Administratora kömək etmək üçün SD-WAN və DNT: memarlıq xüsusiyyətləri və təcrübə

İstəsəniz laboratoriyamızda toxuna biləcəyiniz stend.

SD-WAN və SD-Access şəbəkələrin qurulması üçün iki fərqli yeni mülkiyyət yanaşmasıdır. Gələcəkdə onlar bir üst-üstə düşən şəbəkəyə birləşdirilməlidirlər, lakin hələlik onlar yaxınlaşırlar. Məntiq belədir: biz 1990-cı illərdən bir şəbəkə götürürük və daha 10 ildən sonra onun yeni açıq standart olmasını gözləmədən bütün lazımi yamaları və xüsusiyyətləri onun üzərinə yayırıq.

SD-WAN paylanmış müəssisə şəbəkələri üçün SDN yamasıdır. Nəqliyyat ayrıdır, nəzarət ayrıdır, ona görə də nəzarət sadələşdirilir.

Müsbət cəhətlər - ehtiyat nüsxəsi də daxil olmaqla bütün rabitə kanalları fəal şəkildə istifadə olunur. Paketlərin proqramlara yönləndirilməsi var: nə, hansı kanal vasitəsilə və hansı prioritetlə. Yeni nöqtələrin yerləşdirilməsi üçün sadələşdirilmiş prosedur: konfiqurasiyanı yaymaq əvəzinə, sadəcə olaraq, şəbəkəniz üçün xüsusi olaraq konfiqurasiyaların götürüldüyü böyük İnternetdə, CROC məlumat mərkəzində və ya müştəridə Cisco serverinin ünvanını göstərin.

SD-Access (DNA) yerli şəbəkə idarəetməsinin avtomatlaşdırılmasıdır: bir nöqtədən konfiqurasiya, sehrbazlar, rahat interfeyslər. Əslində, sizin üstünüzdə protokol səviyyəsində fərqli nəqliyyat ilə başqa bir şəbəkə qurulur və perimetr sərhədlərində köhnə şəbəkələrlə uyğunluq təmin edilir.

Aşağıda bununla da məşğul olacağıq.

İndi laboratoriyamızda sınaq skamyalarında bəzi nümayişlər, onun necə göründüyü və işlədiyi.

SD-WAN ilə başlayaq. Əsas xüsusiyyətləri:

• Yeni nöqtələrin yerləşdirilməsinin sadələşdirilməsi (ZTP) - güman edilir ki, siz birtəhər server ünvanı ilə nöqtəni parametrlərlə qidalandırırsınız. Nöqtə onu döyür, konfiqurasiyanı alır, yuvarlayır və idarəetmə panelinizə daxil edilir. Bu, Zero-Touch Provisioning (ZTP) təmin edir. Son nöqtəni yerləşdirmək üçün şəbəkə mühəndisinin sayta getməsinə ehtiyac yoxdur. Əsas odur ki, cihazı saytda düzgün yandırın və bütün kabelləri ona birləşdirin, sonra avadanlıq avtomatik olaraq sistemə qoşulacaq. Siz təchizatçının buludunda DNS sorğuları vasitəsilə konfiqurasiyaları qoşulmuş USB sürücüsündən yükləyə və ya Wi-Fi və ya Ethernet vasitəsilə cihaza qoşulmuş noutbukdan hiperlink aça bilərsiniz.
• Rutin şəbəkə administrasiyasının sadələşdirilməsi - ən azı beş filial, ən azı 5 üçün mərkəzləşdirilmiş şəkildə konfiqurasiya edilmiş şablonlardan, qlobal siyasətlərdən konfiqurasiya. Hər şey bir yerdən. Uzun bir səyahətdən qaçmaq üçün avtomatik olaraq əvvəlki konfiqurasiyaya qayıtmaq üçün çox rahat seçim var.
• Tətbiq səviyyəsində trafikin idarə edilməsi - keyfiyyətli və davamlı proqram imza yeniləmələrini təmin etmək. Siyasətlər mərkəzləşdirilmiş şəkildə konfiqurasiya edilir və yayılır (əvvəlki kimi hər bir marşrutlaşdırıcı üçün marşrut xəritələrini yazmağa və yeniləməyə ehtiyac yoxdur). Kimin nəyi, hara və nə göndərdiyini görə bilərsiniz.
• Şəbəkə seqmentasiyası. Bütün infrastrukturun üstündə müstəqil təcrid olunmuş VPN-lər - hər birinin öz marşrutu var. Varsayılan olaraq, aralarındakı trafik bağlıdır; siz başa düşülən şəbəkə qovşaqlarında yalnız başa düşülən trafik növlərinə girişi aça bilərsiniz, məsələn, hər şeyi böyük bir firewall və ya proxy vasitəsilə keçir.
• Şəbəkə keyfiyyət tarixinin görünməsi - proqramların və kanalların necə çıxış etməsi. İstifadəçilər tətbiqlərin qeyri-sabit işləməsi ilə bağlı şikayətlər almağa başlamazdan əvvəl vəziyyəti təhlil etmək və düzəltmək üçün çox faydalıdır.
• Kanallar arasında görünmə - onlar pula dəyərmi, həqiqətən saytınıza iki fərqli operator gəlirmi, yoxsa həqiqətən eyni şəbəkədən keçir və eyni zamanda alçaldılır/düşürlər.
• Bulud tətbiqləri üçün görünmə və ona əsaslanan müəyyən kanallar vasitəsilə trafikin idarə edilməsi (Cloud Onramp).
• Bir aparat parçası marşrutlaşdırıcı və təhlükəsizlik divarını (daha doğrusu, NGFW) ehtiva edir. Avadanlığın daha az olması yeni filialın açılmasının daha ucuz olması deməkdir.

SD-WAN həllərinin komponentləri və arxitekturası

Son qurğular hardware və ya virtual ola bilən WAN marşrutlaşdırıcılarıdır.

Orkestrlər şəbəkə idarəetmə vasitəsidir. Onlar son cihaz parametrləri, trafik marşrutlaşdırma siyasətləri və təhlükəsizlik funksionallığı ilə konfiqurasiya edilir. Nəticə konfiqurasiyalar idarəetmə şəbəkəsi vasitəsilə avtomatik olaraq qovşaqlara göndərilir. Paralel olaraq, orkestrator şəbəkəni dinləyir və cihazların, portların, rabitə kanallarının mövcudluğuna və interfeys yüklənməsinə nəzarət edir.

Analitik alətlər. Onlar son cihazlardan toplanmış məlumatlar əsasında hesabatlar hazırlayırlar: kanalların keyfiyyət tarixi, şəbəkə proqramları, qovşaqların mövcudluğu və s.

Nəzarətçilər şəbəkəyə trafik marşrutlaşdırma siyasətlərinin tətbiqinə cavabdehdirlər. Ənənəvi şəbəkələrdə onların ən yaxın analoqu BGP Route Reflector hesab edilə bilər. Administratorun orkestratorda konfiqurasiya etdiyi qlobal siyasətlər nəzarətçilərin marşrutlaşdırma cədvəllərinin tərkibini dəyişməsinə və yenilənmiş məlumatları son cihazlara göndərməsinə səbəb olur.

İT xidməti SD-WAN-dan nə əldə edir:

1. Ehtiyat kanalı daim istifadə olunur (boş deyil). Daha ucuz olur, çünki iki az qalın kanalı ödəyə bilərsiniz.
2. Kanallar arasında tətbiq trafikinin avtomatik keçidi.
3. Administrator vaxtı: siz konfiqurasiyalarla hər bir aparat parçasını taramaqdansa, şəbəkəni qlobal şəkildə inkişaf etdirə bilərsiniz.
4. Yeni filialların yetişdirilməsi sürəti. O, daha uzundur.
5. Ölü avadanlığı əvəz edərkən daha az dayanma.
6. Yeni xidmətlər üçün şəbəkəni tez bir zamanda konfiqurasiya edin.

SD-WAN-dan biznes nə əldə edir:

1. Paylanmış şəbəkədə, o cümlədən açıq İnternet kanalları vasitəsilə biznes proqramlarının zəmanətli işləməsi. Söhbət biznesin proqnozlaşdırılmasından gedir.
2. Filialların sayından asılı olmayaraq, bütün paylanmış şəbəkə üzrə yeni biznes proqramları üçün ani dəstək. Söhbət işin sürətindən gedir.
3. İstənilən əlaqə texnologiyalarından istifadə etməklə istənilən uzaq yerlərdə filialların sürətli və təhlükəsiz qoşulması (İnternet hər yerdədir, lakin icarəyə verilmiş xətlər və VPN yoxdur). Bu, yer seçimində biznes çevikliyinə aiddir.
4. Bu, çatdırılma və istismara verilməsi ilə bir layihə ola bilər və ya bir xidmət ola bilər
   İT şirkəti, telekommunikasiya operatoru və ya bulud operatorundan aylıq ödənişlərlə. Hansı sizin üçün əlverişlidir.

SD-WAN-ın biznes faydaları tamamilə fərqli ola bilər, məsələn, bir müştəri bizə dedi ki, top menecer çoxminlərlə şirkətin bütün işçiləri ilə birbaşa xətt əlaqəsi və məzmunu çatdırmaq imkanı üçün sorğu alıb.

Bizim üçün bu, “hərbi əməliyyat” idi. Həmin anda biz artıq MSŞD-nin modernləşdirilməsi problemini həll edirdik. Və biz başa düşdükdə ki, biz, prinsipcə, avadanlıqların yenilənməsi ilə məşğul olmalıyıq və texnologiya yığını irəliyə doğru getmişdir, əgər bir addım daha irəli gedə biliriksə, niyə eyni texnologiyaların və xidmətlərin yenilənməsi ilə məşğul olmalıyıq.

SD-WAN Enikey tərəfindən saytda quraşdırılmışdır. Bu, sadəcə normal idarəçinin olmaya biləcəyi uzaq filiallar üçün vacibdir. Poçtla göndərin, deyin: “Kabel 1-i 1-ci qutuya, kabel 2-ni 2-ci qutuya qoyun və qarışdırmayın! Çaşmayın, #@$@%!” Əgər qarışdırmazlarsa, cihazın özü mərkəzi serverlə əlaqə saxlayır, konfiqurasiyalarını götürüb tətbiq edir və bu ofis şirkətin təhlükəsiz şəbəkəsinin bir hissəsinə çevrilir. Səyahət etmədiyiniz zaman xoşdur və büdcənizdə bunu əsaslandırmaq asandır.

Budur stend diaqramı:

Bəzi konfiqurasiya nümunələri:

Siyasət - trafikin idarə edilməsi üçün qlobal qaydalar. Siyasəti redaktə etmək.

Trafikə nəzarət siyasətini aktivləşdirin.

Əsas cihaz parametrlərinin (IP ünvanları, DHCP hovuzları) kütləvi konfiqurasiyası.

Tətbiq performansının monitorinqinin ekran görüntüləri

Bulud proqramları üçün.

Office365 üçün təfərrüatlar.

Yerli tətbiqlər üçün. Təəssüf ki, stendimizdə səhvləri olan tətbiqləri tapa bilmədik (FEC Bərpa dərəcəsi hər yerdə sıfırdır).

Əlavə olaraq - məlumat ötürmə kanallarının performansı.

SD-WAN-da hansı avadanlıq dəstəklənir

1. Aparat platformaları:

• Viptela OS ilə işləyən Cisco vEdge marşrutlaşdırıcıları (əvvəllər Viptela vEdge).
• IOS XE SD-WAN ilə işləyən 1 və 000 seriyalı İnteqrasiya edilmiş Xidmətlər Routerləri (ISR).
• IOS XE SD-WAN ilə işləyən Aggregation Services Router (ASR) 1 seriyası.

2. Virtual platformalar:

• IOS XE SD-WAN ilə işləyən Bulud Xidmətləri Router (CSR) 1v.
• Viptela OS ilə işləyən vEdge Cloud Router.

Virtual platformalar Müəssisə Şəbəkə Hesablama Sistemi (ENCS) 86 seriyası, Vahid Hesablama Sistemi (UCS) və Bulud Xidmətləri Platforması (CSP) 5 seriyası kimi Cisco x000 hesablama platformalarında yerləşdirilə bilər. Virtual platformalar istənilən x5 cihazında da işləyə bilər. KVM və ya VMware ESi kimi hipervizordan istifadə etməklə.

Yeni cihazın necə işə salınması

Yerləşdirmə üçün lisenziyalı cihazların siyahısı ya Cisco smart hesabından endirilir, ya da CSV faylı kimi yüklənir. Daha sonra daha çox skrinşot əldə etməyə çalışacağam, hazırda yerləşdirmək üçün heç bir yeni cihazımız yoxdur.

Cihaz yerləşdirilərkən keçdiyi addımların ardıcıllığı.

Yeni cihaz/konfiqurasiya çatdırılma metodu necə təqdim olunur

Smart Hesaba cihazlar əlavə edirik.

Siz CSV faylını yükləyə bilərsiniz və ya bir dəfəyə yükləyə bilərsiniz:

Cihaz parametrlərini doldurun:

Sonra, vManage-də məlumatları Ağıllı Hesabla sinxronlaşdırırıq. Cihaz siyahıda görünür:

Cihazın qarşısındakı açılan menyuda Bootstrap Konfiqurasiya Yarat düyməsini klikləyin
və ilkin konfiqurasiyanı əldə edin:

Bu konfiqurasiya cihaza verilməlidir. Ən asan yol, ciscosd-wan.cfg adlı saxlanan faylı olan flash sürücünü cihaza qoşmaqdır. Yükləyərkən cihaz bu faylı axtaracaq.

İlkin konfiqurasiyanı aldıqdan sonra cihaz orkestratora çata və oradan tam konfiqurasiya qəbul edə biləcək.

SD-Access-ə (DNT) baxırıq

SD-Access istifadəçiləri birləşdirmək üçün portları və giriş hüquqlarını konfiqurasiya etməyi asanlaşdırır. Bu sehrbazlardan istifadə etməklə edilir. Port parametrləri VLAN və IP alt şəbəkələrinə deyil, “Administratorlar”, “Mühasibat”, “Printerlər” qruplarına münasibətdə müəyyən edilir. Bu, insan səhvlərini minimuma endirir. Məsələn, bir şirkətin Rusiya daxilində bir çox filialı varsa, lakin mərkəzi ofis həddindən artıq yüklənirsə, SD-Access daha çox problemi yerli olaraq həll etməyə imkan verir. Məsələn, problemlərin aradan qaldırılması ilə bağlı eyni problemlər.

İnformasiya təhlükəsizliyi üçün SD-Access-in istifadəçilərin və cihazların qruplara dəqiq bölünməsini və onlar arasında qarşılıqlı əlaqə siyasətinin müəyyən edilməsini, şəbəkəyə istənilən müştəri qoşulması üçün icazənin verilməsini və bütün şəbəkədə “giriş hüquqlarının” təmin edilməsini nəzərdə tutması vacibdir. Bu yanaşmaya əməl etsəniz, idarəetmə çox asanlaşar.

Yeni ofislərin işə salınma prosesi də açarlardakı Plug-and-Play agentləri sayəsində sadələşdirilmişdir. Konsolla ölkə ətrafında qaçmağa, hətta sayta getməyə ehtiyac yoxdur.

Budur konfiqurasiya nümunələri:

Ümumi status.

İdarəçinin nəzərdən keçirməli olduğu hadisələr.

Konfiqurasiyalarda nəyi dəyişdirmək barədə avtomatik tövsiyələr.

SD-WAN-ın SD-Access ilə inteqrasiyasını planlaşdırın

Eşitdim ki, Cisco-nun belə planları var - SD-WAN və SD-Access. Bu, coğrafi olaraq yayılmış və yerli CSPD-ləri idarə edərkən hemoroidləri əhəmiyyətli dərəcədə azaltmalıdır.

vManage (SD-WAN orkestratoru) DNA Mərkəzindən (SD-Access nəzarətçisi) API vasitəsilə idarə olunur.

Mikro və makro seqmentləşdirmə siyasətləri aşağıdakı kimi təsvir edilmişdir:

Paket səviyyəsində hər şey belə görünür:

Bu barədə kim və nə düşünür?

Biz 2016-cı ildən ayrı bir laboratoriyada SD-WAN üzərində işləyirik, burada pərakəndə satış, banklar, nəqliyyat və sənaye ehtiyacları üçün müxtəlif həlləri sınaqdan keçiririk.

Real müştərilərlə çox ünsiyyət qururuq.

Deyə bilərəm ki, pərakəndə satış artıq SD-WAN-ı inamla sınaqdan keçirir və bəziləri bunu satıcılarla (əksər hallarda Cisco ilə) edir, lakin problemi təkbaşına həll etməyə çalışanlar da var: onlar öz versiyalarını yazır. funksionallığına görə SD-WAN-a oxşar proqram təminatı.

Hər kəs, bu və ya digər şəkildə, bütün zooparkın mərkəzləşdirilmiş idarə edilməsinə nail olmaq istəyir. Bu, qeyri-standart qurğular və müxtəlif təchizatçılar və müxtəlif texnologiyalar üçün standart olanlar üçün bir idarəetmə nöqtəsidir. Əl işini minimuma endirmək vacibdir, çünki birincisi, avadanlıqların quraşdırılması zamanı insan amilinin riskini azaldır, ikincisi, digər problemlərin həlli üçün İT xidmətinin resurslarını azad edir. Tipik olaraq, ehtiyacın tanınması ölkə daxilində çox uzun yenilənmə dövrlərindən gəlir. Və, məsələn, bir pərakəndə spirtli içki satırsa, satış üçün daimi ünsiyyətə ehtiyacı var. Gün ərzində yeniləmə və ya fasilələr birbaşa gəlirə təsir göstərir.

İndi pərakəndə satışda SD-WAN-dan hansı İT tapşırıqlarının istifadə edəcəyi aydın şəkildə başa düşülür:

1. Sürətli yerləşdirmə (kabel provayderi gəlməzdən əvvəl çox vaxt LTE-də tələb olunur, tez-tez yeni nöqtənin şəhərdəki administrator tərəfindən GPC vasitəsilə qaldırılması lazımdır və sonra mərkəz sadəcə görünür və konfiqurasiya olunur).
2. Mərkəzləşdirilmiş idarəetmə, xarici obyektlər üçün rabitə.
3. Telekommunikasiya xərclərinin azaldılması.
4. Müxtəlif əlavə xidmətlər (DPI xüsusiyyətləri kassa aparatları kimi vacib tətbiqlərdən trafikin çatdırılmasını prioritetləşdirməyə imkan verir).
5. Kanallarla əl ilə deyil, avtomatik işləyin.

Bir də uyğunluq yoxlaması var - hamı bu barədə çox danışır, amma heç kim bunu problem kimi qəbul etmir. Hər şeyin düzgün işləməsini təmin etmək bu paradiqmada da yaxşı işləyir. Çoxları bütün şəbəkə texnologiyaları bazarının bu istiqamətdə hərəkət edəcəyinə inanır.

Banklar, IMHO, hazırda SD-WAN-ı yeni bir texnoloji xüsusiyyət kimi sınaqdan keçirir. Onlar əvvəlki nəsil avadanlıqlara dəstəyin bitməsini gözləyirlər və yalnız bundan sonra dəyişəcəklər. Bankların ümumiyyətlə rabitə kanalları vasitəsilə özünəməxsus atmosferi var, ona görə də sənayenin hazırkı vəziyyəti onları çox da narahat etmir. Problemlər daha çox başqa müstəvilərdədir.

Rusiya bazarından fərqli olaraq, SD-WAN Avropada fəal şəkildə tətbiq olunur. Onların rabitə kanalları daha bahalıdır və buna görə də Avropa şirkətləri öz yığınlarını Rusiya bölmələrinə gətirirlər. Rusiyada müəyyən sabitlik var, çünki kanalların qiyməti (hətta region mərkəzdən 25 dəfə baha olduqda belə) kifayət qədər normal görünür və sual doğurmur. İldən-ilə rabitə kanalları üçün qeyd-şərtsiz büdcə ayrılır.

Bir şirkət Cisco-da SD-WAN-dan istifadə edərək vaxta və pula qənaət edən dünya təcrübəsindən bir nümunədir.

Belə bir şirkət var - National Instruments. Müəyyən bir nöqtədə dünya üzrə 88 saytı birləşdirərək “əldə edilən” qlobal kompüter şəbəkəsinin səmərəsiz olduğunu anlamağa başladılar. Bundan əlavə, şirkətin daxili isti su təchizatının gücü və performansı yox idi. Şirkətin davamlı inkişafı ilə məhdud İT büdcəsi arasında balans yox idi.

SD-WAN Milli Alətlərə MPLS xərclərini 25% azaltmağa (450-ci ilin sonunda 2018 ABŞ dollarına qənaət) kömək etdi və bant genişliyini 3% genişləndirdi.

SD-WAN-ın tətbiqi nəticəsində şirkət trafikin və tətbiqin performansını avtomatik optimallaşdırmaq üçün ağıllı proqram təminatı ilə müəyyən edilmiş şəbəkə və mərkəzləşdirilmiş siyasət idarəetməsi əldə etdi. Buradayız - ətraflı iş.

Burada S7-ni başqa ofisə köçürmək üçün tamamilə çılğın bir hadisə, əvvəlcə hər şey çətin, lakin maraqlı başlayanda - 1,5 min portu yenidən düzəltmək lazım idi. Ancaq sonra bir şey səhv oldu və nəticədə adminlər bütün yığılmış gecikmələrin düşdüyü son tarixdən əvvəl sonuncu oldular.

Daha çox ingilis dilində oxuyun:

• American Banker: Fifth Third SD-WAN ilə 5 illik şəbəkə təkmilləşdirməsinə sərmayə qoyur .
• Koch-da Bulud SD-WAN-ın uğuru.
• McKesson-un Xərclərə Qənaət üçün SD-WAN Səyahəti .
• SD-WAN Pərakəndə PoC və Seqmentasiya: Gap Mağazaları.
• Lakin Cisco qlobal araşdırması dünyada şəbəkə meylləri haqqında.

Rus dilində:

• CNews-da.
• SD-Access-i necə tətbiq etdik və nə üçün lazım idi.
• Cisco ACI məlumat mərkəzi üçün şəbəkə quruluşu - administratora kömək etmək üçün.
• Proqram təminatı ilə müəyyən edilmiş SD-WAN şəbəkələrinə əsaslanan sabit kanal: marşrut seçimi problemlərinin həlli.
• E-poçtum, hər hansı bir sualınız varsa və ya tapşırıqlarınızı stendimizdə sınamaq istəyirsinizsə, - [e-poçt qorunur].

Mənbə: www.habr.com