aryaka aryaka

Vue d’ensemble

La capacité HybridWAN d’Aryaka permet aux clients de fournir des performances optimales aux applications critiques tout en réduisant les coûts globaux de connectivité en tirant parti de la connectivité Internet publique pour les applications non critiques.
HybridWAN offre cet équilibre optimal d’une manière facile à déployer en tant que capacité intégrée utilisant l’ANAP (Aryaka Network Access Point) d’Aryaka.
En outre, le réseau HybridWAN d’Aryaka offre un support MPLS intégré dans l’ANAP afin de faire le lien entre les déploiements WAN traditionnels basés sur MPLS et l’approche SD-WAN innovante d’Aryaka – ou de permettre aux deux de coexister facilement afin de permettre une stratégie de migration sans risque.
HybridWAN exploite des liens Internet simples ou redondants pour fournir une connectivité simultanée au backbone privé mondial haute performance d’Aryaka, à l’Internet public ainsi qu’aux connexions MPLS existantes.
Cela permet aux clients d’obtenir des performances déterministes de type MPLS sur le cœur d’Aryaka, tout en bénéficiant de l’utilisation directe de la connectivité internet pour les applications non critiques.
En outre, la connectivité MPLS existante peut être exploitée là où elle répond le mieux à la stratégie de réseau d’une entreprise.
Le cœur privé d’Aryaka, le MPLS et l’internet sont désignés respectivement par VPN Path-Aryaka, MPLS Path et VPN Path-Internet dans ce document, ainsi que dans le portail client MyAryaka, qui fait désormais partie de SmartInsights.

1. Cas d’utilisation

Routage du trafic en fonction des applications

En général, la plupart des entreprises choisissent d’acheminer le trafic critique sur le chemin VPN-Aryaka, tandis que le trafic non critique est envoyé sur le chemin VPN-Internet entre les sites des clients.
Les entreprises peuvent également choisir les applications qui doivent utiliser le chemin MPLS.
Les architectes de réseau peuvent tirer parti des différents chemins pour répondre aux besoins de leurs applications de la manière qu’ils préfèrent.

Simplifiez et consolidez la connectivité WAN pour les solutions VPN régionales.

L’HybridWAN d’Aryaka peut également être utilisé par les clients pour simplifier et consolider une solution VPN MPLS et/ou IPSec régionale existante.
Cette solution peut s’appliquer partout où les succursales et les centres de distribution sont proches les uns des autres et où la performance de l’internet peut répondre aux besoins de performance des applications.

Migration MPLS

La capacité d’Aryaka à prendre en charge la connectivité simultanée au noyau privé haute performance d’Aryaka, au MPLS et à l’Internet permet aux entreprises d’évaluer la performance de ces options de connectivité et d’établir un plan de migration optimal basé sur leurs propres besoins en matière d’architecture d’entreprise.
Contrairement à d’autres fournisseurs de SD-WAN, Aryaka ne perpétue pas la dépendance à l’égard du MPLS pour fournir une performance déterministe à 100 % et une disponibilité SLA de cinq 9s.
Le chemin VPN-Aryaka offre une véritable alternative qui fournit des niveaux de performance et de fiabilité similaires à ceux de MPLS.
Cela signifie que les entreprises n’ont pas à encourir de risques lorsqu’elles planifient leur stratégie de migration à partir de MPLS.
L’un des principaux avantages de la solution HybridWAN d’Aryaka est qu’elle garantit toujours le succès de l’adoption lorsqu’il s’agit de la transformation du WAN.

2. Modèles de déploiement des succursales

ANAP se connecte au dispositif de transit

Dans ce modèle, un routeur de branche agissant en tant que dispositif de transit décide du chemin que doit emprunter le trafic entre le réseau local de la branche et le réseau étendu.
Cela signifie que le dispositif de transit décide quel trafic est acheminé vers le routeur CE ou vers le CPE ANAP d’Aryaka.
L’ANAP est en pair avec le dispositif de transit via eBGP sur le port LAN.
Ce modèle de déploiement permet d’ajouter facilement la solution Aryaka à l’architecture existante de la succursale.

L’ANAP fait office de dispositif de transit

Dans ce modèle, l’ANAP agit comme un dispositif de transit et met en œuvre toutes les politiques de routage.
Il se connecte au LAN de la succursale via le port LAN de l’ANAP.
Sur la base des politiques de routage, l’ANAP dirige le trafic vers le routeur CE MPLS ou vers les différents chemins pris en charge par les ports M1/M2 de l’ANAP.
Notez que l’ANAP est en pair avec le routeur CE MPLS via eBGP sur le port WAN afin d’échanger des préfixes de routage pour le domaine MPLS.
Ce modèle de déploiement simplifie l’architecture de la succursale en éliminant le besoin d’un routeur traditionnel.

Options de redondance

La solution Aryaka prend en charge plusieurs options de redondance qui répondent le mieux aux besoins d’un site particulier, allant de la simple redondance à des options de haute disponibilité, comme le montre le diagramme à un niveau élevé.
Les options de redondance ANAP sont expliquées plus en détail dans la fiche technique ANAP.

3. Aperçu du chemin HybridWAN d’Aryaka

La solution HybridWAN d’Aryaka supporte 4 types de chemins à partir de la succursale auxquels le trafic peut être assigné en fonction des règles de correspondance de trafic définies dans le portail de configuration MyAryaka :

VPN Path-Aryaka

Il s’agit du chemin entièrement optimisé qui tire parti de toutes les fonctionnalités d’Aryaka pour fournir des applications critiques à l’échelle mondiale.
Le VPN Path-Aryaka est toujours configuré pour supporter au moins une quantité minimale de contrôle.
Le VPN Path-Aryaka inclut toutes les fonctionnalités d’optimisation WAN d’Aryaka, y compris l’optimisation TCP, la déduplication des données, les proxys d’application, la connectivité du réseau central privé avec des accords de niveau de service garantis, la qualité de service hiérarchique, les capacités de haute disponibilité pour la récupération des erreurs de paquets, la sélection dynamique des chemins et d’autres.
Le VPN Path-Aryaka est pris en charge en tant que connexion VPN cryptée sur les ports M1/M2 du CPE ANAP qui se connecte au PoP d’Aryaka Services le plus proche.

Chemin VPN-Internet

Il s’agit d’un chemin optionnel entre deux ANAP déployés sur les sites des clients et directement connectés sur Internet à l’aide de tunnels IPSec redondants.
Ce chemin bénéficie également des fonctions d’optimisation du trafic d’Aryaka, bien que certaines des fonctions d’optimisation disponibles sur le chemin VPN-Aryaka ne soient pas efficaces sans l’échange direct avec un PoP d’Aryaka Services.
Le chemin VPN-Internet est une connexion VPN cryptée séparée sur les ports M1/M2 de l’ANAP qui se connecte à un site ANAP distant via des chemins Internet généralement redondants.

Chemin MPLS

L’ANAP d’Aryaka prend en charge la connectivité directe au routeur MPLS CE (Customer Edge) via le port WAN.
Généralement, l’ANAP et le routeur MPLS CE établissent un peering BGP pour échanger des routes.
Des règles de correspondance de trafic peuvent être configurées pour la sélection du chemin MPLS.

Internet public

Les entreprises peuvent également acheminer certains trafics (généralement des applications grand public comme YouTube, Facebook, etc.) directement vers l’internet public.
Certains fournisseurs de SaaS recommandent d’utiliser ce chemin pour accéder à leurs services, même si cette solution n’est pas toujours optimale dans toutes les zones géographiques et pour tous les utilisateurs finaux, et que les services Aryaka SmartConnect et SmartCloud peuvent offrir des performances supérieures.
Ce chemin est également supporté par les ports M1/M2 et doit être protégé par une solution de sécurité de pointe et des postures de sécurité avancées.

4. Définition et exécution de la politique Aryaka HybridWAN

Dans cette section, nous allons explorer l’approche intuitive et basée sur l’intention de la configuration des règles de transfert qui régissent le routage basé sur les applications et la sélection des chemins dans la solution WAN Cloud-First d’Aryaka.
Contrairement à d’autres solutions SD-WAN qui prétendent à la simplicité, puis demandent aux utilisateurs de définir des ensembles extrêmement complexes de politiques à plusieurs niveaux et syntaxiquement complexes, le modèle architectural d’Aryaka est basé sur l’intention et la rationalise en deux niveaux simples de politiques qui peuvent être globales ou locales.

Définition et exécution de la politique Aryaka HybridWAN

En général, le trafic critique est acheminé via Aryaka ou MPLS, tandis que le trafic non critique peut être acheminé directement sur l’internet de manière active-active en utilisant une connectivité ISP généralement redondante.
En outre, les applications de collaboration en temps réel bénéficieront généralement du noyau Aryaka à haute performance ou, dans le cas d’un déploiement de communications unifiées sur site, pourront également être acheminées par le chemin MPLS établi.
Les règles qui régissent ces décisions fondamentales d’identification, de routage et de qualité de service des applications sont définies comme des règles abstraites de politique globale et locale dans le portail de configuration MyAryaka et peuvent être adaptées pour correspondre aux choix de conception de toute entreprise.

Règles du match

Les règles de correspondance sont définies avec la correspondance 5-tuple, la correspondance DNS (identifiant typiquement les applications XaaS) ou d’autres façons d’identifier des politiques de trafic spécifiques régissant les flux.
Les règles de correspondance peuvent être appliquées globalement ou localement.
Une fois qu’une règle de correspondance identifie un type de trafic pertinent, des ensembles de politiques supplémentaires sont appliqués pour gérer le trafic, en particulier l’identification de l’application, les politiques de routage et les politiques de qualité de service.
Ces politiques établissent le chemin de transport optimal (parmi les quatre chemins de trafic possibles examinés précédemment) ainsi que la priorité de qualité de service au sein des flux de trafic du chemin.
Dans le système abstrait d’Aryaka, pour surmonter la complexité du réseau, cela signifie des politiques internet et des politiques de qualité de service.

Identification de l’application

Chaque entreprise peut avoir des besoins différents lorsqu’il s’agit de gérer le trafic pour des applications spécifiques, c’est pourquoi il est important d’identifier les applications par le biais d’une variété de technologies.
Comme le montre l’écran de configuration MyAryaka pour les applications surveillées, la solution Aryaka peut identifier avec précision de nombreuses applications d’entreprise et grand public, ce qui permet d’appliquer des politiques de routage et de qualité de service avec une certaine granularité.

Politiques de routage et sélection du chemin

Les politiques Internet associent la règle de correspondance de routage au chemin optimal, qui est choisi en fonction des mesures dynamiques de l’accord de niveau de service parmi les options de routage disponibles.
Aryaka prend en charge le routage dynamique et statique.
Les chemins de routage dynamiques sont établis via des échanges de routes avec des protocoles de routage entre des dispositifs Aryaka de peering ou des dispositifs tiers, y compris des routeurs MPLS CE (customer edge).
Les routes statiques sont saisies manuellement pour personnaliser les chemins de routage.
Lorsqu’il y a des correspondances entre deux routes, la route statique est prioritaire.

Politiques de qualité de service

Les politiques de qualité de service régissent les priorités du trafic sur le chemin optimal auquel les règles de correspondance sont liées.
Sur la base du ToS (Type of Service)/DSCP (Differentiated Services Code Point) attribué à un flux, la qualité de service planifie dynamiquement le trafic sur le chemin attribué avec le comportement approprié pour respecter les garanties de latence, de gigue et de perte de paquets attribuées aux différentes classes de trafic.

En outre, les politiques de marquage QoS déterminent la classe QoS à laquelle les applications et les correspondances de trafic sont affectées.

5. Transfert de trafic

Transfert de trafic en fonction de l’application

Le trafic applicatif est acheminé sur les chemins disponibles en fonction des politiques configurées discutées précédemment.
La sélection des chemins est basée sur les sélecteurs suivants : La politique par défaut est que tout le trafic utilise le chemin VPN-Aryaka, tandis que le chemin VPN-Internet sert de sauvegarde.
Cependant, les clients peuvent facilement personnaliser leurs politiques de sélection de chemin.
Voici quelques exemples de configuration courante pour les politiques de routage d’applications personnalisées :

  • Envoyez tout le trafic de réplication de données entre une paire de serveurs par le biais d’un chemin VPN-Internet.
  • Optimisez une solution VPN IPSec régionale en appliquant des politiques de routage entre les sites de manière à ce que le chemin VPN-Internet ait toujours une préférence plus élevée que le chemin VPN-Aryaka.
  • Acheminez tout le trafic voix/vidéo critique en termes de latence/gigue sur le VPN Path-Aryaka, tout en envoyant tout le reste du trafic sur le VPN Path-Internet.
  • Envoyez le trafic des applications client-serveur existantes sur le chemin MPLS.

Notez que les politiques sont bien sûr entièrement configurables pour répondre aux besoins architecturaux existants de toute entreprise.

Surveillance des trajets basée sur l’accord de niveau de service (SLA)

Aryaka surveille également la santé des chemins VPN comme décrit ci-dessous.

VPN Path-Aryaka

Ce chemin supporte des tunnels IPSec redondants configurés sur des liens internet doubles pour se connecter au PoP de service Aryaka le plus proche.
Ces tunnels sont surveillés à l’aide de pings pour la perte et la latence.
Les seuils configurés pour la perte et la latence contrôlent la disponibilité du chemin en fonction de sa qualité.
Ces seuils s’ajoutent au contrôle régulier de la détection des pairs morts qui établit la disponibilité du chemin.
En outre, la redondance permet une sélection dynamique du chemin d’accès en fonction de politiques spécifiques à l’application.

Chemin VPN-Internet

Aryaka supporte les tunnels IPSec redondants mis en place sur des liens internet doubles directement sur l’internet.
Ces tunnels sont surveillés à l’aide de pings personnalisés afin de mesurer en permanence la perte et la latence.

Chemin MPLS

L’ANAP et le routeur MPLS CE établissent la disponibilité des chemins MPLS ainsi que l’échange de routes par l’intermédiaire du peering eBGP.

Qualité de service adaptative

La QoS adaptative aide les clients à attribuer la bande passante Internet WAN disponible lorsque l’ANAP est déployé en tant que dispositif de périphérie de branche.
Ce mode de déploiement de l’ANAP est appelé Edge Routed Mode (ERM), comme c’est le cas lorsque l’ANAP contrôle les politiques de routage et de transfert du WAN.
Cette fonctionnalité donne la priorité au trafic envoyé par le VPN Path-Aryaka sur le VPN.
Bien qu’il s’agisse du mode opérationnel par défaut lorsque l’ANAP Aryaka agit en tant que dispositif de transit, le comportement peut être facilement adapté aux besoins opérationnels des entreprises individuelles, et les politiques de qualité de service peuvent être adaptées aux différents chemins d’acheminement.
À un niveau élevé, les différents chemins sont priorisés comme suit :

  • VPN Path-Aryaka : Ce trafic est toujours prioritaire mais modelé en fonction de la largeur de bande souscrite.
    Il peut également prendre en charge le bursting.
    Il bénéficie de la priorité la plus élevée par rapport aux ports M1/M2 et est garanti comme étant toujours disponible.
  • VPN Path-Internet : Le trafic envoyé vers ce chemin est prioritaire après le chemin VPN-Aryaka, mais avant le trafic d’accès à l’internet sur les ports M1/M2.
  • Accès à l’internet : Trafic Internet récréatif comme YouTube, Facebook, etc.
    Ce trafic bénéficie de la priorité la plus basse sur les ports M1/M2.
  • Chemin MPLS : L’ANAP d’Aryaka transmet immédiatement le trafic MPLS Path au routeur MPLS CE, qui à son tour met en œuvre des règles de priorité de transfert sur MPLS basées sur des considérations FEC (Forwarding Equivalence Class).
    Ce trafic n’est pas soumis aux règles de QoS adaptative expliquées ci-dessous.

QoS adaptative sur les ports WAN ANAP M1/M2

La figure suivante montre l’approche conceptuelle de la qualité de service adaptative d’Aryaka sur les ports M1 et M2, alors qu’elle donne la priorité à l’allocation de la bande passante et que la composition du trafic change au cours d’une série d’échéances allant de T1 à T4 :

La QoS adaptative T1 garantit que le trafic lié au VPN Path-Aryaka obtient toujours la bande passante souscrite et la bande passante en rafale qui lui sont attribuées, ce qui permet de toujours répondre aux besoins du trafic critique de l’entreprise.
Il s’agit d’un principe architectural clé de la solution Aryaka : le trafic critique emprunte toujours le VPN Path-Aryaka et se voit toujours garantir un SLA de premier ordre.
T2 À ce stade, le trafic prioritaire sur VPN Path-Aryaka commence à diminuer.
Le chemin VPN Internet et l’accès Internet sont maintenant autorisés à croître de manière élastique car le chemin VPN-Aryaka ne réclame pas son allocation de trafic garantie.
Notez que VPN Path-Aryaka peut réclamer sa bande passante souscrite et sa bande passante en rafale à tout moment.
T3 À ce stade, le trafic VPN Path-Internet et le trafic d’accès à Internet commencent à se disputer les ressources.
Lorsque cela se produit, le trafic VPN Path-Internet est toujours plus prioritaire que le trafic Internet Access : si le VPN Path-Aryaka n’utilise pas la bande passante qui lui est attribuée, le VPN Path-Internet est privilégié au fur et à mesure de sa croissance, et le trafic Internet Access n’est autorisé qu’à récupérer le reste de la bande passante non réclamée par le VPN Path-Aryaka (première priorité) et le VPN Path-Internet (deuxième priorité).
T4 Enfin, T4 illustre comment une certaine largeur de bande – appelée « bande de garde » – est toujours réservée au trafic lié au VPN Path-Aryaka afin de garantir une montée en puissance rapide et de prendre en charge de manière optimale la première salve de flux VPN Path-Aryaka.
Cela permet à VPN Path-Aryaka d’atteindre immédiatement son allocation garantie.
VPN Path-Aryaka n’est jamais en concurrence pour les ressources avec le trafic de moindre priorité – les ressources sont toujours garanties.
La bande de garde offre une expérience utilisateur supérieure, indépendamment de la charge de trafic.
Il convient également de noter qu’AdaptiveQoS réserve également une partie de la bande passante Internet.
Cette bande passante configurable est nécessaire pour la gestion du service Aryaka ainsi que pour accéder à d’autres services basés sur Internet.

6. SmartInsights : Visibilité de MyAryaka

Le portail web client MyAryaka offre une visibilité de bout en bout et en temps réel du réseau et des mesures de performance des applications et fait partie intégrante du service entièrement géré d’Aryaka.
Les gestionnaires de réseau peuvent obtenir une vue en temps réel de la santé du réseau grâce au tableau de bord, et peuvent traiter les problèmes de performance de manière proactive avant que l’expérience de l’utilisateur ne soit affectée.
MyAryaka offre une visibilité complète sur le fonctionnement de l’HybridWAN.
Il présente des vues opérationnelles de l’HybridWAN permettant aux clients de vérifier l’état des liens, la quantité de trafic traversée par les chemins respectifs et d’établir facilement l’intégrité des chemins.

Trafic via les chemins VPN

Le trafic à travers les chemins VPN montrera l’utilisation du débit sur le chemin VPN-Aryaka et le chemin VPN-Internet.
Les vues du VPN Path-Aryaka n’incluent pas l’overhead IPSec ou le trafic qui aurait pu être abandonné par la QoS.
En revanche, les statistiques du VPN Path-Internet incluent les frais généraux de l’IPSec ainsi que le trafic abandonné par le chemin.

Les niveaux de trafic du MPLS Path sont également indiqués :

Trafic via les chemins VPN

Le trafic à travers les chemins VPN montrera l’utilisation du débit sur le chemin VPN-Aryaka et le chemin VPN-Internet.
Les vues du VPN Path-Aryaka n’incluent pas l’overhead IPSec ou le trafic qui aurait pu être abandonné par la QoS.
En revanche, les statistiques du VPN Path-Internet incluent les frais généraux de l’IPSec ainsi que le trafic abandonné par le chemin.

Qualité de service adaptative

Les clients peuvent rapidement obtenir des informations sur la santé globale du réseau pour tous les chemins de trafic. Les vues Adaptive QoS MyAryaka fournissent également aux clients des informations sur les baisses de transmission et de réception Internet via les interfaces disponibles (M1 dans la figure suivante) sur n’importe quelle période choisie par le client.

Statut des liens MyAryaka détecte et annonce immédiatement les changements de statut des liens, aussi bien pour le VPN Path-Aryaka que pour le VPN Path-Internet.
Les clients qui se connectent au portail MyAryaka > Status > Links verront immédiatement si les chemins VPN Path-Aryaka et VPN Path-Internet ou les chemins MPLS sont en hausse ou en baisse ou N/A.
N/A indique que le chemin VPN Internet n’est pas applicable pour le site.

À propos d’Aryaka

Aryaka, la société Cloud-First WAN et SASE, et un leader Gartner « Voice of the Customer », permet aux entreprises de consommer facilement des solutions de réseau et de sécurité réseau livrées en tant que service pour une variété de déploiements modernes.
Aryaka combine de manière unique une technologie SD-WAN et de sécurité innovante avec un réseau mondial et une approche de services gérés pour offrir la meilleure expérience client et applicative du secteur. La société compte parmi ses clients des centaines d’entreprises internationales, dont plusieurs figurent dans le classement Fortune 100.