SD-WAN und DNA als Administratorunterstützung: Architekturfunktionen und Praxis

Ein Ständer, den Sie bei uns im Labor anfassen können, wenn Sie möchten.

SD-WAN und SD-Access sind zwei verschiedene neue proprietäre Ansätze zum Aufbau von Netzwerken. In Zukunft sollen sie zu einem Overlay-Netzwerk verschmelzen, doch derzeit nähern sie sich diesem Ziel nur an. Die Logik dahinter ist folgende: Wir nehmen ein Netzwerk aus den 1990er Jahren und installieren alle notwendigen Patches und Funktionen darauf, ohne darauf zu warten, dass es in zehn Jahren zu einem neuen offenen Standard wird.

SD-WAN ist der SDN-Patch für verteilte Unternehmensnetzwerke. Der Transport ist getrennt, die Steuerung ist getrennt, daher ist die Steuerung vereinfacht.

Vorteile: Alle Kommunikationskanäle werden aktiv genutzt, einschließlich des Backup-Kanals. Es erfolgt eine Weiterleitung der Pakete an die Anwendungen: welche, über welchen Kanal und mit welcher Priorität. Ein vereinfachtes Verfahren zum Bereitstellen neuer Punkte: Anstatt eine Konfiguration auszurollen, müssen Sie nur die Adresse des Cisco-Servers im großen Internet, im KROK-Rechenzentrum oder beim Kunden angeben, von dem die Konfigurationen für Ihr Netzwerk bezogen werden.

SD-Access (DNA) ist die Automatisierung der lokalen Netzwerkverwaltung: Konfiguration von einem Punkt aus, Assistenten, benutzerfreundliche Schnittstellen. Tatsächlich wird über Ihrem Netzwerk ein weiteres Netzwerk mit einem anderen Transport auf Protokollebene aufgebaut und die Kompatibilität mit alten Netzwerken wird an den Perimetergrenzen sichergestellt.

Auch hierauf gehen wir weiter unten ein.

Nun einige Demonstrationen auf Prüfständen in unserem Labor, wie es aussieht und funktioniert.

Beginnen wir mit SD-WAN. Hauptmerkmale:

• Vereinfachung der Bereitstellung neuer Punkte (ZTP) – es wird davon ausgegangen, dass Sie dem Punkt irgendwie die Adresse des Servers mit Einstellungen zuführen. Der Punkt klopft darauf, empfängt die Konfiguration, rollt sie aus und schaltet Ihr Bedienfeld ein. Dies gewährleistet Zero-Touch Provisioning (ZTP). Um ein Endgerät bereitzustellen, muss kein Netzwerktechniker vor Ort sein. Die Hauptsache ist, das Gerät vor Ort richtig einzuschalten und alle Kabel daran anzuschließen, dann verbindet sich das Gerät automatisch mit dem System. Sie können Konfigurationen über DNS-Abfragen in der Cloud des Anbieters von einem angeschlossenen USB-Laufwerk herunterladen oder einen Hyperlink von einem Laptop öffnen, der über WLAN oder Ethernet mit dem Gerät verbunden ist.
• Vereinfachung der routinemäßigen Netzwerkadministration – Konfiguration anhand von Vorlagen, globalen Richtlinien, zentral konfiguriert für mindestens fünf Niederlassungen, mindestens für 5. Alles aus einer Hand. Um lange Anfahrtswege zu vermeiden, gibt es eine sehr komfortable Möglichkeit der automatischen Rückkehr zur vorherigen Konfiguration.
• Verkehrsmanagement auf Anwendungsebene – Sicherstellung der Qualität und kontinuierlichen Aktualisierung von Anwendungssignaturen. Richtlinien werden zentral konfiguriert und bereitgestellt (es besteht keine Notwendigkeit, wie bisher für jeden Router Routenkarten zu schreiben und zu aktualisieren). Es ist klar, wer was wohin sendet.
• Netzwerksegmentierung. Unabhängige, isolierte VPNs auf der gesamten Infrastruktur – jedes mit eigenem Routing. Standardmäßig ist der Verkehr zwischen ihnen geschlossen. Sie können den Zugriff nur für verständliche Datenverkehrsarten in verständlichen Netzwerkknoten öffnen, indem Sie beispielsweise alles durch eine große Firewall oder einen Proxy leiten.
• Einblick in den Verlauf der Netzwerkleistung – Leistung von Anwendungen und Kanälen. Sehr nützlich zum Analysieren und Korrigieren der Situation, noch bevor Benutzer anfangen, sich über einen instabilen Anwendungsbetrieb zu beschweren.
• Sichtbarkeit nach Kanälen – sind sie das Geld wert, kommen tatsächlich zwei verschiedene Betreiber zu Ihnen an den Standort oder durchlaufen sie tatsächlich dasselbe Netzwerk und werden gleichzeitig abgebaut/fallen aus.
• Sichtbarkeit für Cloud-Anwendungen und darauf basierende Lenkung des Datenverkehrs über bestimmte Kanäle (Cloud Onramp).
• Eine Hardware enthält einen Router und eine Firewall (genauer gesagt NGFW). Weniger Hardware bedeutet, dass die Eröffnung einer neuen Filiale günstiger ist.

Komponenten und Architektur von SD-WAN-Lösungen

Endgeräte sind WAN-Router, die hardwaremäßig oder virtuell sein können.

Orchestratoren sind ein Netzwerkverwaltungstool. Sie werden verwendet, um Parameter von Endgeräten, Richtlinien zur Verkehrsweiterleitung und Sicherheitsfunktionen zu konfigurieren. Die resultierenden Konfigurationen werden automatisch über das Steuerungsnetzwerk an die Knoten gesendet. Parallel dazu überwacht der Orchestrator das Netzwerk und führt eine Überwachung durch – Verfügbarkeit von Geräten, Ports, Kommunikationskanälen, Schnittstellenbelastung.

Analysetools. Sie erstellen Berichte auf Grundlage der von Endgeräten erfassten Daten: Verlauf der Kanalqualität, Netzwerkanwendungen, Knotenverfügbarkeit usw.

Controller sind für die Durchsetzung von Richtlinien zur Verkehrsführung im Netzwerk verantwortlich. Ihr engstes Analogon in herkömmlichen Netzwerken kann als BGP Route Reflector betrachtet werden. Globale Richtlinien, die ein Administrator im Orchestrator konfiguriert, bewirken, dass Controller die Zusammensetzung ihrer Routing-Tabellen ändern und aktualisierte Informationen an Endpunkte verteilen.

Was bringt SD-WAN dem IT-Service:

1. Der Backup-Kanal ist ständig in Gebrauch (nicht im Leerlauf). Es fällt günstiger aus, da Sie sich zwei dünnere Kanäle leisten können.
2. Automatische Umschaltung des Anwendungsverkehrs zwischen Kanälen.
3. Zeitersparnis für den Administrator: Sie können das Netzwerk global entwickeln, anstatt mit Konfigurationen auf jeder Hardware herumzukriechen.
4. Die Geschwindigkeit, mit der neue Zweige entstehen. Es liegt deutlich höher.
5. Weniger Ausfallzeiten beim Austausch defekter Geräte.
6. Schnelle Neukonfiguration des Netzwerks für neue Dienste.

Was bringt SD-WAN einem Unternehmen:

1. Garantierter Betrieb von Geschäftsanwendungen in einem verteilten Netzwerk, auch über offene Internetkanäle. Es geht um geschäftliche Vorhersehbarkeit.
2. Sofortige Unterstützung für neue Geschäftsanwendungen im gesamten verteilten Netzwerk, unabhängig von der Anzahl der Niederlassungen. Es geht um die Geschwindigkeit des Geschäfts.
3. Schnelle und sichere Anbindung von Zweigstellen an beliebigen entfernten Standorten mit beliebigen Verbindungstechnologien (das Internet ist überall, Standleitungen und VPN jedoch nicht). Dabei geht es um die Flexibilität der Unternehmen bei der Standortwahl.
4. Dabei kann es sich um ein Projekt mit Lieferung und Inbetriebnahme oder auch um eine Dienstleistung handeln.
   mit monatlichen Zahlungen von einem IT-Unternehmen, Telekommunikationsanbieter oder Cloud-Betreiber. Ganz wie es für Sie bequem ist.

Die geschäftlichen Vorteile von SD-WAN können völlig unterschiedlich sein. So erzählte uns beispielsweise ein Kunde, dass ein Topmanager eine direkte Verbindung zu allen Mitarbeitern eines Multi-Millionen-Unternehmens und die Möglichkeit zur Bereitstellung von Inhalten wünschte.

Für uns war es eine „Militäroperation“. Zu dieser Zeit waren wir bereits dabei, das Problem der Modernisierung der KSPD zu lösen. Und wenn wir verstehen, dass wir die Ausrüstung grundsätzlich erneuern müssen und der Technologie-Stack Fortschritte gemacht hat, warum sollten wir dann dieselben Technologien und Dienste erneuern, wenn wir noch einen Schritt weiter gehen können?

SD-WAN wird vor Ort von Enikei installiert. Dies ist wichtig für entfernte Zweigstellen, in denen möglicherweise einfach kein normaler Administrator vorhanden ist. Schicken Sie es per Mail und sagen Sie: „Steckt Kabel 1 in Box 1, Kabel 2 in Box 2 und verwechselt sie nicht! Lasst euch nicht verwirren, #@$@%!“ Und wenn sie nichts verwechseln, verbindet sich das Gerät selbst mit dem zentralen Server, übernimmt und wendet dessen Konfigurationen an und dieses Büro wird Teil des sicheren Netzwerks des Unternehmens. Es ist schön, wenn man nicht reisen muss, und es lässt sich im Budget leicht rechtfertigen.

Und hier ist das Standdiagramm:

Einige Beispiele für Einstellungen:

Richtlinien sind die globalen Regeln zur Verwaltung des Datenverkehrs. Bearbeitungsrichtlinie.

Aktivieren Sie die Verkehrsmanagementrichtlinie.

Massenkonfiguration grundlegender Geräteparameter (IP-Adressen, DHCP-Pools).

Screenshots zur Anwendungsleistungsüberwachung

Für Cloud-Anwendungen.

Details zu Office365.

Für On-Premise-Anwendungen. Leider konnten wir an unserem Stand keine Anwendungen mit Fehlern finden (die FEC-Wiederherstellungsrate lag überall bei Null).

Darüber hinaus Leistung der Datenübertragungskanäle.

Welche Hardware wird auf SD-WAN unterstützt?

1. Hardwareplattformen:

• Cisco vEdge-Router (früher Viptela vEdge) mit dem Viptela-Betriebssystem.
• Router der Serien Integrated Services Router (ISR) 1 und 000 mit IOS XE SD-WAN.
• Aggregation Services Router (ASR) der Serie 1 mit IOS XE SD-WAN.

2. Virtuelle Plattformen:

• Cloud Services Router (CSR) 1 v mit IOS XE SD-WAN.
• vEdge Cloud Router mit Viptela OS.

Virtuelle Plattformen können auf Cisco x86-Computerplattformen wie der Enterprise Network Compute System (ENCS) 5 Series, dem Unified Computing System (UCS) und der Cloud Services Platform (CSP) 000 Series bereitgestellt werden. Virtuelle Plattformen können auch auf jedem x5-Gerät ausgeführt werden, das einen Hypervisor wie KVM oder VMware ESi verwendet.

So führen Sie ein neues Gerät ein

Die Liste der lizenzierten Geräte für die Bereitstellung wird entweder von einem Cisco Smart Account heruntergeladen oder als CSV-Datei hochgeladen. Ich werde später versuchen, weitere Screenshots zu machen, wir haben im Moment keine neuen Geräte zum Bereitstellen.

Die Abfolge der Schritte, die ein Gerät bei der Bereitstellung durchläuft.

So führen Sie eine neue Methode zur Bereitstellung von Geräten/Konfigurationen ein

Wir registrieren Geräte im Smart Account.

Sie können eine CSV-Datei hochladen oder eine nach der anderen:

Geben Sie die Geräteparameter ein:

Als Nächstes synchronisieren wir in vManage die Daten mit Smart Account. Das Gerät erscheint in der Liste:

Klicken Sie im Dropdown-Menü gegenüber dem Gerät auf Bootstrap-Konfiguration generieren
und wir erhalten die anfängliche Konfiguration:

Diese Konfiguration muss dem Gerät zugeführt werden. Am einfachsten ist es, ein Flash-Laufwerk mit einer gespeicherten Datei namens ciscosd-wan.cfg an das Gerät anzuschließen. Beim Booten sucht das Gerät nach dieser Datei.

Nachdem das Gerät die Erstkonfiguration erhalten hat, kann es den Orchestrator erreichen und von dort eine vollständige Konfiguration erhalten.

Schauen wir uns SD-Access (DNA) an

SD-Access vereinfacht das Einrichten von Ports und Zugriffsrechten für Benutzerverbindungen. Dies geschieht mit Hilfe von Assistenten. Portparameter werden in Bezug auf die Gruppen „Administratoren“, „Accounting“, „Drucker“ und nicht auf VLANs und IP-Subnetze eingestellt. Dadurch werden menschliche Fehler minimiert. Wenn ein Unternehmen beispielsweise über viele Niederlassungen in ganz Russland verfügt und die Zentrale überlastet ist, können Sie mit SD-Access mehr Probleme vor Ort lösen. Beispielsweise dieselben Aufgaben zur Fehlerbehebung.

Für die Informationssicherheit ist es wichtig, dass SD-Access eine klare Aufteilung der Benutzer und Geräte in Gruppen und die Definition von Interaktionsrichtlinien zwischen ihnen, die Autorisierung jeder Clientverbindung zum Netzwerk und die Gewährleistung von „Zugriffsrechten“ im gesamten Netzwerk voraussetzt. Wenn Sie diesem Ansatz folgen, wird die Verwaltung wesentlich einfacher.

Auch der Inbetriebnahmeprozess neuer Niederlassungen wird durch Plug-and-Play-Agenten in den Switches vereinfacht. Es besteht keine Notwendigkeit, mit einer Konsole querfeldein herumzulaufen oder überhaupt auf die Site zu gehen.

Hier sind einige Beispiele für die Einrichtung:

Allgemeiner Status.

Vorfälle, die vom Administrator überprüft werden sollten.

Automatische Empfehlungen, was in Konfigurationen geändert werden soll.

SD-WAN-Integrations-Roadmap mit SD-Access

Ich habe gehört, dass Cisco solche Pläne hat – SD-WAN und SD-Access. Dies sollte den Aufwand für die Verwaltung geografisch verteilter und lokaler KSPDs erheblich reduzieren.

vManage (SD-WAN-Orchestrator) wird über die API vom DNA Center (SD-Access-Controller) verwaltet.

Mikro- und Makrosegmentierungsrichtlinien werden wie folgt abgebildet:

Auf Paketebene sieht es folgendermaßen aus:

Wer denkt was darüber?

Wir beschäftigen uns seit 2016 mit SD-WAN in einem eigenen Labor und testen dort unterschiedliche Lösungen für die Bedürfnisse von Einzelhandel, Banken, Transport und Industrie.

Wir kommunizieren viel mit echten Kunden.

Ich kann sagen, dass der Einzelhandel SD-WAN bereits selbstbewusst testet und einige dies mit Anbietern tun (meistens mit Cisco), aber es gibt auch diejenigen, die versuchen, das Problem auf eigene Faust zu lösen: Sie schreiben ihre eigene Softwareversion, die in ihrer Funktionalität SD-WAN ähnelt.

Jeder möchte auf die eine oder andere Weise eine zentrale Verwaltung des gesamten Gerätezoos erreichen. Dies ist ein einziger Verwaltungspunkt für nicht standardmäßige Installationen und Standardinstallationen verschiedener Anbieter und verschiedener Technologien. Es ist wichtig, manuelle Arbeit zu minimieren, da dadurch erstens das Risiko menschlicher Fehler beim Einrichten der Geräte verringert wird und zweitens IT-Serviceressourcen für die Lösung anderer Probleme frei werden. Normalerweise ergibt sich das Verständnis für die Notwendigkeit aus sehr langen Erneuerungszyklen im ganzen Land. Wenn ein Einzelhändler beispielsweise Alkohol verkauft, ist für den Verkauf eine ständige Kommunikation erforderlich. Ein Update oder eine Ausfallzeit tagsüber wirkt sich direkt auf den Umsatz aus.

Jetzt haben Einzelhändler ein klares Verständnis davon, für welche Aufgaben die IT SD-WAN nutzen wird:

1. Schnelle Bereitstellung (bei LTE ist dies oft vor der Ankunft eines Kabelanbieters erforderlich, oft muss ein neuer Punkt von einem Administrator in der Stadt im Rahmen eines zivilrechtlichen Vertrags eingerichtet werden, und dann hat das Zentrum ihn einfach angesehen und konfiguriert).
2. Zentralisierte Steuerung und Kommunikation für Einrichtungen im Ausland.
3. Senkung der Telekommunikationskosten.
4. Verschiedene Zusatzdienste (DPI-Funktionen ermöglichen die priorisierte Übermittlung von Datenverkehr wichtiger Anwendungen wie beispielsweise Kassen).
5. Arbeiten Sie automatisch mit Kanälen, nicht manuell.

Und dann gibt es noch die Konformitätsprüfung – alle reden viel darüber, aber niemand nimmt sie als Problem wahr. Auch die Behauptung, dass alles richtig funktioniert, funktioniert in diesem Paradigma gut. Viele glauben, dass sich der gesamte Markt für Netzwerktechnologie in diese Richtung bewegen wird.

Banken testen SD-WAN meiner Meinung nach derzeit eher als neues technologisches Feature. Sie warten auf das Ende des Supports für frühere Gerätegenerationen und nehmen erst dann eine Umstellung vor. Banken haben im Allgemeinen eine eigene, besondere Atmosphäre in Bezug auf die Kommunikationskanäle, sodass sie der aktuelle Zustand der Branche nicht sonderlich stört. Die Probleme liegen eher auf anderen Ebenen.

Anders als auf dem russischen Markt wird SD-WAN in Europa aktiv implementiert. Ihre Kommunikationskanäle sind teurer, und deshalb bringen europäische Unternehmen ihre Ressourcen in die russischen Niederlassungen ein. In Russland herrscht eine gewisse Stabilität, da die Kosten der Kanäle (selbst wenn die regionalen Sender 25-mal teurer sind als das Zentrum) ganz normal erscheinen und keine Fragen aufwerfen. Von Jahr zu Jahr wird ein Budget für die Kommunikationskanäle ohne Vorbehalt reserviert.

Hier ist ein Beispiel aus der weltweiten Praxis, bei dem ein Unternehmen dank SD-WAN auf Cisco Zeit und Geld gespart hat.

Es gibt ein solches Unternehmen: National Instruments. Irgendwann wurde ihnen klar, dass das globale Computernetzwerk, das durch die Zusammenlegung von 88 Standorten auf der ganzen Welt „erhalten“ worden war, ineffektiv war. Darüber hinaus fehlte es dem Unternehmen an Kapazität und Leistungsfähigkeit in der Warmwasserversorgung. Es gab kein Gleichgewicht zwischen dem kontinuierlichen Wachstum des Unternehmens und dem begrenzten IT-Budget.

Mithilfe von SD-WAN konnte National Instruments die MPLS-Kosten um 25 % senken (Einsparungen von 450 US-Dollar im Jahr 2018) und gleichzeitig die Bandbreite um 3 % erhöhen.

Mit SD-WAN verfügt das Unternehmen jetzt über ein intelligentes softwaredefiniertes Netzwerk und eine zentrale Richtlinienverwaltung zur automatischen Optimierung des Datenverkehrs und der Anwendungsleistung. hier — detaillierter Fall.

Hier ein völlig verrückter Fall des Umzugs von S7 in ein anderes Büro, bei dem zunächst alles schwierig, aber interessant begann – 1,5 Tausend Ports mussten erneuert werden. Doch dann ging etwas schief und die Admins waren die Letzten vor Ablauf der Frist, auf deren Schultern die gesamte Verzögerung lastete.

Lesen Sie mehr auf Englisch:

• American Banker: Fifth Third investiert in 5-jähriges Netzwerk-Upgrade mit SD-WAN .
• Erfolgreicher Aufbau eines Cloud-SD-WAN bei Koch.
• McKessons SD-WAN-Reise zu Kosteneinsparungen .
• SD-WAN Retail PoC & Segmentierung: Gap Stores.
• und hier Cisco Global Research zu Netzwerktrends in der Welt.

Auf Russisch:

• Auf CNews.
• Wie wir SD-Access implementiert haben und warum es notwendig war.
• Netzwerkstruktur für das Cisco ACI-Rechenzentrum – zur Unterstützung des Administrators.
• Robuster Kanal basierend auf Software-Defined Networks SD-WAN: Lösung von Routenauswahlproblemen.
• Meine E-Mail-Adresse für alle Fragen oder wenn Sie Ihre Aufgaben an unserem Stand testen möchten, lautet mkazakov@croc.ru.

Source: habr.com