SD-WAN og DNA til at hjælpe administratoren: arkitekturfunktioner og praksis

Et stativ, som du kan røre ved i vores laboratorium, hvis du vil.

SD-WAN og SD-Access er to forskellige nye proprietære tilgange til opbygning af netværk. I fremtiden burde de smelte sammen til ét overlejringsnetværk, men for nu er de bare ved at komme tæt på. Logikken er denne: vi tager et netværk fra 1990'erne og ruller alle de nødvendige patches og funktioner ud på det uden at vente på, at det bliver en ny åben standard om yderligere 10 år.

SD-WAN er en SDN-patch til distribuerede virksomhedsnetværk. Transport er adskilt, kontrol er adskilt, så kontrollen er forenklet.

Fordele - alle kommunikationskanaler bruges aktivt, inklusive backup-en. Der er routing af pakker til applikationer: hvad, gennem hvilken kanal og med hvilken prioritet. En forenklet procedure til at implementere nye punkter: i stedet for at udrulle en konfiguration, skal du blot angive adressen på Cisco-serveren på det store internet, CROC-datacentret eller kunden, hvorfra konfigurationerne specifikt til dit netværk er taget fra.

SD-Access (DNA) er automatisering af lokal netværksstyring: konfiguration fra ét punkt, guider, praktiske grænseflader. Faktisk er et andet netværk bygget med en anden transport på protokolniveau oven i dit, og kompatibilitet med ældre netværk er sikret ved perimetergrænserne.

Det vil vi også behandle nedenfor.

Nu nogle demonstrationer på testbænke i vores laboratorium, hvordan det ser ud og virker.

Lad os starte med SD-WAN. Hovedtræk:

• Forenkling af udrulning af nye punkter (ZTP) - det antages, at du på en eller anden måde fodrer punktet med serveradressen med indstillinger. Punktet banker på det, modtager konfigurationen, ruller det op og er inkluderet i dit kontrolpanel. Dette sikrer Zero-Touch Provisioning (ZTP). For at implementere et slutpunkt behøver en netværksingeniør ikke at rejse til stedet. Det vigtigste er at tænde enheden korrekt på stedet og tilslutte alle kabler til den, så forbinder udstyret automatisk til systemet. Du kan downloade konfigurationer via DNS-forespørgsler i leverandørens sky fra et tilsluttet USB-drev, eller du kan åbne et hyperlink fra en bærbar computer, der er tilsluttet enheden via Wi-Fi eller Ethernet.
• Forenkling af rutinemæssig netværksadministration - konfiguration fra skabeloner, globale politikker, centralt konfigureret til mindst fem grene, mindst 5. Alt fra ét sted. For at undgå en lang rejse er der en meget praktisk mulighed for automatisk at vende tilbage til den forrige konfiguration.
• Trafikstyring på applikationsniveau – sikrer kvalitet og løbende opdateringer af applikationssignaturer. Politikker konfigureres og udrulles centralt (der er ingen grund til at skrive og opdatere rutekort for hver router, som før). Du kan se, hvem der sender hvad, hvor og hvad.
• Netværkssegmentering. Uafhængige isolerede VPN'er oven på hele infrastrukturen - hver med sin egen routing. Som standard er trafik mellem dem lukket; du kan kun åbne adgang til forståelige typer trafik i forståelige netværksknuder, for eksempel ved at sende alt gennem en stor firewall eller proxy.
• Synlighed af netværkskvalitetshistorikken - hvordan applikationer og kanaler fungerede. Meget nyttig til at analysere og korrigere situationen, selv før brugere begynder at modtage klager over den ustabile drift af applikationer.
• Synlighed på tværs af kanaler – er de pengene værd, er det to forskellige operatører, der rent faktisk kommer til dit websted, eller går de faktisk gennem det samme netværk og nedværdiger/falder på samme tid.
• Synlighed for cloud-applikationer og styring af trafik gennem visse kanaler baseret på det (Cloud Onramp).
• Et stykke hardware indeholder en router og en firewall (mere præcist, NGFW). Færre stykker hardware betyder, at det er billigere at åbne en ny filial.

Komponenter og arkitektur af SD-WAN løsninger

Slutenheder er WAN-routere, som kan være hardware eller virtuelle.

Orchestrators er et netværksstyringsværktøj. De er konfigureret med slutenhedsparametre, trafikdirigeringspolitikker og sikkerhedsfunktionalitet. De resulterende konfigurationer sendes automatisk gennem kontrolnetværket til noderne. Parallelt hermed lytter orkestratoren til netværket og overvåger tilgængeligheden af ​​enheder, porte, kommunikationskanaler og grænsefladebelastning.

Analyseværktøjer. De laver rapporter baseret på data indsamlet fra slutenheder: historie om kvaliteten af ​​kanaler, netværksapplikationer, node tilgængelighed osv.

Controllere er ansvarlige for at anvende trafikdirigeringspolitikker på netværket. Deres nærmeste analog i traditionelle netværk kan betragtes som BGP Route Reflector. Globale politikker, som administratoren konfigurerer i orkestratoren, får controllere til at ændre sammensætningen af ​​deres routingtabeller og sende opdaterede oplysninger til slutenheder.

Hvad får IT-tjenesten fra SD-WAN:

1. Backup-kanalen er konstant i brug (ikke inaktiv). Det viser sig billigere, fordi du har råd til to mindre tykke kanaler.
2. Automatisk skift af applikationstrafik mellem kanaler.
3. Administratortid: du kan udvikle netværket globalt i stedet for at gennemgå hvert stykke hardware med konfigurationer.
4. Hurtigheden af ​​at rejse nye grene. Hun er meget højere.
5. Mindre nedetid ved udskiftning af dødt udstyr.
6. Rekonfigurer hurtigt netværket til nye tjenester.

Hvad får en virksomhed fra SD-WAN:

1. Garanteret drift af forretningsapplikationer på et distribueret netværk, herunder gennem åbne internetkanaler. Det handler om forretningsforudsigelighed.
2. Øjeblikkelig support til nye forretningsapplikationer på tværs af hele det distribuerede netværk, uanset antallet af filialer. Det handler om forretningshastighed.
3. Hurtig og sikker forbindelse af filialer på alle fjerntliggende steder ved hjælp af enhver forbindelsesteknologi (internettet er overalt, men faste kredsløb og VPN er det ikke). Dette handler om forretningsfleksibilitet ved valg af lokation.
4. Dette kan være et projekt med levering og idriftsættelse, eller det kan være en service
   med månedlige betalinger fra en it-virksomhed, teleoperatør eller cloud-operatør. Alt efter hvad der passer dig.

De forretningsmæssige fordele ved SD-WAN kan være helt anderledes, for eksempel fortalte en kunde os, at en topchef havde modtaget en anmodning om en direkte linje med alle ansatte i en multi-tusind virksomhed og mulighed for at levere indhold.

For os var det en "militær operation". I det øjeblik løste vi allerede problemet med at modernisere CSPD. Og når vi forstår, at vi i princippet skal engagere os i renovering af udstyr, og teknologistakken er rykket frem, hvorfor skulle vi så engagere os i renoveringen af ​​de samme teknologier og tjenester, hvis vi kan tage et skridt videre.

SD-WAN er installeret på stedet af Enikey. Dette er vigtigt for fjernafdelinger, hvor der måske simpelthen ikke er en normal administrator. Send med posten, sig: "Slut kabel 1 til boks 1, kabel 2 til boks 2, og bland det ikke sammen! Bliv ikke forvirret, #@$@%!" Og hvis de ikke blander det sammen, kommunikerer selve enheden med den centrale server, samler op og anvender dens konfigurationer, og dette kontor bliver en del af virksomhedens sikre netværk. Det er rart, når du ikke skal rejse, og det er nemt at retfærdiggøre i dit budget.

Her er et diagram over standen:

Nogle konfigurationseksempler:

Politik - globale regler for styring af trafik. Redigering af en politik.

Aktiver trafikkontrolpolitik.

Massekonfiguration af grundlæggende enhedsparametre (IP-adresser, DHCP-puljer).

Skærmbilleder af overvågning af applikationens ydeevne

Til cloud-applikationer.

Detaljer for Office365.

Til on-prem applikationer. Desværre var vi ikke i stand til at finde applikationer med fejl på vores stand (FEC Recovery rate er nul overalt).

Derudover - ydeevne af datatransmissionskanaler.

Hvilken hardware understøttes på SD-WAN

1. Hardwareplatforme:

• Cisco vEdge-routere (tidligere Viptela vEdge), der kører Viptela OS.
• 1- og 000-seriens Integrated Services Routere (ISR'er), der kører IOS XE SD-WAN.
• Aggregation Services Router (ASR) 1-serien, der kører IOS XE SD-WAN.

2. Virtuelle platforme:

• Cloud Services Router (CSR) 1v, der kører IOS XE SD-WAN.
• vEdge Cloud Router, der kører Viptela OS.

Virtuelle platforme kan implementeres på Cisco x86 computerplatforme, såsom Enterprise Network Compute System (ENCS) 5-serien, Unified Computing System (UCS) og Cloud Services Platform (CSP) 000-serien. Virtuelle platforme kan også køre på enhver x5-enhed ved hjælp af en hypervisor såsom KVM eller VMware ESi.

Hvordan en ny enhed ruller videre

Listen over licenserede enheder til implementering downloades enten fra en Cisco smart-konto eller uploades som en CSV-fil. Jeg vil prøve at få flere skærmbilleder senere, lige nu har vi ingen nye enheder at implementere.

Sekvensen af ​​trin en enhed gennemgår, når den implementeres.

Hvordan en ny leveringsmetode for enhed/konfiguration udrulles

Vi tilføjer enheder til Smart Account.

Du kan downloade en CSV-fil, eller du kan downloade en ad gangen:

Udfyld enhedsparametrene:

Dernæst i vManage synkroniserer vi dataene med Smart Account. Enheden vises på listen:

Klik på Generer bootstrap-konfiguration i rullemenuen overfor enheden
og få den oprindelige config:

Denne konfiguration skal føres til enheden. Den nemmeste måde er at forbinde et flashdrev med en gemt fil ved navn ciscosd-wan.cfg til enheden. Ved opstart vil enheden lede efter denne fil.

Efter at have modtaget den indledende konfiguration, vil enheden være i stand til at nå orkestratoren og modtage en fuld konfiguration derfra.

Vi ser på SD-Access (DNA)

SD-Access gør det nemt at konfigurere porte og adgangsrettigheder til at forbinde brugere. Dette gøres ved hjælp af guider. Portparametre indstilles i forhold til grupperne "Administratorer", "Regnskab", "Printere" og ikke til VLAN'er og IP-undernet. Dette minimerer menneskelige fejl. Hvis for eksempel en virksomhed har mange filialer over hele Rusland, men hovedkontoret er overbelastet, så giver SD-Access dig mulighed for at løse flere problemer lokalt. For eksempel de samme problemer vedrørende fejlfinding.

For informationssikkerheden er det vigtigt, at SD-Access involverer en klar opdeling af brugere og enheder i grupper og definition af interaktionspolitikker mellem dem, autorisation for enhver klientforbindelse til netværket og tilvejebringelse af "adgangsrettigheder" i hele netværket. Hvis du følger denne tilgang, bliver administrationen meget lettere.

Opstartsprocessen for nye kontorer er også forenklet takket være Plug-and-Play-agenter i switchene. Der er ingen grund til at løbe rundt på tværs af landet med en konsol, eller overhovedet gå ind på siden.

Her er konfigurationseksempler:

Generel status.

Hændelser, som en administrator bør gennemgå.

Automatiske anbefalinger om, hvad der skal ændres i konfigurationer.

Plan for integration af SD-WAN med SD-Access

Jeg hørte, at Cisco har sådanne planer - SD-WAN og SD-Access. Dette skulle reducere hæmorider betydeligt, når man håndterer geografisk distribuerede og lokale CSPD'er.

vManage (SD-WAN orkestrator) administreres via API fra DNA Center (SD-Access controller).

Mikro- og makrosegmenteringspolitikker kortlægges som følger:

På pakkeniveau ser alt sådan ud:

Hvem tænker på dette og hvad?

Vi har arbejdet på SD-WAN siden 2016 i et separat laboratorium, hvor vi tester forskellige løsninger til detailhandelens, bankernes, transportens og industriens behov.

Vi kommunikerer meget med rigtige kunder.

Jeg kan sige, at detailhandelen allerede trygt tester SD-WAN, og nogle gør dette med leverandører (oftest med Cisco), men der er også dem, der forsøger at løse problemet på egen hånd: de skriver deres egen version af software, der i funktionalitet ligner SD-WAN.

Alle ønsker, på den ene eller den anden måde, at opnå en centraliseret styring af hele den zoologiske have af udstyr. Dette er ét administrationspunkt for ikke-standardinstallationer og standardinstallationer for forskellige leverandører og forskellige teknologier. Det er vigtigt at minimere manuelt arbejde, fordi det for det første mindsker risikoen for den menneskelige faktor ved opsætning af udstyr, og for det andet frigør det ressourcer i it-servicen til at løse andre problemer. Typisk kommer erkendelsen af ​​behovet fra meget lange fornyelsescyklusser over hele landet. Og for eksempel, hvis en forhandler sælger alkohol, så har den brug for konstant kommunikation til salget. Opdatering eller nedetid i løbet af dagen påvirker direkte omsætningen.

Nu i detailhandlen er der en klar forståelse af, hvilke it-opgaver der vil bruge SD-WAN:

1. Hurtig udrulning (ofte nødvendigt på LTE før kabeludbyderen ankommer, ofte er det nødvendigt at det nye punkt bliver rejst af administratoren i byen via GPC, og så kigger og konfigurerer centret blot).
2. Centraliseret styring, kommunikation for fremmedlegemer.
3. Reduktion af teleomkostninger.
4. Forskellige tillægstjenester (DPI-funktioner gør det muligt at prioritere levering af trafik fra vigtige applikationer såsom kasseapparater).
5. Arbejd med kanaler automatisk, ikke manuelt.

Og der er også et compliance-tjek – alle taler meget om det, men ingen opfatter det som et problem. At vedligeholde, at alt fungerer korrekt, fungerer også fint i dette paradigme. Mange tror, ​​at hele netværksteknologimarkedet vil bevæge sig i denne retning.

Banker, IMHO, tester i øjeblikket SD-WAN snarere som en ny teknologisk funktion. De venter på ophøret af støtten til tidligere generationer af udstyr, og først da vil de ændre sig. Banker har generelt deres egen specielle atmosfære gennem kommunikationskanaler, så den nuværende tilstand i branchen generer dem ikke særlig meget. Problemerne ligger snarere på andre planer.

I modsætning til det russiske marked bliver SD-WAN aktivt implementeret i Europa. Deres kommunikationskanaler er dyrere, og derfor bringer europæiske virksomheder deres stak til russiske divisioner. I Rusland er der en vis stabilitet, fordi omkostningerne ved kanaler (selv når regionen er 25 gange dyrere end centrum) ser ganske normale ud og rejser ikke spørgsmål. Fra år til år er der et ubetinget budget til kommunikationskanaler.

Her er et eksempel fra verdens praksis, hvor en virksomhed sparede tid og penge ved at bruge SD-WAN på Cisco.

Der er sådan et firma - National Instruments. På et vist tidspunkt begyndte de at forstå, at det globale computernetværk, "opnået" ved at kombinere 88 websteder rundt om i verden, var ineffektivt. Derudover manglede virksomheden kapaciteten og ydeevnen af ​​sin varmtvandsforsyning. Der var ingen balance mellem virksomhedens fortsatte vækst og begrænsede IT-budget.

SD-WAN hjalp National Instruments med at reducere MPLS-omkostningerne med 25 % (ved at spare $450 ved udgangen af ​​2018), hvilket udvidede båndbredden med 3 %.

Som et resultat af implementeringen af ​​SD-WAN modtog virksomheden et smart softwaredefineret netværk og centraliseret politikstyring for automatisk at optimere trafik og applikationsydelse. Her - detaljeret sag.

Lige her et helt skørt tilfælde af at flytte en S7 til et andet kontor, da alt først startede svært, men interessant - det var nødvendigt at lave 1,5 tusinde porte om. Men så gik noget galt, og som et resultat viste det sig, at administratorerne var de sidste inden deadline, som alle de akkumulerede forsinkelser falder på.

Læs mere på engelsk:

• American Banker: Fifth Third investerer i 5-årig netværksopgradering med SD-WAN .
• Opbygning af Cloud SD-WAN-succes hos Koch.
• McKessons SD-WAN-rejse til omkostningsbesparelser .
• SD-WAN Retail PoC & Segmentering: Gap Stores.
• Men Cisco global undersøgelse om netværkstrends i verden.

På russisk:

• På CNews.
• Hvordan vi implementerede SD-Access, og hvorfor det var nødvendigt.
• Netværksstof til Cisco ACI-datacenteret - til at hjælpe administratoren.
• Stabil kanal baseret på softwaredefinerede SD-WAN-netværk: løser problemer med rutevalg.
• Min e-mail, hvis du har spørgsmål eller gerne vil teste dine opgaver på vores stand, - [e-mail beskyttet].

Kilde: www.habr.com