может передаваться по нескольким путям. Пути проходят через соединения между устройствами CPE. Совокупность всех возможных путей между двумя устройствами CPE называется сегментом. Трафик может быть разделен по нескольким путям на устройстве CPE источника сегмента и передан устройству CPE назначения сегмента. Один сегмент может содержать от 2 до 16 путей.

Поддерживаются следующие типы путей:

• Auto-SPF (Shortest-Path Forwarding) – автоматически рассчитываемый контроллером путь. Вы можете передавать трафик по путям Auto-SPF в двух режимах:
  • Active/Active – при передаче трафика между устройствами CPE одновременно используются несколько путей Auto-SPF.
  • Active/Standby – при передаче трафика между устройствами CPE используется один путь Auto-SPF с наименьшей стоимостью. Если используемый путь Auto-SPF становится недоступным, используется следующий путь Auto-SPF с наименьшей стоимостью. Стоимость пути складывается из стоимости каждого соединения, через которое проходит путь. Вы можете указать стоимость соединений вручную.

  Режим передачи трафика по путям Auto-SPF можно определить при настройке путей.

• Auto-TE (Traffic Engineering) – автоматически рассчитываемый контроллером путь, учитывающий указанные вами пороговые ограничения.
• Manual-TE – путь, который вы создаете вручную. При создании пути Manual-TE вам нужно указать соединения, через которые путь проходит от устройства CPE источника сегмента до устройства CPE назначения сегмента.

О топологии Hub-and-Spoke

Развернуть все | Свернуть все

В рамках топологии Hub-and-Spoke центральная площадка (англ. hub site) подключается к нескольким удаленным площадкам (англ. spoke sites) для обмена трафиком. Эта топология является наиболее распространенной при построении сетей SD-WAN, так как упрощает процесс управления сетью и предоставляет более высокий уровень безопасности путем маршрутизации трафика через центральную площадку, где выполняется анализ и типизация трафика. Использование топологии Hub-and-Spoke также позволяет более эффективно использовать полосу пропускания за счет оптимизации и приоритизации трафика на центральной площадке.

Для построения топологии Hub-and-Spoke вам нужно назначить устройствам CPE роли шлюзов SD-WAN и стандартных устройств CPE. В этом случае шлюзы SD-WAN строят соединения с другими шлюзами SD-WAN и стандартными устройствами CPE, а стандартные устройства CPE строят соединения только со шлюзами SD-WAN.

Вы можете использовать качество обслуживания, чтобы ограничить полосу пропускания для устройств CPE или классов трафика.

Примеры топологии Hub-and-Spoke:

• Топология Hub-and-Spoke без связи между удаленными площадками.

  На рисунке ниже представлена топология Hub-and-Spoke, в рамках которой удаленные площадки связываются с центральной площадкой и не могут напрямую связаться друг с другом. Сети SD-WAN, построенные с применением этой топологии, просты в проектировании и обслуживании, потому что все необходимые сетевые сервисы и приложения размещаются в одном центре обработки данных.

  При регистрации устройства CPE автоматически добавляются в управляющий транспортный сервис с ролью Leaf и могут находиться за NAT (Network Address Translation) и PAT (Port Address Translation). В рамках такой топологии Hub-and-Spoke невозможна передача трафика напрямую между устройствами CPE.

  

  Топология Hub-and-Spoke без связи между удаленными площадками

• Топология Hub-and-Spoke со связью между удаленными площадками через центральную площадку.

  На рисунке ниже представлена топология Hub-and-Spoke, в рамках которой удаленные площадки могут связываться друг с другом через центральную площадку. При регистрации устройства CPE автоматически добавляются в управляющий транспортный сервис и могут находиться за NAT и PAT.

  

  Топология Hub-and-Spoke со связью между удаленными площадками через центральную плошадку

О топологиях Full-Mesh и Partial-Mesh

Развернуть все | Свернуть все

В рамках топологий Full-Mesh и Partial-Mesh между стандартными устройствами CPE строятся соединения. Построение соединений между стандартными устройствами CPE имеет следующие преимущества по сравнению с топологией Hub-and-Spoke, в рамках которой стандартные устройства CPE связываются друг с другом через шлюзы SD-WAN:

• Улучшенные характеристики качества соединений, такие как задержка (англ. delay), потеря пакетов (англ. loss) и джиттер (англ. jitter).
• Большая пропускная способность соединений.
• Сохранение аппаратных ресурсов шлюзов SD-WAN.

Для построения топологии Full-Mesh вам нужно назначить устройствам CPE роль стандартных устройств CPE и назначить стандартным устройствам CPE один и тот же топологический тег. В этом случае стандартные устройства CPE с одинаковыми топологическими тегами строят соединения друг с другом.

Для построения топологии Partial-Mesh вам нужно назначить устройствам CPE роли шлюзов SD-WAN и стандартных устройств CPE, а также назначить стандартным устройствам CPE один и тот же топологический тег. В этом случае шлюзы SD-WAN строят соединения с другими шлюзами SD-WAN и стандартными устройствами CPE, а стандартные устройства CPE строят соединения со шлюзами SD-WAN и друг с другом, если стандартным устройствам CPE назначен одинаковый топологический тег. Если вы хотите разделить стандартные устройства CPE на группы, вам нужно назначить стандартным устройствам CPE в каждой группе уникальный топологический тег, а также назначить хотя бы одному стандартному устройству CPE в каждой группе одинаковый топологический тег.

Вы можете использовать качество обслуживания, чтобы ограничить полосу пропускания для устройств CPE или классов трафика.

Примеры топологий Full-Mesh и Partial-Mesh:

• Топология Full-Mesh.

  На рисунке ниже представлена топология Full-Mesh, в рамках которой все устройства CPE строят соединения друг с другом. Трафик между устройствами CPE 1 и CPE 2 пересылается напрямую. При большом количестве устройств CPE и соединений такая топология может оказаться чрезвычайно требовательной к ресурсам контроллера.

  

  Топология Full-Mesh

• Топология Partial-Mesh.

  На рисунке ниже представлена топология Partial-Mesh. Такая топология используется, когда соединения между некоторыми устройствами CPE могут быть нежелательны по административным причинам или невозможны по техническим причинам. В этой топологии вы можете сгруппировать устройства CPE таким образом, что устройства CPE в одной группе связываются друг с другом напрямую и связываются с устройствами CPE из других групп через транзитное устройство CPE.

  

  Топология Partial-Mesh

  Устройство CPE может входить одновременно в несколько групп, как показано на рисунке ниже.

  

  Топология Partial-Mesh, устройства СРЕ входят в несколько групп

При построении соединений между устройствами CPE, в зависимости от типа связности устройств CPE через физические соединения, возможны следующие варианты наложенной связности:

• Все физические соединения имеют прямую IP-связность между собой.

  За счет связности в пределах интернета устройства CPE могут построить максимальное количество соединений между собой (см. рисунок ниже).

  

  Полная физическая связность между устройствами CPE

• Физические соединения имеют частичную IP-связность между собой.

  На рисунке ниже облако интернета и облако MPLS не связаны между собой, поэтому соединения можно построить только через интерфейсы SD-WAN с типом WAN, принадлежащие одному и тому же облаку. Соединения CPE1:WAN0 → CPE2:WAN1 и CPE1:WAN1 → CPE2:WAN0 невозможно построить.

  

  Возможны и другие сценарии связности наложенной сети, если IP-связность между SD-WAN интерфейсами с типом WAN устройств СРЕ в пределах одного облака невозможна по другим причинам, например при использовании топологии MPLS, не поддерживающей прямую связь между устройствами CPE, либо из-за наличия NAT/PAT или ACL в интернете.

Назначение роли устройству CPE

Вы можете назначить роль шаблону CPE или устройству CPE. Роль, назначенная шаблону CPE, автоматически назначается всем устройствам CPE, которые используют этот шаблон CPE.

Чтобы назначить роль устройству CPE:

1. Перейдите к назначению роли устройству CPE одним из следующих способов:
   • Если вы хотите назначить роль шаблону CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите вкладку Топология.
   • Если вы хотите назначить роль устройству CPE, выполните одно из следующих действий:
     • В меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Топология и установите флажок Переопределить.
     • В меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Топологические теги и в раскрывающемся списке Коммутатор выберите устройство CPE.
2. В раскрывающемся списке Роль выберите роль устройства CPE:
   • CPE – стандартное устройство CPE. Значение по умолчанию.
   • Шлюз – шлюз SD-WAN. Вы не можете назначать топологические теги шлюзам SD-WAN.
3. Сохраните роль устройства CPE одним из следующих способов:
   • Если вы назначили роль шаблону CPE или устройству CPE в разделе SD-WAN, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.
   • Если вы назначили роль устройству CPE в разделе Топологические теги, в верхней части страницы нажмите на кнопку Сохранить.

Роль будет назначена устройству CPE.

Назначение топологического тега устройству CPE

Вы можете назначить топологический тег шаблону CPE или устройству CPE. Топологический тег, назначенный шаблону CPE, автоматически назначается всем устройствам CPE, которые используют этот шаблон CPE. Устройства CPE с одинаковыми топологическими тегами автоматически строят соединения друг с другом. Топологический тег невозможно назначить устройству CPE, если вы назначили этому устройству CPE роль шлюза SD-WAN.

Чтобы назначить топологический тег устройству CPE:

1. Перейдите к назначению топологического тега устройству CPE одним из следующих способов:
   • Если вы хотите назначить топологический тег шаблону CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите вкладку Топология.
   • Если вы хотите назначить топологический тег устройству CPE, выполните одно из следующих действий:
     • В меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Топология и установите флажок Переопределить.
     • В меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Топологические теги и в раскрывающемся списке Коммутатор выберите устройство CPE.

   Отобразятся топологические теги.

2. В поле Топологические теги введите топологический тег, который вы хотите назначить устройству CPE, и нажмите на значок добавления .

   Топологический тег будет назначен устройству CPE. Вы можете назначить несколько топологических тегов и удалить топологический тег. Для удаления топологического тега нажмите рядом с ним на значок удаления .

3. Сохраните топологические теги устройства CPE одним из следующих способов:
   • Если вы назначили топологический тег шаблону CPE или устройству CPE в разделе SD-WAN, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.
   • Если вы назначили топологический тег устройству CPE в разделе Топологические теги, в верхней части страницы нажмите на кнопку Сохранить.

Настройка путей

Вы можете настроить пути в сегменте, шаблоне CPE или на устройстве CPE. Параметры путей, указанные в сегменте или шаблоне CPE, автоматически распространяются на все устройства CPE, которые входят в этот сегмент или используют этот шаблон CPE. Параметры путей, указанные на устройстве CPE, автоматически распространяются на все устройства CPE, которые входят в один сегмент с этим устройством CPE.

Чтобы настроить пути:

1. Перейдите к настройке путей одним из следующих способов:
   • Если вы хотите настроить пути в сегменте, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Сегменты и нажмите на кнопку Управление → Изменить рядом с сегментом.
   • Если вы хотите настроить пути в шаблоне CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите вкладку Мультипутевая передача.
   • Если вы хотите настроить пути на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE и выберите вкладку Мультипутевая передача.

   Отобразятся параметры путей.

2. В поле Максимум транспортных путей введите максимальное количество путей, поддерживаемое устройством CPE или сегментом. Диапазон значений: от 1 до 16. Значение по умолчанию: 8.
3. В поле Максимум Auto-SPF введите максимальное количество путей Auto-SPF, поддерживаемое устройством CPE или сегментом. Пути Auto SPF автоматически рассчитываются контроллером. Диапазон значений: от 1 до 8. Значение по умолчанию: 2.

   Если вы хотите, чтобы трафик передавался между устройствами CPE в режиме Active/Active, введите значение больше 1 в этом поле. Если вы хотите, чтобы трафик передавался между устройствами CPE в режиме Active/Standby, введите значение 1 в этом поле.

4. В поле Множитель разброса стоимости введите во сколько раз стоимость пути может быть больше стоимости пути с самой низкой стоимостью в вашей сети SD-WAN, чтобы этот путь был добавлен в сегмент. Диапазон значений: от 1.0 до 10.0. Значение по умолчанию: 10. Вы не можете ввести значение в этом поле, если установлен флажок Балансировка трафика с учетом веса.

   Например, если вы ввели 2 в этом поле и наименьшая стоимость пути в вашей сети SD-WAN составляет 10 000, в сегмент могут быть добавлены пути со стоимостью до 20 000. В режиме Active/Standby значение в этом поле определяет, какой путь Auto-SPF используется, если предыдущий путь Auto-SPF становится недоступным.

5. Если вы хотите, чтобы пути добавлялись в сегмент вне зависимости от их стоимости, установите флажок Балансировка трафика с учетом веса. По умолчанию флажок снят.
6. Сохраните параметры путей одним из следующих способов:
   • Если вы настроили пути в сегменте, нажмите на кнопку Сохранить, чтобы сохранить параметры сегмента.
   • Если вы настроили пути в шаблоне CPE или на устройстве CPE, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.

Параметры путей будут сохранены.

Работа с соединениями

Вы можете просмотреть соединения одним из следующих способов:

• Для отображения таблицы соединений, установленных с устройства CPE, вам нужно в меню перейти в раздел SD-WAN → Устройства CPE, нажать на устройство CPE и выбрать вкладку Соединения.
• Для отображения таблицы всех соединений вам нужно в меню перейти в раздел Инфраструктура, нажать на кнопку Управление → Меню конфигурации рядом с контроллером и перейти в раздел Соединения.
• Для отображения графической топологии со всеми соединениями вам нужно в меню перейти в раздел Инфраструктура, нажать на кнопку Управление → Меню конфигурации рядом с контроллером и перейдите в раздел Топология.

При просмотре таблицы соединений информация о соединениях отображается в следующих столбцах таблицы:

• Источник – имя, идентификатор DPID и номер OpenFlow-порта устройства CPE источника соединения.
• Назначение – имя, идентификатор DPID и номер OpenFlow-порта устройства CPE назначения соединения.
• Нежелательный – контроллер использует соединение в последнюю очередь при расчете пути независимо от показателей мониторинга:
  • Y.
  • N.
• Пороговый мониторинг – мониторинг соединения:
  • Y.
  • N.
• MTU – значение MTU на соединении.
• Ошибок/секунду – количество ошибок в секунду на соединении.
• Использование (%) – загруженность соединения в процентах от скорости сервисного интерфейса источника.
• Задержка (мс.) – время задержки в миллисекундах при передаче трафика через соединение.
• Джиттер (мс.) – время джиттера в миллисекундах при передаче трафика через соединение.
• Потеря пакетов (%) – процент потерь пакетов трафика на соединении.
• Скорость (Мбит/сек.) – скорость передачи трафика через соединение в мегабитах в секунду.
• Стоимость – стоимость соединения.

Действия, которые вы можете выполнить с таблицей, описаны в инструкции Работа с таблицами компонентов решения.

Указание стоимости соединения

Чтобы указать стоимость соединения:

1. Перейдите к указанию стоимости соединения одним из следующих способов:
   • Если вы хотите указать стоимость соединения, установленного с устройства CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Соединения и нажмите на кнопку Управление → Указать стоимость рядом с соединением.
   • Если вы хотите указать стоимость одного из соединений в таблице всех соединений, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Соединения и нажмите на кнопку Управление → Указать стоимость рядом с соединением.
   • Если вы хотите указать стоимость одного из соединений в графической топологии со всеми соединениями, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Топология, нажмите на соединение и нажмите на кнопку Указать стоимость.
2. В открывшемся окне установите флажок Переопределить, чтобы указать стоимость соединения. По умолчанию флажок снят.
3. В поле Стоимость туннеля введите стоимость соединения. Если вы хотите указать такую же стоимость для встречного соединения, установите флажок Сохранить для обоих туннелей. По умолчанию флажок снят.
4. Нажмите на кнопку Сохранить.

   Стоимость соединения будет указана.

5. Если вы указали стоимость соединения, установленного с устройства CPE, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Включение функции Dampening

Функция Dampening – это настраиваемый механизм, исключающий использование нестабильных соединений, состояние которых меняется слишком часто, при расчете путей. Для определения нестабильности соединений учитываются изменения следующих состояний:

• UP/LIVE → DOWN/NOT-LIVE.
• DOWN/NOT-LIVE → UP/LIVE.
• UP/LIVE → UP/NOT-LIVE.
• UP/NOT-LIVE → UP/LIVE.

Когда функция Dampening включена, каждое изменение состояния соединения, увеличивает значение показателя Penalty. Если показатель Penalty достигает порогового значения за указанный промежуток времени, доступ к соединению ограничивается (его стоимость повышается в 10 000 раз на указанный промежуток времени). Вы указываете значение каждого из этих параметров при включении функции Dampening. По умолчанию доступ к соединению возобновляется, если в течение 10 минут не происходит ни одного изменения состояния этого соединения.

Чтобы включить функцию Dampening:

1. Перейдите ко включению функции Dampening одним из следующих способов:
   • Если вы хотите включить функцию Dampening на соединении, установленном с устройства CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Соединения и нажмите на кнопку Управление → Dampening рядом с соединением.
   • Если вы хотите включить функцию Dampening на одном из соединений в таблице всех соединений, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Соединения и нажмите на кнопку Управление → Dampening рядом с соединением.
   • Если вы хотите включить функцию Dampening на одном из соединений в графической топологии со всеми соединениями, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Топология, нажмите на соединение и нажмите на кнопку Dampening.
2. В открывшемся окне установите флажок Включить, чтобы включить функцию Dampening на соединении. По умолчанию флажок снят.
3. В поле Максимальное время блокировки (мс.) введите время в миллисекундах, в течение которого доступ к соединению может быть ограничен. По истечении указанного времени все счетчики функции Dampening на соединении сбрасываются. Значение по умолчанию: 600000.
4. В поле Штраф введите число, которое прибавляется к показателю Penalty при изменении состояния соединения. Значение по умолчанию: 1.
5. В поле Порог блокировки введите значение показателя Penalty, при котором доступ к соединению ограничивается. Значение по умолчанию: 4.
6. В поле Интервал обновления (мс.) введите время в миллисекундах, за которое показатель Penalty должен набрать значение, указанное в поле Порог блокировки, чтобы доступ к соединению был ограничен. Значение по умолчанию: 120000.
7. Если вы хотите просмотреть статистику работы функции Dampening на соединении, нажмите на кнопку Загрузить статистику.
8. Нажмите на кнопку Сохранить.

   Функция Dampening будет включена на соединении.

9. Если вы включили функцию Dampening на соединении, установленном с устройства CPE, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Включение функции Forward Error Correction

Функция Forward Error Correction или прямая коррекция ошибок (далее также FEC) снижает потери пакетов трафика на соединениях, особенно для UDP-приложений, и количество повторных передач пакетов (англ. retransmissions), которые ведут к задержкам, а также восстанавливает принимаемые данные на устройстве CPE. Восстановление данных обеспечивается избыточным кодированием потока данных на устройстве CPE источника.

Устройство CPE источника кодирует поток передающихся через соединение пакетов трафика и добавляет избыточные пакеты трафика. Использование кодирования на устройствах CPE может привести к задержкам, вызванным дополнительной обработкой данных.

Устройство CPE назначения буферизует принятые через соединение пакеты трафика и декодирует их, восстанавливая потерянные пакеты трафика, если это возможно. Мы рекомендуем использовать FEC на noisy links (или зашумленных соединениях) для уменьшения потери пакетов трафика и увеличения скорости TCP-соединений. Общая схема работы функции FEC представлена на рисунке ниже.

Схема работы функции FEC

Чтобы включить функцию FEC:

1. Перейдите ко включению функции FEC одним из следующих способов:
   • Если вы хотите включить функцию FEC на соединении, установленном с устройства CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Соединения и нажмите на кнопку Управление → FEC/реорганизация рядом с соединением.
   • Если вы хотите включить функцию FEC на одном из соединений в таблице всех соединений, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Соединения и нажмите на кнопку Управление → FEC/реорганизация рядом с соединением.
   • Если вы хотите включить функцию FEC на одном из соединений в графической топологии со всеми соединениями, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Топология, нажмите на соединение и нажмите на кнопку FEC/реорганизация.
2. В открывшемся окне установите флажок Переопределить, чтобы включить функцию FEC на соединении. По умолчанию флажок снят.
3. В раскрывающемся списке Степень избыточности (исходные/дополнительные пакеты) выберите соотношение между оригинальными пакетами трафика и дополнительными пакетами трафика с избыточным кодом. Значение по умолчанию: 0:0 FEC off – функция FEC не используется. Вы также можете указать соотношение между оригинальными пакетами трафика и избыточными пакетами трафика с избыточным кодом с помощью свойства контроллера topology.link.fec.ratio.
4. В поле Время введите время в миллисекундах, в течение которого пакет трафика может находиться в очереди для применения функции FEC. Диапазон значений: от 1 до 1000.
5. Нажмите на кнопку Сохранить.

   Функция FEC будет включена.

6. Если вы включили функцию FEC на соединении, установленном с устройства CPE, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Определение значения MTU

Вы можете определить значение MTU на соединении, чтобы понять, почему на соединении происходит блокирование фрагментированных пакетов (см. рисунок ниже).

Соединения с пониженным размером MTU и сбросом фрагментированных пакетов

Значение MTU определяется за счет отправки LLDP-пакетов с переменным размером полезной нагрузки (англ. payload) через соединение. Минимальный определяемый размер значения MTU составляет 1280 байт, максимальный – 1500 байт. Определение значения MTU происходит автоматически при включении устройств CPE, а также с интервалом времени, указанным с помощью свойства контроллера topology.link.pmtud.scheduler.interval.sec.

Вы можете определить значение MTU вручную.

Чтобы вручную определить значение MTU,

перейдите к определению значения MTU вручную одним из следующих способов:

• Если вы хотите вручную определить значение MTU на соединении, установленном с устройства CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Соединения и нажмите на кнопку Управление → Проверить MTU рядом с соединением.
• Если вы хотите вручную определить значение MTU на одном из соединений в таблице всех соединений, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Соединения и нажмите на кнопку Управление → Проверить MTU рядом с соединением.

Значение MTU отобразится в столбце MTU.

Шифрование трафика

Шифрование трафика – это механизм, обеспечивающий безопасную передачу трафика между устройствами CPE через соединения. Например, вы можете шифровать трафик, который передается через незащищенные соединения.

Шифрование трафика не отменяет необходимости использовать другие средства защиты информации, такие как TLS, LDAPS и другие протоколы, защищающие трафик внутри наложенной сети.

Контроллер автоматически генерирует ключи для шифрования и дешифровки трафика и передает их устройствам CPE. Трафик шифруется на устройстве CPE источника с помощью ключа для шифрования. Устройство CPE назначения дешифрует трафик с помощью ключа для дешифровки.

Используемые ключи регулярно обновляются, чтобы у третьих лиц не было возможности зашифровать или дешифровать передаваемый трафик при перехватывании ключа. Вы можете указать время, по прошествии которого ключи обновляются на устройствах CPE, с помощью свойства контроллера topology.link.encryption.key.update.interval.minutes.

Шифрование трафика поддерживается только на устройствах CPE с программным обеспечением Kaspersky SD-WAN.

Если шифрование трафика включено на устройстве CPE, все соединения, построенные с использованием этого устройства CPE, передают зашифрованный трафик (включая новые соединения, которые будут построены позже). Если шифрование трафика выключено на устройстве CPE, оно передает незашифрованный трафик. При выключении шифрования трафика на устройстве CPE, которое до этого передавало зашифрованный трафик, ключи, сгенерированные контроллером для шифрования и дешифровки трафика, удаляются со всех связанных устройств CPE.

Шифрование трафика также можно включить или выключить на соединениях. Например, вы можете включить шифрование трафика на устройстве CPE, но выключить его на соединении, которое построено с использованием этого устройства CPE. При включении или выключении шифрования трафика на соединении вам нужно аналогичным образом настроить встречное соединение.

Включение шифрования трафика на устройстве CPE

Вы можете включить шифрование трафика в шаблоне CPE или на устройстве CPE. Параметры шифрования трафика, указанные в шаблоне CPE, автоматически распространяются на все устройства CPE, которые используют этот шаблон CPE.

Чтобы включить шифрование трафика на устройстве CPE:

1. Перейдите ко включению шифрования трафика на устройстве CPE одним из следующих способов:
   • Если вы хотите включить шифрование трафика в шаблоне CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите вкладку Шифрование туннеля.
   • Если вы хотите включить шифрование трафика на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Шифрование туннеля и установите флажок Переопределить.

   Отобразится политика шифрования трафика.

2. В раскрывающемся списке Политика шифрования по умолчанию выберите одно из следующих значений:
   • Включено.
   • Выключено. Значение по умолчанию.
3. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.

Включение шифрования трафика на соединении

При включении или выключении шифрования трафика на соединении вам нужно аналогичным образом настроить встречное соединение.

Чтобы включить шифрование трафика на соединении:

1. Перейдите ко включению шифрования трафика на соединении одним из следующих способов:
   • Если вы хотите включить шифрование трафика на соединении, установленном с устройства CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Соединения и нажмите на кнопку Управление → Включить шифрование рядом с соединением.
   • Если вы хотите включить шифрование трафика на одном из соединений в таблице всех соединений, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Соединения и нажмите на кнопку Управление → Включить шифрование рядом с соединением.
   • Если вы хотите включить шифрование трафика на одном из соединений в графической топологии со всеми соединениями, в меню перейдите в раздел Инфраструктура, нажмите на кнопку Управление → Меню конфигурации рядом с контроллером, перейдите в раздел Топология, нажмите на соединение и нажмите на кнопку Включить шифрование.
2. В открывшемся окне установите флажок Переопределить. По умолчанию флажок снят.
3. Установите флажок Включить шифрование, чтобы включить шифрование трафика на соединении. По умолчанию флажок снят.
4. Нажмите на кнопку Сохранить.

   Шифрование трафика будет включено на соединении.

5. Если вы включили шифрование трафика на соединении, установленном с устройства CPE, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Работа с сегментами

Для отображения таблицы сегментов вам нужно в меню перейти в раздел Инфраструктура, нажать на кнопку Управление → Меню конфигурации рядом с контроллером и перейти в раздел Сегменты. Информация о сегментах отображается в следующих столбцах таблицы:

• От – имя и идентификатор DPID устройства CPE источника сегмента.
• До – имя и идентификатор DPID устройства CPE назначения сегмента.
• Пути/максимум – количество построенных путей и максимальное количество путей, поддерживаемых сегментом.
• # – порядковый номер пути. Чем меньше порядковый номер пути, тем раньше путь был построен.
• Тип пути – тип пути:
  • Auto SPF.
  • Auto TE.
  • Manual TE.
• Транспортные пути – имена, идентификаторы DPID и номера OpenFlow-портов устройств CPE, через которые проходит путь.
• Административное состояние – административное состояние пути:
  • работает.
  • не работает.
• Оперативное состояние – операционное состояние пути:
  • работает.
  • не работает.
• Стоимость – стоимость пути.
• Количество хопов – количество хопов в пути.

Действия, которые вы можете выполнить с таблицей, описаны в инструкции Работа с таблицами компонентов решения.

При создании или изменении пути Manual-TE в сегменте вы можете просмотреть таблицу хопов, добавленных в путь Manual-TE. Информация о хопах отображается в следующих столбцах таблицы:

• # – порядковый номер хопа. Чем меньше порядковый номер хопа, тем раньше хоп был добавлен.
• От – имя, идентификатор DPID и номер OpenFlow-порта устройства CPE источника хопа.
• До – имя, идентификатор DPID и номер OpenFlow-порта устройства CPE назначения хопа.
• Стоимость – стоимость хопа.

В нижней части таблицы отображается общая стоимость пути Manual-TE.

Создание пути Manual-TE

При создании пути Manual-TE вам нужно вручную указать соединения, через которые он проходит от устройства CPE источника сегмента до устройства CPE назначения сегмента. Поддерживается создание двух типов путей Manual-TE:

• Полностью определенный путь Manual-TE, в котором указано каждое устройство CPE и сервисный интерфейс, через которые проходит этот путь Manual-TE.
• Гибридный путь Manual-TE, в котором указано одно или несколько устройств CPE и сервисных интерфейсов, через которые проходит этот путь Manual-TE. В этом случае между не указанными участками пути Manual-TE трафик передается автоматически (используется путь Auto-SPF).

Вы можете использовать ограничения Manual-TE, чтобы добавить пути Manual-TE в транспортные сервисы.

Чтобы создать путь Manual-TE:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. Нажмите на кнопку Управление → Меню конфигурации рядом с контроллером.

   Откроется меню настройки контроллера. По умолчанию вы перейдете в раздел Узлы контроллера, в котором отображается таблица узлов контроллера.

3. Перейдите в раздел Сегменты.

   Отобразится таблица сегментов.

4. Нажмите на кнопку Управление → Изменить рядом с сегментом, в котором вы хотите создать путь Manual-TE.

   Отобразятся параметры и таблица путей.

5. Нажмите на кнопку + Путь Manual-TE.

   Отобразятся параметры пути Manual-TE и таблица хопов.

6. В поле Имя ведите имя пути Manual-TE.
7. В поле Максимум хопов введите максимальное количество хопов в пути Manual-TE. Диапазон значений: от 1 до 8. Значение по умолчанию: 4.
8. Добавьте хоп в путь Manual-TE:
   1. В раскрывающемся списке От слева выберите устройство CPE источника хопа.

      Если вы добавляете первый хоп в путь Manual-TE, в качестве устройства CPE источника хопа вы можете выбрать только устройство CPE источника сегмента. Если вы добавили хотя бы один хоп в путь Manual-TE, в качестве устройства CPE источника хопа вы можете выбрать только устройство CPE назначения предыдущего хопа.

   2. При необходимости в раскрывающемся списке Порт слева выберите OpenFlow-порт источника хопа. Значение по умолчанию: Автоматически – OpenFlow-порт определяется автоматически.
   3. В раскрывающемся списке До справа выберите устройство CPE назначения хопа.

      Если для устройства CPE источника хопа в раскрывающемся списке Порт выбрано значение Автоматически, в качестве устройства CPE назначения хопа вы можете выбрать любое устройство CPE, за исключением тех, что используются в других хопах. В этом случае для устройства CPE назначения хопа в раскрывающемся списке Порт выбирается значение Автоматически и OpenFlow-порт определяется автоматически. Таким образом, в хопе используется путь Auto-SPF.

      Если для устройства CPE источника хопа в раскрывающемся списке Порт выбран OpenFlow-порт, в качестве устройства CPE назначения хопа вы можете выбрать только устройство CPE, до которого от этого OpenFlow-порта построено соединение. В этом случае для устройства CPE назначения хопа в раскрывающемся списке Порт автоматически выбирается OpenFlow-порт, до которого построено соединение. Таким образом, в хопе используется соединение между двумя устройствами CPE.

   4. При необходимости в раскрывающемся списке Порт справа выберите OpenFlow-порт устройства CPE назначения хопа. Значение по умолчанию: Автоматически – OpenFlow-порт определяется автоматически.
   5. Нажмите на кнопку Добавить.

      Хоп будет добавлен и отобразится в таблице. Вы можете добавить несколько хопов и удалить хоп. Для удаления хопа нажмите рядом с ним на кнопку Удалить.

9. Нажмите на кнопку Создать.

   Будет выполнена проверка, что устройство CPE назначения последнего хопа совпадает с устройством CPE назначения сегмента, в котором вы создаете путь Manual-TE. При успешной проверке путь Manual-TE будет создан и отобразится в таблице, а в столбце Стоимость отобразится стоимость пути Manual-TE, которая складывается из стоимости всех хопов, которые вы добавили в этот путь Manual-TE.

10. Нажмите на кнопку Сохранить, чтобы сохранить параметры сегмента.

Изменение пути Manual-TE

Чтобы изменить путь Manual-TE:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. Нажмите на кнопку Управление → Меню конфигурации рядом с контроллером.

   Откроется меню настройки контроллера. По умолчанию вы перейдете в раздел Узлы контроллера, в котором отображается таблица узлов контроллера.

3. Перейдите в раздел Сегменты.

   Отобразится таблица сегментов.

4. Нажмите на кнопку Управление → Изменить рядом с сегментом, в котором вы хотите изменить путь Manual-TE.

   Отобразятся параметры и таблица путей.

5. Нажмите на кнопку Изменить рядом с путем Manual-TE, который вы хотите изменить.

   Отобразятся параметры пути Manual-TE и таблица хопов.

6. При необходимости измените параметры пути Manual-TE. Описание параметров см. в инструкции по созданию пути Manual-TE.
7. Нажмите на кнопку Сохранить.

   Путь Manual-TE будет изменен и обновится в таблице.

8. Нажмите на кнопку Сохранить, чтобы сохранить параметры сегмента.

Удаление пути Manual-TE

Удаленные пути Manual-TE невозможно восстановить.

Чтобы удалить путь Manual-TE:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления ресурсами. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров.

2. Нажмите на кнопку Управление → Меню конфигурации рядом с контроллером.

   Откроется меню настройки контроллера. По умолчанию вы перейдете в раздел Узлы контроллера, в котором отображается таблица узлов контроллера.

3. Перейдите в раздел Сегменты.

   Отобразится таблица сегментов.

4. Нажмите на кнопку Управление → Изменить рядом с сегментом, в котором вы хотите удалить путь Manual-TE.

   Отобразятся параметры и таблица путей.

5. Нажмите на кнопку Удалить рядом с путем Manual-TE, который вы хотите удалить.

   Путь Manual-TE будет удален и перестанет отображаться в таблице.

6. Нажмите на кнопку Сохранить, чтобы сохранить параметры сегмента.