Juniper Networks Contrail SD-WAN

In einem unserer letzten Tech-Blogs haben wir die Vorteile von SD-WAN – Software-definierter Wide-Area-Network-Technologie – vorgestellt, mit welcher Service-Provider ihre WAN-Konnektivitätsangebote durch ein hohes Maß an Flexibilität, Transparenz und Kontrolle weiterentwickeln können. Aber wie genau wird dieser Ansatz umgesetzt, um von den Vorteilen zu profitieren? Welche Lösungen existieren am Markt, die diese Erwartungen auch wirklich erfüllen? In diesem Tech-Blog werfen wir dazu einen genaueren Blick auf Contrail SD-WAN von Juniper Networks.

Contrail SD-WAN – eine umfassende Lösung

Die Transformation in Richtung von Software-definierter Branches (SD-Branch) und Multicloud beginnt mit der durch SD-WAN erreichten Konnektivität. Juniper Networks bietet dazu mit Contrail SD-WAN eine umfassende Lösung, die auf sicherem und universellem Customer Premise Equipment (CPE) aufbaut und Software-definiertes Netzwerken mit Controller-basiertem Management ermöglicht.

Bei der Umsetzung dieser SD-WAN-Lösung konnte Juniper Networks aus dem eigenen Technologieportfolio und Erfahrungen im Bereich Rechenzentren und Campusnetze schöpfen. So bietet Contrail SD-WAN eine hochskalierbare und hochredundante Plattform mit Multicloud-Integration an, um ganzheitliche Sicherheitsmerkmale und Automatisierungsfunktionen für SD-WAN-Installationen abzubilden.

Contrail Service Orchestration (CSO) bildet die Grundlage

Das Schlüsselelement von Contrail SD-WAN ist Contrail Service Orchestration (CSO) – eine Software-Plattform, die Automatisierung, Einfachheit und Offenheit des Designs umsetzt. CSO arbeitet in einer Multi-Vendor- und Multi-Tenant-Umgebung. Es gewährleistet die sichere Implementierung, Analyse und Verwaltung eines jeden Netzwerks und ermöglicht es, auch Teile der SD-WAN-Service-Infrastruktur für Unternehmenskunden zu überwachen. Zudem bietet CSO ein maßgeschneidertes, einfach zu bedienendes Self-Service-Portal. Die aktuelle Version dieser Plattform ist die im März 2019 veröffentlichte CSO 4.1.0.

Quelle: Software-Defined Branch as a Key Part of Multicloud (J-Net Forum)
Der Contrail SD-WAN-Controller – der mit CSO geliefert wird – ist das „Gehirn“ der Lösung und verwaltet Geräte, Topologien und den CPE-Lifecycle. Der SD-WAN-Orchestrator eröffnet eine globale Sicht auf alle Ressourcen sowie das Mandantenmanagement und ermöglicht Ende-zu-Ende Orchestrierung, Transparenz und Überwachung des Datenverkehrs. Darüber hinaus sorgt Contrail SD-WAN für integrierte Sicherheit durch Intent-basiertes Policy Management und einer vollständigen Security-Suite mit NGFW, UTM, Sky ATP, usw.

Die einfach zu bedienende Benutzeroberfläche von CSO

Die webbasierte Benutzeroberfläche der CSO-Plattform abstrahiert die Komplexität der Erstellung und Verwaltung von Netzwerkdiensten und verwendet Intent-basierte Richtlinien und SLA-Parameter, um Verkehrsströme über die verfügbaren Pfade beliebig zu differenzieren und zu steuern.

Contrail CSO – Benutzeroberfläche

Das folgende Demo-Video „15 Features in 15 Minutes“ gibt einen guten Einblick in die Struktur und Funktionalität von Contrail SD-WAN und zeigt, wie einfach es ist, Anwendungen und SLA-Leistung zu überprüfen oder SD-WAN-Leistungsberichte innerhalb von Sekunden zu erstellen. Zudem wird die Einfachheit des Bereitstellungsprozesses neuer Niederlassungen durch Zero Touch Provisioning (ZTP) vorgestellt und gezeigt, wie neue Intent-basierte Richtlinien erstellt und verbreitet werden.

Contrail SD-WAN – 15 Features in 15 Minutes

Spoke-Geräte – vor Ort oder in der Cloud

Eine wichtige Frage ist, welche CPEs mit Contrail SD-WAN verwendet werden können. Das folgende Bild zeigt die von CSO in Version 4.1.0 unterstützten On-Premise-Spoke-Geräte beim Kunden: die physischen NFX250- und NFX150-Plattformen, die SRX300-, SRX550M-, SRX4100- oder SRX4200-Geräte oder die auf einem x86-Server betriebene virtuelle vSRX.

Juniper_Networks_SD-WAN_spoke_devices-1024x216

Quelle: Juniper Networks TechLibrary – SD-WAN Deployment Architectures

Juniper Networks‘ NFX250 ist hierbei das primäre Gerät, das eine Reihe von Multivendor Virtualised Network Functions (VNFs) hosten kann, während innerhalb der Contrail SD-WAN-Lösung eine vSRX-Instanz orchestriert wird, welche die Gateway-Routing-Funktionalität bereitstellt.

Jedes Gerät kann mit mehreren WAN-Verbindungen für das Empfangen und Weiterleiten von Traffic eingerichtet werden. Dabei wird eine der WAN-Schnittstellen zudem für den OAM-Verkehr verwendet, um das Gerät zu verwalten. Zusätzlich zu den On-Premise-Varianten kann die vSRX auch als Cloud-Spoke-Instanz in der Amazon Virtual Private Cloud (Amazon VPC) eingesetzt werden.

Contrail SD-WAN-Architektur – alles zusammengefügt

Wie wir wissen, basiert Juniper Networks Contrail SD-WAN im Kern auf der CSO-Software-Plattform und den eingesetzten CPEs. Die folgende Abbildung zeigt eine grobe Skizze einer üblichen SD-WAN-Architektur, die mehrere Standorte, mehrere Verbindungen zwischen diesen, einen SD-WAN-Controller und mehrere Overlay-Tunnel umfasst.

Contrail SD-WAN unterstützt Hub-and-Spoke– sowie dynamische Mesh-Topologien. Doch was bedeuten sie? Bei der dynamischen Mesh-Implementierung verfügt jeder Standort über ein CPE-Gerät, z.B. vom Typ NFX250, das sich mit den anderen Standorten verbindet, so dass alle Standorte miteinander vernetzt sind. In der Hub-and-Spoke-Implementierung wird ein Spoke-Gerät – z.B. vom Typ NFX250 – in der Niederlassung des Kunden installiert, das einerseits mit den Kunden-LAN-Segmenten und andererseits über die WAN-Schnittstellen mit dem Cloud-Hub verbunden ist. Das Spoke-Gerät fungiert als Gateway; es ermöglicht die Verbindung sowohl zu anderen Standorten des Kundennetzes als auch zum Internet.

Juniper_Networks_SD-WAN_architecture-1024x574

Quelle: Juniper Networks TechLibrary – SD-WAN Deployment Architectures

Bei dieser Implementierung ist mindestens ein Cloud-Hub-Gerät des Service-Providers in einem Point-of-Presence (POP) installiert und wird von mehreren Kunden gemeinsam genutzt. Das Hub-Gerät fungiert als SD-WAN-Gateway und terminiert Tunnel von einem oder mehreren Spoke-Geräten (CPEs). In einer Enterprise-Umgebung befindet sich das Cloud-Hub-Gerät im Besitz des Kunden und wird meist im Rechenzentrum des Unternehmens installiert. Da die SD-WAN-Lösung von Juniper Networks auf Standards wie IPSec basiert, kann sie auch in bestehende Gateways integriert werden, wodurch die Bereitstellung zusätzlicher Geräte für die Infrastruktur entfällt. Die von der CSO-Plattform mit Release 4.1 unterstützten Hub-Geräte sind in der folgenden Abbildung dargestellt.

Juniper_Networks_SD-WAN_cloud_hub-1024x438

Quelle: Juniper Networks TechLibrary – SD-WAN Deployment Architectures

Testbericht des EANTC im Jahr 2018

Im September 2018 veröffentlichte das European Advanced Networking Test Centre (EANTC) einen unabhängigen Testbericht zu Juniper Networks‘ Contrail SD-WAN-Lösung. EANTC bestätigte mit den durchgeführten Tests, dass Contrail SD-WAN eine sichere, skalierbare und anpassbare Lösung mit vielen Zusatzfunktionen ist, die heutigen sowie zukünftigen Anforderungen von Service-Providern gerecht wird.

Download:

Contrail SD-WAN – live im XT³Lab

Um Kunden einen Einblick in die Funktionalität und den weiteren Nutzen von Contrail SD-WAN zu geben, betreibt Xantaro im eigenen XT³Lab eine entsprechende Testinstallation. Für weitere Details zu Contrail SD-WAN und/oder einer Live-Demo, kontaktieren Sie uns gerne direkt über das Kontaktformular.

Link zur offiziellen Contrail Service Orchestration (CSO) Dokumentation von Juniper