Kaspersky SD-WAN
- Справка Kaspersky SD-WAN
- О Kaspersky SD-WAN
- Архитектура решения
- Развертывание Kaspersky SD-WAN
- Резервирование компонентов решения
- Об архиве установки
- О режимах выполнения действий attended, unattended и partially attended
- Подготовка устройства администратора
- Работа с паролями
- Настройка конфигурационного файла
- Изменение графических элементов веб-интерфейса оркестратора
- Замена вышедшего из строя узла контроллера
- Обновление Kaspersky SD-WAN
- Удаление Kaspersky SD-WAN
- Вход и выход из веб-интерфейса оркестратора
- Лицензирование Kaspersky SD-WAN
- Интерфейс решения
- Переход к API оркестратора
- Управление инфраструктурой Kaspersky SD-WAN
- Работа с доменами
- Работа с центрами обработки данных
- Работа с подсетями управления
- Работа с контроллерами
- Работа с VIM
- Управление пользователями и их правами доступа
- Мультитенантность
- Управление устройствами CPE
- О взаимодействии между устройством CPE и оркестратором
- О взаимодействии между устройством CPE и контроллером
- Учетные данные по умолчанию устройств CPE модели KESR
- Регистрация устройств CPE
- Сценарий: регистрация устройства CPE с использованием технологии Zero Touch Provisioning
- Сценарий: развертывание на платформе виртуализации VMware и регистрация устройства vCPE с использованием технологии Zero Touch Provisioning
- Сценарий: повторная регистрация устройства CPE
- Возобновление регистрации устройства CPE при возникновении ошибки
- Работа с шаблонами CPE
- Работа с устройствами CPE
- Добавление устройства CPE
- Генерация веб-адреса с базовыми параметрами устройства CPE
- Регистрация устройства CPE вручную
- Отмена регистрации устройства CPE
- Указание адреса устройства CPE
- Включение и выключение устройства CPE
- Перезагрузка устройства CPE
- Выключение питания устройства CPE
- Подключение к консоли устройства CPE
- Просмотр пароля устройства CPE
- Экспорт параметров подключения к оркестратору и контроллеру, и интерфейсов SD-WAN из устройства CPE
- Экспорт сетевых интерфейсов из устройства CPE
- Изменение идентификатора DPID устройства CPE
- Удаление устройств CPE
- Двухфакторная аутентификация устройства CPE
- Работа с сертификатами
- Автоматическое удаление и выключение устройств CPE
- Группировка устройств CPE с помощью тегов
- Настройка журналов на устройствах CPE
- Указание NTP-серверов на устройствах CPE
- Работа с модемами
- Обновление прошивки
- Обновление прошивки на устройстве CPE вручную
- Загрузка прошивки в веб-интерфейс оркестратора
- Запланированное обновление прошивки на выбранных устройствах CPE
- Запланированное обновление прошивки на устройствах CPE с указанными тегами
- Восстановление прошивки устройства CPE модели KESR-M1
- Восстановление прошивки устройства CPE модели KESR-M2–5
- Соответствие моделей устройств CPE версиям прошивок
- Удаление прошивки
- Дополнительная настройка устройств CPE с помощью скриптов
- Работа с сетевыми интерфейсами
- Создание сетевых интерфейсов
- Создание сетевого интерфейса с автоматическим назначением IP-адреса по протоколу DHCP
- Создание сетевого интерфейса со статическим IPv4-адресом
- Создание сетевого интерфейса со статическим IPv6-адресом
- Создание сетевого интерфейса для подключения к LTE-сети
- Создание сетевого интерфейса для подключения к PPPoE-серверу
- Создание сетевого интерфейса без IP-адреса
- Изменение сетевого интерфейса
- Выключение и включение сетевого интерфейса
- Отмена применения параметров сетевых интерфейсов к устройству CPE
- Удаление сетевого интерфейса
- Создание сетевых интерфейсов
- Настройка подключения устройства CPE к оркестратору и контроллеру
- Работа с интерфейсами SD-WAN
- Работа с сервисными интерфейсами
- Работа с группами OpenFlow-портов
- Настройка UNI для подключения устройств CPE к сетевым сервисам
- Добавление статического маршрута
- Фильтрация маршрутов и пакетов трафика
- Маршрутизация на основе политик (PBR)
- Обмен маршрутами по протоколу BGP
- Обмен маршрутами по протоколу OSPF
- Обнаружение ошибок маршрутизации с помощью протокола BFD
- Обеспечение высокой доступности с помощью протокола VRRP
- Передача multicast-трафика с помощью протоколов PIM и IGMP
- Работа с виртуальными таблицами маршрутизации (VRF)
- Отслеживание информации о пакетах трафика с помощью протокола NetFlow
- Диагностика устройства CPE
- Выполнение задач на устройствах CPE
- Диапазоны IP-адресов и подсетей для устройств CPE
- Управление межсетевым экраном
- Работа с зонами межсетевого экрана
- Работа с шаблонами межсетевого экрана
- Настройка основных параметров межсетевого экрана
- Настройка маркировки DPI
- Работа с правилами межсетевого экрана
- Работа с наборами IP
- Работа с DNAT-правилами
- Работа с SNAT-правилами
- Работа с передачами
- Изменение шаблона межсетевого экрана устройства CPE
- Управление сетевыми сервисами и виртуализация сетевых функций
- Работа с шаблонами сетевых сервисов
- Работа с сетевыми сервисами
- Создание сетевого сервиса
- Изменение сетевого сервиса
- Развертывание сетевого сервиса
- Проверка консистентности сетевого сервиса
- Повторное развертывание сетевого сервиса
- Выключение и включение автоматического восстановления сетевого сервиса
- Просмотр журнала работы сетевого сервиса
- Удаление сетевого сервиса
- Сценарий: развертывание виртуальной сетевой функции
- Сценарий: развертывание физической сетевой функции
- Работа с пакетами VNF и PNF
- Указание краткого описания общего сетевого сервиса
- Работа с виртуальными сетевыми функциями
- Выбор варианта развертывания виртуальной сетевой функции
- Настройка внешних точек подключения виртуальной сетевой функции
- Настройка основных параметров виртуальной сетевой функции
- Размещение виртуальной сетевой функции в центре обработки данных и на устройстве uCPE
- Остановка и запуск виртуальной сетевой функции или входящей в ее состав VDU
- Пауза и снятие с паузы виртуальной сетевой функции или входящей в ее состав VDU
- Перевод виртуальной сетевой функции или входящей в ее состав VDU в состояние сна и активное состояние
- Программная перезагрузка виртуальной сетевой функции или входящей в ее состав VDU
- Аппаратная перезагрузка виртуальной сетевой функции или входящей в ее состав VDU
- Повторное развертывание виртуальной сетевой функции или входящей в ее состав VDU
- Автоматическое восстановление виртуальной сетевой функции или входящей в ее состав VDU
- Работа с снимками состояния VDU
- Работа с физическими сетевыми функциями
- Настройка P2P-сервиса
- Настройка P2M-сервиса
- Настройка M2M-сервиса
- Настройка общей сети (OS 2 SHARED)
- Настройка виртуального маршрутизатора (OS vRouter)
- Настройка VLAN
- Настройка VXLAN
- Настройка плоской сети
- Настройка UNI
- Мониторинг компонентов решения
- Указание сервера Zabbix
- Указание сервера Zabbix-прокси
- Настройка мониторинга устройств CPE
- Просмотр результатов мониторинга
- Просмотр проблем
- Просмотр состояния решения и его компонентов
- Просмотр журналов
- Просмотр и удаление сервисных запросов
- Отправка уведомлений об устройствах CPE пользователям
- Выбор уровня детализации журналов Docker-контейнеров
- Мониторинг устройств CPE, VNF и PNF с помощью протокола SNMP
- Мониторинг соединения
- Построение сети SD-WAN между устройствами CPE
- О топологии Hub-and-Spoke
- О топологиях Full-Mesh и Partial-Mesh
- Назначение роли устройству CPE
- Назначение топологического тега устройству CPE
- Настройка путей
- Работа с соединениями
- Работа с сегментами
- Качество обслуживания (QoS)
- Передача трафика между устройствами CPE и клиентскими устройствами с помощью транспортных сервисов
- Дублирование пакетов трафика
- Сценарий: направление трафика приложения в транспортный сервис
- Сценарий: обеспечение L2-связности между устройствами CPE
- Работа с транспортными сервисами Point-to-Point (P2P)
- Работа с транспортными сервисами Point-to-Multipoint (P2M)
- Работа с транспортными сервисами Multipoint-to-Multipoint (M2M)
- Работа с транспортными сервисами IP multicast
- Работа с транспортными сервисами L3 VPN
- Работа с транспортными сервисами в шаблоне экземпляра SD-WAN
- Работа с транспортными сервисами в шаблоне CPE
- Зеркалирование и перенаправление трафика между устройствами CPE
- Интеграция с Kaspersky CyberSecurity for Networks
- Приложения
- Глоссарий
- Контроллер
- Оркестратор
- Пакет PNF
- Пакет VNF
- Плоскость передачи данных
- Плоскость управления сетью
- Тенант
- Транспортная стратегия
- Шлюз SD-WAN
- Экземпляр SD-WAN
- Customer Premise Equipment (CPE)
- Open vSwitch (OVS)
- Physical Network Function (PNF)
- Port security
- Software-Defined Networking (SDN)
- Software-Defined Wide Area Network (SD-WAN)
- Switch Operating System (SWOS)
- Universal CPE (uCPE)
- Virtual Deployment Unit (VDU)
- Virtual Infrastructure Manager (VIM)
- Virtual Network Function (VNF)
- Virtual Network Function Manager (VNFM)
- Обращение в Службу технической поддержки
- Информация о стороннем коде
- Уведомления о товарных знаках
Архитектура решения
Kaspersky SD-WAN содержит следующие основные компоненты:
- Оркестратор
Контролирует инфраструктуру решения, выполняет функции оркестратора NFV (NFVO), а также управляет сетевыми сервисами и распределенными менеджерами VNF (VNFM). Вы можете управлять оркестратором с помощью веб-интерфейса и REST API при использовании внешних северных (англ. northbound) систем.
- Контроллер
Централизованно управляет наложенной сетью:
- строит сетевую топологию;
- создает транспортные сервисы;
- управляет устройствами CPE по протоколу OpenFlow;
- распределяет трафик между соединениями;
- обеспечивает мониторинг соединений и автоматически переключает трафик на резервное соединение, если основное соединение выходит из строя.
Для развертывания контроллера вам нужно развернуть физическую сетевую функцию контроллера, которая содержится в архиве установки. Контроллер управляется оркестратором.
- Устройства CPE
Устанавливаются на удаленных площадках, передают трафик и образуют SDN-фабрику в виде наложенной сети. Вы можете назначить устройству CPE роль шлюза SD-WAN или стандартного устройства CPE. Шлюзы SD-WAN строят соединения со всеми стандартными устройствами CPE и другими шлюзами SD-WAN. Стандартные устройства CPE строят соединения только со шлюзами SD-WAN. По умолчанию всем устройствам CPE назначена роль стандартных устройств CPE.
Если вы хотите, чтобы между двумя стандартными устройствами CPE было построено соединение, вам нужно назначить им одинаковый топологический тег. Вы можете сделать стандартное устройство CPE транзитным, чтобы другие устройства CPE могли строить через него соединения.
- VNFM (Virtual Network Function Manager)
Управляет жизненным циклом виртуальных сетевых функций с помощью SSH, плейбуков Ansible, скриптов и атрибутов Cloud-init.
При использовании виртуальных сетевых функций в архитектуру решения входит менеджер виртуальной инфраструктуры (Virtual Infrastructure Manager, далее также VIM), который управляет вычислительными и сетевыми ресурсами, а также ресурсами хранения в рамках инфраструктуры NFV. VIM связывает виртуальные сетевые функции с помощью виртуальных соединений, подсетей и портов. В качестве VIM используется облачная платформа OpenStack.
Kaspersky SD-WAN имеет распределенную микросервисную архитектуру на основе Docker-контейнеров (см. рисунок ниже). Контроллер может состоять из одного, трех или пяти узлов. Узлы контроллера можно развернуть на отдельных виртуальных машинах или физических серверах, чтобы обеспечить отказоустойчивость. Вы можете указать виртуальные машины или физические сервера для развертывания узлов контроллера при развертывании решения в блоке ctl конфигурационного файла.
Архитектура Kaspersky SD-WAN