Questa sezione illustra le funzionalità di VMware SD-WAN.
Ottimizzazione dinamica percorso multiplo
Ottimizzazione dinamica percorso multiplo di VMware SD-WAN include il monitoraggio automatico dei link, il reindirizzamento dinamico dei link e la correzione su richiesta.
Reindirizzamento e correzione dei link
Il reindirizzamento dinamico dei link per pacchetto sensibile all'applicazione viene eseguito automaticamente in base alla priorità di business dell'applicazione, alla conoscenza incorporata dei requisiti di rete dell'applicazione, nonché alla capacità e alle prestazioni in tempo reale di ciascun link. La riduzione su richiesta della degradazione dei singoli link tramite la funzionalità FEC (Forward Error Correction), il buffering jitter e il proxy di riconoscimento negativo protegge inoltre le prestazioni delle applicazioni prioritarie e sensibili alla rete. Il reindirizzamento dinamico dei link per pacchetto e la correzione su richiesta vengono utilizzati insieme per offrire in meno di un secondo una protezione bloccata e limitata per migliorare la disponibilità dell'applicazione, le prestazioni e l'esperienza dell'utente finale.
VPN cloud (Cloud VPN)
VPN cloud è una VPN IPSec da sito a sito conforme a VPNC e disponibile con un clic, che consente di connettere VMware SD-WAN e destinazione non SD-WAN fornendo informazioni sull'integrità dei siti e lo stato in tempo reale. La VPN cloud stabilisce una comunicazione dinamica da Edge a Edge per tutte le filiali in base agli obiettivi del livello di servizio e alle prestazioni delle applicazioni. La VPN cloud offre inoltre una connettività protetta in tutte le filiali con gestione delle chiavi scalabile PKI. Le nuove filiali vengono automaticamente aggiunte alla rete VPN e possono accedere a tutte le risorse delle altre filiali, dei data center aziendali e dei data center di terze parti come Amazon AWS.
Firewall
VMware SD-WAN include un firewall integrato di tipo stateful in grado di riconoscere le applicazioni e sensibile al contesto (applicazione, utente, dispositivo) con controllo granulare delle applicazioni secondarie, nonché supporto per le applicazioni che saltano il protocollo, come Skype e altre applicazioni peer-to-peer (ad esempio, disattiva video e chat di Skype, ma consenti l'audio di Skype). Il servizio firewall sicuro è sensibile all'utente e al sistema operativo del dispositivo ed è in grado di separare il traffico relativo a voce, video, dati e conformità. I criteri per i dispositivi BYOD (ad esempio Apple iOS, Android, Windows e Mac OS) nella rete aziendale sono facilmente controllabili.
Inserimento del servizio di rete
La soluzione VMware SD-WAN supporta una piattaforma per ospitare più funzioni di rete virtualizzate per eliminare le appliance a funzione singola e ridurre la complessità IT della filiale. Il servizio VMware SD-WAN garantisce le prestazioni, la sicurezza e la gestibilità del traffico dalla filiale ai servizi hub regionali aziendali e basati sul cloud. Le filiali sfruttano i servizi di rete e sicurezza consolidati, inclusi quelli dei partner come Zscaler e Websense. Utilizzando una semplice interfaccia di tipo click-to-enable, i servizi possono essere inseriti nel cloud e in locale con criteri specifici dell'applicazione.
Attivazione
Le appliance di SD-WAN Edge eseguono automaticamente l'autenticazione, la connessione e la ricezione delle istruzioni di configurazione dopo la connessione a Internet in una distribuzione zero touch. Offrono una distribuzione ad alta disponibilità con il protocollo di ridondanza di SD-WAN Edge, si integrano con la rete esistente che supporta il protocollo di routing OSPF e BGP e sfruttano l'acquisizione dinamica e l'automazione.
Controllo flusso overlay
SD-WAN Edge acquisisce le route dai router adiacenti tramite OSPF e BGP. Invia le route acquisite al gateway/controller. Il gateway/controller agisce come un reflector di route e invia le route acquisite ad altri SD-WAN Edge. Il controllo flusso overlay (OFC) consente il controllo e la visibilità della route a livello aziendale per semplificare la programmazione e per l'overlay completo e parziale.
OSPF
VMware SD-WAN supporta i filtri in entrata/uscita verso i router adiacenti OSPF, i tipi di route OE1/OE2 e l'autenticazione MD5. Le route acquisite tramite OSPF verranno ridistribuite automaticamente al controller ospitato nel cloud o in locale.
BGP
VMware SD-WAN supporta i filtri in entrata/uscita che possono essere impostati su Nega (Deny) o facoltativamente l'aggiunta/modifica dell'attributo BGP per influenzare la selezione del percorso, ad esempio RFC 1998 Community, MED, anteposizione di AS-Path e preferenza locale.
Segmentazione
La segmentazione della rete è una funzionalità importante sia per le aziende sia per i provider di servizi. Nella forma più elementare, la segmentazione fornisce l'isolamento della rete per motivi di gestione e sicurezza. Le forme di segmentazione più comuni sono VLAN per L2 e VRF per L3.
Casi d'uso tipici per la segmentazione:
- Separazione delle linee di business: ingegneria, risorse umane e così via per sicurezza/controllo
- Separazione dei dati utente: Guest, PCI e traffico aziendale
- L'organizzazione utilizza indirizzi IP sovrapposti in VRF diversi
Tuttavia, l'approccio legacy è limitato a una singola casella o a due dispositivi fisicamente connessi. Per estendere la funzionalità, le informazioni di segmentazione devono essere trasferite nella rete.
VMware SD-WAN consente la segmentazione end-to-end. Quando il pacchetto attraversa l'Edge, l'ID del segmento viene aggiunto al pacchetto e viene inoltrato al gateway dell'hub e del cloud, consentendo l'isolamento del servizio di rete dall'Edge al cloud e al data center. In questo modo, è possibile raggruppare i prefissi in una tabella di routing univoca rendendo il criterio di business sensibile al segmento.
Routing
Nel routing dinamico, SD-WAN Edge acquisisce le route dai router adiacenti tramite OSPF o BGP. SASE Orchestrator mantiene tutte le route acquisite dinamicamente in una tabella di routing globale denominata Controllo flusso overlay (OFC). Controllo del flusso di overlay consente la gestione delle route dinamiche in caso di "sincronizzazione del controllo del flusso di overlay" e "modifica della configurazione del filtro in entrata/uscita". La modifica del filtro in entrata per un prefisso da IGNORE a LEARN consente di recuperare il prefisso da Controllo del flusso di overlay e di installarlo nella tabella di routing unificata.
Per ulteriori informazioni, vedere Configurazione del routing dinamico con OSPF o BGP.
Struttura dei criteri di business
Quality of Service (QoS), le allocazioni delle risorse, il reindirizzamento del link/percorso e la correzione degli errori vengono applicati automaticamente in base ai criteri di business e alle priorità delle applicazioni. Orchestrare il traffico in base ai gruppi di trasporto definiti dai link pubblici e privati, alla definizione dei criteri e alle caratteristiche dei link.