Работа с интерфейсами SD-WAN

Интерфейсы SD-WAN – это логические интерфейсы над сетевыми интерфейсами устройства CPE и OpenFlow-портами виртуального коммутатора, образующие дополнительный уровень абстракции. Каждый интерфейс SD-WAN ссылается на сетевой интерфейс по имени сетевого интерфейса и на OpenFlow-порт по номеру OpenFlow-порта. Существуют следующие типы интерфейсов SD-WAN:

• Интерфейсы SD-WAN с типом LAN – созданные по умолчанию интерфейсы SD-WAN, ссылающиеся на сетевые интерфейсы, которые подключены к LAN. Вы не можете удалить и создать интерфейс SD-WAN с типом LAN, но можете изменить его, чтобы указать максимальную скорость и настроить очереди трафика.
• Интерфейсы SD-WAN с типом WAN – интерфейсы SD-WAN, ссылающиеся на сетевые интерфейсы, которые подключены к WAN.
• Интерфейс SD-WAN с типом management – созданный по умолчанию интерфейс SD-WAN, ссылающийся на сетевой интерфейс, который используется для пассивного мониторинга устройства CPE системой мониторинга Zabbix, а также для подключения оркестратора к устройству CPE по протоколу SSH. Вы не можете удалить и создать интерфейс SD-WAN с типом management.

Таблица интерфейсов SD-WAN отображается в шаблоне CPE и на устройстве CPE:

• Для отображения таблицы интерфейсов SD-WAN в шаблоне CPE вам нужно в меню перейти в раздел SD-WAN → Шаблоны CPE, нажать на шаблон CPE и выбрать вкладку Параметры SD-WAN → Интерфейсы.
• Для отображения таблицы интерфейсов SD-WAN на устройстве CPE вам нужно в меню перейти в раздел SD-WAN → Устройства CPE, нажать на устройство CPE и выбрать вкладку Параметры SD-WAN → Интерфейсы.

Информация об интерфейсах SD-WAN отображается в следующих столбцах таблицы:

• Тип – тип интерфейса SD-WAN:
  • WAN.
  • LAN.
  • Management.
• Унаследовано – интерфейс SD-WAN унаследован из шаблона CPE:
  • Да.
  • Нет.

  Этот столбец отображается только на устройстве CPE.

• Порт – номер OpenFlow-порта.
• Псевдоним – имя сетевого интерфейса.
• Максимальная скорость – максимальная скорость интерфейса SD-WAN в мегабитах в секунду.

Дополнительная информация о проверках WAN, к которым подключены интерфейсы SD-WAN с типом WAN отображается в следующих столбцах таблицы:

• IP для отслеживания – IP-адреса хостов для проверки доступности WAN.
• Надежность – минимальное количество успешных проверок для признания WAN доступной.
• Количество – количество запросов хостам в рамках одной проверки WAN.
• Время – время ожидания ответа от хостов в миллисекундах.
• Интервал – интервал времени в секундах для проверки WAN.
• Down – количество безуспешных проверок для признания WAN недоступной.
• Up – количество успешных проверок для признания WAN доступной.
• Мониторинг скорости – скорость интерфейса SD-WAN с типом WAN измеряется:
  • Да.
  • Нет.

О передаче контроллеру информации об интерфейсах SD-WAN с типом WAN

При создании создании или изменении интерфейсов SD-WAN с типом WAN вы можете указать, какую информацию требуется передать контроллеру.

Передача контроллеру публичных IP-адресов и UDP-портов интерфейсов SD-WAN с типом WAN

Для построения соединений между устройствами CPE контроллеру необходимо получить информацию о публичных IP-адресах интерфейсов SD-WAN с типом WAN. По умолчанию контроллер получает эту информацию с помощью управляющей сессии. В этом случае в качестве публичного IP-адреса используется IP-адрес источника.

Вы можете указать IP-адреса и UDP-порты интерфейсов SD-WAN с типом WAN вручную. На рисунке ниже устройство CPE 1 и контроллер находятся в одной локальной сети и выходят в интернет, используя один межсетевой экран, который транслирует IP-адреса.

Если при установке сессии между интерфейсом SD-WAN с типом WAN устройства CPE 1 и публичным IP-адресом контроллера (1.1.1.2) межсетевой экран невозможно настроить таким образом, чтобы контроллер транслировал частный IP-адрес в публичный (10.0.1.1 > 1.1.1.1), контроллер не в состоянии получить информацию о публичном IP-адресе интерфейса SD-WAN с типом WAN и передать его другим устройствам CPE в топологии (устройство CPE 2).

В результате между устройствами CPE 1 и 2 невозможно построить соединение, устройство CPE 1 становится изолированным и не может быть добавлено в общую

Устройство CPE 1 и контроллер находятся за NAT и связаны с устройством CPE 2

Передача контроллеру IP-адресов интерфейсов SD-WAN с типом WAN, находящихся в изолированной сети

Интерфейсы SD-WAN с типом WAN могут находиться в изолированной сети без возможности установить управляющую сессию с контроллером, но при этом они могут быть использованы для построения соединений. В этом случае контроллер не может получить информацию об IP-адресах изолированных интерфейсов SD-WAN с типом WAN и использовать ее для построения соединений между устройствами CPE.

На рисунке ниже устройства CPE 1 и 2 имеют по два интерфейса SD-WAN с типом WAN, но могут установить управляющую сессию с контроллером только через wan0, так как wan1 находятся в изолированной сети (MPLS), которая не имеет доступа к контроллеру. При этом оба wan1 могут быть использованы, чтобы построить соединение.

Если у одного из устройств CPE выходит из строя соединение для взаимодействия с контроллером, все остальные соединения также не могут быть использованы, даже если они сохраняют работоспособность, так как контроллер исключает устройство из топологии.

IP-адреса изолированных интерфейсов SD-WAN с типом WAN передаются контроллеру через оркестратор.

Устройства CPE 1`и 2 связаны друг с другом через MPLS, а также с контроллером через интернет

Фрагментация пакетов

Kaspersky SD-WAN проверяет, поддерживается ли фрагментация пакетов трафика на устройствах CPE. Проверка фрагментации пакетов запускается автоматически. При включении каждое устройство CPE отправляет два ICMP-запроса на IP-адреса, которые вы указали при создании или изменении интерфейсов SD-WAN с типом WAN.

Отправленные ICMP-запросы имеют размер пакета 1600 байт. Если хотя бы один из этих запросов получает ответ, проверка фрагментации пакетов на устройстве CPE считается успешной. Вы можете просмотреть результат проверки фрагментации в столбце Фрагментация таблицы устройств CPE или таблицы соединений.

Очереди трафика на интерфейсах SD-WAN

На интерфейсах SD-WAN может использоваться не более 8 очередей трафика. Для каждой очереди трафика требуется указать минимальную и максимальную скорость в процентах от общей скорости, указанной для интерфейса SD-WAN. Сумма всех указанных для очередей трафика значений минимальной скорости передачи не должна превышать 100%.

Очереди трафика имеют строгий приоритет, и не зарезервированная полоса пропускания сначала предлагается трафику из очереди с более высоким приоритетом. Каждой очереди трафика гарантируется минимальная полоса пропускания в соответствии с указанной для нее минимальной скоростью. Верхнее ограничение максимальной скорости для более приоритетных очередей трафика необходимо, чтобы предоставить доступ к полосе пропускания трафику из менее приоритетных очередей.

Вы можете настроить очереди трафика при создании интерфейсов SD-WAN с типом WAN или изменении интерфейсов SD-WAN с типом WAN, либо LAN.

Операторы связи (англ. service providers) могут использовать разные политики качества обслуживания для маркировки очередей трафика в своих сетях и выполнения требований SLA для пропуска клиентского трафика. Поэтому при одновременном подключении к сетям разных операторов связи устройства CPE могут перемаркировывать трафик из разных очередей для каждого интерфейса SD-WAN с типом WAN. Для настройки перемаркировки трафика вам нужно изменить значение типа обслуживания (англ. Type of Service, далее также ToS) при настройке очередей трафика на интерфейсе SD-WAN.

Вы можете изменить только значения ToS внешних заголовков пакетов трафика, исходящих из интерфейсов SD-WAN с типом WAN. Изменение недоступно для значений ToS внутренних заголовков пакетов трафика.

Создание интерфейса SD-WAN с типом WAN

Вы можете создать интерфейс SD-WAN с типом WAN в шаблоне CPE или на устройстве CPE. Интерфейс SD-WAN с типом WAN, созданный в шаблоне CPE, автоматически создается на всех устройствах CPE, которые используют шаблон CPE.

Чтобы создать интерфейс SD-WAN с типом WAN:

1. Перейдите к созданию интерфейса SD-WAN с типом WAN одним из следующих способов:
   • Если вы хотите создать интерфейс SD-WAN с типом WAN в шаблоне CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите вкладку Параметры SD-WAN → Интерфейсы.
   • Если вы хотите создать интерфейс SD-WAN с типом WAN на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE и выберите вкладку Параметры SD-WAN → Интерфейсы.

   Отобразится таблица интерфейсов SD-WAN.

2. Нажмите на кнопку + Интерфейс SD-WAN.
3. В открывшемся окне в поле OpenFlow-интерфейс введите номер OpenFlow-порта, который создается на виртуальном коммутаторе.
4. В поле Интерфейс (псевдоним) введите имя созданного сетевого интерфейса, на который ссылается интерфейс SD-WAN с типом WAN.
5. В поле Максимальная скорость введите максимальную скорость интерфейса SD-WAN с типом WAN в мегабитах в секунду. Диапазон значений: от 1 до 100 000. Значение по умолчанию: 1000.
6. Настройте проверку доступности WAN, к которой подключен интерфейс SD-WAN с типом WAN:
   1. Укажите хост для проверки доступности WAN. Для этого в блоке IP для отслеживания введите IP-адрес хоста и нажмите на кнопку + Добавить.

      Хост будет указан и отобразится в блоке IP для отслеживания. Вы можете указать несколько хостов и удалить хост. Для удаления хоста нажмите рядом с ним на значок удаления .

   2. В поле IP для проверки фрагментации введите IPv4-адрес хоста, до которого проверяется поддержка фрагментации. Значение по умолчанию: 1.1.1.1.
   3. В поле Надежность введите минимальное количество успешных проверок для признания WAN доступной. Значение по умолчанию: 1.

      Вам нужно убедиться, что количество хостов не превышает количество IP-адресов, указанных в блоке IP для отслеживания. В противном случае WAN всегда будет считаться недоступной.

   4. В поле Интервал введите интервал проверки WAN в секундах. Диапазон значений: от 1 до 600. Значение по умолчанию: 2.
   5. В поле Количество введите количество запросов хостам в рамках одной проверки WAN. Диапазон значений: от 1 до 600. Значение по умолчанию: 2.
   6. В поле Время введите время ожидания ответа от хостов в миллисекундах. Диапазон значений: от 1 до 100 000. Значение по умолчанию: 2000.
   7. В поле Down введите количество безуспешных проверок для признания WAN недоступной. Диапазон значений: от 1 до 600. Значение по умолчанию: 3.
   8. В поле Up введите количество успешных проверок для признания WAN доступной. Диапазон значений: от 1 до 600. Значение по умолчанию: 2.
   9. В раскрывающемся списке Мониторинг скорости выберите, измеряется ли скорость интерфейса SD-WAN с типом WAN:
      • Да.
      • Нет. Значение по умолчанию.
7. Если вы хотите настроить очереди трафика на интерфейсе SD-WAN с типом WAN, выполните следующие действия:
   1. Выберите вкладку QoS.

      Отобразится таблица очередей трафика.

   2. В столбце Изменить ToS выберите значение Type of Service внешних заголовков пакетов трафика каждой очереди.
   3. В столбце Минимальная скорость (%) укажите минимальную скорость передачи трафика для очереди в процентном выражении от максимальной скорости интерфейса SD-WAN с типом WAN. Сумма значений в столбце не должна превышать 100.
   4. В столбце Максимальная скорость (%) укажите максимальную скорость передачи трафика для очереди в процентном выражении от максимальной скорости интерфейса SD-WAN с типом WAN. Параметр используется для того, чтобы трафик очередей с высоким приоритетом постоянно не вытеснял трафик очередей с низким приоритетом.

   Максимальная скорость интерфейса SD-WAN с типом WAN указывается на шаге 5 этой инструкции.

8. Если вы хотите настроить передачу контроллеру информации об интерфейсе SD-WAN с типом WAN, выполните следующие действия:
   1. Выберите вкладку NAT и изолированные WAN-сети.
   2. В раскрывающемся списке Состояние выберите одно из следующих значений:
      • Выключено – контроллеру не требуется передавать информацию об интерфейсе SD-WAN с типом WAN.
      • NAT/PAT – интерфейс SD-WAN с типом WAN находится за NAT или PAT, и ему требуется назначить публичный IP-адрес и номер UDP-порта, после чего передать их контроллеру.
      • Изолированные WAN-сети – интерфейс SD-WAN с типом WAN подключен к изолированной сети и его IP-адрес требуется передать контроллеру.
   3. Если в раскрывающемся списке Состояние вы выбрали NAT/PAT, выполните следующие действия:
      1. В поле Публичный IP введите публичный IPv4-адрес интерфейса SD-WAN с типом WAN.
      2. В поле Публичный UDP GENEVE-порт введите номер UDP-порта интерфейса SD-WAN с типом WAN. Диапазон значений: от 1 до 65 535.
   4. Если в раскрывающемся списке Состояние вы выбрали Изолированные WAN-сети, в поле IP-адрес введите IPv4-адрес интерфейса SD-WAN с типом WAN.
9. Если интерфейсы SD-WAN с типом WAN устройства CPE подключены к разным сетям, например к интернету и частной MPLS-сети, вы можете изменить IP-адреса и номера TCP-портов узлов контроллера на отдельных интерфейсах SD-WAN с типом WAN. Вы можете изменить IP-адреса и номера TCP-портов узлов контроллера при настройке узлов контроллера экземпляра SD-WAN. В этом случае IP-адреса и номера TCP-портов узлов контроллера автоматически изменятся на всех устройствах CPE, которые добавлены экземпляру SD-WAN. IP-адреса и номера TCP-портов, указанные на интерфейсе SD-WAN с типом WAN, являются более приоритетными по отношению к IP-адресам и номерам TCP-портов, указанным при настройке узлов контроллера экземпляра SD-WAN.

   Для изменения IP-адресов и номеров TCP-портов узлов контроллера на интерфейсе SD-WAN с типом WAN выполните следующие действия:

   1. Выберите вкладку Контроллеры.
   2. Установите флажок Переписать IP/порт контроллеров. По умолчанию флажок снят.
   3. В раскрывающемся списке Количество контроллеров выберите количество узлов контроллера.

      Вам нужно указать количество узлов контроллера, которые вы развернули при развертывании экземпляра SD-WAN. В противном случае происходит ошибка и данные остаются прежними.

   4. В поле IP-адрес введите IPv4-адрес узла контроллера. Количество полей соответствует значению, которое вы выбрали в раскрывающемся списке Количество контроллеров.
   5. В поле Порт введите номер базового порта узла контроллера. Диапазон значений: от 1 до 65 535. Значение по умолчанию: 6653. Количество полей соответствует значению, которое вы выбрали в раскрывающемся списке Количество контроллеров.

      Вместе с базовым портом узла контроллера автоматически указываются порты с тремя следующими по порядку номерами. Например, если вы вводите номер базового порта 6653, автоматически указываются порты 6654, 6655 и 6656.

   Вам нужно перезагрузить устройство CPE после изменения IP-адресов и номеров TCP-портов узлов контроллера на интерфейсе SD-WAN с типом WAN, чтобы изменения вступили в силу.

10. Нажмите на кнопку Создать.

    Интерфейс SD-WAN с типом WAN будет создан и отобразится в таблице.

11. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.

Изменение интерфейса SD-WAN

Вы можете изменить интерфейс SD-WAN в шаблоне CPE или на устройстве CPE. Вы не можете изменить имя интерфейса SD-WAN. При изменении интерфейса SD-WAN с типом LAN вы можете только указать максимальную скорость и настроить очереди трафика. Интерфейс SD-WAN, измененный в шаблоне CPE, автоматически изменяется на всех устройствах CPE, которые используют этот шаблон CPE.

Чтобы изменить интерфейс SD-WAN:

1. Перейдите к изменению интерфейса SD-WAN одним из следующих способов:
   • Если вы хотите изменить интерфейс SD-WAN в шаблоне CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите вкладку Параметры SD-WAN → Интерфейсы.
   • Если вы хотите изменить интерфейс SD-WAN на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE и выберите вкладку Параметры SD-WAN → Интерфейсы. Если вы хотите изменить интерфейс SD-WAN, унаследованный из шаблона CPE, установите флажок Переопределить рядом с этим интерфейсом.

   Отобразится таблица интерфейсов SD-WAN.

2. Нажмите на кнопку Изменить рядом с интерфейсом SD-WAN, который вы хотите изменить.
3. В открывшемся окне при необходимости измените параметры интерфейса SD-WAN. Описание параметров см. в инструкции по созданию интерфейса с типом WAN.
4. Нажмите на кнопку Сохранить.

   Интерфейс SD-WAN будет изменен и обновится в таблице.

5. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.

Выключение и включение интерфейса SD-WAN

Вы можете выключить или включить интерфейс SD-WAN в шаблоне CPE или на устройстве CPE. Интерфейс SD-WAN, выключенный или включенный в шаблоне CPE, автоматически выключается или включается на всех устройствах CPE, которые используют этот шаблон CPE.

Чтобы выключить или включить интерфейс SD-WAN:

1. Перейдите к выключению или включению интерфейса SD-WAN одним из следующих способов:
   • Если вы хотите выключить или включить интерфейс SD-WAN в шаблоне CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите вкладку Параметры SD-WAN → Интерфейсы.
   • Если вы хотите выключить или включить интерфейс SD-WAN на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE и выберите вкладку Параметры SD-WAN → Интерфейсы. Если вы хотите выключить или включить интерфейс SD-WAN, унаследованный из шаблона CPE, установите флажок Переопределить рядом с этим интерфейсом SD-WAN.

   Отобразится таблица интерфейсов SD-WAN.

2. Нажмите на кнопку Выключить или Включить рядом с интерфейсом SD-WAN, который вы хотите выключить или включить.

   Интерфейс SD-WAN будет выключен или включен и обновится в таблице.

3. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.

Удаление интерфейса SD-WAN с типом WAN

Вы можете удалить интерфейс SD-WAN с типом WAN в шаблоне CPE или на устройстве CPE. Интерфейс SD-WAN с типом WAN, удаленный в шаблоне CPE, автоматически удаляется на всех устройствах CPE, которые используют этот шаблон CPE. Вы не можете удалить на устройстве CPE интерфейс SD-WAN, унаследованный из шаблона CPE, а также удалить интерфейс SD-WAN с типом LAN.

Удаленные интерфейсы SD-WAN с типом WAN невозможно восстановить.

Чтобы удалить интерфейс SD-WAN с типом WAN:

1. Перейдите к удалению интерфейса SD-WAN с типом WAN одним из следующих способов:
   • Если вы хотите удалить интерфейс SD-WAN с типом WAN в шаблоне CPE, в меню перейдите в раздел SD-WAN → Шаблоны CPE, нажмите на шаблон CPE и выберите вкладку Параметры SD-WAN → Интерфейсы.
   • Если вы хотите удалить интерфейс SD-WAN с типом WAN на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE и выберите вкладку Параметры SD-WAN → Интерфейсы.

   Отобразится таблица интерфейсов SD-WAN.

2. Нажмите на кнопку Удалить рядом с интерфейсом SD-WAN с типом WAN, который вы хотите удалить.
3. В открывшемся окне подтверждения нажмите на кнопку Удалить.

   Интерфейс SD-WAN с типом WAN будет удален и перестанет отображаться в таблице.

4. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона CPE или устройства CPE.