Kaspersky SD-WAN
- Справка Kaspersky SD-WAN
- О Kaspersky SD-WAN
- Архитектура решения
- Развертывание Kaspersky SD-WAN
- Резервирование компонентов решения
- Об архиве установки
- О режимах выполнения действий attended, unattended и partially attended
- Подготовка устройства администратора
- Работа с паролями
- Настройка конфигурационного файла
- Изменение графических элементов веб-интерфейса оркестратора
- Замена вышедшего из строя узла контроллера
- Обновление Kaspersky SD-WAN
- Удаление Kaspersky SD-WAN
- Вход и выход из веб-интерфейса оркестратора
- Лицензирование Kaspersky SD-WAN
- Интерфейс решения
- Переход к API оркестратора
- Управление инфраструктурой Kaspersky SD-WAN
- Работа с доменами
- Работа с центрами обработки данных
- Работа с подсетями управления
- Работа с контроллерами
- Работа с VIM
- Управление пользователями и их правами доступа
- Мультитенантность
- Управление устройствами CPE
- О взаимодействии между устройством CPE и оркестратором
- О взаимодействии между устройством CPE и контроллером
- Учетные данные по умолчанию устройств CPE модели KESR
- Регистрация устройств CPE
- Сценарий: регистрация устройства CPE с использованием технологии Zero Touch Provisioning
- Сценарий: развертывание на платформе виртуализации VMware и регистрация устройства vCPE с использованием технологии Zero Touch Provisioning
- Сценарий: повторная регистрация устройства CPE
- Возобновление регистрации устройства CPE при возникновении ошибки
- Работа с шаблонами CPE
- Работа с устройствами CPE
- Добавление устройства CPE
- Генерация веб-адреса с базовыми параметрами устройства CPE
- Регистрация устройства CPE вручную
- Отмена регистрации устройства CPE
- Указание адреса устройства CPE
- Включение и выключение устройства CPE
- Перезагрузка устройства CPE
- Выключение питания устройства CPE
- Подключение к консоли устройства CPE
- Просмотр пароля устройства CPE
- Экспорт параметров подключения к оркестратору и контроллеру, и интерфейсов SD-WAN из устройства CPE
- Экспорт сетевых интерфейсов из устройства CPE
- Изменение идентификатора DPID устройства CPE
- Удаление устройств CPE
- Двухфакторная аутентификация устройства CPE
- Работа с сертификатами
- Автоматическое удаление и выключение устройств CPE
- Группировка устройств CPE с помощью тегов
- Настройка журналов на устройствах CPE
- Указание NTP-серверов на устройствах CPE
- Работа с модемами
- Обновление прошивки
- Обновление прошивки на устройстве CPE вручную
- Загрузка прошивки в веб-интерфейс оркестратора
- Запланированное обновление прошивки на выбранных устройствах CPE
- Запланированное обновление прошивки на устройствах CPE с указанными тегами
- Восстановление прошивки устройства CPE модели KESR-M1
- Восстановление прошивки устройства CPE модели KESR-M2–5
- Соответствие моделей устройств CPE версиям прошивок
- Удаление прошивки
- Дополнительная настройка устройств CPE с помощью скриптов
- Работа с сетевыми интерфейсами
- Создание сетевых интерфейсов
- Создание сетевого интерфейса с автоматическим назначением IP-адреса по протоколу DHCP
- Создание сетевого интерфейса со статическим IPv4-адресом
- Создание сетевого интерфейса со статическим IPv6-адресом
- Создание сетевого интерфейса для подключения к LTE-сети
- Создание сетевого интерфейса для подключения к PPPoE-серверу
- Создание сетевого интерфейса без IP-адреса
- Изменение сетевого интерфейса
- Выключение и включение сетевого интерфейса
- Отмена применения параметров сетевых интерфейсов к устройству CPE
- Удаление сетевого интерфейса
- Создание сетевых интерфейсов
- Настройка подключения устройства CPE к оркестратору и контроллеру
- Работа с интерфейсами SD-WAN
- Работа с сервисными интерфейсами
- Работа с группами OpenFlow-портов
- Настройка UNI для подключения устройств CPE к сетевым сервисам
- Добавление статического маршрута
- Фильтрация маршрутов и пакетов трафика
- Маршрутизация на основе политик (PBR)
- Обмен маршрутами по протоколу BGP
- Обмен маршрутами по протоколу OSPF
- Обнаружение ошибок маршрутизации с помощью протокола BFD
- Обеспечение высокой доступности с помощью протокола VRRP
- Передача multicast-трафика с помощью протоколов PIM и IGMP
- Работа с виртуальными таблицами маршрутизации (VRF)
- Отслеживание информации о пакетах трафика с помощью протокола NetFlow
- Диагностика устройства CPE
- Выполнение задач на устройствах CPE
- Диапазоны IP-адресов и подсетей для устройств CPE
- Управление межсетевым экраном
- Работа с зонами межсетевого экрана
- Работа с шаблонами межсетевого экрана
- Настройка основных параметров межсетевого экрана
- Настройка маркировки DPI
- Работа с правилами межсетевого экрана
- Работа с наборами IP
- Работа с DNAT-правилами
- Работа с SNAT-правилами
- Работа с передачами
- Изменение шаблона межсетевого экрана устройства CPE
- Управление сетевыми сервисами и виртуализация сетевых функций
- Работа с шаблонами сетевых сервисов
- Работа с сетевыми сервисами
- Создание сетевого сервиса
- Изменение сетевого сервиса
- Развертывание сетевого сервиса
- Проверка консистентности сетевого сервиса
- Повторное развертывание сетевого сервиса
- Выключение и включение автоматического восстановления сетевого сервиса
- Просмотр журнала работы сетевого сервиса
- Удаление сетевого сервиса
- Сценарий: развертывание виртуальной сетевой функции
- Сценарий: развертывание физической сетевой функции
- Работа с пакетами VNF и PNF
- Указание краткого описания общего сетевого сервиса
- Работа с виртуальными сетевыми функциями
- Выбор варианта развертывания виртуальной сетевой функции
- Настройка внешних точек подключения виртуальной сетевой функции
- Настройка основных параметров виртуальной сетевой функции
- Размещение виртуальной сетевой функции в центре обработки данных и на устройстве uCPE
- Остановка и запуск виртуальной сетевой функции или входящей в ее состав VDU
- Пауза и снятие с паузы виртуальной сетевой функции или входящей в ее состав VDU
- Перевод виртуальной сетевой функции или входящей в ее состав VDU в состояние сна и активное состояние
- Программная перезагрузка виртуальной сетевой функции или входящей в ее состав VDU
- Аппаратная перезагрузка виртуальной сетевой функции или входящей в ее состав VDU
- Повторное развертывание виртуальной сетевой функции или входящей в ее состав VDU
- Автоматическое восстановление виртуальной сетевой функции или входящей в ее состав VDU
- Работа с снимками состояния VDU
- Работа с физическими сетевыми функциями
- Настройка P2P-сервиса
- Настройка P2M-сервиса
- Настройка M2M-сервиса
- Настройка общей сети (OS 2 SHARED)
- Настройка виртуального маршрутизатора (OS vRouter)
- Настройка VLAN
- Настройка VXLAN
- Настройка плоской сети
- Настройка UNI
- Мониторинг компонентов решения
- Указание сервера Zabbix
- Указание сервера Zabbix-прокси
- Настройка мониторинга устройств CPE
- Просмотр результатов мониторинга
- Просмотр проблем
- Просмотр состояния решения и его компонентов
- Просмотр журналов
- Просмотр и удаление сервисных запросов
- Отправка уведомлений об устройствах CPE пользователям
- Выбор уровня детализации журналов Docker-контейнеров
- Мониторинг устройств CPE, VNF и PNF с помощью протокола SNMP
- Мониторинг соединения
- Построение сети SD-WAN между устройствами CPE
- О топологии Hub-and-Spoke
- О топологиях Full-Mesh и Partial-Mesh
- Назначение роли устройству CPE
- Назначение топологического тега устройству CPE
- Настройка путей
- Работа с соединениями
- Работа с сегментами
- Качество обслуживания (QoS)
- Передача трафика между устройствами CPE и клиентскими устройствами с помощью транспортных сервисов
- Дублирование пакетов трафика
- Сценарий: направление трафика приложения в транспортный сервис
- Сценарий: обеспечение L2-связности между устройствами CPE
- Работа с транспортными сервисами Point-to-Point (P2P)
- Работа с транспортными сервисами Point-to-Multipoint (P2M)
- Работа с транспортными сервисами Multipoint-to-Multipoint (M2M)
- Работа с транспортными сервисами IP multicast
- Работа с транспортными сервисами L3 VPN
- Работа с транспортными сервисами в шаблоне экземпляра SD-WAN
- Работа с транспортными сервисами в шаблоне CPE
- Зеркалирование и перенаправление трафика между устройствами CPE
- Интеграция с Kaspersky CyberSecurity for Networks
- Приложения
- Глоссарий
- Контроллер
- Оркестратор
- Пакет PNF
- Пакет VNF
- Плоскость передачи данных
- Плоскость управления сетью
- Тенант
- Транспортная стратегия
- Шлюз SD-WAN
- Экземпляр SD-WAN
- Customer Premise Equipment (CPE)
- Open vSwitch (OVS)
- Physical Network Function (PNF)
- Port security
- Software-Defined Networking (SDN)
- Software-Defined Wide Area Network (SD-WAN)
- Switch Operating System (SWOS)
- Universal CPE (uCPE)
- Virtual Deployment Unit (VDU)
- Virtual Infrastructure Manager (VIM)
- Virtual Network Function (VNF)
- Virtual Network Function Manager (VNFM)
- Обращение в Службу технической поддержки
- Информация о стороннем коде
- Уведомления о товарных знаках
Резервирование компонентов решения
О схемах резервирования компонентов решения
Kaspersky SD-WAN поддерживает две схемы развертывания компонентов решения:
- N+1 – вы развертываете два узла компонента решения. Если один узел выходит из строя, работу компонента решения обеспечивает второй узел.
- 2N+1 – вы развертываете несколько узлов компонентов решения. Один узел является основным, а другие – второстепенными. Если основной узел выходит из строя, его место занимает случайно выбранный второстепенный узел. Такая схема резервирования позволяет компонентам решения сохранять работоспособность, даже когда происходит несколько аварий подряд.
В таблице ниже представлены компоненты решения и доступные для них схемы развертывания.
Компонент решения |
Схема резервирования |
База данных системы мониторинга Zabbix |
2N+1 |
Сервер Zabbix |
N+1 |
Frontend-часть системы мониторинга Zabbix |
N+1 |
Сервер Zabbix-прокси |
N+1 |
База данных MongoDB |
2N+1 |
База данных Redis:
|
2N+1 |
Контроллер |
2N+1 |
Frontend-часть решения |
N+1 |
Оркестратор |
N+1 |
Менеджер виртуальных сетевых функций |
N+1 |
Прокси-менеджер виртуальных сетевых функций |
N+1 |
Вы можете указать, сколько узлов развертывается для компонентов решения в конфигурационном файле.
Когда вы настраиваете параметры развертывания узлов базы данных MongoDB или контроллера в соответствии со схемой развертывания 2N+1, последний указанный вами узел становится узлом-арбитром. Узел-арбитр связан с другими узлами и используется для выбора основного узла. Узел, который потерял связь с узлом-арбитром, переходит в режим ожидания. Один из узлов, которые сохранили связь с узлом-арбитром, остается или становится основным узлом. Узел-арбитр не может стать основным узлом и не хранит данные.
Сценарии выхода из строя узлов компонентов решения
На рисунке ниже изображена схема Kaspersky SD-WAN, развернутого на трех виртуальных машинах в центре обработки данных. В схеме используются следующие условные обозначения:
- www – frontend-часть решения;
- orc – оркестратор;
- mongo – база данных MongoDB;
- redis-m – сервер Redis replica;
- redis-s – система Redis Sentinel;
- vnfm-proxy – прокси-менеджер виртуальных сетевых функций;
- vnfm – менеджер виртуальных сетевых функций;
- ctl – контроллер и его база данных;
- zabbix-www – frontend-часть системы мониторинга Zabbix;
- zabbix-proxy – сервер Zabbix-прокси;
- zabbix-srv – сервер Zabbix;
- zabbix-db – база данных системы мониторинга Zabbix;
- syslog – Syslog-сервер.
Пользователи и устройства CPE получают доступ к веб-интерфейсу оркестратора и веб-интерфейсу системы мониторинга Zabbix с помощью виртуального IP-адреса. Виртуальный IP-адрес назначен виртуальной машине 1.
Решение, развернутое на трех виртуальных машинах
В рамках представленной схемы развертывания возможны следующие сценарии аварийных ситуаций:
- Выход из строя виртуальной машины 1 или ее соединения.
При выходе из строя виртуальной машины 1 или ее соединения решение сохраняет работоспособность. Происходят следующие изменения состояния узлов компонентов решения:
- Виртуальный IP-адрес назначается виртуальной машине 2.
- Узел frontend-части решения www-1 недоступен, www-2 доступен. Веб-интерфейс оркестратора отображается в браузере.
- Узел оркестратора orc-1 недоступен, orc-2 доступен. Backend-часть решения работает, пользователи могут войти в веб-интерфейс оркестратора и использовать его.
- Узел базы данных MongoDB mongo-1 недоступен, mongo-2 и mongo-3 доступны, mongo-2 становится основным узлом, так как mongo-3 является узлом-арбитром и не может стать основным узлом. Оркестратор продолжает использовать базу данных MongoDB.
- Состояние базы данных Redis:
- Узел сервера Redis replica redis1-m недоступен, redis2-m и redis3-m доступны.
- Узел системы Redis Sentinel redis1-s недоступен, redis2-s и redis3-s доступны, redis2-s становится основным узлом и случайным образом назначает узел сервера Redis replica redis2-m или redis3-m основным узлом.
Оркестратор продолжает использовать базу данных Redis.
- Состояния менеджера виртуальных сетевых функций:
- Узел прокси-менеджера виртуальных сетевых функций vnfm-proxy-1 недоступен, vnfm-proxy-2 доступен.
- Узел менеджера виртуальных сетевых функций vnfm-1 недоступен, vnfm-2 доступен.
SSH-консоли компонентов решения работают.
- Узел контроллера ctl-1 недоступен, ctl-2 и ctl-3 доступны, ctl-2 становится основным узлом, так как ctl-3 является узлом-арбитром и не может стать основным узлом. Сохраняется сетевая связность между устройствами CPE.
- Состояние системы мониторинга Zabbix:
- Узел frontend-части решения zabbix-www-1 недоступен, zabbix-www-2 доступен.
- Узел сервера Zabbix-прокси zabbix-proxy-1 недоступен, zabbix-proxy-2 доступен.
- Узел сервера Zabbix zabbix-srv-1 недоступен, zabbix-srv-2 доступен.
- Узел базы данных системы мониторинга Zabbix zabbix-db-1 недоступен, zabbix-db-2 доступен.
Система мониторинга Zabbix работает.
- Выход из строя виртуальной машины 2 или 3, или ее соединения.
При выходе из строя виртуальной машины 2 или 3, или ее соединения узлы компонентов решения, развернутые на виртуальной машине 1, остаются основными и решение сохраняет работоспособность.
- Одновременный выход из строя виртуальных машин 1 и 3 или 2 и 3, или их соединений.
При одновременном выходе из строя виртуальных машин 1 и 3 или 2 и 3, или их соединений решение не сохраняет работоспособность. Происходят следующие изменения состояния узлов компонентов решения:
- Веб-интерфейс оркестратора не отображается в браузере. Пользователи не могут войти в веб-интерфейс оркестратора и использовать его.
- Система мониторинга Zabbix прекращает работу.
- Сохраняется сетевая связность между устройствами CPE и подключенными к ним сетевыми устройствами, трафик продолжает передаваться.
- Сохраняется сетевая связность в рамках P2P-сервисов и TAP-сервисов.
- Сохраняется сетевая связность в рамках P2M-сервисов и M2M-сервисов для установленных сессий. Для новых сессий сетевая связность сохраняется, если при создании P2P-сервиса или M2M-сервиса в раскрывающемся списке Режим изучения MAC вы выбрали значение Learn and flood.
- Устройства CPE используют механизм компенсации реордеринга (англ. reordering) для снижения количества дублированных пакетов на сетевых устройствах, подключенных к устройствам CPE.
- Нагрузка на устройства CPE и сеть SD-WAN возрастает соразмерно количеству устройств CPE и соединений.
Если соединения восстанавливаются, решение также восстанавливается и продолжает работать в нормальном режиме.
При одновременном выходе из строя виртуальных машин 1 и 3 или 2 и 3 происходит потеря конфигурации компонентов решения. Для восстановления конфигурации компонентов решения вы можете обратиться в Kaspersky Professional Services.
- Одновременный выход из строя виртуальных машин 1 и 2.
При одновременном выходе из строя виртуальных машин 1 и 2 происходит потеря конфигурации компонентов решения без возможности восстановления, так как на виртуальной машине 3 развернуты узлы-арбитры, которые не хранят данные. Для предотвращения такой ситуации мы рекомендуем развертывать базы данных и контроллеры на отдельных виртуальных машинах или физических серверах и делать регулярные резервные копии.