SD-WAN وDNA لمساعدة المسؤول: ميزات الهندسة المعمارية وممارستها

حامل يمكنك لمسه في مختبرنا إذا أردت.

تعد SD-WAN وSD-Access طريقتين مختلفتين جديدتين خاصتين لبناء الشبكات. في المستقبل، ينبغي أن يندمجوا في شبكة تراكب واحدة، لكنهم في الوقت الحالي يقتربون للتو. المنطق هو كما يلي: نأخذ شبكة من التسعينيات ونطرح عليها جميع التصحيحات والميزات الضرورية، دون الانتظار حتى تصبح معيارًا مفتوحًا جديدًا في غضون 1990 سنوات أخرى.

SD-WAN عبارة عن تصحيح SDN لشبكات المؤسسات الموزعة. النقل منفصل، والتحكم منفصل، لذلك يتم تبسيط التحكم.

الإيجابيات - يتم استخدام جميع قنوات الاتصال بشكل نشط، بما في ذلك قناة النسخ الاحتياطي. هناك توجيه للحزم إلى التطبيقات: ماذا ومن خلال أي قناة وبأي أولوية. إجراء مبسط لنشر نقاط جديدة: بدلاً من طرح التكوين، ما عليك سوى تحديد عنوان خادم Cisco على الإنترنت الكبير، أو مركز بيانات CROC أو العميل، حيث يتم أخذ التكوينات المخصصة لشبكتك منها.

SD-Access (DNA) هو أتمتة إدارة الشبكة المحلية: التكوين من نقطة واحدة، والمعالجات، والواجهات المريحة. في الواقع، تم إنشاء شبكة أخرى باستخدام وسيلة نقل مختلفة على مستوى البروتوكول أعلى شبكتك، ويتم ضمان التوافق مع الشبكات الأقدم عند الحدود المحيطة.

سنتعامل أيضًا مع هذا أدناه.

الآن بعض العروض التوضيحية على مقاعد الاختبار في مختبرنا، كيف يبدو ويعمل.

لنبدأ مع SD-WAN. الخصائص الرئيسية:

• تبسيط نشر النقاط الجديدة (ZTP) - من المفترض أنك تقوم بطريقة ما بتغذية النقطة بعنوان الخادم بالإعدادات. تدق النقطة عليها، وتستقبل التكوين، وتطرحها، ويتم تضمينها في لوحة التحكم الخاصة بك. وهذا يضمن توفير تقنية Zero-Touch (ZTP). لنشر نقطة النهاية، لا يحتاج مهندس الشبكة إلى السفر إلى الموقع. الشيء الرئيسي هو تشغيل الجهاز بشكل صحيح في الموقع وتوصيل جميع الكابلات به، ثم سيتم توصيل الجهاز تلقائيًا بالنظام. يمكنك تنزيل التكوينات من خلال استعلامات DNS في سحابة البائع من محرك أقراص USB متصل، أو يمكنك فتح رابط تشعبي من كمبيوتر محمول متصل بالجهاز عبر Wi-Fi أو Ethernet.
• تبسيط إدارة الشبكة الروتينية - التكوين من القوالب، والسياسات العالمية، التي تم تكوينها مركزيًا لخمسة فروع على الأقل، على الأقل 5. كل شيء من مكان واحد. لتجنب رحلة طويلة، هناك خيار مناسب للغاية للعودة تلقائيا إلى التكوين السابق.
• إدارة حركة المرور على مستوى التطبيق - ضمان الجودة والتحديثات المستمرة لتوقيع التطبيق. يتم تكوين السياسات ونشرها مركزيًا (ليس هناك حاجة لكتابة وتحديث خرائط الطريق لكل جهاز توجيه، كما كان من قبل). يمكنك معرفة من يرسل ماذا وأين وماذا.
• تجزئة الشبكة. شبكات VPN مستقلة ومعزولة فوق البنية التحتية بأكملها - لكل منها توجيه خاص بها. افتراضيًا، تكون حركة المرور بينهما مغلقة، ولا يمكنك فتح الوصول إلا لأنواع حركة المرور المفهومة في عقد الشبكة المفهومة، على سبيل المثال، تمرير كل شيء عبر جدار حماية كبير أو وكيل.
• رؤية سجل جودة الشبكة - كيفية أداء التطبيقات والقنوات. مفيد جدًا لتحليل الموقف وتصحيحه حتى قبل أن يبدأ المستخدمون في تلقي شكاوى حول التشغيل غير المستقر للتطبيقات.
• الرؤية عبر القنوات - هل يستحقان المال، أم أن هناك مشغلين مختلفين يأتون بالفعل إلى موقعك، أم أنهما يمران بالفعل عبر نفس الشبكة ويتدهوران/يسقطان في نفس الوقت.
• إمكانية رؤية التطبيقات السحابية وتوجيه حركة المرور عبر قنوات معينة بناءً عليها (Cloud Onramp).
• تحتوي قطعة واحدة من الأجهزة على جهاز توجيه وجدار حماية (بشكل أكثر دقة، NGFW). يعني انخفاض عدد الأجهزة أنه من الأرخص فتح فرع جديد.

مكونات وهندسة حلول SD-WAN

الأجهزة الطرفية هي أجهزة توجيه WAN، والتي يمكن أن تكون أجهزة أو افتراضية.

المنسقون هم أداة لإدارة الشبكة. وقد تم تكوينها باستخدام معلمات الجهاز النهائي وسياسات توجيه حركة المرور ووظائف الأمان. يتم إرسال التكوينات الناتجة تلقائيًا عبر شبكة التحكم إلى العقد. بالتوازي، يستمع المنسق إلى الشبكة ويراقب توفر الأجهزة والمنافذ وقنوات الاتصال وتحميل الواجهة.

أدوات التحليلات. يقومون بإعداد تقارير بناءً على البيانات التي تم جمعها من الأجهزة النهائية: تاريخ جودة القنوات، وتطبيقات الشبكة، وتوافر العقد، وما إلى ذلك.

وحدات التحكم مسؤولة عن تطبيق سياسات توجيه حركة المرور على الشبكة. يمكن اعتبار أقرب نظير لها في الشبكات التقليدية بمثابة BGP Route Reflector. تتسبب السياسات العامة التي يقوم المسؤول بتكوينها في المُنسق في قيام وحدات التحكم بتغيير تكوين جداول التوجيه الخاصة بها وإرسال معلومات محدثة إلى الأجهزة النهائية.

ما الذي تحصل عليه خدمة تكنولوجيا المعلومات من SD-WAN:

1. القناة الاحتياطية قيد الاستخدام باستمرار (وليست خاملة). اتضح أنه أرخص لأنه يمكنك شراء قناتين أقل سمكًا.
2. التبديل التلقائي لحركة مرور التطبيق بين القنوات.
3. وقت المسؤول: يمكنك تطوير الشبكة عالميًا، بدلاً من الزحف عبر كل قطعة من الأجهزة باستخدام التكوينات.
4. سرعة رفع الفروع الجديدة. إنها أطول بكثير.
5. وقت توقف أقل أثناء استبدال المعدات الميتة.
6. إعادة تكوين الشبكة بسرعة للخدمات الجديدة.

ما الذي تحصل عليه الأعمال من SD-WAN:

1. التشغيل المضمون لتطبيقات الأعمال على شبكة موزعة، بما في ذلك من خلال قنوات الإنترنت المفتوحة. يتعلق الأمر بالقدرة على التنبؤ بالأعمال.
2. دعم فوري لتطبيقات الأعمال الجديدة عبر الشبكة الموزعة بالكامل، بغض النظر عن عدد الفروع. يتعلق الأمر بسرعة العمل.
3. اتصال سريع وآمن للفروع في أي مواقع نائية باستخدام أي تقنيات اتصال (الإنترنت موجود في كل مكان، ولكن الخطوط المؤجرة وVPN ليست كذلك). يتعلق الأمر بمرونة العمل في اختيار الموقع.
4. يمكن أن يكون هذا مشروعًا مع التسليم والتشغيل، أو يمكن أن يكون خدمة
   مع دفعات شهرية من شركة تكنولوجيا المعلومات أو مشغل الاتصالات أو مشغل السحابة. أيهما مناسب لك.

يمكن أن تكون الفوائد التجارية لشبكة SD-WAN مختلفة تمامًا، على سبيل المثال، أخبرنا أحد العملاء أن أحد كبار المديرين قد تلقى طلبًا للحصول على خط مباشر مع جميع الموظفين في شركة يبلغ عدد أفرادها عدة آلاف والقدرة على تقديم المحتوى.

بالنسبة لنا كانت هذه "عملية عسكرية". في تلك اللحظة، كنا نحل بالفعل مشكلة تحديث CSPD. وعندما نفهم أننا، من حيث المبدأ، نحتاج إلى الانخراط في تجديد المعدات، وقد تحركت مجموعة التكنولوجيا إلى الأمام، فلماذا ننخرط في تجديد نفس التقنيات والخدمات، إذا كان بإمكاننا اتخاذ خطوة إلى الأمام.

يتم تثبيت SD-WAN في الموقع بواسطة Enikey. وهذا أمر مهم بالنسبة للفروع البعيدة، حيث قد لا يكون هناك ببساطة مسؤول عادي. أرسل بالبريد، قل: "قم بتوصيل الكابل 1 في الصندوق 1، والكابل 2 في الصندوق 2، ولا تخلط بينهما! لا تخلط، #@$@%!" وإذا لم يخلطوا الأمر، يتصل الجهاز نفسه بالخادم المركزي، ويلتقط إعداداته ويطبقها، ويصبح هذا المكتب جزءًا من الشبكة الآمنة للشركة. إنه أمر رائع عندما لا تضطر إلى السفر ومن السهل تبريره في ميزانيتك.

وفيما يلي رسم تخطيطي للموقف:

بعض أمثلة التكوين:

السياسة - القواعد العالمية لإدارة حركة المرور. تحرير سياسة.

تفعيل سياسة التحكم في حركة المرور.

التكوين الشامل لمعلمات الجهاز الأساسية (عناوين IP، وتجمعات DHCP).

لقطات شاشة لمراقبة أداء التطبيق

للتطبيقات السحابية.

تفاصيل عن Office365.

للتطبيقات المحلية. لسوء الحظ، لم نتمكن من العثور على التطبيقات التي تحتوي على أخطاء في جناحنا (معدل استرداد FEC هو صفر في كل مكان).

بالإضافة إلى ذلك - أداء قنوات نقل البيانات.

ما هي الأجهزة المدعومة على SD-WAN؟

1. منصات الأجهزة:

• أجهزة توجيه Cisco vEdge (المعروفة سابقًا باسم Viptela vEdge) التي تعمل بنظام التشغيل Viptela.
• أجهزة توجيه الخدمات المتكاملة (ISRs) من السلسلة 1 و000 التي تعمل بنظام IOS XE SD-WAN.
• سلسلة موجه خدمات التجميع (ASR) 1 التي تعمل بنظام IOS XE SD-WAN.

2. المنصات الافتراضية:

• جهاز توجيه الخدمات السحابية (CSR) 1 فولت يعمل بنظام IOS XE SD-WAN.
• جهاز التوجيه vEdge Cloud الذي يعمل بنظام التشغيل Viptela.

يمكن نشر الأنظمة الأساسية الافتراضية على منصات الحوسبة Cisco x86، مثل سلسلة Enterprise Network Compute System (ENCS) 5 ونظام الحوسبة الموحد (UCS) وسلسلة Cloud Services Platform (CSP) 000. يمكن أيضًا تشغيل الأنظمة الأساسية الافتراضية على أي جهاز x5 باستخدام برنامج Hypervisor مثل KVM أو VMware ESi.

كيف يعمل جهاز جديد

يتم تنزيل قائمة الأجهزة المرخصة للنشر إما من حساب Cisco الذكي أو تحميلها كملف CSV. سأحاول الحصول على المزيد من لقطات الشاشة لاحقًا، ليس لدينا حاليًا أي أجهزة جديدة لنشرها.

تسلسل الخطوات التي يمر بها الجهاز عند نشره.

كيف يتم طرح طريقة تسليم الجهاز/التكوين الجديدة

نضيف الأجهزة إلى الحساب الذكي.

يمكنك تنزيل ملف CSV، أو يمكنك تنزيل ملف واحد في كل مرة:

املأ معلمات الجهاز:

بعد ذلك، في vManage نقوم بمزامنة البيانات مع الحساب الذكي. يظهر الجهاز في القائمة:

في القائمة المنسدلة المقابلة للجهاز، انقر فوق إنشاء تكوين Bootstrap
واحصل على التكوين الأولي:

يجب أن يتم تغذية هذا التكوين إلى الجهاز. أسهل طريقة هي توصيل محرك أقراص محمول بملف محفوظ باسم ciscosd-wan.cfg بالجهاز. عند التشغيل سيبحث الجهاز عن هذا الملف.

بعد تلقي التكوين الأولي، سيتمكن الجهاز من الوصول إلى المُنسق وتلقي التكوين الكامل من هناك.

نحن ننظر إلى SD-Access (DNA)

يجعل SD-Access من السهل تكوين المنافذ وحقوق الوصول لتوصيل المستخدمين. يتم ذلك باستخدام المعالجات. يتم تعيين معلمات المنفذ فيما يتعلق بمجموعات "المسؤولين"، و"المحاسبة"، و"الطابعات"، وليس شبكات VLAN وشبكات IP الفرعية. وهذا يقلل من الأخطاء البشرية. على سبيل المثال، إذا كان لدى الشركة العديد من الفروع في جميع أنحاء روسيا، ولكن المكتب المركزي مثقل بالأعباء، فإن SD-Access يسمح لك بحل المزيد من المشكلات محليًا. على سبيل المثال، نفس المشاكل المتعلقة باستكشاف الأخطاء وإصلاحها.

بالنسبة لأمن المعلومات، من المهم أن يتضمن SD-Access تقسيمًا واضحًا للمستخدمين والأجهزة إلى مجموعات وتحديد سياسات التفاعل بينهم، والترخيص لأي اتصال عميل بالشبكة، وتوفير "حقوق الوصول" عبر الشبكة. إذا اتبعت هذا النهج، تصبح الإدارة أسهل بكثير.

تم أيضًا تبسيط عملية بدء التشغيل للمكاتب الجديدة بفضل وكلاء التوصيل والتشغيل الموجودين في المحولات. ليست هناك حاجة للتجول عبر البلاد باستخدام وحدة التحكم، أو حتى الذهاب إلى الموقع على الإطلاق.

فيما يلي أمثلة التكوين:

الحالة العامة.

الحوادث التي يجب على المسؤول مراجعتها.

توصيات تلقائية بشأن ما يجب تغييره في التكوينات.

خطة لدمج SD-WAN مع SD-Access

سمعت أن شركة Cisco لديها مثل هذه الخطط - SD-WAN وSD-Access. وهذا من شأنه أن يقلل بشكل كبير من البواسير عند إدارة حالات CSPD الموزعة جغرافيًا والمحلية.

تتم إدارة vManage (منسق SD-WAN) عبر واجهة برمجة التطبيقات (API) من مركز DNA (وحدة تحكم SD-Access).

يتم تعيين سياسات التجزئة الجزئية والكلية على النحو التالي:

على مستوى الحزمة، يبدو كل شيء كما يلي:

من يفكر في هذا وماذا؟

نحن نعمل على SD-WAN منذ عام 2016 في مختبر منفصل، حيث نقوم باختبار حلول مختلفة لاحتياجات البيع بالتجزئة والبنوك والنقل والصناعة.

نحن نتواصل كثيرًا مع العملاء الحقيقيين.

أستطيع أن أقول إن البيع بالتجزئة يختبر بالفعل SD-WAN بثقة، والبعض يفعل ذلك مع البائعين (في أغلب الأحيان مع Cisco)، ولكن هناك أيضًا أولئك الذين يحاولون حل المشكلة بأنفسهم: إنهم يكتبون نسختهم الخاصة من برنامج مشابه في وظائف SD-WAN.

الجميع، بطريقة أو بأخرى، يريد تحقيق الإدارة المركزية لحديقة الحيوان بأكملها من المعدات. وهذه إحدى نقاط الإدارة للتثبيتات غير القياسية والتركيبات القياسية لمختلف البائعين والتقنيات المختلفة. من المهم تقليل العمل اليدوي لأنه، أولاً، يقلل من مخاطر العامل البشري عند إعداد المعدات، وثانيًا، يحرر موارد خدمة تكنولوجيا المعلومات لحل المشكلات الأخرى. عادةً ما يأتي الاعتراف بالحاجة من دورات تجديد طويلة جدًا في جميع أنحاء البلاد. وعلى سبيل المثال، إذا كان بائع تجزئة يبيع الكحول، فإنه يحتاج إلى تواصل مستمر من أجل المبيعات. يؤثر التحديث أو التوقف خلال اليوم بشكل مباشر على الإيرادات.

يوجد الآن في مجال البيع بالتجزئة فهم واضح لمهام تكنولوجيا المعلومات التي ستستخدم SD-WAN:

1. النشر السريع (غالبًا ما يكون مطلوبًا على LTE قبل وصول موفر الكابل، وغالبًا ما يكون من الضروري رفع النقطة الجديدة بواسطة المسؤول في المدينة عبر GPC، ثم يقوم المركز ببساطة بالبحث والتكوين).
2. الإدارة المركزية، والاتصالات للأجسام الغريبة.
3. تقليل تكاليف الاتصالات.
4. خدمات إضافية متنوعة (تتيح ميزات DPI تحديد أولويات تسليم حركة المرور من التطبيقات المهمة مثل سجلات النقد).
5. العمل مع القنوات تلقائيًا، وليس يدويًا.

وهناك أيضًا فحص للامتثال - يتحدث الجميع عنه كثيرًا، لكن لا أحد يعتبره مشكلة. إن الحفاظ على أن كل شيء يعمل بشكل صحيح يعمل بشكل جيد أيضًا في هذا النموذج. ويعتقد الكثيرون أن سوق تكنولوجيا الشبكات بأكمله سوف يتحرك في هذا الاتجاه.

تقوم البنوك، IMHO، حاليًا باختبار SD-WAN بدلاً من كونها ميزة تكنولوجية جديدة. إنهم ينتظرون نهاية الدعم للأجيال السابقة من المعدات وعندها فقط سيتغيرون. تتمتع البنوك عمومًا بأجواء خاصة بها من خلال قنوات الاتصال، وبالتالي فإن الوضع الحالي للصناعة لا يزعجهم كثيرًا. المشاكل تكمن بدلا من ذلك على مستويات أخرى.

على عكس السوق الروسية، يتم تنفيذ SD-WAN بنشاط في أوروبا. قنوات الاتصال الخاصة بهم أكثر تكلفة، وبالتالي فإن الشركات الأوروبية تجلب مكدسها إلى الأقسام الروسية. في روسيا، هناك استقرار معين، لأن تكلفة القنوات (حتى عندما تكون المنطقة أكثر تكلفة 25 مرة من المركز) تبدو طبيعية تماما ولا تثير أسئلة. ومن سنة إلى أخرى، هناك ميزانية غير مشروطة لقنوات الاتصال.

فيما يلي مثال من الممارسات العالمية، عندما قامت إحدى الشركات بتوفير الوقت والمال باستخدام SD-WAN على Cisco.

هناك مثل هذه الشركة - الصكوك الوطنية. وفي مرحلة معينة، بدأوا يدركون أن شبكة الكمبيوتر العالمية، "التي تم الحصول عليها" من خلال الجمع بين 88 موقعًا حول العالم، كانت غير فعالة. بالإضافة إلى ذلك، افتقرت الشركة إلى القدرة والأداء في إمدادات المياه الساخنة المحلية. لم يكن هناك توازن بين النمو المستمر للشركة والميزانية المحدودة لتكنولوجيا المعلومات.

ساعدت شبكة SD-WAN شركة National Instruments على تقليل تكاليف MPLS بنسبة 25% (توفير 450 دولار أمريكي في نهاية عام 2018)، مما أدى إلى توسيع عرض النطاق الترددي بنسبة 3%.

ونتيجة لتطبيق SD-WAN، حصلت الشركة على شبكة ذكية محددة بالبرمجيات وإدارة مركزية للسياسات لتحسين أداء حركة المرور والتطبيقات تلقائيًا. الحق هنا - حالة مفصلة.

هنا حالة مجنونة تمامًا لنقل S7 إلى مكتب آخر، عندما بدأ كل شيء صعبًا في البداية، ولكنه مثير للاهتمام - كان من الضروري إعادة 1,5 ألف منفذ. ولكن بعد ذلك حدث خطأ ما، ونتيجة لذلك، تبين أن المسؤولين هم آخر المسؤولين قبل الموعد النهائي، والذين تقع عليهم جميع التأخيرات المتراكمة.

اقرأ المزيد باللغة الإنجليزية:

• American Banker: شركة Fifth Third تستثمر في ترقية الشبكة لمدة 5 سنوات باستخدام SD-WAN .
• بناء نجاح Cloud SD-WAN في Koch.
• رحلة McKesson SD-WAN إلى توفير التكاليف .
• إثبات مفهوم البيع بالتجزئة وتجزئة SD-WAN: متاجر Gap.
• لكن دراسة سيسكو العالمية حول اتجاهات الشبكات في العالم.

في الروسية:

• على سي نيوز.
• كيف قمنا بتطبيق SD-Access وسبب الحاجة إليه.
• نسيج الشبكة لمركز بيانات Cisco ACI - لمساعدة المسؤول.
• قناة مستقرة تعتمد على شبكات SD-WAN المعرفة بالبرمجيات: حل مشاكل اختيار المسار.
• بريدي الإلكتروني، إذا كان لديك أي أسئلة أو ترغب في اختبار مهامك في جناحنا، - [البريد الإلكتروني محمي].

المصدر: www.habr.com