SD-WAN i DNA per ajudar l'administrador: característiques i pràctica de l'arquitectura

Un estand que pots tocar al nostre laboratori si vols.

SD-WAN i SD-Access són dos nous enfocaments propietaris diferents per crear xarxes. En el futur, haurien de fusionar-se en una xarxa de superposició, però de moment s'estan apropant. La lògica és aquesta: agafem una xarxa dels anys noranta i hi posem tots els pedaços i funcions necessàries, sense esperar que es converteixi en un nou estàndard obert d'aquí a 1990 anys més.

SD-WAN és un pedaç SDN per a xarxes empresarials distribuïdes. El transport és separat, el control és separat, de manera que el control es simplifica.

Pros: tots els canals de comunicació s'utilitzen activament, inclòs el de còpia de seguretat. Hi ha encaminament de paquets a aplicacions: què, a través de quin canal i amb quina prioritat. Un procediment simplificat per desplegar nous punts: en comptes de desplegar una configuració, només cal que especifiqueu l'adreça del servidor Cisco a la gran Internet, el centre de dades CROC o el client, d'on s'han extret les configuracions específiques per a la vostra xarxa.

SD-Access (DNA) és l'automatització de la gestió de la xarxa local: configuració des d'un punt, assistents, interfícies còmodes. De fet, es construeix una altra xarxa amb un transport diferent a nivell de protocol a sobre del vostre, i la compatibilitat amb xarxes més antigues està assegurada als límits del perímetre.

També ens ocuparem d'això a continuació.

Ara algunes demostracions als bancs de proves del nostre laboratori, com es veu i com funciona.

Comencem amb SD-WAN. Principals característiques:

• Simplificació del desplegament de nous punts (ZTP): se suposa que d'alguna manera alimenteu el punt amb l'adreça del servidor amb la configuració. El punt el truca, rep la configuració, l'enrotlla i s'inclou al vostre tauler de control. Això garanteix Zero-Touch Provisioning (ZTP). Per desplegar un punt final, un enginyer de xarxa no necessita desplaçar-se al lloc. El més important és encendre el dispositiu correctament al lloc i connectar-hi tots els cables, llavors l'equip es connectarà automàticament al sistema. Podeu descarregar les configuracions mitjançant consultes DNS al núvol del venedor des d'una unitat USB connectada o podeu obrir un hiperenllaç des d'un ordinador portàtil connectat al dispositiu mitjançant Wi-Fi o Ethernet.
• Simplificació de l'administració rutinària de la xarxa: configuració a partir de plantilles, polítiques globals, configuració centralitzada per almenys cinc sucursals, almenys 5. Tot des d'un sol lloc. Per evitar un llarg viatge, hi ha una opció molt còmoda per tornar automàticament a la configuració anterior.
• Gestió del trànsit a nivell d'aplicació: garanteix la qualitat i les actualitzacions contínues de la signatura de l'aplicació. Les polítiques es configuren i es desenvolupen de manera centralitzada (no cal escriure i actualitzar mapes de ruta per a cada encaminador, com abans). Podeu veure qui envia què, on i què.
• Segmentació de la xarxa. VPN aïllades independents a la part superior de tota la infraestructura, cadascuna amb el seu propi encaminament. De manera predeterminada, el trànsit entre ells està tancat; només podeu obrir l'accés a tipus de trànsit comprensibles en nodes de xarxa comprensibles, per exemple, passant-ho tot a través d'un tallafoc o servidor intermediari gran.
• Visibilitat de l'historial de qualitat de la xarxa: com funcionaven les aplicacions i els canals. Molt útil per analitzar i corregir la situació fins i tot abans que els usuaris comencin a rebre queixes sobre el funcionament inestable de les aplicacions.
• Visibilitat a través dels canals: valen la pena els diners, són dos operadors diferents que arriben realment al vostre lloc o realment passen per la mateixa xarxa i es degraden o cauen al mateix temps.
• Visibilitat per a aplicacions al núvol i direcció del trànsit a través de determinats canals basats en ella (Cloud Onramp).
• Una peça de maquinari conté un encaminador i un tallafoc (més precisament, NGFW). Menys peces de maquinari significa que és més barat obrir una nova sucursal.

Components i arquitectura de solucions SD-WAN

Els dispositius finals són encaminadors WAN, que poden ser de maquinari o virtuals.

Els orquestradors són una eina de gestió de xarxa. Estan configurats amb paràmetres del dispositiu final, polítiques d'encaminament del trànsit i funcionalitats de seguretat. Les configuracions resultants s'envien automàticament a través de la xarxa de control als nodes. Paral·lelament, l'orquestrador escolta la xarxa i supervisa la disponibilitat de dispositius, ports, canals de comunicació i càrrega de la interfície.

Eines analítiques. Realitzen informes a partir de les dades recollides dels dispositius finals: historial de la qualitat dels canals, aplicacions de xarxa, disponibilitat de nodes, etc.

Els controladors són els responsables d'aplicar les polítiques d'encaminament del trànsit a la xarxa. El seu analògic més proper a les xarxes tradicionals es pot considerar BGP Route Reflector. Les polítiques globals que l'administrador configura a l'orquestrador fan que els controladors canviïn la composició de les seves taules d'encaminament i enviïn informació actualitzada als dispositius finals.

Què obté el servei informàtic de SD-WAN:

1. El canal de còpia de seguretat està en ús constant (no inactiu). Resulta més barat perquè et pots permetre dos canals menys gruixuts.
2. Canvi automàtic del trànsit d'aplicacions entre canals.
3. Temps de l'administrador: podeu desenvolupar la xarxa globalment, en lloc de rastrejar cada peça de maquinari amb configuracions.
4. Velocitat d'aixecament de noves branques. Ella és molt més alta.
5. Menys temps d'inactivitat mentre es substitueix l'equip mort.
6. Reconfigureu ràpidament la xarxa per a nous serveis.

Què obté una empresa de SD-WAN:

1. Funcionament garantit de les aplicacions empresarials en una xarxa distribuïda, fins i tot a través de canals oberts d'Internet. Es tracta de la predictibilitat empresarial.
2. Suport instantani per a noves aplicacions empresarials a tota la xarxa distribuïda, independentment del nombre d'oficines. Es tracta de velocitat empresarial.
3. Connexió ràpida i segura d'oficines a qualsevol ubicació remota mitjançant qualsevol tecnologia de connexió (Internet és a tot arreu, però les línies llogades i VPN no). Es tracta de la flexibilitat empresarial a l'hora d'escollir una ubicació.
4. Aquest podria ser un projecte amb lliurament i posada en marxa, o podria ser un servei
   amb pagaments mensuals d'una empresa informàtica, operador de telecomunicacions o operador de núvol. El que sigui convenient per a vostè.

Els avantatges empresarials de SD-WAN poden ser completament diferents, per exemple, un client ens va dir que un alt directiu havia rebut una sol·licitud de línia directa amb tots els empleats d'una empresa de milers de persones i la capacitat de lliurar contingut.

Per a nosaltres va ser una "operació militar". En aquell moment ja estàvem resolent el problema de la modernització del CSPD. I quan entenem que, en principi, hem de dedicar-nos a la renovació d'equips i la pila tecnològica ha avançat, per què hauríem de dedicar-nos a la renovació de les mateixes tecnologies i serveis si podem fer un pas més?

SD-WAN està instal·lat al lloc per Enikey. Això és important per a les sucursals remotes, on simplement potser no hi ha un administrador normal. Envieu per correu, digueu: "Connecteu el cable 1 a la caixa 1, el cable 2 a la caixa 2 i no ho barregis! No us confongueu, #@$@%!" I si no ho barregen, el propi dispositiu es comunica amb el servidor central, recull i aplica les seves configuracions, i aquesta oficina passa a formar part de la xarxa segura de l'empresa. És agradable quan no has de viatjar i és fàcil justificar en el teu pressupost.

Aquí teniu un esquema de l'estand:

Alguns exemples de configuració:

Política: regles globals per gestionar el trànsit. Edició d'una política.

Activa la política de control de trànsit.

Configuració massiva dels paràmetres bàsics del dispositiu (adreces IP, grups DHCP).

Captures de pantalla del seguiment del rendiment de l'aplicació

Per a aplicacions al núvol.

Detalls per a Office365.

Per a aplicacions locals. Malauradament, no hem pogut trobar aplicacions amb errors al nostre estand (la taxa de recuperació FEC és zero a tot arreu).

A més - rendiment dels canals de transmissió de dades.

Quin maquinari és compatible amb SD-WAN

1. Plataformes de maquinari:

• Encaminadors Cisco vEdge (anteriorment Viptela vEdge) amb Viptela OS.
• Encaminadors de serveis integrats (ISR) de les sèries 1 i 000 amb IOS XE SD-WAN.
• Encaminador de serveis d'agregació (ASR) sèrie 1 amb IOS XE SD-WAN.

2. Plataformes virtuals:

• Encaminador de serveis al núvol (CSR) 1v amb IOS XE SD-WAN.
• vEdge Cloud Router amb Viptela OS.

Les plataformes virtuals es poden implementar a les plataformes informàtiques Cisco x86, com ara la sèrie Enterprise Network Compute System (ENCS) 5, Unified Computing System (UCS) i Cloud Services Platform (CSP) sèrie 000. Les plataformes virtuals també es poden executar en qualsevol dispositiu x5 utilitzant un hipervisor com ara KVM o VMware ESi.

Com funciona un dispositiu nou

La llista de dispositius amb llicència per al desplegament es baixa des d'un compte intel·ligent de Cisco o es penja com a fitxer CSV. Intentaré obtenir més captures de pantalla més endavant, ara mateix no tenim cap dispositiu nou per implementar.

La seqüència de passos que segueix un dispositiu quan es desplega.

Com es desplega un nou mètode de lliurament de dispositiu/configuració

Afegim dispositius al compte intel·ligent.

Podeu baixar un fitxer CSV, o podeu baixar-ne un a la vegada:

Ompliu els paràmetres del dispositiu:

A continuació, a vManage sincronitzem les dades amb el compte intel·ligent. El dispositiu apareix a la llista:

Al menú desplegable que hi ha al costat del dispositiu, feu clic a Genera la configuració d'arrencada
i obteniu la configuració inicial:

Aquesta configuració s'ha d'introduir al dispositiu. La manera més senzilla és connectar una unitat flaix amb un fitxer desat anomenat ciscosd-wan.cfg al dispositiu. Quan arrenqui, el dispositiu buscarà aquest fitxer.

Un cop rebuda la configuració inicial, el dispositiu podrà arribar a l'orquestrador i rebre'n una configuració completa.

Mirem SD-Access (ADN)

SD-Access facilita la configuració de ports i drets d'accés per connectar usuaris. Això es fa mitjançant assistents. Els paràmetres de port s'estableixen en relació amb els grups "Administradors", "Comptabilitat", "Impressores" i no amb les VLAN i les subxarxes IP. Això minimitza els errors humans. Si, per exemple, una empresa té moltes sucursals a Rússia, però l'oficina central està sobrecarregada, SD-Access us permet resoldre més problemes localment. Per exemple, els mateixos problemes pel que fa a la resolució de problemes.

Per a la seguretat de la informació, és important que SD-Access impliqui una clara divisió dels usuaris i dispositius en grups i la definició de polítiques d'interacció entre ells, l'autorització per a qualsevol connexió de client a la xarxa i la prestació de "drets d'accés" a tota la xarxa. Si seguiu aquest enfocament, l'administració es fa molt més fàcil.

El procés d'inici de les noves oficines també es simplifica gràcies als agents Plug-and-Play als commutadors. No cal córrer per tot el país amb una consola, ni tan sols anar al lloc.

Aquí teniu exemples de configuració:

Estat general.

Incidències que un administrador hauria de revisar.

Recomanacions automàtiques sobre què canviar a les configuracions.

Pla per integrar SD-WAN amb SD-Access

He sentit que Cisco té aquests plans: SD-WAN i SD-Access. Això hauria de reduir significativament les hemorroides quan es gestionen els CSPD locals i distribuïts geogràficament.

vManage (orquestrador SD-WAN) es gestiona mitjançant API des del DNA Center (controlador SD-Access).

Les polítiques de micro i macrosegmentació es mapegen de la següent manera:

A nivell de paquet, tot es veu així:

Qui pensa això i què?

Treballem en SD-WAN des de l'any 2016 en un laboratori independent, on provem diferents solucions per a les necessitats del comerç minorista, bancs, transport i indústria.

Ens comuniquem molt amb clients reals.

Puc dir que el comerç minorista ja està provant amb confiança l'SD-WAN, i alguns ho fan amb proveïdors (la majoria de vegades amb Cisco), però també hi ha qui intenta resoldre el problema pel seu compte: estan escrivint la seva pròpia versió de programari que té una funcionalitat similar a SD-WAN.

Tothom, d'una manera o altra, vol aconseguir una gestió centralitzada de tot el zoo d'equipaments. Aquest és un punt d'administració per a instal·lacions no estàndard i estàndards per a diferents proveïdors i diferents tecnologies. És important minimitzar el treball manual perquè, en primer lloc, redueix el risc del factor humà a l'hora de muntar els equips, i en segon lloc, allibera els recursos del servei informàtic per resoldre altres problemes. Normalment, el reconeixement de la necessitat prové de cicles de renovació molt llargs a tot el país. I, per exemple, si un minorista ven alcohol, necessita una comunicació constant per a les vendes. L'actualització o el temps d'inactivitat durant el dia afecta directament els ingressos.

Ara, al detall, hi ha una comprensió clara de quines tasques de TI utilitzaran SD-WAN:

1. Desplegament ràpid (sovint es necessita a LTE abans que arribi el proveïdor de cable, sovint és necessari que l'administrador de la ciutat plantegi el nou punt a través de GPC, i després el centre simplement mira i configura).
2. Gestió centralitzada, comunicació per a objectes estrangers.
3. Reducció de costos de telecomunicacions.
4. Diversos serveis addicionals (les característiques DPI permeten prioritzar el lliurament del trànsit des d'aplicacions importants com les caixes registradores).
5. Treballeu amb canals automàticament, no manualment.

I també hi ha un control de compliment: tothom en parla molt, però ningú ho percep com un problema. Mantenir que tot funciona correctament també funciona bé en aquest paradigma. Molts creuen que tot el mercat de la tecnologia de xarxa anirà en aquesta direcció.

Els bancs, a mi humil, actualment estan provant SD-WAN com una nova característica tecnològica. Estan esperant que s'acabi el suport a les generacions anteriors d'equips i només llavors canviaran. Els bancs generalment tenen el seu propi ambient especial a través dels canals de comunicació, de manera que l'estat actual del sector no els molesta gaire. Els problemes es troben més aviat en altres plans.

A diferència del mercat rus, SD-WAN s'està implementant activament a Europa. Els seus canals de comunicació són més cars i, per tant, les empreses europees porten la seva pila a les divisions russes. A Rússia, hi ha una certa estabilitat, perquè el cost dels canals (fins i tot quan la regió és 25 vegades més car que el centre) sembla bastant normal i no planteja preguntes. D'any en any, hi ha un pressupost incondicional per als canals de comunicació.

Aquí teniu un exemple de la pràctica mundial, quan una empresa va estalviar temps i diners utilitzant SD-WAN a Cisco.

Hi ha aquesta empresa: National Instruments. En un moment determinat, van començar a entendre que la xarxa informàtica global, "aconseguida" combinant 88 llocs d'arreu del món, era ineficaç. A més, l'empresa no tenia la capacitat i el rendiment del seu subministrament d'aigua calenta sanitària. No hi havia equilibri entre el creixement continu de l'empresa i el pressupost limitat de TI.

SD-WAN va ajudar a National Instruments a reduir els costos de MPLS en un 25% (estalviant 450 dòlars a finals de 2018), ampliant l'ample de banda en un 3%.

Com a resultat de la implementació de SD-WAN, l'empresa va rebre una xarxa intel·ligent definida per programari i una gestió centralitzada de polítiques per optimitzar automàticament el trànsit i el rendiment de les aplicacions. Aquí - Cas detallat.

Aquí mateix un cas absolutament boig de traslladar un S7 a una altra oficina, quan al principi tot va començar difícil, però interessant: calia refer 1,5 mil ports. Però aleshores alguna cosa va fallar i, com a resultat, els administradors van resultar ser els últims abans de la data límit, sobre els quals recauen tots els retards acumulats.

Llegeix més en anglès:

• American Banker: Fifth Third inverteix en l'actualització de la xarxa de 5 anys amb SD-WAN .
• Construint l'èxit de Cloud SD-WAN a Koch.
• El viatge SD-WAN de McKesson cap a l'estalvi de costos .
• SD-WAN PoC minorista i segmentació: Gap Stores.
• Sinó Estudi global de Cisco sobre les tendències de les xarxes al món.

En rus:

• A CNews.
• Com vam implementar SD-Access i per què era necessari.
• Estructura de xarxa per al centre de dades Cisco ACI: per ajudar l'administrador.
• Canal estable basat en xarxes SD-WAN definides per programari: resolució de problemes de selecció de rutes.
• El meu correu electrònic, si tens preguntes o vols provar les teves tasques al nostre estand, - [protegit per correu electrònic].

Font: www.habr.com