Solution and Technology Introduction Secure Extensible Network SD-WAN 새로운시작
Contents Table WAN 마켓의변화 SD-WAN (Software Defined WAN) Viptela Solution Viptela 적용과정 Viptela Product Line-up Viptela Use Case Viptela 도입효과
WAN 마켓의변화
마켓트렌드 엔터프라이즈 WAN 기술예측 By the end of 2019, 30% of enterprises will have deployed SD-WAN technology in their br anches, up from less than 1% today [ 소스 ] 가트너예측 2016 - Enterprise Networks and Network Services, Dec 2015 SD-WAN Technology and Services Market Poised to Reach $6 billion by 20 20 [ 소스 ] IDC 포캐스팅 - Strong Growth for Software-Defined WAN As Enterprises Seek to Optimize Their Cloud Strategies, March 2016 4
Viptela 벤더분석 : Gartner Predict (2016 년 11 월 ) SD-WAN will replace Routers o 2016 년 SD-WAN 시장 $ 130M o 전체 SD-WAN 벤더 30 Startups o 이중, 50% - 단 2 개 SD-WAN 벤더매출 (Viptela 포함 ) 일반 Router SD-WAN 5
WAN 이슈사항 (Today s WAN Challenges ) WAN 부적합한솔루션 애플리케이션식별부족 클라우드지원어려움 고비용 부족한대역폭 취약한보안 제한된확장성 구축의복잡성 SD-WAN 대역폭증설 회선비용감소 하이브리드 구성 애플리케이션인식기반 WAN 기술적용 WAN 의확장성 관리의간소화 End To end 보안 6
SD-WAN (Software Defined WAN)
SD-WAN (Software Defined WAN) 요약 SD-WAN 정의 WAN 아키텍처재정의!!! 적용기술 목적 SDN (Software Defined Network) 기술의 WAN 적용 Control plane / Data plane 분리 트래픽흐름최적화및제어 다이나믹 WAN 기술요구사항의빠른수용및적용 복잡성 간소화, 유연성, 높은보안성유지 방법론 다양한 WAN Transport 동시수용 Secure Overlay Network 구성 ( 싱글 Secure Virtual Fabric) 다이나믹 Traffic 제어정책적용 8
SD-WAN 구현방식 Software Defined WAN 은 SDN (Software Defined Network) 을활용한 WAN 을구현하여각지점간트래픽을최적화 하고컨트롤하는접근방식입니다. 이를구현하는방법으로컨트롤러들이기존의 WAN 의전송인프라위에암호화 된오버레이터널아키텍쳐를생성함으로서가능합니다. 브랜치에서의 Zero Touch MPLS, Internet, LTE 등다양한 회선타입을수용할수있어야 한다. 02 Provisioning이가능해야하고집에서처럼쉽게 Wi-Fi를사용할수있어야한다. 04 Multiple Conn Types WAN Optimization 쉬운설치운영 Support VPN WAN 커넥션에대해서로드분산 추가적으로 Firewall, QoS 등의 01 을할수있어야한다. 03 WAN 기능을지원할수있어야 한다. 9
SD-WAN (Software Defined WAN) 아키텍처샘플 10
SD-WAN Configuration 샘플 (for Multi-Routers) 공통템플릿 CSV 파일업로드 to Controller ( 디바이스특정설정값 ) + 라우터환경특성별빠르고 / 쉬운 Configuration 지원 11
Benefit of SD-WAN 운영간소화 하이브리드 WAN 애플리케이션인식기반정책적용 보안 WAN 패브릭구성 제로 - 터치프로비저닝 멀티서비스사업자선택 / 연동 애플리케이션기반트래픽라우팅 중앙컨트롤및분산데이터제어 모든장비의중앙모니터링 가시성확보 멀티회선지원 (MPLS, LTE, 4G, 인터넷 ) 애플리케이션기반토폴로지구현 디바이스간자동 IPSec Overlay NW 기존레거시네트워크상호호환 All Active- Active 회선운영 애플리케이션기반세그멘테이션 엔터프라이즈레벨네트워킹구현 12
Viptela Solution Viptela Features
Viptela SD-WAN 솔루션아키텍쳐현재시장에서가장포괄적인 SD-WAN 솔루션제공 Application SLA Traffic Engineering Per-Segment Topologies Secure Perimeter Cloud Path Cloud Acceleration Transport Hub Analytics Application Policies Monitoring Routing Security Segmentation QoS Multicast Service Insertion Survivability Delivery Platform Operations Broadband MPLS Cellular Transport Independent Fabric 14
Viptela SD-WAN 솔루션구성개요 Secure Extensible Network REST API GUI vmanage vsmart Controllers Secure Data Plane ( 보안데이터채널 ) Private/Viptela/Managed Cloud Secure Control Plane ( 보안컨트롤채널 ) Internet MPLS 3G /4G/LTE vedge Routers 15
Viptela SD-WAN 통신채널보안성 Secure Control plane / Data plane ztp.viptela.com vbond vbond Cloud Control Set vmanage vsmart Control plane Data plane Internal NW vbond (Orchestrator) vmanage (NMS) 보안 control plane (DTLS) OMP routes, policy, keys OMP Netconf vsmart (Controller) vedge (Router) Netconf config, stats, SNMP Carriers NAT / Firewall SEN Overlay Network 보안 data plane (IPSec) Payload VPN (4) IPSec (ESP) UDP (8) IP (20) vedge-1 vedge-2 Outer IP header UDP for NAT traversal Encryption vedge-3 Segmentation 16
Zero Touch Provisioning Controller Management 중앙에서모든설정제공 중앙에서모든장비정보실시간모니터링 장애및이슈사항에대한중앙진단및검증 네트워크환경자동설정보안정책자동적용자동업데이트 Remote Office Remote Office... Remote Office 인터넷라인에 인터넷이라인에 전원과회선만연결전원과회선만연결 Secure Overlay Network 인터넷라인에 전원과회선만연결 지점에서의역할을최소화하고중앙에서의최적화된관리를수행하는것이 SD-WAN 의가장핵심입니다. 17
Zero Touch Provisioning (Secure Site Bring-up) vbond (Viptela ZTP 서버 ) 1 2 3 4 기업 On-Premise 설치된 vbond, vsmart, vmanage 5 최종라우터자동등록완료, 및미리정의된 Policy / Configuration 전송 가정 - vedge 라우터 WAN : DHCP - 공인 DNS로, ztp.viptela.com 쿼리 (Factory default config) vedge Router 이미구성된라우터들과자동 IPSec 터널및자동 Load-Balancing ( 디폴트 Full-Mesh 구성 ) 6 vedge Router Delivered as-a-service
Application Visibility Cloud Data Center Deep Packet Inspection Data Center Secure SD-WAN Fabric App 1 App 2 App 3,000 vedge Router Small Office Home Office 애플리케이션방화벽 애플리케이션트래픽분산 Branch Campus 애플리케이션별경로선정 3000+ 애플리케이션구분 19
End to End Security Each vedge advertises its local IPSec encryption k ey vsmart Controllers IPSec security associations Update Update IPSec security associations Local Remote vedge Router Transports Transports IPSec ESPv3 AES256 vedge Router Site 1 Site 2 Remote Local Symmetric encryption keys used asymmetrically Traffic Encrypted with Key 1 Traffic Encrypted with Key 2 Control Plane DTLS/TLS 20
End-to-End Security Cloud Data Center Data Center End-to-End로의 Full IPSec 터널링이생성되어고객의데이터를안전하게보호합니다. 암호화터널은 IPSec의표준을따르며 AES256 키암호화강도로암호화됩니다. 모든터널링은자동으로생성됩니다. Secure SD-WAN Fabric IPSec ESPv3 AES256 구분일반 IPSec 터널링 Viptela IPSec 터널링 Small Office Home Office 구성의용이함 Overhead 각터널링마다설정이필요함 / 복잡 터널링마다 Overhead 추가됨 기본적으로 Full Mesh/ 간단 기본한개의터널생성시발생하는오버헤드만생성 Campus 보안 일반적으로컨피그의간결함을위해 Share Key 방식사용 / 보안에취약 인증서기반의강력한암호화터널링 Branch 21
회선유효성및품질에따른회선의이용 BFD (Bidirectional Forwarding Detection) 실시간으로회선의품질을확인하여애플리케이션트래픽이항상최적의경로를이용할수있도록합니다. 지정된회선의품질에따른애플리케이션라우팅 (AAR: Application Aware Routing) 을이용하여애플리케이션의가용성을최대화합니다. 실시간회선품질측정 : Virtual 토폴로지상의모든 vedge 라우터간 IPSec 터널링내에서측정 Detects loss Latency Jitter max-mtu IPSec Tunnel MPLS 회선유효성 / 품질체크메세지 vedge Router vedge Router Site 1 Site 2 Internet 22
회선품질에따른 Application Routing 실시간으로회선의품질을확인하여애플리케이션트래픽이항상최적의경로를이용할수있도록합니다. 지정된회선의품질에따른애플리케이션라우팅 (AAR: Application Aware Routing) 을이용하여애플리케이션의가용성을최대화합니다. vsmart Controllers App Aware Routing Policy App A 의서비스조건 latency <150ms, loss <2% vedge Router Internet vedge Router Device QoS (shaping, policing, queuin g, marking) Path 2 MPLS 4G LTE Path1: 10ms, 0% loss Path2: 200ms, 3% loss Path3: 140ms, 1% loss Optimal Throughput 23
Application 트래픽분산 Policy Based Forwarding (App 기반우선순위정책적용 ) Branch Secure Virtual Fabric Data Center vedge Router MPLS(2M) vedge Router App-A App-B 사용자 Internet(10M) 애플리케이션서버 1Mb In MPLS Out 1Mb 2Mb In Internet Out 2Mb App A Flow (UDP/5001) High Priority App B Flow (UDP/5002) Low Priority 24
Secure End-to-End WAN Segmentation 현재고려사항 WAN Segmentation 목적 엔드 - 투 - 엔드트래픽격리 (Traffic / Path Isolation) 당면과제 ( 엔터프라이즈 WAN 환경 ) SD-WAN 환경아님 [Case-1] ISP 가제공하는서비스 [Case-2] 고객직접구축형 A B C MPLS VPN 또는 VRF VPN 또는 VRF VPN 또는 VRF A B C B A C A B C ISP가타고객들과트래픽구분을위해서, Extra VPN 구성 Extra VRF 구성 Extra MP-BGP 구성 높은비용 / 낮은유연성 / App 기반아님 고객이직접 End-to-End VLAN 디자인 Router-by-Router 기반으로, 모든 Hop에 ACL/Routing 설정필요 라우팅변화대응지연 / 복잡성 / 어려움 25
Secure WAN Segmentation Viptela Segmentation 특징 특징 최소설정 높은보안성 높은확장성 쉬운관리 하나의 Virtual Fabric 이기종 Transport 수용 Segmentation 적용범위 Voice, Video 트래픽분리 HR, ERP 트래픽분리 POS, KIOSK 트래픽분리 게스트네트워크분리 26
실시간스트림을위한, Multicast 지원 Multicast over Unicast Core 수신 vedge 에 IGMP/PIM 조인 컨트롤플레인업데이트통해서, 시그널링및정보공유. 수신자위치의 vedge 가특정 Replicator-vEdge 라우터선택 Overlay Network 에서, 표준멀티캐스트라우팅및스트리밍지원 Site 1 IGMP/PIM Join 업데이트 업데이트 vsmart Controllers 업데이트 컨트롤플레인멀티캐스트스트림 Data Center 전송 업데이트 수신 Virtual Fabric 수신 RP PIM-SM-RP Site 2 IGMP/PIM Join Replication 구간 Multicast Replicators (vedge Routers) Forwarding 구간 27
Flexible Secure Tunneling Full Mesh Hub-and-Spoke Regional Hub Unified Communications Data Center Applications Regional Internet/Services 최적화된애플리케이션경로 28
이중화구성 Full High Availability & Redundancy Active-Standby Active-Active MPLS Internet MPLS Internet VRRP OSPF/ BGP OSPF/ BGP vsmart Controllers Site MPLS Internet Data Center Control Data MPLS Internet 29
Dashboard & Monitoring 30
Template Based Config & Control Predefined Template Based Configuration Remote Office 1 System vedge1000 VPN Interface Routing Security Management vmanage 장비의컨피그 장비업그레이드 현재상태모니터링 GUI 에서실시간 CLI 접근 현재 Running Config 수집 vsmart Controller Remote Office 2 vedge1000... Remote Office 100 vedge1000 31
Viptela 적용과정 How to Go
SD-WAN 적용샘플 ( 참고 ) Viptela SD-WAN 의모든기능은, Secure Virtual Fabric 에서만작동함 Site B Site B Site B 기존 Router vedge 기존 Router vedge 기존 Router vedge MPLS Internet MPLS Internet MPLS Internet 기존 Router vedge 기존 Router vedge 기존 Router vedge Site A Site A Site A Secure Virtual Fabric Secure Tunnel 33
마이그레이션최종목표 ( 모든라우터는 vedge 구성 ) Site B vedge vedge MPLS Internet vedge vedge Viptela SD-WAN 모든기능제공 Site A Secure Virtual Fabric Secure Tunnel 34
Viptela Product Lineup
Viptela Product Lineup vmanage Viptela 모든제품에대한통합관리를클라우드에서수행하며대쉬보드를통해전체네트워크및관리되는장비의상태를확인할수있고작업 / 장애 / 이력에대한관리가가능합니다. vsmart Controller Cloud 기반의 SD-WAN 컨트롤러로서오버레이네트워크상의라우팅, 정책, 보안, 세그멘테이션그리고인증을관리하는두뇌역할을수행하는컴포넌트이다. New Product vedge 2000 vedge 1000 20Gb 급장비중대형데이터센터 / 엣지용장비 1/10Gb 급장비중소규모데이터센터 / 엣지용장비 1Gb 급장비 Edge/ 소규모데이터센터용 vedge Router 리모트오피스, 브랜치오피스, 캠퍼스, 데이터센터에놓여데이터전송에대한역할과보안통신을제공합니다. vedge 100 100Mb 급 Edge 장비 LTE/Wi-Fi 지원 vedge Cloud AWS/VMWare/KVM 지원 36
vedge 라우터 Specification 요약 vedge-100b ( 기본모델 ) vedge-1000 vedge-2000 라우터 WAN 구간암호화성능 (AES 256) 100 Mbps 1 Gbps 10 Gbps HW 암호화가속기 (IPSec) O ( 탑재 ) O ( 탑재 ) O ( 탑재 ) TPM 보안칩 ( 인증서보관 ) O ( 탑재 ) O ( 탑재 ) O ( 탑재 ) Network Interface 5 x 10/100/1000 RJ45 8 x 1Gbps SFP (RJ-45) 4 x 1Gbps SFP 2 PIM 슬롯옵션 - 2 x 10 Gbps SFP - 8 x 1 Gbps SFP vedge-100m vedge-100w2 vedge-100mw vedge-100m2 라우터 WAN 구간암호화성능 (AES 256) 100 Mbps 100 Mbps 100 Mbps 100 Mbps HW 암호화가속기 (IPSec) O ( 탑재 ) O ( 탑재 ) O ( 탑재 ) O ( 탑재 ) TPM 보안칩 ( 인증서보관 ) O ( 탑재 ) O ( 탑재 ) O ( 탑재 ) O ( 탑재 ) Network Interface 5 x 10/100/1000 5 x 10/100/1000 5 x 10/100/1000 5 x 10/100/1000 LTE Single LTE (SIM 기반 ) Single LTE (SIM 기반 ) Dual LTE (SIM 기반 ) Wi-Fi (AP 기능 ) Dual concurrent Wi-Fi Single Wi-Fi 37
Viptela Use Case
VPN+Firewall+Router+NMS 통합 Secure Virtual Fabric Secure Tunnel 기존방화벽 기존 VPN 기존 Router vedge 라우터 전용선인터넷전용선인터넷
기업에서생각하는클라우드이슈 기업네트워크 인터넷 본사 MPL S 지점사무실 데이터센터
Viptela 를적용한다면 기업네트워크 인터넷 본사 MPL MPLS S ADSL 지점사무실 데이터센터
Multi Transport 요구사항 MPLS, 4G, LTE, Broadband 수용 3,000+ branches 본사 클라우드데이터센터 (IaaS) 지점사무실 데이터센터 MPLS 일반고객인터넷세그먼트 Wi-Fi, Geofencing Digital signage Public internet 리테일지점 ATM / Kiosk 세그먼트 비디오컨퍼런스세그먼트 42
Segmentation 요구사항 Guest Network 과 Office 망과분리 3,000+ branches 본사 클라우드데이터센터 (IaaS) 지점사무실 데이터센터 MPLS 일반고객인터넷세그먼트 Wi-Fi, Geofencing Digital signage Public internet 리테일지점 ATM / Kiosk 세그먼트 비디오컨퍼런스세그먼트 43
지점의 on/off 가빈번한기업 리테일 / 로또 / 프랜차이즈등 WAN 고려사항 회선부문 이전상황 (Before) Only 전용회선 (MPLS) 대역폭대비, 높은회선비용 새로개발된애플리케이션수용비효율성 2 개 ISP 회선만사용가능 (For MPLS) 적용이후 (After applying SD-WAN) 지점위치 / 특성별로, 다양한회선수용 MPLS, Broadband, 인터넷전용선, 4G/LTE 회선비용절감및고대역폭확보 ISP 선택자유 ( 지역별가능한 ISP) 확장성 하루최고 2 개신규매장오픈지원 네트워크변경, 회선변경, 토폴로지적용 최대 9 ~ 12 개월소요 전체 Network 유지 / 변경의어려움 하루 25 개매장오픈지원 즉시계획및프로비져닝실행 보안성 고비용 / 비효율 MPLS VRF 적용 (WAN Traffic Isolation 부문 ) 모든매장의개별보안시스템적용 Viptela Segmentation 기술적용 ( 적용쉽고, 높은보안성제공 ) Service Insertion 기능제공 관리유연성 비효율적인관리 지역별특성을반영하기위한어려운구성 전체지역의 WAN 회선상태모니터링어려움 중앙컨트롤러배치및모든라우터의정책및라우팅조정 전체지역 WAN 상태의풀가시성확보 44
Viptela 도입효과
Viptela 도입효과 보안 Overlay Network 구성 엔드 - 엔드 Segmentation 라우터간, IPSec 암호화 장비자체인증및보안성강화 보안성 강화 대역폭 증가 저비용, 고대역폭 Transport 적용 자동회선 Load-Balancing (IPSec) 회선 비용 절감 실제 SD-WAN 고객사례 기존 : 2 MPLS (Hub & Spoke) 변경 : 2 Broadband (Full-Mesh) 모든정책의중앙관리화 상황별, Re-routing Topology 변경 회선품질모니터링 편리한 중앙관리 상황에 맞는 회선사용 MPLS, 인터넷전용선, xdsl, LTE 혼합구성및 Load-Balancing Last Resort 서킷구성 실제 SD-WAN 고객사례 기존 : 하루 2~3개점포오픈 변경 : 하루 25개점포오픈 신속한 확장성 증대 App. 사용품질 향상 Voice, Video Full Mesh 로전환 회선품질기반, App 라우팅적용 (Packet Loss, Latency, Jitter, Path MTU) 46
Thank You 영업대표조성주차장 ( 010-6811-9434) Biz.cho@harams.co.kr