Như mọi người đã biết trong traditional WAN, router luôn tồn tại hai thành phần (planes / components) là control-plane và data-plane.

☸️ Control-plane: Quyết định dữ liệu, gói tin được truyền đi như thế nào.

↔️ Data-plane: Dựa vào logic của control-plane, data-plane truyền gói tin đi ra khỏi cổng thiết bị.

Figure 1. Cơ bản cách hoạt động của Control-plane và Data-plane.

Trong SDWAN, nhằm tối ưu hiệu suất và giúp tăng tính mở rộng, Data-plane và Control-plane được tách biệt, kèm theo đó là Management-plane và Orchestration-plane.

Control-plane trong SDWAN được tách biệt khỏi Data-plane được gọi là vSmart, vẫn chịu trách nhiệm quyết định đường đi cho dữ liệu, nhưng ở đây vSmart sẽ nhận thông tin định tuyến từ các Edges routers và cập nhật cho những Edges còn lại.

Figure 2. Control-Plane (vSmart) trong Cisco SDWAN

Có thể xem vSmart gần giống như

Route-Reflector trong mạng BGP.

Data-plane có trách nhiệm truyền tải gói tin dữ liệu vào và ra mạng, trong SDWAN gọi là Edge routers.

Có nhiều model của Edge router, nhưng có hai dạng chính là thiết bị vật lý (ISR, C1111, ...) và thiết bị ảo hoá (vEdge Cloud, CSR1000v).

Như bài trước đã chia sẻ, SDWAN giải quyết được vất đề bảo mật trên nền Internet, nên các Edge Routers sẽ thiết lập các tunnels với nhau (GRE, IPSEC), thông thường Tunnel IPSec được sử dụng phổ biến vì có sử dụng chức năng mã hoá (encryption).

Mặc định, trong mạng Cisco SDWAN, ở tầng Data-plane (Edge routers), sẽ tự động thiết lập full mesh IPSec tunnels lẫn nhau.

Figure 3. Data-Plane (vEdges) trong Cisco SDWAN

Tuy nhiên, trong thực tế, việc thiết lập tunnels giữa các sites (Edges) với nhau có thể điểu khiển được một cách dễ dàng nhờ vào việc tuỳ chỉnh cấu hình Centralized Policy (hoạt động trên vSmart, mình sẽ giới thiệu sâu hơn vào các article chuyên sâu tiếp theo).

Một ví dụ về sơ đồ thiết lập tunnels tuỳ chỉnh là Hub-Spokes như Figure 4. Ngoài ra có thể cho phép các sites chung khu vực hoặc chung công ty, bộ phận thiết lập tunnels với nhau.

Tóm lại việc thiết lập sơ đồ tuỳ thuộc vào mục đích và sự tương thích với việc sử dụng ứng dụng trong business của mỗi doanh nghiệp.

Figure 4. Data Plane trong SDWAN - example Hub-Spokes

Management Plane

Về phương diện quản lý cấu hình (configuration), theo dõi tình trạng các thiết bị trong mạng (monitoring), cập nhật, bảo trì các thiết bị trong network gọi chung là NMS (Network Management System), trong SDWAN chung cấp hệ thống với đầy đủ tính năng nêu trên với "single board" (quản lý tập trung) - vManage.

Figure 5. Management Plane trong SDWAN

Admin (quản trị viên) dễ dàng sử dụng Web Interface để phân bổ cấu hình đến tất cả các thiết bị được quản lý trong mạng SDWAN, ngoài ra việc nắm thông tin tình trạng các thiết bị như Tunnels status, Device status, ... cũng giúp việc vận hành trở nên dễ dàng hơn rất nhiều. (Về chi tiết sử dụng và đi sâu vào từng tính năng của vManage sẽ được mình nói ở những article tiếp theo).

Lưu ý, vManage không những quản lý Edges routers mà còn có thể quản lý Controllers như vSmart, việc cấu hình Centralized Policy để tuỳ chỉnh sơ đồ kết nối Tunnels mình nói ở trên phần Control-plane, cũng được cấu hình trên vManage và phân bổ (deploy) đến vSmart.

Ngoài việc sử dụng GUI (WebUI) để quản lý thiết bị trong SDWAN, vManage cung cấp khả năng tự động hoá việc quản lý sử dụng API (API Automation).

Orchestration Plane

Việc một thiết bị (Edges) tham gia vào mạng SDWAN đang hoạt động cần được xác minh nguồn gốc rằng thiết bị được phép kết nối và mạng SDWAN.

Để hỗ trợ việc quản lý thông tin và vận hành việc xác thực, điều phối thiết bị tham gia vào mạng SDWAN, Orchestration Plane được thêm vào sử dụng thiết bị gọi là vBond.

Để nói thêm về cách vBond hoạt động, trước hết mình sẽ đề cập về việc kết nối giữa các Controllers (vSmart, vManage, vBond) và Edges (cEdges, vEdges routers).

Figure 6. Controllers connections

vBond thiết lập kết nối bảo mật với vSmart, vManage và Edge Routers sử dụng DTLS (Datagram Transport Layer Security).

Trong khi đó vSmart và vManage kết nối với nhau và với Edges sử dụng TLS (Transport Layer Security). (kết nối giữa giữa Edges và vSmart, vManage có thể sử dụng DTLS, tuỳ thuộc vào cấu hình.)

Quay lại cách hoạt động của vBond,

Figure 7. Orchestration plane (vBond) works

Khi Edges router mới được sẵn sàng đề kết nối vào mạng SDWAN, sẽ được cung cấp thông tin để thiết lập kết nối đến vBond (cấu hình này được gọi là bootraps-config). Ngoài thông tin kết nối vBond, Edges cần được cung cấp một số thông tin thiết yếu như RootCA, Organization-name, ... (chi tiết sẽ được mình đề cập ở những Article sau.)

Ở bước số 0 trong Figure 7, vManage cung cấp danh sách Edges được phép tham gia vào mạng SDWAN (danh sách này có thể được đồng bộ từ Cisco Software Center, hoặc được thêm vào thủ công thông qua GUI vManage)

Bước số 1 thể hiện việc Edge

3 gửi thông tin cần thiết đến vBond (organization-name, serial number, certificate, ...).

vBond nhận được thông tin và tiến hành xác thực Edge

3 thông qua Whitelist nhận được từ vManage, đồng thời xác nhận chứ chỉ số từ Edge

3 khả dụng (certificate valid) ở bước số 2

Sau khi xác thực thành công, vBond gửi thông tin vSmart và vManage đến Edge

3 (bước số 3).

Bước số 4 Edge

3 sử dụng thông tin nhận được để tạo kết nối TLS/DTLS đến Controllers (vSmart, vManage), sau đó ngắt bỏ kết nối tới vBond.

Thông qua ví dụ trên, hi vọng mọi người có cái nhìn tổng quan về vBond cũng như các thành phần khác trong network.

Sau khi nắm rõ hơn về các thành phần, để kiếm chứng các kết nối hoạt động giữa các thành phần trong network, mọi người có thể

What is a full mesh topology?

The full mesh topology means that each device is connected to all other devices. Here’s an example: The advantage of a full mesh topology is that you have full redundancy. For example, in the picture above we can see routers in different cities. We can go from Los Angeles to New York with a direct connection.

How does a mesh network work?

Mesh networks self-configure and organize in order to keep things running smoothly and balance workloads as they route data between sites. Many organizations use a hybrid form of both hub and spoke and mesh network models.

What is a hub and spoke network?

All network traffic must go through the hub to reach other spokes in the network or to connect to an outside network. A hub and spoke network can be small with a single access point, like in your local WiFi-enabled coffee shop or at home, or it can be large enough to cover to connect a corporate enterprise with multiple APs.

What is a full mesh VPN?

At the opposite end of the spectrum, the "full mesh" VPN model connects every site to every other site. Every stop along the Oregon Trail could communicate directly with every other stop, without any particular hierarchy between them.