Kaspersky SD-WAN

Kaspersky SD-WAN — это решение, которое позволяет автоматизировать управление распределённой сетевой инфраструктурой, повысить её безопасность и надёжность. Разработано компанией «Лаборатория Касперского».

Обзор

Продукт состоит из ряда компонентов, которые включают в себя:

Устройства CPE и uCPE. Это маршрутизаторы, которые устанавливаются непосредственно в точках подключения сети. Они подключают локальную сеть, WAN-каналы, а также обеспечивают передачу трафика в штаб-квартиры, центры обработки данных и офисы через одно или несколько подключений.
Контроллер, который управляет устройствами и тем, как передаётся трафик. Он программирует их для того, чтобы реализовать те или иные сетевые сервисы.
Оркестратор, который обеспечивает управление сетевыми сервисами. Предоставляет возможность администраторам взаимодействовать с системой и производить настройки, а также интегрировать систему со сторонними решениями, позволяющими видеть настройки в сети, обеспечивать обратную связь друг с другом. Помимо этого, оркестратор является уникальной частью решения, которая даёт возможность объединиться со средой виртуализации для того, чтобы управлять виртуальными сетевыми функциями и выстраивать полноценный сервис обработки трафика.

Основные функции и возможности:

Разделение уровней передачи данных и управления для того, чтобы можно было масштабировать сеть без необходимости производить на каждом устройстве индивидуальные настройки. Это централизованно осуществляет контроллер, который решает, каким образом будет передаваться трафик.
Использование технологии Zero Touch Provisioning для того, чтобы минимизировать необходимость вручную настраивать устройства, подключать новые локации или одновременно изменять настройки на большом количестве устройств. Эта функция позволяет регистрировать устройства с использованием ссылки.
Возможность внедрения управляющего программного обеспечения в инфраструктуру или облачную среду. Либо получение этого сервиса в качестве услуги от оператора связи.
Сегментация трафика с использованием одной и той же инфраструктуры каналов и интеграции с различными сторонними сервисами за счёт оркестрации сетевых функций.
Возможность построения произвольных топологий.
Централизованный контроль, мониторинг и управление всей сетью и сервисами.
Инвентаризация сетевых устройств.
Балансировка трафика по нескольким каналам связи.
Приоритетное резервирование как каналов, так и оборудования.
Отказоустойчивость всех компонентов.
Интеграция со сторонними решениями и сетевыми функциями для того, чтобы получать дополнительные сервисы.
Интеллектуальная маршрутизация с учётом контекста приложения. Осуществляется с использованием модуля глубокого инспектирования (англ. Deep Packet Inspection (DPI), который позволяет идентифицировать приложение, а также выполнить приоритизацию конкретного приложения через определенный сетевой интерфейс. Есть возможность настроить критерии для критичных бизнес-приложений (конференц-связь, потоковая передача видео). Задаются пороговые значения каналов, которые являются допустимыми. В случае, если характеристики канала существенно ухудшаются, можно переключить приложение на следующий канал с удовлетворительной характеристикой.
Две темы для интерфейса управления системой централизованного управления — тёмная тема и традиционная светлая. Переключение между ними осуществляется путем нажатия всего одной клавиши. Сделать это можно в любое время.
Функция Forward Error Correction (FEC). Она нацелена на то, чтобы повысить производительность приложений и снизить задержки за счёт исключения повторной передачи потерянных пакетов. Данная технология очень похожа на работу RAID-контроллеров в системах хранения данных. Эта функция хорошо подходит для удалённых площадок, где есть всего один канал связи, или нет возможности использовать второй для переключения, либо переадресации дополнительной нагрузки.
Дублирование пакетов. Отправляющее устройство передаёт копию каждого пакета через все доступные каналы в направлении принимающего сетевого устройства. Соответственно, на стороне получателя оно выполняет восстановление потерянного пакета за счёт того, что может взять его из следующего канала. Все дубли пакетов, которые не требуются, автоматически удаляются на принимающем устройстве.
Возможность построения отказоустойчивой пары CPE-устройств. Эта функция подходит для филиалов организаций, у которых есть требования к отказоустойчивости, а также потребность в резервировании на уровне аппаратного, либо виртуального устройства.
Защита от некорректных настроек или откат на рабочие конфигурации. В случаях, когда вносятся некорректные изменения в настройках CPE-устройств, осуществляется их корректировка, и проверяется наличие подключения связи с оркестратором. Если связь с оркестратором получена, то сетевое устройство сообщает, что настройки применены, и индикатор на устройстве светится зелёным цветом. Но, если по какой-то причине настройки были некорректны, то в этом случае устройство при потере связи с оркестратором откатывается на предыдущую рабочую версию конфигурации и дополнительно сообщает администратору о том, что была попытка внести некорректные настройки. Также администратор получает сообщение о том, что связь восстановлена, и произошёл возврат на предыдущую конфигурацию.
Централизованное обновление прошивок.

Весь функционал решения управляется централизованно из единой консоли с интуитивно понятным интерфейсом.

Где можно применять решение

Продукт можно использовать для повышения скорости сети, чтобы получить возможность подключения сразу нескольких каналов связи. Это могут быть объекты, находящиеся в регионах, где нет возможности в короткие сроки получить проводной канал интернета. В этом случае это решение даёт возможность использовать сразу несколько мобильных аплинков для подключения к интернету.

Также продукт можно использовать для мониторинга и повышения качества каналов связи, а также для подключения приложений на тот канал, который обеспечивает необходимое качество связи для тех или иных целей. Это позволяет достичь того, что пользователи не заметят те проблемы, которые происходят время от времени на каждом отдельном канале, и у них создастся впечатление улучшения их пользовательского опыта (отсутствие помех связи, задержек звука, изменения голоса, дрожание картинки). Достигнуть этого можно на простых и относительно недорогих интернет-услугах вместо того, чтобы заказывать выделенные каналы у операторов связи, которые значительно более дорогие.

Решение также можно использовать для того, чтобы запустить на конечных маршрутизаторах сертифицированные по ГОСТу средства криптографической защиты информации (далее — СКЗИ). А там, где недостаточно уровня конфиденциальности, можно в виртуальном исполнении обеспечить шифрование трафика сертифицированными СКЗИ. Также можно разместить систему предотвращения вторжения в разрыв трафика. Например, в дата-центре перед выходом в интернет, чтобы детектировать и блокировать различную подозрительную активность снаружи сети.