IP VPN on SD WAN

Služba je řízena a spravována poskytovatelem. Jsou nabízeny 2 modely provozu, a to SD WAN Shared a SD WAN Private. Na jednotlivé lokality zákazníka poskytovatel umístí fyzický router, který zákazník dle návodu obdrženém současně s dodávkou routeru jednoduše připojí do své sítě. Po připojení k internetu již další nastavení probíhá vzdáleně a úvodní konfigurace je plně automatizovaná.

Služba IP VPN on SD WAN se skládá z těchto součástí:

• konektivita
• koncové zařízení
• správa síťového prostředí (dle jednotlivých variant)
• SD WAN licence
• centrální router
• zřízení služby - instalace a konfigurace

Konektivita tvoří transportní logickou vrstvu tzv. overlay. Pro zajištění dostupnosti služby je třeba, aby zákazník měl na dané lokalitě připojení k internetu. Toto připojení může být realizováno pomocí různých technologií např. xDSL, LTE, Carrier Ethernet a další.

Zákazník má možnost pro řešení konektivity SD WAN využít i druhé připojení do internetu jako zálohu primárního připojení. V tom případě je nutné, aby druhé připojení bylo od jiného poskytovatele internetu. Dále musí zákazník s poskytovatelem internetu zajistit, aby nedocházelo v síti poskytovatele k zahazování následujících packetů:

• UDP ports 12346-12445
• UDP ports 5062-6085
• BFD packets marked CS6 (48 decimal)-DSCP 48
• Size packets: receiving 168B, sending 175B. 
• UDP ports source and destination for vBond= 12346

Koncové zařízení SD WAN (router), které je nezbytnou součástí služby, je ve vlastnictví poskytovatele. Typ koncového zařízení je výsledkem technického šetření požadavků zákazníka. Při zřízení služby poskytovatel zašle koncové zařízení kurýrem na zvolené místo zákazníkem. Zároveň zákazník obdrží návod k obecnému připojení zařízení do sítě. Pokud zákazník nemá dostatečně způsobilou osobu v místě instalace pro zapojení do sítě, může si takovou službu objednat u poskytovatele. Dle požadavků zákazníka lze router rozšířit o moduly LTE nebo SFP. V modelu provozu SD WAN Shared má zákazník k dispozici až 6 LAN portů. Pro tyto porty si definuje parametry, které poskytovatel dle požadavků zákazníka nakonfiguruje. LAN porty se nachází na koncovém zařízení a propojují router s vnitřní sítí zákazníka. V modelu provozu SD WAN Private není omezen počet portů, které zákazník může pro svou LAN využívat.

Správa síťového prostředí se liší dle modelu provozu (popsáno níže). V případě SD WAN Private je za správu řešení zodpovědný zákazník. Pokud zákazník nemá osobu, která může řešení spravovat, může se s poskytovatelem dohodnout na individuální správě. Individuální správa řešení bude zpoplatněna po dohodě dle velikosti projektu. V případě SD Shared nabízí poskytovatel 4 možné varianty správy uvedené dále. Pokud zákazník požaduje konzultaci či pomoc nad rámec objednané správy, bude mu tato práce účtována nad rámec objednané správy za každých započatých 15 minut práce specialisty.

SD WAN licence zpřístupňuje softwarovou vrstvu routeru. Typ pořízené licence ovlivňuje maximální použitelnou přenosovou rychlost (nemusí být shodná s celkovou přenosovou rychlostí připojení do internetu) a případné bezpečnostní funkcionality. Licenci je nutno mít ke každému jednotlivému routeru (na lokalitě zákazníka či v datovém centru). Licence je poskytována formou pronájmu (SaaS).

Centrální router je virtuální SD WAN VPN koncentrátor umístěný v datovém centru poskytovatele. Je to vstupní bod do cloudu pro zákaznický provoz. Přes tento router prochází síťový provoz dále do zákaznického prostředí nebo do Aricoma Cloudu. 
Na routery, které jsou součástí služby SD WAN, je možné nastavit dle požadavku zákazníka funkce typu routing, access lists, zone-based firewall, balancování provozu apod. Zákazník může na požádání využívat bezpečnostní funkcionality jako doplňky služby.

Rozdíly mezi jednotlivými modely provozu SD WAN:

Pro model provozu SD WAN Shared poskytovatel nabízí 4 varianty správy síťového prostředí. Varianty vyplývají ze schémat níže a liší se v tom, kdo nese odpovědnost za jednotlivé síťové prvky. Síťové prvky jsou následující:

• SD WAN Router
  • WAN overlay - správa WAN overlay a investigace problémů s konektivitou mezi jednotlivými SD WAN routery
  • Device security - konfigurace zajišťující ochranné mechanismy proti cíleným útokům na routery, pravidelné aktualizace vydávané výrobcem (patching/upgrading)
• Zákaznické síťové prostředí
  • Local firewall - správa firewallu, definice firewallových pravidel, zónový firewall do 4. síťové vrstvy, NAT
  • Local gateway - zakončení zákaznických VLAN, definice routovacích pravidel, tvorba a udržování access listů
  • LAN - správa L2 prvků, konfigurace trunků, VLAN, STP a další

V případě, že zákazník bude požadovat varianty Advanced, Professional nebo Outsourced a vlastní ve svém prostředí síťové zařízení Local firewall či Local gateway, přenese poskytovatel jednotlivé konfigurace z těchto zařízení do SD WAN routeru.

Odpovědnosti poskytovatele

• konfigurace a provoz centrálního routeru
• konfigurace prvků v zákaznické lokalitě dle zadání zákazníka a varianty správy
• správa bezpečnosti u modelu SD WAN Shared
• řešení RMA fyzických routerů

Odpovědnosti zákazníka

• zajištění konektivity v zákaznické lokalitě
• funkční internetová komunikace na veřejné adresy a překlad veřejných DNS záznamů
• správa síťových prvků dle varianty správy
• zapojení dodaného HW dle manuálu do sítě
• zajištění funkční kabeláže v lokalitě zákazníka

V případě nefunkčnosti služby kontaktuje zákazník Service Desk. Poskytovatel provede diagnostiku závady vzdáleně. Pokud došlo k závadě na HW routeru, kterou nezavinil zákazník, poskytovatel zasílá zákazníkovi router nový nebo repasovaný. Doba dodání po ČR je NBD (Next Business Day) od prvního nahlášení nefunkčnosti služby do 12:00 hodin. Po uvedeném čase poskytovatel nezaručuje dodání NBD. Při převzetí routeru zákazník rovnou předává nefunkční HW kurýrovi. Pro zvýšení dostupnosti služby lze zákaznickou lokalitu vybavit 2 routery. V případě, že zákazník nemá dostatečně způsobilou osobu v místě instalace, která provádí výměnu nefunkčního HW a připojení zařízení do sítě, řídí se zprovoznění služby časovým harmonogramem dodatečně objednaného servisního technika poskytovatele.

Služba je účtována za jednotlivé součásti uvedené v kapitole "Základní popis služby", vyplývající z technického šetření.