Potwierdzenie nienaruszalności wiadomości podczas przesyłu.
Confidentiality– Potwierdza odczytanie nadanej wiadomości jedynie przez uprawnione do tego urządzenia.
Nonrepudiation– Potwierdza że odebrana wiadomość została wysłana przez uprawnione do tego urządzenia.
Gotowa do wysłania wiadomość jest oznaczana kluczem prywatnym (Private Key), a następnie na podstawie całej zawartości generowana jest wartość kontrolna (Encrypted Hash).
vEdge
Każdy ruter vEdge posiada własny wlutowany w płytę główną moduł TPM (Tamper-Proof Module), przetrzymujący prywatne jak i publiczne klucze. Moduł TPM ulega samozniszczeniu przy próbie fizycznego dostępu.
Klucze zaszyte w module TPM są podpisywane cyfrowo przez firmę Avnet(Trusted Certificate Signing Authority), a domyślnie walidowane przez firmę Symantec (Inny serwer walidacji CA może być podany w procesie ZTP).
Moduł vManage jak i moduły vSmart nawiązują bezpieczne połączenie (DTSL) z modułem vBond.
Rutery vEdge nawiązują bezpieczne połączenie (DTSL) z modułem vBond rejestrując się w systemie.
Na tym etapie następuje weryfikacja ruterów brzegowych na podstawie certyfikatów jak i białych list.
Certyfikaty określają czy dany produkt jest urządzeniem wyprodukowanym przez Cisco.
Kombinacja certyfikatów z białymi listami sprawdza czy dane urządzenie przynależy do określonego klienta.
Rutery brzegowe vEdge nawiązują bezpieczne połączenie (DTSL/TSL) z modułami vSmart.
Automatyczne rejestrowanie ZTP
Rutery brzegowe mogą być wdrażane zgodnie z modelem ZTP (Zero Touch Provisioning). W takim przypadku klient musi zarejestrować się w systemie Cisco, tworząc własny profil użytkownika.
Wszystkie nowo podłączane do sieci rutery, domyślnie łączą się z serwisem Cisco (ZTP, PNP Server), skąd pobierają informację na temat klienta do którego zostały sprzedane, wraz z danymi umożliwiającymi podłączenie do struktury wewnętrznej sieci klienckiej.
RutervEdgenawiązuje połączenie zZTP, PNP Server(Cisco Public vBond) -> Client public vBond -> vSmart.
Single / Multi-Tenant Orchestration
Multi-Tenant Orchestration – Umożliwia stworzenie oddzielnych struktur sieci SD-WAN dla każdego klienta z osobna. Poszczególne struktury będą zawierały oddzielne komponenty bazowe (vManage, vSmart oraz vBond). Model Multi-Tenant może być wdrożony w jeden z następujących sposobów:
Dedicated Tenancy – Zgodnie z powyższą grafiką sieci SD-WAN została rozdzielona na dwie niezależne struktury zwierające własne komponenty (vManage, vSmart oraz vBond), dzięki czemu każdy z klientów może dysponować niezależną strukturą sieci, np. takimi samymi numerami ID sieci VPN. Model ten, cechuje:
Dedykowane instancję (Dedicated Tenancy / No Multitenancy).
Odseparowanie wszystkich komponentów sieci SD-WAN (vManage, vSmart oraz vBond).
Wsparcie dla wszystkich dostępnych rodzajów wdrożeń.
Możliwość pełnego odseparowania ruchu sieciowego.
VPN as a Tenant – Stanowi częściowe rozwiązanie Multi-Tenant w którym jako poszczególne struktur SD-WAN traktowane są sieci VPN. Rozwiązanie to nie stanowi w pełni modelu Multi-Tenant ponieważ współdzieli on poszczególne komponenty (vManage, vSmart oraz vBond) pomiędzy klientami, co może doprowadzić do przypadkowego np. wdrożenia polisy względem całej infrastruktury zamiast pojedynczego klienta. Model ten, cechuje:
Sieć VPN traktowaną jako niezależną instancję (Tenancy).
Współdzielenie wszystkich komponentów sieci SD-WAN (vManage, vSmart oraz vBond).
Wsparcie dla wszystkich dostępnych rodzajów wdrożeń.
Enterprise Tenancy – Wprowadza wirtualny podział struktury sieci SD-WAN, przy jednoczesnym wykorzystaniu tych samych komponentów bazowych (vManage oraz vBond). Wymagając przy tym oddzielnych wdrożeń komponentu vManage dla każdej instancji SD-WAN z osobna. Model ten, cechuje:
Pełny podział poszczególnych instancji (Tenancy).
Współdzielenie komponentów vManage oraz vBond pomiędzy poszczególnymi instancjami (Tenancy).
Odseparowanie instancji vManage pomiędzy poszczególnymi instancjami (Tenancy).
Wsparcie dla wszystkich dostępnych rodzajów wdrożeń.
Możliwość pełnego odseparowania ruchu sieciowego.
Single-Tenant Orchestration –
Service Management
Domyślnie konsola vManage współpracuje jedynie z ruterami vEdgestworzonymi przez Viptelę jak i ruterami Cisco działającymi pod kontrolą systemu SD-WAN.
Obecnie oprócz domyślnych urządzeń vEdge konsola vManage może współpracować z innymi urządzeniami takimi jakrutery Ciscodziałające pod kontrolą systemu IOS, maszyny wirtualne czy rutery z serii ENCS/NFVISza pośrednictwem rozszerzonych narzędzi (Extended SD-WAN Orchestration NSO) komunikującymi się z konsolą vManage za pomocą API.
Rodzaje wdrożeń SD-WAN
Opcję wdrażania rozwiązania Cisco SD-WAN, dotyczą komponentów vManage, vSmart oraz vBond:
Cloud Delivered (Cisco) – Poszczególne komponenty nadzorujące strukturę sieci (vManage, vSmart oraz vBond) są hostowane jak i zarządzane poprzez firmę Cisco z poziomu chmury publicznej. Wdrożenie to, cechuje:
Dostarczanie usługi w formie serwisu.
Hostowanie usługi w chmurze publicznej.
Utrzymanie struktury przez specjalistów (Cisco Cloud Ops).
Możliwość zarządzania usługą przez klientów bądź partnerów Cisco.
Partner Delivered– Poszczególne komponenty nadzorujące strukturę sieci (vManage, vSmart oraz vBond) są zarządzane przez partnerów Cisco, dzięki czemu mogą oni udostępniać rozwiązania SD-Wan dla swoich klientów (Przykładowym zastosowaniem danego rodzaju wdrożenia mogą być dostawcy usług Internetowych (ISP) zapewniający nowoczesne rozwiązania dla swoich klientów). Wdrożenie to, cechuje:
Dostarczanie usługi z poziomu infrastruktury partnera Cisco.
Utrzymanie struktury przez partnera Cisco.
Zarządzanie usługą przez partnera Cisco.
Customer On-Prem– Poszczególne komponenty nadzorujące strukturę sieci (vManage, vSmart oraz vBond) są w pełni zarządzane po stronie klienta. Wdrożenie to, cechuje:
Pełne wdrożenie po stronie klienta.
Dostarczanie usługi z poziomu lokalnej infrastruktury.
Utrzymanie struktury po stronie lokalnego zespół IT klienta.
Zarządzanie usługą po stronie lokalnego zespół IT klienta.
Wizualizacja sieci SD-WAN w modelu Dedicated Tenancy (Multi-Tenant Orchestration)
Model – Cloud Delivered
Model – Cloud Delivered
Wrażanie rozwiązania SD-Wan za pomocą modelu „Cisco Cloud Delivered”, przenosi ciężar zarządzania poszczególnymi komponentami sieci SD-WAN takimi jak: vManage, vSmart oraz vBond, na barki zespołu Cisco Ops.
Rozwiązania oferowane przez Cisco są globalnie dostępne z poziomu sieci publicznej (Microsoft Azure).
Cisco zapewnia wdrożenie zawansowanych narzędzi administracyjnych umożliwiając komunikacją pomiędzy platformą vManage a klientem za pomocą API, tym samym umożliwiając wdrażanie automatyzacji.
Model – Partner Delivered
Wrażanie rozwiązania SD-Wan za pomocą modelu „Partner Delivered”, przenosi ciężar zarządzania poszczególnymi komponentami sieci SD-WAN takimi jak: vManage, vSmart oraz vBond, na barki partnera biznesowego firmy Cisco.
Rozwiązanie SD-WAN umożliwia współprace zewnętrznych narządzi automatyzujących prace administratora, z platformą vManage, za pomocą API, jak i innych produktów firmy Cisco takich jak: NSO czy VMS.
W przypadku wdrażania modelu Partner Delivered:
Partner Cisco zapewnia pełne utrzymanie struktury SD-WAN (vManage, vSmart oraz vBond) w własnym zakresie, utrzymując maszyny wirtualne na dostępnych witalizatorach: VMware ESXi, KVM, AWS bądź też Azure.
Wszelką odpowiedzialność za wdrażanie, konfigurację czy utrzymanie sieci SD-WAN ponosi partner biznesowy.
Klient końcowy może mieć dostęp do zarządzania własną siecią SD-WAN za pomocą platformy GUI (vManage), bądź też innego narzędzia przygotowanego przez partnera, które to następnie komunikuje się z vManage za pomocą API.
W dużej mierze partnerami korzystającymi z powyższego rozwiązania są dostawcy usług Internetowych.
Model – Customer On-Prem
Wrażanie rozwiązania SD-Wan za pomocą modelu „Customer On-Prem”, przenosi ciężar zarządzania poszczególnymi komponentami sieci SD-WAN takimi jak: vManage, vSmart oraz vBond, na barki klienta.
Proces wdrażania, konfiguracji jak i zarządzania strukturą SD-WAN zostaje przeniesiony na barki klienta, który ponadto musi zadbać o odpowiednią infrastrukturę wirtualizacją mogącą bezpiecznie jak i wydajnie hostować dostęp do wszelkich komponentów sieci SD-WAN (vManage, vSmart oraz vBond). Obecnie dostępnymi środowiskami witalizacyjnymi umożliwiającymi oficjalne wdrożenie sieci SD-WAN są: VMware ESXi, KVM, AWS bądź też Azure.
Wszelkie zewnętrzne narzędzia administracyjne komunikujące się z konsolą vManage za pomocą API są dostępne dla klienta o ile je zakupi bądź też sam je zaprojektuje.
W dużej mierze klientami korzystającymi z powyższego rozwiązania są firmy bankowe czy też rządzy.
vBond – Moduł wykrywający, a następnie autentykujący wszystkie komponenty wchodzące w skład sieci SD-WAN.
Moduł vBond powinien posiadać dostęp do sieci publicznej aby móc nawiązać kontakt z nowymi komponentami.
Każdy z komponentów sieci SD-WAN musi najpierw zarejestrować się w module vBond.
vSmart– Moduł dystrybucyjny propagujący trasy, polisy jak i inne informacje do ruterów brzegowych vEdge.
vAnalytics– Moduł analityczny sieci SD-WAN.
vEdge– Rutery brzegowe stanowiące kraniec sieci lokalnych, oddziałów głównych jak biur zdalnych.
cEdge – Rutery brzegowe stworzone przez Cisco (Rutery z serii ISR 1000 / 4000, ASR 1000 oraz ENCS 5100 / 5400).
OMP (Overlay Management protocol) –Połączenie umożliwiające bezpośrednią, bezpieczną wymianę danych pomiędzy modułami dystrybucyjnymi. Dzięki czemu wszystkie moduły dystrybucyjne są ze sobą zsynchronizowane.
DTLS/TLS Tunnel– Protokół umożliwiający bezpieczną wymianę informacji modułami dystrybucyjnymi.
DTLS (UDP) –
TLS (TCP)–
IPsec Tunnel– Jedynie możliwe do nawiązania połączenie pomiędzy ruterami brzegowymi. Urządzenie brzegowe nie wymieniają pomiędzy sobą informacji kontrolnych (Control Plane) a jedynie zwykł ruch sieciowy (Data Plane).
VPN (Cisco VRF)–
VPN 0(Transport) –
VPN 512 (Management)–
VPN n(Service1-65535) –
TLOG
Site ID – Określa lokalizacje rutera brzegowego względem oddziału, biura do którego przynależy (Rutery brzegowe należące do tego samego oddziału nie będą nawiązywały łączności pomiędzy sobą).
System IP– Określa konkretne urządzenie brzegowe, za pomocą adresu IP (Router-ID).
Color – Opisuje medium transmisji danych, łączące rutery brzegowe (Internet, MPLS czy 4G), identyfikuje konkretne połączenie sieciowe pomiędzy ruterami. Wyróżniane zostały dwa rodzaje kolorów: Prywatne(Nieprzewidujące wykorzystania translacji NAT) jak i Publiczne(Wykorzystującetranslacje NAT).
TLOG(System IP+Color+Encapsulation) Transport Location – Unikalna wartość identyfikująca konkretny interfejs sieciowy rutera brzegowego (Endpoint), (Enkapsulacja IPsec, GRE).
TLOG Extenction –
Komponenty fizyczne wirtualne
vManage– Moduł występujący jedynie w postaci maszyny wirtualnej.
vBond– Moduł występujący jedynie w postaci maszyny wirtualnej.
vSmart– Moduł występujący jedynie w postaci maszyny wirtualnej.
vEdge– Ruter występujący zarówno w postaci maszyny wirtualnej jak i fizycznego urządzenia.
