В современном мире любая организация использует огромное количество корпоративных приложений с разными требованиями к пропускной способности и качественным характеристикам каналов глобальных сетей. Приложения для видеоконференцсвязи очень чувствительны к потерям пакетов и колебаниям задержки на линиях связи, объединяющих распределенные офисы. С другой стороны, приложения, которые используют протокол FTP, весьма толерантны к потере пакетов, но требовательны к ширине полосы пропускания канала.
Традиционная глобальная сеть (WAN) в разрезе работы с корпоративными приложениями, имеет следующие недостатки:
Все приложения передаются по одному и тому же каналу, что может легко привести к его перегрузке и оказать негативное влияние, например, на голосовые сервисы. Традиционные технологии и протоколы маршрутизации не могут идентифицировать приложения, не говоря уже об их перенаправлении в каналы с разными характеристиками.
В традиционных IP-сетях протоколы маршрутизации фокусируются на пакетах, а не на приложениях. Доступность того или иного приложения еще не говорит о его корректной работе.
Отсутствуют эффективные технологии оптимизации качества каналов связи в случае его ухудшения. Интернет не обеспечивает надежную передачу данных, а потеря пакетов ведет к падению качества предоставления сервисов.
Для устранения этих проблем в современных корпоративных распределенных сетях требуется решение, которое может идентифицировать приложения и обеспечивать их эффективную работу. Huawei предлагает для этого свое решение SD-WAN, основанное на четырех основных технологиях, о которых сегодня хотелось бы остановиться подробно.
Идентификация приложений
Идентификация приложений происходит на основе характеристик сетевого трафика, создаваемого этими приложениями. Именно это позволяет обеспечить согласование политик на клиентском оборудовании. Это могут быть и политики безопасности, и маршрутизация на основной или резервный канал связи, и обеспечение качества обслуживания (QoS). Оконечное оборудование (Customer Premises Equipment, CPE) компании Huawei использует для идентификации приложений два метода – распознавание сервиса (Service Awareness, SA) и идентификацию первого пакета (First Packet Identification, FPI).
Service Awareness идентифицирует приложения путем сопоставления характеристик отправляемых им пакетов. Например, веб-игры и веб-видео используют для передачи данных HTTP и порт 8080. Традиционные устройства не могут отличить эти приложения по номеру порта или протоколу. Однако CPE с поддержкой SA легко опознает их по характеристикам и позволяет применять подходящие политики и правила маршрутизации для каждого.
First Packet Identification идентифицирует приложение после получения первого пакета от него. В процессе классического «трехэтапного рукопожатия» (three way handshake) маршрутизатор с поддержкой FPI способен распознать приложение по пакету TCP SYN одним из двух способов – статически и на основе DNS.
SA является более точным и аккуратным методом идентификации, так как проверяет ключевые показатели в поле полезной нагрузки пакета, скорость отправки пакетов и их последовательность. Технология хорошо зарекомендовала себя в работе с приложениями с нефиксированными портами. FPI же работает с «простой» информацией – IP-адрес, номер порта, идентификатор протокола. Этот метод меньше нагружает устройство и рекомендован к использованию, например, в сценариях маршрутизации на основе приложений.
Интеллектуальное управление трафиком на основе приложений
Одна из важнейших функций Huawei SD-WAN. Технология позволяет отслеживать качество сети в режиме реального времени и автоматически выбирает маршрут, соответствующий требованиям SLA того или иного приложения. Более того, механизм интеллектуальной маршрутизации на основе приложений понимает, оценивает и учитывает общую эффективность корпоративной глобальной сети. Huawei SD-WAN использует несколько алгоритмов интеллектуального управления:
На основе качества канала связи (link quality–based traffic steering)
Приложения предъявляют различные требования к качеству связи. Для голосовых и видеосервисов задержка не должна превышать 150 мс, а потеря пакетов – составлять менее 1%. Для таких сервисов вы можете выбрать основным канал MPLS с гарантированным качеством связи, а интернет-канал использовать в качестве резервного, не забыв при этом настроить пределы допустимых значений задержки и потерь, при которых будет происходит переключение на резервный канал.
Как показано на рисунке, голосовой поток использует MPLS (канал №1) как основной. За ним в реальном времени следит оконечное оборудование (CPE). Как только качество канала №1 – например, из-за загрузки – перестает удовлетворять требованиям, CPE автоматически мигрирует голосовой трафик на канал №2, который удовлетворяет требованиям SLA.
На основе утилизации пропускной способности (bandwidth utilization–based traffic steering)
Этот алгоритм применим в двух сценариях:
Пропускная способность канала достигает максимального значения или оставшаяся пропускная способность ниже порогового значения, новый трафик от выбранных приложений не передается по этому каналу, чтобы предотвратить ухудшение качества работы приложений.
Пропускная способность канала зарезервирована для высокоприоритетных приложений. Для предотвращения загрузки можно настроить соответствующее ограничение, при достижении которого трафик от этих приложений будет передаваться и по резервному каналу связи.
На схеме видно, как видеосервис загружает полосу пропускания. Когда утилизация канала превышает 80%, для обеспечения корректной работы приложения, мы можем настроить передачу видеотрафика параллельно по второму каналу.
На основе балансировки нагрузки (load balancing–based traffic steering)
Допустим, организация использует два канала MPLS от разных провайдеров и желает утилизировать пропускную способность обоих. Для этого достаточно добавить оба канала в группу основных для голосового сервиса на оконечном маршрутизаторе (CPE). Если качество каналов удовлетворяет требованиям SLA, потоки будут балансироваться между MPLS.
На основе приоритета приложений (application priority-based traffic steering)
Если по одной и той же линии связи передается трафик нескольких типов сервисов, этот алгоритм обеспечивает преимущество более приоритетным приложениям. Например, голос, видео и файлы передаются по каналу MPLS. Если его пропускная способность недостаточна, предпочтение отдается голосовым и видео сервисам.
На схеме качество канала MPLS лучше, чем у интернет-соединения. Чтобы в полной мере использовать канал MPLS, он настроен в качестве основной линии связи, а интернет-канал – в качестве дополнительного. Приоритет голосового сервиса выше, чем у службы FTP. Исходно как голосовые, так и FTP-сервисы передаются по каналу MPLS. По мере увеличения объема трафика канал MPLS становится перегруженным. Для поддержки качества голосовой связи трафик FTP автоматически перенаправляется на интернет-канал, пока загрузка канала MPLS не вернется к оптимальному показателю.
QoS (Quality of Service)
Третья технология «заботы» о работе приложений, хорошо известна всем – это QoS (Quality of Service). В SD-WAN от Huawei QoS играет ключевую роль, предоставляя разнообразные функции для underlay- и overlay-сетей. Вот только теперь функциями QoS управляет контроллер iMaster NCE, что значительно упрощает его настройку и удобство использования. Здесь есть два типовых сценария:
Управление приоритетом корпоративных приложений
Как уже сказано выше, сегодня в сети предприятия живет огромное количество корпоративных приложений с разными требованиями к качеству линий связи. При недостаточной пропускной способности канала эффективная работа важных приложений должна быть гарантирована в первую очередь. Для этого используется механизм планирования очередей (queue scheduling), опредяющий положение в них для различных по приоритетности сервисов.
Разграничение пропускной способности канала между департаментами
Предприятия состоят из многочисленных отделов. В целях безопасности трафик департаментов изолируется для каждого из них. И в зависимости от приложений, «живущих» в нем, отделу выделяется соответствующая полоса пропускания.
На рисунке приведен пример, где общая пропускная способность физического канала 100 Мб/сек. Департаменту №1 и департаменту №2 выделяется 40% и 60% пропускной способности соответственно. При этом департаменты могут использовать свободные ресурсы друг друга.
Соотношение используемой полосы пропускания между доступом в интернет и межсайтовым взаимодействием для департамента №1 – 4:6, для департамента №2 – 3:7. Если на физических каналах возникают перегрузки, минимальная пропускная способность гарантируется на основе этого коэффициента.
Huawei SD-WAN поддерживает классификацию трафика на основе IP quintuple, групп приложений, значении DCSP и трех типов политик QOS (priority–based scheduling, traffic policing и traffic shaping). Также поддерживается иерархический QoS (HQoS).
WAN optimization
За этим термином скрывается четвертый пул протоколов и технологий в решении Huawei SD-WAN, гарантирующих качественную работу приложений в корпоративной глобальной сети. Понемногу расскажем о каждой.
Huawei Forward Error Correction (FEC)
Эта технология позволяет классифицировать трафик, получать определенные потоки данных, добавлять избыточные пакеты с полями для проверки и проверять очередность принятия пакетов на противоположной стороне.
Если пакет потерян или поврежден во время передачи по сети, технология дает возможность использовать резервный пакет для восстановления. FEC применяет кодирование Reed-Solomon (RS) на передающем маршрутизаторе. Избыточные пакеты генерируются на основе исходных, после чего FEC отправляет исходный и резервный пакеты на принимающий маршрутизатор. При потере исходных пакетов принимающая сторона декодирует резервные.
Наиболее популярный сценарий использования FEC – видеоконференцсвязь между распределенными сайтами, но использование технологии не запрещено и для повышения эффективности работы любых корпоративных приложений. Надо лишь помнить, что FEC весьма требователен к процессорным ресурсам, поэтому рекомендуется к использованию только c действительно критическими сервисами.
Дублирование пакетов на разные каналы (Multi-path packet duplication)
Эта технология также известна как dual-fed c выборочным приемом (selective receiving) и тоже помогает бороться с потерей пакетов. Передающий маршрутизатор дублирует пакет, а затем отправляет исходный и дублированный пакеты по двум разным каналам связи. Если на одном канале происходит потеря, роутер на принимающей стороне восстанавливает потерянный пакет, используя дублированный с другого канала, что устраняет необходимость повторной передачи.
Балансировка нагрузки (load balancing)
Третья технология из группы WAN optimization помогает оптимизировать утилизацию каналов, используя несколько линий связи для ускорения передачи пакетов. Балансировка нагрузки работает в двух режимах – per-packet и per-flow.
В режиме per-flow потоки данных распределяются по разным каналам передачи на основе алгоритма хеширования. Используется балансировка между физическими каналами в группе агрегирования. Однако потоки одного и того же типа не могут быть распределены по нескольким каналам связи.
В режиме per-packet потоки передаются по пакетам. Поток содержит несколько пакетов, которые могут быть переданы и достичь места назначения по разным каналам связи. Таким образом, несколько каналов полностью используются для одного и того же типа потоков, ускоряя передачу данных.
***
Осталось напомнить, что передовые технологии SD-WAN, нашедшие отражение в решениях Huawei, заметно влияют на качество предоставления корпоративных сервисов. От их доступности и эффективности работы зависят прежде всего не технические параметры, описанные в многочисленных SLA, а производительность реальных бизнес-процессов. А те в свою очередь определяют конкурентоспособность организации и ее возможности для дальнейшего развития.
Комментарии (4)
net_racoon
21.10.2021 09:32+1Это все прекрасно? А как пощупать то это все?
Sergey198617 Автор
22.10.2021 14:03+1Данное решение, как и многие другие, представлены в Huawei DemoCloud https://democloud.huawei.com/enterprises/#/cloud
CherryPah
Я не сильно ошибусь, если скажу что на КДПВ салазки, и как следует все шасси Dell.
Странно видеть такой ляп в корпоративном хабе Huawei
Huawei_Russia
Ну теперь мы точно знаем, что нас кто-то читает )). Причем люди внимательные и опытные! ) Спасибо за замечание! Меняем.