SD-WAN і DNA у дапамогу адміну: асаблівасці архітэктур і практыка

Стэнд, які можна памацаць у нас у лабе, калі жадаецца.

SD-WAN і SD-Access – два розных новых прапрыетарных падыходу да пабудовы сетак. У будучыні яны павінны зліцца ў адну аверлейную сетку, але пакуль толькі набліжаюцца. Логіка такая: бярэм сетку ўзору 1990-х і накочваем на яе ўсе патрэбныя патчы і фічы, не чакаючы, пакуль гэта яшчэ гадоў праз 10 стане новым адчыненым стандартам.

SD-WAN – гэта патч SDN да размеркаваных карпаратыўных сетак. Транспарт асобна, кантроль асобна, таму кантроль спрашчаецца.

Плюсы - усе каналы сувязі выкарыстоўваюцца актыўна уключаючы рэзервовы. Ёсць маршрутызацыя пакетаў да дадаткаў: што, праз які канал і з якім прыярытэтам. Спрошчаная працэдура разгортвання новых кропак: замест накатвання канфіга - толькі ўказанні адрасы сервера Цыскі ў вялікім Інтэрнэце, ЦАД КРОК або заказчыка, адкуль бяруцца канфігі менавіта для вашай сеткі.

SD-Access (DNA) - гэта аўтаматызацыя кіравання лакальнай сеткай: канфігурацыя з адной кропкі, візарды, зручныя інтэрфейсы. Фактычна будуецца іншая сетка з іншым транспартам на ўзроўні пратаколаў па-над вашай, і на межах перыметра забяспечваецца сумяшчальнасць са старымі сеткамі.

З гэтым таксама разбярэмся ніжэй.

Цяпер крыху дэманстрацый на тэставых стэндах у нашай лабе, як гэта выглядае і працуе.

Пачнём з SD-WAN. Асноўныя магчымасці:

• Спрашчэнне дэплойменту новых кропак (ZTP) - мяркуецца, што вы нейкім чынам скормліваеце кропцы адрас сервера з наладамі. Кропка стукае да яго, атрымлівае канфіг, накатвае яго і ўключаецца ў вашу панэль кіравання. Такім чынам забяспечваецца Zero-Touch Provisioning (ZTP). Каб разгарнуць канцавую прыладу, сеткаваму інжынеру не трэба выязджаць на пляцоўку. Галоўнае - на месцы правільна ўключыць прыладу і падлучыць да яе ўсе кабелі, далей абсталяванне само падключыцца да сістэмы. Загрузіць канфігі можна праз DNS-запыты ў воблаку вендара з падлучанага USB-назапашвальніка, а можна адкрыць гіперспасылку з наўтбука, падлучанага да прылады па Wi-Fi або Ethernet.
• Спрашчэнне руціннага адміністравання сеткі - канфіг з шаблонаў, глабальныя палітыкі, якія наладжваюцца цэнтралізавана хоць на пяць філіялаў, хоць на 5 000. Усё з адзінага месца. Каб не было доўгай дарогі - вельмі зручная опцыя аўтаматычнага вяртання да папярэдняга канфігу.
• Кіраванне трафікам на ўзроўні прыкладанняў - забеспячэнне якасці і пастаяннага абнаўлення сігнатур прыкладанняў. Палітыкі настройваюцца і накатваюцца цэнтралізавана (не трэба пісаць і апдэйціць роут-мапы ​​для кожнага маршрутызатара, як раней). Відаць, хто, куды і што шле.
• Сегментацыя сеткі. Незалежныя ізаляваныя VPN па-над усёй інфраструктурай – кожная са сваёй маршрутызацыяй. Па змаўчанні трафік паміж імі зачынены, можна адчыняць доступы толькі зразумелым выглядам трафіку ў зразумелых вузлах сеткі, напрыклад, прапускаючы ўсё праз вялікі файрвол ці проксі.
• Бачнасць гісторыі якасці працы сеткі - як працавалі прыкладанні і каналы. Вельмі карысна для аналізу і выпраўленні сітуацыі яшчэ да таго, як ад карыстачоў пачнуць паступаць скаргі на нестабільную працу прыкладанняў.
• Бачнасць па каналах — ці каштуюць яны сваіх грошай, ці рэальна на аб'екце да вас прыходзяць два розныя аператары, ці яны па факце праходзяць праз адну і тую ж сетку і дэградуюць/падаюць адначасова.
• Бачнасць для хмарных прыкладанняў і steering-трафіку праз тыя ці іншыя каналы на яго аснове (Cloud Onramp).
• Адна жалязякі ўтрымоўвае ў сабе роўтар і файрвол (дакладней, NGFW). Менш жалязяк - танней разгарнуць новы філіял.

Кампаненты і архітэктура рашэнняў SD-WAN

Канчатковыя прылады – WAN-маршрутызатары, якія бываюць апаратнымі і віртуальнымі.

Аркестратары - сродак кіравання сеткай. На іх наладжваюцца параметры канцавых прылад, палітыкі маршрутызацыі трафіку, функцыянал бяспекі. Атрымліваюцца канфігі, якія адпраўляюцца аўтаматычна праз сетку кантролю на вузлы. Паралельна аркестратар слухае сетку і робіць маніторынг - даступнасць прылад, партоў, каналаў сувязі, загрузку інтэрфейсаў.

Сродкі аналітыкі. Робяць справаздачы на ​​падставе дадзеных, якія збіраюцца з канцавых прылад: гісторыю якасці працы каналаў, сеткавых прыкладанняў, даступнасці вузлоў і т. п.

Кантралёры адказваюць за ўжыванне палітык маршрутызацыі трафіку на сетку. Бліжэйшым іх аналагам у традыцыйных сетках можна лічыць BGP Route Reflector. Глабальныя палітыкі, якія адміністратар настройвае ў аркестратары, прыводзяць да таго, што кантролеры мяняюць склад сваіх табліц маршрутызацыі і рассылаюць абноўленую інфармацыю на канцавыя прылады.

Што атрымлівае ІТ-служба ад SD-WAN:

1. Рэзервовы канал увесь час выкарыстоўваецца (не прастойвае). Атрымліваецца танней, паколькі можна дазволіць два менш тоўстыя каналы.
2. Аўтаматычнае пераключэнне трафіку прыкладанняў паміж каналамі.
3. Час адміністратара: можна глабальна развіваць сетку, а не поўзаць па кожнай жалязякі з канфігамі.
4. Хуткасць узняцця новых філіялаў. Яна значна вышэйшая.
5. Менш прастояў на час замены памерлага абсталявання.
6. Хуткае пераканфігураванне сеткі пад новыя сэрвісы.

Што атрымлівае бізнэс ад SD-WAN:

1. Гарантаваная праца бізнэс-прыкладанняў на размеркаванай сетцы, у тым ліку праз адкрытыя інтэрнэт-каналы. Гэта пра прадказальнасць бізнэсу.
2. Імгненная падтрымка новых бізнес-прыкладанняў на ўсёй размеркаванай сетцы незалежна ад колькасці філіялаў. Гэта пра хуткасць бізнэсу.
3. Хуткае і бяспечнае падключэнне філіялаў у любых аддаленых лакацыях з выкарыстаннем любых тэхналогій падключэння (Інтэрнэт ёсць усюды, а выдзеленыя лініі і VPN – не). Гэта пра гнуткасць бізнэсу ў выбары лакацыі.
4. Гэта можа быць праект з пастаўкай і пусканаладкай, а можа быць паслугай
   са штомесячнымі плацяжамі ад ІТ-кампаніі, аператара сувязі або хмарнага аператара. Каму як зручна.

Выгады бізнесу ад SD-WAN могуць быць абсалютна рознымі, напрыклад, адзін заказчык нам сказаў, што ад топ-мэнэджара паступіў запыт на правядзенне прамой лініі з усімі супрацоўнікамі шматтысячнай кампаніі і магчымасцю дастаўляць кантэнт.

Для нас гэта было "вайсковай аперацыяй". У той момант мы вырашалі ўжо задачу мадэрнізацыі КСПД. А калі мы разумеем, што нам трэба ў прынцыпе займацца рэнавацыяй абсталявання, а тэхналагічны стэк сышоў наперад, навошта нам займацца рэнавацыяй тых жа самых тэхналогій і сэрвісаў, калі можна ступіць далей.

SD-WAN на месцы ўстанаўліваецца сіламі енікеяў. Гэта важна для выдаленых філіялаў, дзе можа проста не быць нармальнага адміна. Адпраўляеце поштай, кажаце: «Кабель 1 уторкніце ў скрынку 1, кабель 2 - у скрынку 2, і не пераблытайце! Не пераблытайце, #@$@%!». І калі тамака не пераблытаюць, тая прылада сама звязваецца з цэнтральным серверам, забірае і ўжывае свае канфігі, і гэты офіс становіцца часткай абароненай сеткі кампаніі. Прыемна, калі не трэба ездзіць і лёгка абгрунтаваць у бюджэце.

А вось схема стэнда:

Трохі прыкладаў наладкі:

Палітыка - глабальныя правілы кіравання трафікам. Рэдагаванне палітыкі.

Актывацыя палітыкі кіравання трафікам.

Масавая настройка асноўных параметраў прылад (IP-адрасы, пулы DHCP).

Скрыншоты маніторынгу перформансу прыкладанняў

Для хмарных прыкладанняў.

Дэталёва для Office365.

Для on-prem-прыкладанняў. Нажаль, на нашым стэндзе не атрымалася знайсці прыкладанні з памылкамі (FEC Recovery rate усюды на нулі).

Дадаткова - перформанс каналаў перадачы дадзеных.

Якія жалязякі падтрымліваюцца на SD-WAN

1. Апаратныя платформы:

• Маршрутызатары Cisco vEdge (ранейшая назва – Viptela vEdge), якія працуюць пад кіраваннем АС Viptela.
• Маршрутызатары Integrated Services Router (ISR) серый 1 і 000, якія працуюць пад кіраваннем IOS XE SD-WAN.
• Маршрутызатар Aggregation Services Router (ASR) серыі 1, які працуе пад кіраваннем IOS XE SD-WAN.

2. Віртуальныя платформы:

• Маршрутызатар Cloud Services Router (CSR) 1v, які працуе пад кіраваннем IOS XE SD-WAN.
• Маршрутызатар vEdge Cloud Router, які працуе пад кіраваннем АС Viptela.

Віртуальныя платформы можна разгортваць на вылічальных платформах Cisco x86, напрыклад, Enterprise Network Compute System (ENCS) серыі 5, Unified Computing System (UCS) і Cloud Services Platform (CSP) серыі 000. Віртуальныя платформы могуць таксама працаваць на любой прыладзе x5, які выкарыстоўвае гіпервізор, такі, як KVM або VMware ESi.

Як накатваецца новая прылада

Спіс праліцэнзаваных прылад для разгортвання спампоўваецца альбо са смарт-акаўнта ў Cisco, альбо загружаецца CSV-файлам. Больш скрыншотаў паспрабую дастаць пазней, зараз у нас няма новых прылад для разгортвання.

Паслядоўнасць крокаў, праз якія праходзіць прылада пры разгортванні.

Як накатваецца новая прылада / спосаб дастаўкі канфіга

Заводзім прылады ў Smart Account.

Можна загрузіць CSV-файл, а можна па адным:

Запаўняем параметры прылады:

Далей у vManage сінхранізуем дадзеныя са Smart Account. Прылада з'яўляецца ў спісе:

У выпадальным меню насупраць прылады ціснем Generate Bootstrap Configuration
і атрымліваем пачатковы канфіг:

Гэты канфіг неабходна скарміць прыладзе. Самы просты спосаб - падлучыць да прылады флэшку з захаваным файлам з імем ciscosd-wan.cfg. Пры загрузцы прылада будзе шукаць гэты файл.

Атрымаўшы пачатковы канфіг, прылада зможа дагрукацца да аркестратара і атрымаць адтуль паўнавартасную канфігурацыю.

Глядзім на SD-Access (DNA)

SD-Access спрашчае наладу партоў і правоў доступу для падлучэння карыстальнікаў. Гэта робіцца з дапамогай візардаў. Параметры партоў задаюцца ў прывязцы да груп "Адміністратары", "Бухгалтэрыя", "Прынтары", а не да VLAN і IP-падсеткам. Гэта мінімізуе памылкі, звязаныя з чалавечым фактарам. Калі, напрыклад, у кампаніі шмат філіялаў па Расіі, а цэнтральны офіс пры гэтым перагружаны, то SD-Access дазваляе вырашаць больш задач менавіта на месцах. Напрыклад, тыя ж задачы па траблшутынгу.

Для ИБ важна, што SD-Access мяркуе выразны падзел карыстачоў і прылад на групы і вызначэнне палітык узаемадзеяння паміж імі, аўтарызацыю пры любым кліенцкім падлучэнні да сеткі і забеспячэнне «правоў доступу» па ўсёй сетцы. Калі прытрымлівацца такога падыходу, то адміністраваць становіцца значна прасцей.

Працэс запуску для новых офісаў таксама спрошчаны дзякуючы Plug-and-Play-агентам у камутатарах. Бегаць па кросавых з кансоллю, а то і ўвогуле выязджаць на аб'ект не трэба.

Вось прыклады наладкі:

Агульны статус.

Інцыдэнты, якія варта прагледзець адміністратару.

Аўтаматычныя рэкамендацыі, што памяняць у канфігах.

План па інтэграцыі SD-WAN з SD-Access

Чуў, што ёсць такія планы ў Цыскі – SD-WAN і SD-Access. Гэта павінна прыкметна паменшыць гемарою пры кіраванні тэрытарыяльна размеркаванымі і лакальнымі КСПД.

vManage (аркестратар SD-WAN) кіруецца праз API з DNA Center (кантролера SD-Access).

Палітыкі мікра- і макрасегментацыі мапяцца наступным чынам:

На ўзроўні пакетаў усё выглядае вось так:

Хто і што наконт гэтага думае

Мы займаемся SD-WAN з 2016 года ў асобнай лабараторыі, дзе тэстуем розныя варыянты рашэнняў пад патрэбы розніцы, банкаў, транспарту і прамысловасці.

Вельмі шмат маем зносіны з рэальнымі замоўцамі.

Магу сказаць, што розніца ўжо ўпэўнена тэстуе SD-WAN, прычым некаторыя гэта робяць з вендарамі (часцей за ўсё – з Cisco), але ёсць і тыя, хто спрабуе вырашыць пытанне самастойна: пішуць сваю версію софту, па функцыянале які нагадвае SD-WAN.

Усё так ці інакш жадаюць прыйсці да цэнтралізаванага ўпраўлення ўсяго заапарка абсталявання. Гэта адна кропка адміністравання для нестандартных усталёвак і стандартных для розных вендараў і розных тэхналогій. Важна мінімізаваць ручную працу, таму што гэта, па-першае, скарачае рызыку чалавечага фактару пры наладзе абсталявання, па-другое, вызваляе рэсурсы ІТ-службы на рашэнне іншых задач. Звычайна разуменне неабходнасці прыходзіць з-за вельмі доўгіх цыклаў абнаўлення па ўсёй краіне. А, напрыклад, калі розніца гандлюе алкаголем, то ёй патрэбная пастаянная сувязь для продажаў. Абнаўленне ці просты днём прама адбіваецца на выручцы.

Цяпер у розніцы сапраўды сфарміравана разуменне, для якіх задач ІТ будзе выкарыстоўваць SD-WAN:

1. Хуткае разгортванне (часта трэба на LTE да прыходу кабельнага правайдэра, часта трэба, каб новая кропка паднімалася адмінам у горадзе па ГПХ, а потым цэнтр проста глядзеў і канфігураваў).
2. Цэнтралізаванае кіраванне, сувязь для замежных аб'ектаў.
3. Скарачэнне кошту тэлекома.
4. Розныя дадатковыя паслугі (DPI-фічы даюць магчымасць прыярытэтна дастаўляць трафік ад важных прыкладанняў тыпу касавага).
5. Праца з каналамі аўтаматычна, а не рукамі.

І ёсць яшчэ праверка на комплаенс - шмат усё пра яе кажуць, але ніхто не ўспрымае як праблему. Падтрыманне таго, што ўсё працуе карэктна, таксама ў гэтай парадыгме нармальна працуе. Многія лічаць, што ў гэты бок будзе рухацца ўвогуле ўвесь рынак сеткавых тэхналогій.

Банкі, имхо, пакуль тэстуюць SD-WAN хутчэй як новую тэхналагічную фічу. Чакаюць заканчэння падтрымкі папярэдніх пакаленняў абсталявання і толькі тады будуць мяняцца. У банкаў наогул свая асаблівая атмасфера па каналах сувязі, таму бягучы стан галіны іх не вельмі напружвае. Праблемы хутчэй ляжаць у іншых плоскасцях.

У адрозненне ад расійскага рынка ў Еўропе SD-WAN укараняецца актыўна. У іх даражэйшыя каналы сувязі, і таму еўрапейскія кампаніі прыносяць свой стэк у расійскія падраздзяленні. У Расіі ж ёсць нейкая стабільнасць, таму што кошт каналаў (нават калі рэгіён даражэйшы за цэнтр у 25 разоў) цалкам нармальна глядзіцца і не выклікае пытанняў. З году ў год на каналы сувязі закладваюць безумоўна бюджэт.

Вось прыклад з сусветнай практыкі, калі кампанія за кошт SD-WAN на Цыску зэканоміла час і грошы.

Ёсць такая кампанія - National Instruments. У пэўны момант яны сталі разумець, што глабальная вылічальная сетка, "атрыманая" па выніках аб'яднання 88 пляцовак па ўсім свеце, была неэфектыўная. Апроч гэтага, кампаніі бракавала прапускной здольнасці і прадукцыйнасці ГВС. Не было балансу паміж бесперапынным ростам кампаніі і абмежаваным ІТ-бюджэтам.

SD-WAN дапамог скараціць National Instruments выдаткі на MPLS на 25% (эканомія 450 тыс. дал па выніках 2018 г.), пашырыўшы паласу прапускання на 3%.

Па выніках укаранення SD-WAN кампанія атрымала разумную праграмна-вызначаную сетку і цэнтралізаванае кіраванне палітыкамі, каб аўтаматычна аптымізаваць трафік і прадукцыйнасць прыкладанняў. вось тут - Дэталёвы кейс.

Вот тут зусім чумавы кейс пераезду S7 у іншы офіс, калі спачатку ўсё пачалося цяжка, але цікава трэба было перарабіць 1,5 тысячы партоў. А вось потым сёе-тое пайшло не так і ў выніку адміны аказаліся тымі апошнімі перад дэдлайнам, на каго сыплюцца ўсе назапашаныя затрымкі.

Пачытаць больш на англійскай:

• American Banker: Fifth Third invests in 5-year network upgrade with SD-WAN .
• Building Cloud SD-WAN success at Koch.
• McKesson's SD-WAN Journey to Cost Savings .
• SD-WAN Retail PoC & Segmentation: Gap Stores.
• А вось глабальнае даследаванне Cisco па сеткавым трэндам у свеце.

На рускай:

• На CNews.
• Як мы ўкаранялі SD-Access, і навошта гэта спатрэбілася.
• Сеткавая фабрыка для ЦАД Cisco ACI – у дапамогу адміну.
• Устойлівы канал на базе праграмна-вызначальных сетак SD-WAN: развязальны праблемы выбару маршрутаў.
• Мая пошта, калі ёсць пытанні ці хочацца пратэставаць свае задачы на ​​нашым стэндзе, - [электронная пошта абаронена].

Крыніца: habr.com