O que é?

O SD-WAN se refere ao termo Software-Defined Wide Area Network. É o software da iTFLEX que controla as decisões de roteamento entre múltiplos links, monitora e analisa a saúde dos links baseado em políticas de critérios, toma decisões de roteamento automaticamente e realiza atualizações DDNS em casos específicos.

Funcionalidades

  1. Gerenciamento de tabelas de roteamento
  2. Gerenciamento de políticas de roteamento
  3. Gerenciamento de regras de roteamento
  4. Atualizações dinâmicas de hosts DNS
  5. Mecanismos para resolução de problemas
  6. Análise de eventos

Casos de uso

Gerenciamento de tabelas de roteamento

  • Permite adicionar/remover/habilitar/desabilitar tabelas de roteamento associadas a uma conexão de rede ou interface (device) e gateway customizados;
  • Requer nome e ID numérico de tabela;
  • Por padrão, cria a tabela com todas as rotas da tabela main, exceto rota default;
  • Permite fixar rotas copiadas da main (permanece na tabela, mesmo quando some da main);
  • Permite ignorar (não criar/fazer exclude) de rotas específicas copiadas da main;
  • Permite cadastrar rotas estáticas adicionais com host/rede e gateway de próximo salto;
  • Rotas estáticas adicionais são obrigatoriamente fixadas como incluídas ou excluídas da tabela criada;
  • A rota default da tabela criada será o gateway associado à conexão ou o gateway personalizado que foi especificado.

Gerenciamento de políticas de roteamento

Requer configuração de parâmetros essenciais para funcionamento:

  • Permite adicionar/remover políticas de roteamento;
  • Requer nome e pelo menos 1 tabela de roteamento nas opções gerais;
  • Requer pelo menos 1 critério de teste ativo;
  • Requer pelo menos 1 host de teste geral (testado em todas as tabelas) ou 1 host específico para cada tabela.

Permite calibrar os parâmetros de teste:

  • Intervalo entre testes: Tempo de espera entre um ping e outro;
  • Timeout de teste: Tempo máximo de espera pela resposta (echo reply) de cada teste;
  • O intervalo entre testes deve ser maior que o timeout de teste;
  • Intervalo de análise: Tempo retroativo que os resultados de testes serão analisados para classificar o estado dos links;
  • Classificar como operante após X segundos: Após atingir as condições de OK, tempo de segurança a mais que deve aguardar para considerar a tabela pronta para uso;
  • Tempo de espera para failback: Define um tempo que o SD-WAN deve aguardar para realizar failback. Em casos que o link prioritário voltar, pode ser programado o failback para horas depois, por exemplo;

O resultado de 1 ping é usado para 3 tipos de testes. Por padrão, somente o teste de pacote perdido é habilitado na política, mas é possível ativar os 3 seguintes:

  • Pacotes perdidos: Define quantos pacotes perdidos (em unidade ou porcentagem) são necessários dentro do intervalo de análise para considerar a tabela como falha;
  • Latência: Define quantos pacotes com latência alta (em unidade ou porcentagem) são necessários dentro do intervalo de análise para considerar a tabela como falha;
    • É necessário informar o limite de latência considerado normal para esta política;
  • Jitter: Define quantos pacotes com Jitter (em unidade ou porcentagem) são necessários dentro do intervalo de análise para considerar a tabela como falha;
    • Considera-se o Jitter como a variação da latência ao longo do tempo dentro do intervalo de análise;
    • É necessário informar o limite de variação da latência considerado normal para esta política;
    • O SD-WAN compara a diferença do pacote atual com a latência do pacote anterior para calcular se houve variação.
  • Em casos de múltiplos critérios, se as condições de falha para qualquer teste for atingida, a tabela é considerado como FALHA.

Situação quando todos os links entram em falha:

  • A tabela de maior prioridade é ativada como rota padrão.

Gerenciamento de regras de roteamento

  • Permite adicionar/remover/habilitar/desabilitar regras de roteamento associadas a uma política;
  • O roteamento é feito através de marcação de pacotes na tabela mangle do iptables;
  • A ordem das regras importam e devem ser posicionadas da mais específca para a mais agrandente;
    • Mesma lógica do firewall, para casar corretamente as regras;
    • IPs (mais específicos) que saem por políticas diferentes são cadastrados no topo;
    • Redes (mais abrangentes) que saem por outras políticas são cadastrados embaixo dos específicos;
    • O firewall casa o pacote com a primeira regra que encontrar na ordem especificada em tela;
    • A lógica do iptables/mangle é invertida (casa a última encontrada), mas o motor do firewall corrige essa inversão para facilitar entendimento;
  • Possui duas ações possíveis:
    • Rotear: Roteia através da política selecionada;
    • Ignorar: Não marcar/rotear por política específica. Deve rotear pela padrão;
  • Permite cadastro de parâmetros básicos do pacote de rede (origem, destino, protocolo, porta).

Atualizações dinâmicas de hosts DNS

Realiza atualização dinâmica de host em um servidor de DNS externo, baseado no estado das tabelas/links de uma política do SD-WAN:

  • Permite adicionar/remover/habilitar/desabilitar zonas DNS (domínios) a serem atualizados;
    • Requer domínio e IP do servidor DNS;
    • TTL padrão de 300 para o host. Permite alterar;
    • Permite ativar autenticação através de chave TSIG (RNDC Key no bind).
  • Permite adicionar/remover/habilitar/desabilitar host DNS (registro A) dentro de uma zona DNS;
    • Requer parâmetro de host (nome) para montar o FQDN a ser atualizado;
    • TTL padrão de 300 para o host. Permite alterar;
    • Necessário associar uma política do SD-WAN ao Host DNS;
    • Necessário ordenar os IPs resolvidos para cada tabela da política de acordo com a prioridade desejada;
    • As tabelas são selecionadas dentro da política especificada;
    • O estado das tabelas é verificado de acordo com as métricas definidas nesta política;
  • Cada prioridade requer pelo menos 1 tabela;
  • Se mais de 1 tabela for inserida dentro da mesma prioridade, o DNS irá resolver em modo balance para todos os IPs;
  • Se uma tabela falhar, o DDNS irá remover o registro DNS e o nome continuará resolvendo para os demais IPs/tabelas dentro da mesma prioridade;
  • Se todas as tabelas da prioridade falharem, o DDNS seguirá para a prioridade seguinte, aplicando a mesma lógica.

Mecanismos para resolução de problemas

Limpar conexões estabelecidas:

  • Limpará as conexões estabelecidas para a política de roteamento selecionada;
  • Limpeza na conntrack dos fluxo específicos ativos marcados naquela política.

Resetar tabelas de roteamento:

  • Executa o processo de provisionamento das tabelas de roteamento;
    • Copia tabela main, execeto default e exceto os excludes cadastrados na tabela;
    • Configura rota padrão da tabela criada conforme gateway da conexão associada ou gateway personalizado;
    • Cria rotas extras/includes;
    • Cria as ip rules das tabelas;
    • Configura as marcações padrão da tabela mangle.

Análise de eventos

  • Permite analisar todos os eventos/ocorrências do SD-WAN;
  • Permite filtrar por tabela ou política;
  • Permite filtrar por situação.

Ajuda

Copyright © iTFLEX Tecnologia Ltda 2019