posted

0 Comments

作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。

在前面就DMPO機制的說明,尤其是在對應到業務識別、遞送、QoS等機制的討論後,在本篇我們要做個整理與整體的介紹。基本上,VeloCloud內對應到不同的Application,都有預設且絕大部分運作順利的應用遞送政策(在VeloCloud內叫做Smart Default);但當然網路管理者可以依據企業實際需求,進行應用業務傳輸政策的調整。下圖內大家可以看到網路管理者透過Orchestrator介面,可以建立出的業務規則:

幾個重要的選項介紹如下:

應用對應 (Match):

首先在Match部份,大家可以看到管理者配置的規則能夠利用來源、目的地址、以及識別出的應用形式,來對應到選定的業務。無論是VeloCloud自己能識別出來的應用,或是用戶自訂出的應用,規則都可以對應上去。

交通等級對應 (Priority / Service Class):

接著在Action部份,由Priority / Service Class的選擇,管理者能夠將選定的Application對應到在前一篇談到的9種交通等級,如前一篇就介紹的九宮格如下:

藉由此配置,這個應用就能依據隸屬於不同的Traffic Class,而取得對應這個Class內在頻寬壅塞時優先權重 (Priority) 以及限頻 (Policing) 的配置。

網路傳輸方式對應 (Network Service):

對於不同的應用,可以選擇在SD-WAN網路架構上不同的傳輸方式。這裡有四種選項:

  • Direct: 這類的應用,不受DMPO通道保護,Edge會直接往Internet送出。這類應用大部分是傳輸品質並不重要的Internet應用,像是用戶連到Netflix / 臉書去。在Traffic Class內被標示為Low的三種,如果目的地是往Internet,預設就都會是Direct形式。
  • Multi-path: 這邊就代表這個應用應該要透過DMPO通道保護,所有被分類到High / Normal 等級的應用預設都會在Multipath選項內。此時我們之前討論到的DMPO的相關優點(優化、動態選徑)就都能套用在這些應用上了。
  • Cloud-Proxy: 前面我們有提到,VeloCloud有支援第三方雲端安全方案,像是zscaler或是Forcepoint等。如果應用有被選為Cloud-Proxy傳輸方式,代表這些應用的傳遞必須要先透過DMPO通道送往這些第三方服務商的雲端服務點。
  • Internet Backhaul: 企業可能在架構上,把所有重要的Internet安全防護(Internet防火牆、IPS、郵件檢查、網站過濾…)的機制都建在主資料中心端,但在外點反而沒有太多的安全投資。因此,企業政策可能希望所有外點對Internet的連線,應該先以DMPO通道導到Datacenter端,經由出口的防護機制檢查後再往Internet送。此時管理者就可以利用Internet Backhaul機制做這項配置。

封包遞送機制選擇 (Link Steering):

在一台Edge有多個Internet或是MPLS線路時,我們會想要去配置一個應用應該在那種線路上進行遞送。但做這件事前,得要對不同線路的分類,有明確的定義。這邊有幾種選項:

  • Auto: 預設選項,這代表管理者不進行線路的特殊定義,由Edge自己選擇Application要往哪條線丟。Edge會依據線路本身是否正常運作以及品質的好壞,進行應用的遞送
  • Transport Group: 管理者可以把線路依據是有線無線、或是連Internet或是Private線路,來進行區分。像是Public Wired (Internet)、Public Wireless (像是往4G)、Private Wired (MPLS或專線)。
  • WAN Link: VeloCloud 可以自己偵測一條線路是屬於哪一個ISP (利用GeoIP反查的機制),當然管理者也可以自行定義。此外,如果同一條MPLS上有不同服務等級,像是10M的線路上有4M的品質優先頻寬,6M的Best Effort頻寬,此時管理者也能夠定義這是兩種不同的WAN Link,應用遞送時,高重要性業務就可以配置只在最好的線路上面送,而不會到低延遲、常斷線的路線上走了
  • Interface: 這就是每台Edge去定義,接GE1的就是第一條線路,GE2的是第二條線路。這不是個好方法,因為在外點Edge安裝時,那條線路是接那條線,就不能讓一般的Office Admin自己去做,不然要是MPLS線路與Internet接反了,那Policy就整個錯了

作上面的線路定義有什麼用呢?對於每個業務應用,管理者可以要求在有多條線路時,遞送的方式選擇如下圖:

  • Mandatory: 一個應用只能走某個特定的線路,即使那條線路斷線了或品質不好,也不準切換。兩個例子:信用卡交易的資料,不能夠走Internet線路,因此管理者必須限制這類的應用必須只能走私有線路。另一個例子:臉書、Instagram等等這些非關鍵工作相關的應用,企業可能僅願意用Cost最低的Internet線路來乘載,而且要是線路斷了就斷了。像上面的例子,就會採用Mandatory的封包遞送選項
  • Preferred: 這個應用優先走某條線路,但如果此線路即使沒有斷掉 (Blackout),但品質已經不符合應用遞送的需求 (Brownout),那這個應用就會轉由另一條品質較好的線路去遞送。這邊的例子,最常見的就是Voice / Video這類的即時通訊
  • Available: 這個應用優先走某條線路,但如果此線路斷掉了 (Blackout),應用就會轉由另一條品質較好的線路去遞送。與上面Preferred的差異是,有品質問題像是Latency過高時,應用是不會切換線路的。像是網頁瀏覽、檔案傳輸這些沒有太即時的應用,即使在不是品質最佳的線路上仍然能夠正常使用,管理者可能就會選擇這個機制。

在上面的介紹以及前面幾篇網誌的討論,希望能夠讓大家看到NSX SD-WAN內的核心機制威力。客戶買VeloCloud,省錢可能是一個考量,但更多時候,是DMPO機制能夠讓他們的關鍵核心應用在即使外點很遠、頻寬不大、線路品質不好甚至斷線的狀況下,仍然能運作順暢。這也是VeloCloud與其他的SD-WAN廠商在關鍵技術上最主要不同的地方。