In diesem Abschnitt werden VMware SD-WAN-Funktionen beschrieben.
Dynamische Mehrfachpfadoptimierung
Die dynamische Mehrfachpfadoptimierung von VMware besteht aus automatischer Link-Überwachung, dynamischer Link-Steuerung und bedarfsorientierter Standardisierung.
Link-Steuerung und Standardisierung
Die dynamische, anwendungsorientierte Link-Steuerung pro Paket erfolgt automatisch auf der Grundlage der Geschäftspriorität der Anwendung, der eingebetteten Kenntnisse der Netzwerkanforderungen der Anwendung und der Echtzeitkapazität und -leistung der einzelnen Links. Die bedarfsorientierte Minderung einzelner Link-Degradierungen durch vorwärts gerichtete Fehlerkorrektur, Jitter-Pufferung und negativen Bestätigungs-Proxy schützt auch die Leistung prioritärer und netzwerksensitiver Anwendungen. Sowohl die dynamische Link-Steuerung pro Paket als auch die bedarfsorientierte Minderung bieten zusammen einen verlässlichen blockierenden und eingeschränkten Schutz in Sekundenbruchteilen, um die Anwendungsverfügbarkeit, die Leistung und das Endbenutzererlebnis zu verbessern.
Cloud-VPN
Das Cloud-VPN ist ein VPNC-konformes IPSec-VPN von Site zu Site, das mit einem Klick erreichbar ist. Dieses VPN verbindet VMware mit Non VMware SD-WAN Sites und stellt den Echtzeitstatus und die Integrität der Sites bereit. Das Cloud-VPN stellt eine dynamische Kommunikation von Edge zu Edge für alle Zweigstellen basierend auf den SLOs und der Anwendungsleistung her. Darüber hinaus bietet das Cloud-VPN eine sichere Verbindung über alle Zweigstellen hinweg mit PKI-skalierbarer Schlüsselverwaltung. Neue Zweigstellen treten automatisch dem VPN-Netzwerk bei und haben Zugriff auf alle Ressourcen in anderen Zweigstellen, Unternehmensdatencentern und Datencentern von Drittanbietern, wie Amazon AWS.
Eingehende QoS mit Mehrfachquelle
VMware klassifiziert mehr als 3000 Anwendungen, die eine intelligente Steuerung ermöglichen. Die Standardeinstellungen legen die QoS-Parameter (Quality of Service) für verschiedene Anwendungstypen fest, wobei die IT nur zur Festlegung der Anwendungspriorität erforderlich ist. Die Kenntnis der Netzwerkanforderungen für verschiedene Anwendungstypen, automatische Link-Kapazitätsmessungen und dynamische Flussüberwachung ermöglichen die Automatisierung von QoS-Konfigurationen und Bandbreitenzuweisungen.
Firewall
VMware bietet eine zustands- und kontextorientierte (Anwendung, Benutzer, Gerät), integrierte anwendungsbezogene Firewall mit präziser Steuerung von Unteranwendungen, Unterstützung für Protokoll-Hopping-Anwendungen ─ wie Skype und andere Peer-to-Peer-Anwendungen (z. B. Skype-Video und Chat deaktivieren, Skype-Audio jedoch zulassen). Der sichere Firewalldienst ist benutzer- und gerätebetriebssystem-kompatibel mit der Möglichkeit, Sprach-, Video-, Daten- und Compliance-Verkehr zu trennen. Die Richtlinien für BYOD-Geräte (wie z. B. Apple iOS, Android, Windows und Mac OS) im Unternehmensnetzwerk lassen sich leicht steuern.
Einfügen von Netzwerkdiensten
Die VMware-Lösung unterstützt eine Plattform für das Hosting mehrerer virtualisierter Netzwerkfunktionen, um Einzelfunktions-Appliances zu eliminieren und die IT-Komplexität der Zweigstellen zu reduzieren. VMware-Dienstketten verbinden den Verkehr von der Zweigstelle zu den regionalen Cloud-basierten und Unternehmens-Hub-Diensten mit garantierter Leistung, Sicherheit und Verwaltbarkeit. Die Zweigstellen nutzen konsolidierte Sicherheits- und Netzwerkdienste, einschließlich derer von Partnern wie Zscaler und Websense. Mithilfe einer einfachen Schnittstelle können Dienste in die Cloud und lokal mit anwendungsspezifischen Richtlinien mit lediglich ein paar Klicks eingefügt werden.
Aktivierung
SD-WAN Edge-Appliances authentifizieren sich automatisch, stellen eine Verbindung her und erhalten Konfigurationsanweisungen, sobald sie mit dem Internet verbunden sind, und zwar in einer Zero-Touch-Bereitstellung. Sie liefern eine hochverfügbare Bereitstellung mit dem SD-WAN Edge-Redundanzprotokoll und integrieren sich in das bestehende Netzwerk mit Unterstützung des OSPF-Routing-Protokolls und profitieren von dynamischem Lernen und Automatisierung.
Overlay-Flow-Steuerung
Der SD-WAN Edge lernt Routen von benachbarten Routern über OSPF und BGP. Er sendet die gelernten Routen an das Gateway/den Controller. Das Gateway bzw. der Controller fungiert wie ein Routenreflektor und sendet die erlernten Routen an andere SD-WAN Edgess. Die OFC (Overlay Flow Control, Overlay-Flow-Steuerung) ermöglicht eine unternehmensweite Routensichtbarkeit und -steuerung für eine einfache Programmierung und für Voll- oder Teil-Overlay.
OSPF
VMware unterstützt Eingangs-/Ausgangsfilter zu OSPF-Nachbarn, OE1/OE2-Routentypen, MD5-Authentifizierung. Über OSPF gelernte Routen werden automatisch an den in der Cloud oder an die lokal gehosteten Controller weiterverteilt.
BGP
VMware unterstützt Eingangs-/Ausgangsfilter, und der Filter kann auf „Verweigern (Deny)“ festgelegt werden, oder optional kann das BGP-Attribut hinzugefügt/geändert werden, um die Pfadauswahl zu beeinflussen, d. h. „RFC 1998-Community (RFC 1998 community)“, „MED“, „AS-Pfad voranstellen (AS-Path prepend)“ und „Lokale Präferenz (local preference)“.
Segmentierung
Die Netzwerksegmentierung ist eine wichtige Funktion sowohl für Unternehmen als auch für Dienstanbieter. In der elementarsten Form bietet die Segmentierung eine Netzwerkisolierung aus Verwaltungs- und Sicherheitsgründen. Die gängigsten Formen der Segmentierung sind VLANs für L2 und VRFs für L3.
Typische Anwendungsfälle für die Segmentierung:
- Trennung der Geschäftsbereiche: Technik, HR usw. für Sicherheit/Audit
- Trennung von Benutzerdaten: Gast, PCI, Trennung des Unternehmensverkehrs
- Unternehmen verwendet überlappende IP-Adressen in verschiedenen VRFs
Der verwaltete Ansatz ist jedoch auf eine einzige Box oder zwei physisch verbundene Geräte beschränkt. Um die Funktionalität zu erweitern, müssen Segmentierungsinformationen über das Netzwerk übertragen werden.
VMware ermöglicht die durchgängige Segmentierung. Wenn das Paket den Edge durchläuft, wird die Segment-ID dem Paket hinzugefügt und an den Hub und das Cloud-Gateway weitergeleitet, wodurch eine Netzwerkdienstisolierung vom Edge zum Cloud und Datencenter ermöglicht wird. Dies bietet die Möglichkeit, Präfixe in einer eindeutigen Routing-Tabelle zu gruppieren und so die Unternehmensrichtline segmentierfähig zu machen.
Routing
Im dynamischen Routing lernt der SD-WAN Edge Routen von benachbarten Routern über OSPF oder BGP. Der SD-WAN Orchestrator verwaltet alle dynamisch erlernten Routen in einer globalen Routing-Tabelle mit dem Namen „Overlay-Flow-Steuerung“ (Overlay Flow Control). Die Overlay-Flow-Steuerung ermöglicht die Verwaltung dynamischer Routen im Fall von „Overlay-Flow-Steuerung-Synchronisierung“ und „Änderung der Konfiguration der Eingangs-/Ausgangsfilterung“. Die Änderung der Eingangsfilterung für ein Präfix von IGNORIEREN (IGNORE) auf LERNEN (LEARN) würde das Präfix aus der Overlay-Flow-Steuerung holen und in die Unified Routing-Tabelle installieren.
Weitere Informationen finden Sie unter Konfigurieren von dynamischem Routing mit OSPF oder BGP.
Unternehmensrichtlinien-Framework
Quality of Service (QoS), Ressourcenzuweisungen, Link/Pfad-Steuerung und Fehlerkorrektur werden automatisch auf der Grundlage von Unternehmensrichtlinien und Anwendungsprioritäten angewendet. Orchestrieren Sie den Verkehr auf der Grundlage von Transportgruppen, die durch private und öffentliche Links, Richtliniendefinition und Link-Merkmale definiert sind.