Triển khai thiết bị SD-WAN trong MPLS và môi trường VLAN

Khi triển khai SD-WAN, hầu hết các doanh nghiệp CNTT đều làm việc với kiến trúc mạng diện rộng hiện có (wide area network – WAN) so với xây dựng điều gì đó hoàn toàn mới. Một trong những lợi ích của SD-WAN là nó có thể linh hoạt thế nào như một công nghệ lớp phủ. Vì vậy có một số cách để triển khai chính xác trên mạng hiện có. Có một số mẹo và mà các tổ chức đã từng thử nghiệm cho đến thời điểm này. 

Hãy tiếp tục với series SD-WAN bằng cách tập trung vào MPLS (Multiprotocol Label Switching) và VLAN (Virtual Local Area Network), hai trong số các kiến trúc WAN phổ biến nhất. Chúng ta sẽ khám phá cách mà SD-WAN có thể tăng cường từng loại và thêm nhiều lợi ích cho quản trị viên mạng, doanh nghiệp và người dùng cuối.  

SD-WAN và MPLS

Có thể nói MPLS là ông của SD-WAN. Bằng cách áp dụng chất lượng dịch vụ (QoS) vào các gói dữ liệu qua loại kết nối và giao thức đa dạng trên các khu vực địa lý rộng lớn, MPLS đã cung cấp một phiên bản giới hạn về mức độ ưu tiên dữ liệu trong nhiều thập kỷ. Những gì SD-WAN làm là tăng thứ hạng ngăn xếp của các gói dữ liệu đó để phản ánh một thế giới được điều khiển bởi phần mềm với hàng tá ứng dụng. 

Hầu hết các cửa hàng CNTT giữ MPLS song song với giải pháp SD-WAN mới vì một số lý do:

1. Bảo mật của MPLS và nhu cầu về ngăn xếp bảo mật tập trung vẫn rất quan trọng cho các tổ chức. Người ta tranh luận rằng tường lửa dựa trên đám mây và ngăn xếp tập trung trên đám mây an toàn hơn một trung tâm bảo mật tại chỗ. Nhưng mỗi cửa hàng CNTT đều khác nhau, các tổ chức có mối quan tâm về quyền riêng tư dữ liệu và quan hệ đối tác cho rằng bảo mật dựa trên đám mây sẽ không phù hợp với họ
2. Các hợp đồng MPLS rất lớn và thường liên quan đến nhiều trang web. Bởi vậy điều quan trọng là làm chậm lại quá trình triển khai SD-WAN và ngừng triển khai MPLS trong một thời gian dài hơn. Các dịch vụ thoại đi kèm với nhà cung cấp dịch vụ MPLS có thể tạo ra nhiều động lực hơn nữa để duy trì hoạt động của mạng MPLS.

Các cửa hàng CNTT dùng môi trường kết hợp giữa MPLS và SD-WAN thường tuân theo một logic tương tự khi được triển khai. Dưới đây là một số tính năng phổ biến:

MPLS tại Hub

Cho dù Hub là trụ sở chính hay trung tâm dữ liệu, luôn có một cổng MPLS được bảo vệ chính vào hub để bảo mật. Điều này để đảm bảo rằng dữ liệu sẽ đến một cách toàn vẹn và ưu tiên. Các đường dây riêng tư này dẫn vào hub không bao giờ bị cắt bỏ để có lợi cho kết nối SD-WAn trừ khi chúng thực sự không cần thiết ngay từ đầu. 

Nơi phổ biến thứ hai vẫn được đặt trong kiến trúc MPLS là bất cứ nơi nào mà ngăn xếp dữ liệu/ trung tâm dữ liệu tồn tại. Điều này không có nghĩa là SD-WAN không thể tồn tại tại trung tâm, và hub sẽ không bị xoá khỏi MPLS.

Ít cổng hơn

Các cổng MPLS đắt tiền và không cần thiết cho mỗi địa chỉ IP trên mạng MPLS có triển khai kết hợp SD-WAN. Ngoài việc bị tăng chi phí, các cổng MPLS nổi tiếng là chậm trong việc cung cấp và mở rộng quy mô. Đôi khi mất hằng tuần hoặc hàng tháng để triển khai hoặc di chuyển, thêm, tha đổi, xoá (MACD). Điều này sẽ không phù hợ với môi trường CNTT hiện đại và cạnh tranh như hiện nay.  

Phân bổ lại băng thông

Ví du: Một văn phòng bán hàng từ xa từng dùng mạch MPLS có thể được chuyển đổi một cách an toàn sang kết nối  với thiết bị SD-WAN làm bộ điều khiển mạng. Điều này là do văn phòng bán hàng không lưu trữ bất kỳ dữ liệu quan trọng nào. Dữ liệu quan trọng đang được lưu trữ trong Trình quản lý quan hệ khách hàng (CRM) đã được đặt trong môi trường đám mây của nhà cung cấp phần mềm. 

Nếu dữ liệu được mã hoá khi truyền qua SD-WAN và được bảo vệ an toàn bởi phần mềm như nhà cung cấp dịch vụ (SaaS), thì tổ chức CNTT có thể loại bỏ các đường truyền riêng đắt tiền để có được các kết nối tiết kiệm hơn. Điều này cũng cho phép cửa hàng CNTT mua các kết nối thứ cấp để họ có thể chọn địa điểm và loại lưu lượng truy cập. Chẳng hạn: có một kết nối dành riêng cho thoại và video, và có một mạch khác cho trình duyệt internet chung.

Nhiều cổng hơn

Hãy cẩn thận với những lời hứa tiết kiệm chi phí với SD-WAN. Nhiều tổ chức sẽ thấy mình thêm các cổng ở dạng kết nối đám mây hoặc onramp đám mây vào nhiều nhà cung cấp SaaS và IaaS: Salesforce, O365, SAP Hana, VoIP/ UCaaS, AWS, Azure,… Một lần nữa, điều này phụ thuộc vào bản chất công việc mà tổ chức đang thực hiện. Vì vậy việc thêm các cổng có thể tuỳ chỉnh cho phù hợp với trải nghiệm. 

SD-WAN và VLAN

VLAN là một dạng phân đoạn mạng phổ biến cho phép quản trị viên thực thi chính sách nhóm mà không cần ở cùng khu vực địa lý. Một trường hợp sử dụng phổ biến cho VLAN là lấy tất cả lưu lượng thoại trên mạng IP và phân đoạn nó thành một VLAN để có ít mất mát và xung đột gói dữ liệu. Bên cạnh lợi ích của quản trị viên là quản lý người dùng, phòng ban chức năng một cách năng động.  

Một cấu hình VLAN phổ biến khác là mạng khách được bảo mật và tách biệt với dữ liệu tổ chức.

Một trường hợp sử dụng phổ biến cuối cùng là dành cho hệ thống an ninh bao gồm video và quản lý ra vào. Trên thực tế, nhiều tổ chức thiết lập VLAN cho mục đích bảo mật so với mục đích quản lý hoặc các chức năng thuần tuý. Nếu tổ chức có một số lịch sử trong việc quản lý lớp phủ mạng riêng ảo (VPN) trên VLAN, bạn sẽ có một khởi đầu tốt để tìm hiểu về SD-WAN dưới dạng lớp phủ trên VLAN. 

Vậy bạn phải ghi nhớ điều gì khi cung cấp lớp phủ SD-WAN trên VLAN?

SD-WAN không phải là VLAN

Thiết bị SD-WAN được thiết kế để ưu tiên ứng dụng. Tuỳ thuộc vào nhà cung cấp, nó cũng có thể thêm nồng độ VPN, tổng hợp băng thông và tường lửa cấp kệ. Đây không phải là các tính năng giống như một VLAN. Một số nhà cung cấp công nghệ mạnh hơn có khả năng đóng gói các dịch vụ này lại với nhau dưới dạng hình ảnh trên bộ định tuyến của họ. 

Các giải pháp quản lý truy cập danh tính và giải pháp truy cập mạng zero trust cũng là những công nghệ hoàn toàn riêng biệt để giải quyết các vấn đề tương tự ở cấp độ cao hơn. Các giải pháp SD-WAN không được thực hiện để quản lý chính sách nhóm, mà tăng hiệu lưu lượng. Tổ chức nên hiểu các VLAN của họ và mục tiêu của các VLAN đó trước khi phân lớp trên thiết bị SD-WAN.

Chuyển nhượng cổng

VLAN có thể được gán cho các cổng của thiết bị SD-WAN. Các cổng VLAN chỉ có thể lắng nghe lưu lượng trên các VLAN đó. Các cổng và tường lửa sẽ phải có các chính sách để cho phép lưu lượng truy cập tự do. Các tổ chức cũng có thể chọn các cổng chuyển đổi dự phòng để nếu một mạng WAN không thể truy cập được thì lưu lượng giữa các máy chủ sẽ chuyển qua một mạng WAN phụ trợ khác. Đây là một sự lựa chọn chứ không phải một quy tắc. Các cổng này nên được cấu hình tĩnh. 

Lớp và Thứ tự của các lớp quan trọng

Trong hầu hết các cấu hình với VLAN và SD-WAN, nhiều VLAN sẽ được tạo. Ví dụ, các VLAN này sẽ dành riêng cho quản lý so với kiểm soát/ dữ liệu. Các VLAN lớp 3 sẽ cần được tạo từng cái một trên công tắc của tổ chức. Sau đó, các giao diện con và giao diện cầu nối có thể được thực hiện. Mỗi nhà cung cấp và bộ chuyển mạch tiếp theo sẽ có ngôn ngữ lệnh riêng để tạo VLAN. Những điểm này thường trỏ đến một máy chủ Linux nơi các giao diện cầu nối sẽ được quản lý. 

Tại sao sử dụng SD-WAN làm lớp phủ?

Quan trọng là phải hiểu rằng mặc dù các giải pháp SD-WAN quảng cáo các tính năng của QoS, chúng thực sự không phải là dịch vụ QoS của doanh nghiệp như hầu hết các quản trị viên mạng đều biết. Về mặt thống kê, không thể đảm bảo QoS trên các mạng không có cổng riêng. Nhưng đó cũng là lý do tại sao công nghệ MPLS và VLAN có vị trí song song với SD-WAN. Đó là tất cả trường hợp sử dụng và những gì tổ chức đang cố gắng đạt được với các khoản đầu tư vào CNTT của họ. 

VLAN và MPLS sẽ không đi đến đâu trong tương lai ngay lập tức. Hiện tại, nhiều tổ chức có cách khắc phục bằng các giải pháp quá phức tạp hoặc chậm chạp, không đạt được tốc độ mà họ cần để đạt được mục tiêu của mình. Nhưng bất kể bạn đang xử lý bao nhiêu mạng kế thừa khi đánh giá SD-WAN, vẫn có những hướng đi phía trước miễn là tổ chức thấy được giá trị của nó.