In diesem Abschnitt werden VMware SD-WAN-Funktionen beschrieben.
Dynamische Mehrfachpfadoptimierung
Die dynamische Mehrfachpfadoptimierung von VMware SD-WAN besteht aus automatischer Link-Überwachung, dynamischer Link-Steuerung und bedarfsorientierter Standardisierung.
Link-Steuerung und Standardisierung
Die dynamische, anwendungsorientierte Link-Steuerung pro Paket erfolgt automatisch auf der Grundlage der Business Priority der Anwendung, der eingebetteten Kenntnisse der Netzwerkanforderungen der Anwendung und der Echtzeitkapazität und -leistung der einzelnen Links. Die bedarfsorientierte Minderung einzelner Link-Degradierungen durch vorwärts gerichtete Fehlerkorrektur, Jitter-Pufferung und negativen Bestätigungs-Proxy schützt auch die Leistung prioritärer und netzwerksensitiver Anwendungen. Sowohl die dynamische Link-Steuerung pro Paket als auch die bedarfsorientierte Minderung bieten zusammen einen verlässlichen blockierenden und eingeschränkten Schutz in Sekundenbruchteilen, um die Anwendungsverfügbarkeit, die Leistung und das Endbenutzererlebnis zu verbessern.
Cloud-VPN
Das Cloud-VPN ist ein VPNC-konformes IPSec-VPN von Site zu Site, das mit einem Klick erreichbar ist. Dieses VPN verbindet VMware SD-WAN mit Nicht-SD-WAN-Ziele und stellt den Echtzeitstatus und die Integrität der Sites bereit. Das Cloud-VPN stellt eine dynamische Kommunikation von Edge zu Edge für alle Zweigstellen basierend auf den SLOs und der Anwendungsleistung her. Darüber hinaus bietet das Cloud-VPN eine sichere Verbindung über alle Zweigstellen hinweg mit PKI-skalierbarer Schlüsselverwaltung. Neue Zweigstellen treten automatisch dem VPN-Netzwerk bei und haben Zugriff auf alle Ressourcen in anderen Zweigstellen, Unternehmensdatencentern und Datencentern von Drittanbietern, wie Amazon AWS.
Firewall
VMware SD-WAN bietet eine zustands- und kontextorientierte (Anwendung, Benutzer, Gerät), integrierte anwendungsbezogene Firewall mit präziser Steuerung von Unteranwendungen, Unterstützung für Protokoll-Hopping-Anwendungen – wie Skype und andere Peer-to-Peer-Anwendungen (Beispiel: Skype-Video und -Chat ausschalten, Skype-Audio jedoch zulassen). Der sichere Firewalldienst ist benutzer- und gerätebetriebssystem-kompatibel mit der Möglichkeit, Sprach-, Video-, Daten- und Compliance-Verkehr zu trennen. Die Richtlinien für BYOD-Geräte (wie z. B. Apple iOS, Android, Windows und Mac OS) im Unternehmensnetzwerk lassen sich leicht steuern.
Einfügen von Netzwerkdiensten
Die VMware SD-WAN-Lösung unterstützt eine Plattform für das Hosting mehrerer virtualisierter Netzwerkfunktionen, um Einzelfunktions-Appliances zu eliminieren und die IT-Komplexität der Zweigstellen zu reduzieren. VMware SD-WAN-Dienstketten verbinden den Verkehr von der Zweigstelle zu den regionalen Cloud-basierten und Unternehmens-Hub-Diensten mit garantierter Leistung, Sicherheit und Verwaltbarkeit. Die Zweigstellen nutzen konsolidierte Sicherheits- und Netzwerkdienste, einschließlich derer von Partnern wie Zscaler und Websense. Mithilfe einer einfachen Schnittstelle können Dienste in die Cloud und lokal mit anwendungsspezifischen Richtlinien mit lediglich ein paar Klicks eingefügt werden.
Aktivierung
SD-WAN Edge-Appliances authentifizieren sich automatisch, stellen eine Verbindung her und erhalten Konfigurationsanweisungen, sobald sie mit dem Internet verbunden sind, und zwar in einer Zero-Touch-Bereitstellung. Sie liefern eine hochverfügbare Bereitstellung mit dem SD-WAN Edge-Redundanzprotokoll und integrieren sich in das bestehende Netzwerk mit Unterstützung des OSPF- und BGP-Routing-Protokolls und profitieren von dynamischem Lernen und Automatisierung.
Overlay-Flow-Steuerung
Der SD-WAN Edge lernt Routen von benachbarten Routern über OSPF und BGP. Er sendet die gelernten Routen an das Gateway/den Controller. Das Gateway bzw. der Controller fungiert wie ein Routenreflektor und sendet die erlernten Routen an andere SD-WAN Edges. Die OFC (Overlay Flow Control, Overlay-Flow-Steuerung) ermöglicht eine unternehmensweite Routensichtbarkeit und ‑steuerung für eine einfache Programmierung und für Voll- oder Teil-Overlay.
OSPF
VMware SD-WAN unterstützt Eingangs-/Ausgangsfilter zu OSPF-Nachbarn, OE1/OE2-Routentypen, MD5-Authentifizierung. Über OSPF gelernte Routen werden automatisch an den in der Cloud oder an die lokal gehosteten Controller weiterverteilt.
BGP
VMware SD-WAN unterstützt Eingangs-/Ausgangsfilter, die auf „Verweigern“ (Deny) festgelegt werden können. Optional kann das BGP-Attribut hinzugefügt/geändert werden, um die Pfadauswahl zu beeinflussen, d. h. „RFC 1998-Community“ (RFC 1998 community), „MED“, „AS-Pfad voranstellen“ (AS-Path prepend) und „Lokale Präferenz“ (local preference).
Segmentierung
Die Netzwerksegmentierung ist eine wichtige Funktion sowohl für Unternehmen als auch für Dienstanbieter. In der elementarsten Form bietet die Segmentierung eine Netzwerkisolierung aus Verwaltungs- und Sicherheitsgründen. Die gängigsten Formen der Segmentierung sind VLANs für L2 und VRFs für L3.
Typische Anwendungsfälle für die Segmentierung:
- Trennung der Geschäftsbereiche: Technik, HR usw. für Sicherheit/Audit
- Trennung von Benutzerdaten: Gast, PCI, Trennung des Unternehmensverkehrs
- Unternehmen verwendet überlappende IP-Adressen in verschiedenen VRFs
Der verwaltete Ansatz ist jedoch auf eine einzige Box oder zwei physisch verbundene Geräte beschränkt. Um die Funktionalität zu erweitern, müssen Segmentierungsinformationen über das Netzwerk übertragen werden.
VMware SD-WAN ermöglicht die durchgängige Segmentierung. Wenn das Paket den Edge durchläuft, wird die Segment-ID dem Paket hinzugefügt und an den Hub und das Cloud-Gateway weitergeleitet, wodurch eine Netzwerkdienstisolierung vom Edge zum Cloud und Datencenter ermöglicht wird. Dies bietet die Möglichkeit, Präfixe in einer eindeutigen Routing-Tabelle zu gruppieren und so die Business Policy segmentierfähig zu machen.
Routing
Im dynamischen Routing lernt der SD-WAN Edge Routen von benachbarten Routern über OSPF oder BGP. SASE Orchestrator verwaltet alle dynamisch erlernten Routen in einer globalen Routing-Tabelle mit dem Namen „Overlay-Flow-Steuerung“ (Overlay Flow Control, OFC). Die Overlay-Flow-Steuerung ermöglicht die Verwaltung dynamischer Routen im Fall von „Overlay-Flow-Steuerung-Synchronisierung“ und „Änderung der Konfiguration der Eingangs-/Ausgangsfilterung“. Die Änderung der Eingangsfilterung für ein Präfix von IGNORIEREN (IGNORE) auf LERNEN (LEARN) würde das Präfix aus der Overlay-Flow-Steuerung holen und in die Unified Routing-Tabelle installieren.
Weitere Informationen finden Sie unter Konfigurieren von dynamischem Routing mit OSPF oder BGP.
Business Policy-Framework
Quality of Service (QoS), Ressourcenzuweisungen, Link/Pfad-Steuerung und Fehlerkorrektur werden automatisch auf der Grundlage von Business Policies und Anwendungsprioritäten angewendet. Orchestrieren Sie den Verkehr auf der Grundlage von Transportgruppen, die durch private und öffentliche Links, Richtliniendefinition und Link-Merkmale definiert sind.