Présentation

VMware SD-WAN™ est une solution qui permet aux entreprises et aux fournisseurs de services d'utiliser simultanément plusieurs transports WAN. Ils peuvent ainsi augmenter la bande passante et garantir les performances des applications. La solution fonctionne à la fois pour les applications sur site et dans le cloud (SaaS/IaaS). Elle utilise une architecture fournie par le cloud qui crée un réseau d'overlay avec plusieurs tunnels. Elle surveille les modifications et s'adapte à celles-ci dans les transports WAN en temps réel. L'optimisation dynamique des chemins multiples (DMPO) est une technologie développée par VMware SD-WAN pour augmenter la résilience du réseau d'overlay. Elle prend en compte les performances en temps réel des liens WAN. Ce document explique les fonctionnalités et avantages clés de la DMPO.

Le diagramme suivant illustre un déploiement SD-WAN classique avec des destinations non-SD-WAN multicloud.

Fonctionnalités clés

Surveillance continue

Détection automatisée de la bande passante (Automated Bandwidth Discovery) : une fois que le lien WAN est détecté par le dispositif VMware SD-WAN Edge, il établit d'abord des tunnels DMPO avec une ou plusieurs passerelles VMware SD-WAN Gateway et exécute un test de bande passante avec la passerelle la plus proche. Le test de bande passante s'effectue en envoyant de courtes rafales de trafic bidirectionnel et en mesurant le débit reçu à chaque extrémité. Étant donné que la passerelle est déployée sur les points de présence (PoP, Point Of Presence) Internet, elle peut également identifier l'adresse IP publique réelle du lien WAN si l'interface Edge se trouve derrière un périphérique NAT ou PAT. Un processus semblable s'applique à un lien privé. Pour les dispositifs Edge faisant office de Hub ou de tête de réseau, la bande passante WAN est définie de manière statique. Toutefois, lorsque le dispositif Edge du site distant établit un tunnel DMPO avec les dispositifs Hub Edge, ils suivent les mêmes procédures de test de bande passante que celles qui s'effectuent entre un dispositif Edge et une passerelle sur le lien public.

Surveillance continue des chemins (Continuous Path Monitoring) : l'optimisation dynamique des chemins multiples (DMPO) effectue des mesures unidirectionnelles continues des indicateurs de performances : perte, latence et gigue de chaque paquet, sur chaque tunnel entre deux points de terminaison DMPO, le périphérique Edge ou la passerelle. Le choix par paquet de VMware SD-WAN permet des décisions indépendantes dans les directions de lien montant et de lien descendant sans ajouter de routage asymétrique. La DMPO utilise des approches de surveillance passives et actives. En cas de trafic utilisateur, l'en-tête de tunnel DMPO contient des mesures de performances supplémentaires, notamment le numéro de séquence et l'horodatage. Cela permet aux points de terminaison DMPO d'identifier les paquets perdus et dans le désordre, et de calculer la gigue et la latence dans chaque direction. Les points de terminaison DMPO communiquent les mesures de performances du chemin entre eux toutes les 100 ms.

En l'absence de trafic utilisateur, une sonde active est envoyée toutes les 100 ms et, après 5 minutes sans trafic utilisateur de haute priorité, la fréquence de la sonde est réduite à 500 ms. Cette mesure complète permet à la DMPO de réagir très rapidement à la modification de la condition WAN sous-jacente, ce qui permet d'offrir une protection en moins d'une seconde contre les baisses soudaines de capacité de bande passante et les pannes dans le WAN.

Classe de service (CoS) MPLS (MPLS Class of Service [CoS]) : pour un lien privé disposant d'un accord CoS, la DMPO peut être configurée pour prendre la classe de service en compte pour les décisions de choix de surveillance et des applications.

Choix dynamique des applications

Choix par paquet sensible aux applications (Application-aware Per-packet Steering) : l'optimisation dynamique des chemins multiples (DMPO) identifie le trafic à l'aide d'attributs de couche 2 à 7, par exemple, VLAN, adresse IP, protocole et applications. VMware SD-WAN effectue un choix par paquet sensible aux applications en fonction de la configuration de la business policy et des conditions de lien en temps réel. La business policy contient des paramètres par défaut intelligents prêts à l'emploi qui spécifient le comportement et la priorité du choix par défaut de plus de 2 500 applications : les clients peuvent immédiatement utiliser un choix dynamique des paquets et la hiérarchisation sensible aux applications sans avoir à définir de stratégie.

Tout au long de sa durée de vie, tout flux de trafic est dirigé vers un ou plusieurs tunnels DMPO, en cours de communication, sans incidence sur le flux. Un lien complètement inactif est appelé condition de panne. Un lien qui ne parvient pas à fournir le SLA pour une application donnée est désigné comme présentant une condition de défaillance. VMware SD-WAN fournit une protection en moins d'une seconde contre les pannes et les baisses soudaines de la capacité de bande passante. Avec la surveillance continue de tous les liens WAN, la DMPO détecte une perte soudaine de SLA ou une condition de panne dans un délai de 300 à 500 ms et choisit immédiatement le flux de trafic afin de protéger les performances des applications, tout en garantissant l'absence d'incidence sur le flux actif et l'expérience utilisateur. Il y a un délai d'attente de une minute à partir du moment où la condition de défaillance ou de panne sur le lien est désactivée avant que la DMPO ne redirige le flux de trafic vers le lien préféré s'il est spécifié dans la business policy.

L'apprentissage intelligent permet de choisir l'application en fonction du premier paquet de l'application en mettant en cache les résultats de la classification. Cela est nécessaire pour la redirection basée sur l'application, par exemple, rediriger Netflix vers le lien Internet du site distant, en contournant le tunnel DMPO, tout en effectuant un backhaul d'Office 365 vers le Hub régional ou le centre de données de l'entreprise.

Exemple : l'option Paramètres par défaut intelligents (Smart Defaults) spécifie que Microsoft Skype Entreprise est une application haute priorité et en temps réel. En supposant qu'il existe 2 liens avec une latence de 50 ms et de 60 ms respectivement. Supposons que tous les autres SLA soient identiques ou corrects. La DMPO choisira la meilleure latence du lien, c'est-à-dire un lien avec une latence de 50 ms. Si le lien actuel vers lequel le trafic Skype Entreprise est dirigé subit une latence élevée de 200 ms, en moins d'une seconde, les paquets du flux Skype Entreprise sont dirigés vers un autre lien qui dispose d'une latence supérieure de 60 ms.

Agrégation de bande passante pour un flux unique (Bandwidth Aggregation for Single Flow) : pour le type d'application qui peut bénéficier de plus de bande passante, par exemple le transfert de fichiers, la DMPO effectue l'équilibrage de charge par paquet, en utilisant tous les liens disponibles pour fournir tous les paquets d'un flux unique à la destination. La DMPO prend en compte les performances du WAN en temps réel et décide quels chemins doivent être utilisés pour l'envoi des paquets du flux. Elle effectue également un nouveau séquencement côté récepteur pour s'assurer qu'aucun paquet dans le désordre n'est ajouté suite à l'équilibrage de charge par paquet.

Exemple : deux liens de 50 Mbits/s fournissent 100 Mbits/s de capacité agrégée pour un flux de trafic unique. La qualité de service (QoS, Quality of service) s'applique au niveau du lien agrégé et individuel.

Correction à la demande

Correction des erreurs et de la gigue (Error and Jitter Correction) : dans un scénario dans lequel il est impossible de diriger le flux de trafic sur le meilleur lien, par exemple, un déploiement simple de liens ou plusieurs liens présentant des problèmes simultanément, l'optimisation dynamique des chemins multiples (DMPO) peut activer les corrections d'erreurs pendant la durée de défaillance des liens WAN. Le type de correction des erreurs utilisé dépend du type d'application et du type d'erreur.

Les applications en temps réel, telles que les flux vocaux et vidéo, peuvent bénéficier de la Correction d'erreurs de transfert (FEC) (Forward Error Correction [FEC]) en cas de perte de paquets. La DMPO active automatiquement la FEC sur un ou plusieurs liens. Lorsqu'il existe plusieurs liens, la DMPO sélectionne jusqu'à deux des meilleurs liens à un moment donné pour la FEC. Les paquets en double sont ignorés et les paquets dans le désordre sont réordonnés côté réception avant de les livrer à la destination finale.

La DMPO active le tampon de gigue pour les applications en temps réel lorsque les liens WAN rencontrent une gigue. Les applications TCP, telles que le transfert de fichiers, bénéficient d'un accusé de réception négatif (NACK). Le point de terminaison DMPO de réception informe le point de terminaison DMPO d'envoi de retransmettre le paquet manquant si celui-ci est détecté comme tel. Cela protège les applications finales contre la détection de la perte de paquets et, par conséquent, optimise la fenêtre TCP et fournit un débit TCP élevé, même en cas de condition de perte.

Lorsque la perte de paquets dépasse un seuil spécifique, elle demande le lancement de la Correction d'erreurs de transfert (FEC) adaptative (Adaptive Forward Error Correction [FEC]) via la duplication de paquets. La correction d'erreurs appliquée est basée sur la classe de trafic :

• Trafic transactionnel/en bloc (Transactional/Bulk traffic) : dans ce cas, nous appliquons un algorithme de retransmission basé sur NACK, qui s'effectue au niveau du protocole VCMP dans lequel nous essayons de corriger la condition d'erreur avant de transférer le paquet à l'application.
• Trafic en temps réel (Realtime traffic) : dans ce cas, nous appliquons la FEC adaptative pour répliquer les paquets (activer/désactiver en cas de violation du SLA de perte) et/ou corriger le tampon de gigue (en cas de violation du SLA de gigue, celui-ci peut uniquement être activé et persistera pendant toute la durée de vie du flux).

Le SLA de lien (perte, latence, gigue) est constamment surveillé et mesuré périodiquement et la FEC (duplication de paquets) sera activée en cas de violation du seuil pour le trafic en temps réel (valeurs différentes pour les applications vocales et vidéo).

Dans un scénario de lien WAN unique, des paquets en double sont transmis sur le même lien adjacent à un autre. Étant donné que les abandons de paquets en raison de la congestion sont aléatoires, il est statistiquement peu probable que deux paquets adjacents soient abandonnés, ce qui augmente considérablement la probabilité que l'un des paquets soit transmis à la destination. Les paquets répliqués sont envoyés sur des liens distincts au cas où il y aurait au moins deux liens WAN.

L'option FEC adaptative (Adaptive FEC) est déclenchée par flux en temps réel selon les seuils de perte de paquets mesurés et est désactivée en temps réel lorsque la perte de paquets ne dépasse plus le seuil d'activation. Cela garantit que la bande passante disponible est utilisée aussi efficacement que possible, que la duplication de paquets inutile est évitée et que la capacité supplémentaire de ressources est réduite. L'effet réduit ou supprimé de la perte de paquets dans le réseau de transport sur les périphériques des utilisateurs finaux constitue un autre avantage significatif de l'approche FEC adaptative (Adaptive FEC) de VMware. Lorsque les périphériques des utilisateurs finaux ne détectent pas d'abandons de paquets, ils évitent les retransmissions et les mécanismes d'évitement de la congestion TCP, tels qu'un démarrage lent, ce qui peut avoir une incidence négative sur le débit global, les performances des applications et l'expérience des utilisateurs finaux.

Résultats réels de la DMPO

Scénario 1 : appel VoIP site distant vers site distant sur un lien unique. Les résultats de la figure ci-dessous illustrent les avantages de la correction à la demande à l'aide de la FEC et de la correction de la gigue sur un lien Internet unique avec les réseaux WAN et VMware SD-WAN traditionnels. Un score moyen d'opinion (MOS) inférieur à 3,5 est une qualité inacceptable pour un appel vocal ou vidéo.

Scénario 2 : performances TCP avec et sans VMware SD-WAN pour des liens uniques et multiples. Ces résultats montrent comment NACK active l'équilibrage de charge par paquet.

Scénario 3 : scénario WAN hybride avec une panne sur le lien MPLS, et une gigue et une perte sur le lien Internet (Comcast). Ces résultats montrent comment la DMPO protège les applications contre les pannes en moins de une seconde en les dirigeant vers des liens Internet et en activant la correction à la demande sur le lien Internet.

Infrastructure de la business policy et paramètres par défaut intelligents

La business policy permet à l'administrateur informatique de contrôler la qualité de service, le choix et les services pour le trafic d'application. Les paramètres par défaut intelligents fournissent une business policy sur mesure qui prend en charge plus de 2 500 applications. La DMPO prend des décisions de choix en fonction du type d'application, de la condition de lien en temps réel (congestion, latence, gigue et perte de paquets) et de la business policy. Voici un exemple de business policy.

Chaque application dispose d'une catégorie. Chaque catégorie dispose d'une action par défaut, qui est une combinaison de priorité d'entreprise, de service réseau, de choix du lien et de classe de service. Vous pouvez également définir des applications personnalisées.

Chaque application dispose d'une classe de service : En temps réel (Real Time), Transactionnel (Transactional) ou En bloc (Bulk). La classe de service détermine la manière dont la DMPO gère le trafic d'application. Vous ne pouvez pas modifier la classe de service pour les applications par défaut, mais vous pouvez la spécifier pour vos propres applications personnalisées.

Chaque application dispose également d'une priorité d'entreprise : Élevée (High), Normale (Normal) ou Faible (Low). La priorité d'entreprise détermine comment la DMPO hiérarchise et applique la qualité de service au trafic d'application. Vous pouvez modifier la priorité d'entreprise pour n'importe quelle application.

Il existe trois types de services réseau : Direct, MultiPath et Backhaul Internet (Internet Backhaul). Par défaut, l'un des services réseau par défaut est attribué à une application, ce qui peut être modifié par les clients.

Abstraction du choix du lien avec le groupe de transport

Dans les différents emplacements de site distant et de Hub, il peut y avoir différents modèles de dispositifs VMware SD-WAN Edge avec des interfaces et des opérateurs WAN différents. Pour appliquer la stratégie de choix du lien centralisée à l'aide de Profil (Profile), il est important que les interfaces et les opérateurs soient abstraits. Le groupe de transport fournit l'abstraction des interfaces réelles des périphériques et des opérateurs utilisés à différents emplacements. La business policy au niveau du profil peut s'appliquer plutôt au groupe de transport, tandis que la business policy au niveau du dispositif Edge individuel peut l'être au groupe de transport, au lien WAN (opérateur) et aux interfaces.

Choix du lien par le groupe de transport (Link Steering by Transport Group)

Des emplacements différents peuvent comporter des transports WAN différents, par exemple, le nom de l'opérateur WAN, le nom de l'interface WAN. La DMPO utilise le concept de groupe de transport pour abstraire les interfaces ou les opérateurs WAN sous-jacent(e)s de la configuration de la business policy. La configuration de la business policy peut spécifier le groupe de transport (lien filaire public, lien sans fil public, lien filaire privé, etc.) dans la stratégie de choix de sorte que la même configuration de business policy puisse être appliquée à des types de périphériques ou emplacements différents, qui peuvent comporter des opérateurs WAN et des interfaces WAN complètement distincts, etc. Lorsque la DMPO effectue la découverte du lien WAN, elle attribue également le groupe de transport à ce dernier. Il s'agit de l'option la plus souhaitable pour spécifier les liens dans la business policy, car les administrateurs informatiques n'ont pas besoin de connaître la connectivité physique ou l'opérateur WAN.

Choix du lien par l'interface (Link Steering by Interface)

La stratégie de choix du lien peut s'appliquer à l'interface, par exemple GE2, GE3, qui sera différente en fonction du modèle d'Edge et de l'emplacement de celui-ci. Il s'agit de l'option la moins souhaitable à utiliser dans la business policy, car les administrateurs informatiques doivent connaître parfaitement le mode de connexion du dispositif Edge pour pouvoir spécifier l'interface à utiliser.

Choix du lien et correction à la demande

Il existe quatre options possibles pour le choix du lien : Auto, Préféré (Preferred), Obligatoire (Mandatory) et Disponible (Available).

Sélection du lien : obligatoire (Link Selection: Mandatory) : épinglez le trafic au lien ou au groupe de transport. Le trafic garde le même cap indépendamment de l'état du lien, y compris la panne. La correction à la demande est déclenchée pour atténuer la condition de défaillance, telle que la perte de paquets et la gigue.

Exemple : Netflix est une application de faible priorité qui doit rester en permanence sur les liens filaires publics.

Sélection du lien : préféré (Link Selection: Preferred) : sélectionnez le lien à marquer comme « préféré ». Selon le type de lien WAN disponible sur le dispositif Edge, trois scénarios sont possibles :

• Lorsque le lien Internet préféré dispose de plusieurs alternatives de liens WAN publics : le trafic d'application reste sur le lien préféré tant qu'il répond au SLA pour cette application et dirige vers d'autres liens publics une fois que le lien préféré ne peut pas fournir le SLA requis par l'application. Dans le cas où il n'y aurait pas de lien de direction, c'est-à-dire que tous les liens publics ne parviennent pas à fournir le SLA requis par l'application, la correction à la demande est activée. Au lieu de détourner l'application dès que le lien actuel ne peut pas fournir le SLA requis par l'application, la DMPO peut activer la correction à la demande jusqu'à ce que la dégradation soit trop grave pour être corrigée, alors la DMPO dirige l'application vers le meilleur lien.
  • Exemple : préférez l'application de collaboration vidéo sur le lien Internet jusqu'à ce qu'elle ne parvienne pas à fournir le SLA requis par la vidéo, puis dirigez-la vers un lien public qui répond au SLA de cette application.
• Lorsque le lien Internet préféré dispose de plusieurs alternatives de liens WAN publics et de liens WAN privés : le trafic d'application reste sur le lien préféré tant qu'il répond au SLA pour cette application et dirige vers un autre lien public une fois que le lien préféré ne peut pas fournir le SLA requis par l'application. Le lien préféré ne dirige PAS vers un lien privé en cas d'échec du SLA, et ne dirige que vers ce lien privé au cas où le lien préféré et un autre lien public seraient tous deux instables ou complètement inactifs. Dans le cas où il n'y aurait pas de lien de direction, c'est-à-dire qu'aucun lien public ne parvient à fournir le SLA requis par l'application, la correction à la demande est activée. Au lieu de détourner l'application dès que le lien actuel ne peut pas fournir le SLA requis par l'application, la DMPO peut activer la correction à la demande jusqu'à ce que la dégradation soit trop grave pour être corrigée, alors la DMPO dirige l'application vers un meilleur lien.
  • Exemple A : préférez l'application de collaboration vidéo sur le lien Internet jusqu'à ce qu'elle ne parvienne pas à fournir le SLA requis par la vidéo, puis dirigez-la vers un lien public qui répond au SLA de cette application.
  • Exemple B : préférez l'application de collaboration vidéo sur le lien Internet jusqu'à ce dernier soit instable ou complètement inopérant, d'autres liens publics sont également instables ou également complètement inopérants, puis dirigez-la vers un lien privé disponible.
• Lorsque le lien Internet préféré dispose uniquement d'alternatives de liens WAN privés : le trafic d'application reste sur le lien préféré indépendamment du statut du SLA pour cette application et ne dirige pas vers d'autres liens publics, même si le lien préféré ne peut pas fournir le SLA requis par l'application. Au lieu de diriger vers les liens privés en cas d'échec du SLA pour cette application, la correction à la demande est activée. Le lien préféré dirigerait vers le ou les liens privés et dirigerait uniquement vers un ou des liens privés en cas d'instabilité ou d'inactivité complète du lien préféré.
  • Exemple : préférez l'application de collaboration vidéo sur le lien Internet jusqu'à ce que le lien soit instable ou complètement inopérant, puis dirigez-la vers un lien privé disponible.

Sélection du lien : disponible (Link Selection: Available) : cette option sélectionne le lien disponible tant qu'il est actif. La DMPO active la correction à la demande si le lien ne répond pas au SLA. La DMPO ne dirige pas les flux d'application vers un autre lien, sauf si celui-ci est inactif.

Exemple : le trafic Web fait l'objet d'un backhaul sur le lien Internet vers le site du Hub à l'aide du lien Internet tant qu'il est actif, quel que soit le SLA.

Sélection du lien : auto (Link Selection: Auto) : Il s'agit de l'option par défaut pour toutes les applications. La DMPO sélectionne automatiquement les meilleurs liens en fonction du type d'application et active la correction à la demande si nécessaire. Il existe quatre combinaisons possibles de choix du lien et de correction à la demande pour les applications Internet. Le trafic dans l'entreprise (VPN) passe toujours par les tunnels DMPO. Il tire donc toujours parti des avantages de la correction à la demande.

Les exemples ci-dessous expliquent le comportement de la DMPO par défaut pour différents types d'applications et de conditions de liens. Pour connaître le SLA par défaut des différents types d'applications, reportez-vous à l'annexe.

Exemple : applications en temps réel.

1. Scénario :un lien répond au SLA de l'application.

   Comportement attendu de la DMPO : elle sélectionne le meilleur lien disponible.

2. Scénario : il existe un lien avec une perte de paquets au-dessus du SLA pour l'application.

   Comportement attendu de la DMPO : elle active la FEC pour les applications en temps réel sur ce lien.

3. Scénario : il existe deux liens avec perte sur un seul lien.

   Comportement attendu de la DMPO : elle active la FEC sur les deux liens.

4. Scénario : il existe plusieurs liens avec une perte sur plusieurs liens.

   Comportement attendu de la DMPO : elle active la FEC sur les deux meilleurs liens.

5. Scénario :Il existe deux liens, mais un seul est instable, c'est-à-dire qu'il manque trois pulsations consécutives.

   Comportement attendu de la DMPO : elle marque le lien comme inutilisable et dirige le flux vers le meilleur lien disponible suivant.

6. Scénario : il existe deux liens avec gigue et perte.

   Comportement attendu de la DMPO : elle active la FEC et le tampon de gigue sur les deux liens. Le tampon de gigue est activé lorsque la gigue est supérieure à 7 ms pour la voix et supérieure à 5 ms pour la vidéo. Le point de terminaison DMPO d'envoi indique au point de terminaison DMPO de réception d'activer le tampon de gigue. Le point de terminaison DMPO de réception met en tampon jusqu'à 10 paquets ou 200 ms de trafic, en fonction de l'événement qui survient en premier. Il utilise l'horodatage d'origine dans l'en-tête DMPO pour calculer le débit du tampon de gigue. Si le flux n'est pas constant, il désactive la mise en tampon de la gigue.

Exemple : applications transactionnelles et en bloc. Active NACK si la perte de paquets dépasse le seuil acceptable par type d'application (reportez-vous à l'annexe pour cette valeur).

Sécuriser la transmission du trafic

La DMPO chiffre la charge utile et l'en-tête du tunnel avec le mode de transport IPsec de bout en bout pour le trafic privé ou interne. La charge utile contient le trafic utilisateur. La DMPO prend en charge AES128 et AES256 pour le chiffrement. Elle utilise les protocoles PKI et IKEv2 pour la gestion et l'authentification des clés IPsec.

Protocoles et ports utilisés

La DMPO utilise les ports suivants :

• UDP/2426 – UDP/2426 : ce port est destiné à la gestion du tunnel d'overlay et à l'échange d'informations entre les deux points de terminaison DMPO (dispositifs Edge et passerelles). Il s'agit également du trafic de données déjà sécurisé ou non important, tel que le trafic SFDC du site distant vers le cloud entre le dispositif Edge et la passerelle. Le trafic SFDC est chiffré avec TLS.
• UDP/500 et UDP/4500 : ces ports sont destinés à la négociation IKEv2 et à la transparence NAT IPSec.
• IP/50 : ce protocole est destiné à IPSec sur le protocole IP natif 50 (ESP) lorsqu'il n'existe aucune NAT entre les deux points de terminaison DMPO.

Annexe : seuil QoE et SLA de l'application

La DMPO utilise le seuil SLA ci-dessous pour différents types d'applications. Il prend immédiatement des mesures pour diriger les flux d'applications affectés ou effectuer une correction à la demande lorsque la condition de lien WAN dépasse un ou plusieurs seuils. La perte de paquets est calculée en divisant le nombre de paquets perdus par le nombre total de paquets durant la dernière minute. Les points de terminaison DMPO communiquent le nombre de paquets perdus toutes les secondes. Le rapport QoE reflète également ce seuil.

La DMPO prend également des mesures immédiatement lorsqu'elle perd des communications (aucune donnée utilisateur ou sonde) dans un délai de 300 ms.

Note : À partir de la version 5.2.0, les utilisateurs ont la possibilité de modifier les valeurs de seuil de latence pour les types de trafic vidéo, vocal et transactionnel via une fonctionnalité QoE personnalisable (Customizable QoE). Les clients peuvent ainsi inclure des liens à latence élevée dans le cadre du processus de sélection et Orchestrator applique les nouvelles valeurs à la page de surveillance QoE.