SD-WAN und DNA zur Unterstützung des Administrators: Architekturfunktionen und -praxis

Ein Stand, den Sie bei Bedarf in unserem Labor anfassen können.

SD-WAN und SD-Access sind zwei verschiedene neue proprietäre Ansätze zum Aufbau von Netzwerken. In Zukunft sollten sie zu einem Overlay-Netzwerk verschmelzen, aber im Moment kommen sie sich nur sehr nahe. Die Logik ist folgende: Wir nehmen ein Netzwerk aus den 1990er Jahren und führen alle notwendigen Patches und Funktionen darauf ein, ohne darauf zu warten, dass es in weiteren 10 Jahren zu einem neuen offenen Standard wird.

SD-WAN ist ein SDN-Patch für verteilte Unternehmensnetzwerke. Der Transport ist getrennt, die Steuerung ist getrennt, daher wird die Steuerung vereinfacht.

Vorteile: Alle Kommunikationskanäle werden aktiv genutzt, einschließlich des Backup-Kanals. Es gibt eine Weiterleitung von Paketen an Anwendungen: was, über welchen Kanal und mit welcher Priorität. Ein vereinfachtes Verfahren zum Bereitstellen neuer Punkte: Anstatt eine Konfiguration auszurollen, geben Sie einfach die Adresse des Cisco-Servers im großen Internet, des CROC-Rechenzentrums oder des Kunden an, von dem die Konfigurationen speziell für Ihr Netzwerk stammen.

SD-Access (DNA) ist die Automatisierung der lokalen Netzwerkverwaltung: Konfiguration von einem Punkt aus, Assistenten, praktische Schnittstellen. Tatsächlich wird ein weiteres Netzwerk mit einem anderen Transport auf Protokollebene über Ihrem Netzwerk aufgebaut und die Kompatibilität mit älteren Netzwerken wird an den Perimetergrenzen sichergestellt.

Auch hierauf gehen wir weiter unten ein.

Nun einige Demonstrationen auf Prüfständen in unserem Labor, wie es aussieht und funktioniert.

Beginnen wir mit SD-WAN. Haupteigenschaften:

• Vereinfachung der Bereitstellung neuer Punkte (ZTP) – es wird davon ausgegangen, dass Sie den Punkt irgendwie mit der Serveradresse mit Einstellungen versorgen. Der Punkt klopft darauf, empfängt die Konfiguration, rollt sie hoch und wird in Ihr Control Panel übernommen. Dies gewährleistet Zero-Touch Provisioning (ZTP). Um einen Endpunkt bereitzustellen, muss ein Netzwerktechniker nicht zum Standort reisen. Die Hauptsache ist, das Gerät vor Ort richtig einzuschalten und alle Kabel daran anzuschließen, dann verbindet sich das Gerät automatisch mit dem System. Sie können Konfigurationen über DNS-Abfragen in der Cloud des Anbieters von einem angeschlossenen USB-Laufwerk herunterladen oder einen Hyperlink von einem Laptop aus öffnen, der über WLAN oder Ethernet mit dem Gerät verbunden ist.
• Vereinfachung der routinemäßigen Netzwerkadministration – Konfiguration aus Vorlagen, globale Richtlinien, zentral konfiguriert für mindestens fünf Filialen, mindestens 5. Alles aus einer Hand. Um eine lange Anfahrt zu vermeiden, gibt es eine sehr praktische Möglichkeit, automatisch zur vorherigen Konfiguration zurückzukehren.
• Verkehrsmanagement auf Anwendungsebene – Gewährleistung von Qualität und kontinuierlichen Aktualisierungen der Anwendungssignaturen. Richtlinien werden zentral konfiguriert und ausgerollt (es ist nicht wie bisher erforderlich, Routenkarten für jeden Router zu schreiben und zu aktualisieren). Sie können sehen, wer was, wohin und was sendet.
• Netzwerksegmentierung. Unabhängige, isolierte VPNs über der gesamten Infrastruktur – jedes mit eigenem Routing. Standardmäßig ist der Verkehr zwischen ihnen geschlossen; Sie können den Zugriff nur für verständliche Verkehrsarten in verständlichen Netzwerkknoten öffnen, indem Sie beispielsweise alles durch eine große Firewall oder einen Proxy leiten.
• Sichtbarkeit des Netzwerkqualitätsverlaufs – wie Anwendungen und Kanäle funktionierten. Sehr nützlich, um die Situation zu analysieren und zu korrigieren, noch bevor Benutzer Beschwerden über den instabilen Betrieb von Anwendungen erhalten.
• Sichtbarkeit über alle Kanäle hinweg – sind sie ihr Geld wert, kommen tatsächlich zwei verschiedene Betreiber auf Ihre Website oder nutzen sie tatsächlich dasselbe Netzwerk und verschlechtern/fallen gleichzeitig?
• Sichtbarkeit für Cloud-Anwendungen und darauf basierende Steuerung des Datenverkehrs über bestimmte Kanäle (Cloud Onramp).
• Eine Hardware enthält einen Router und eine Firewall (genauer NGFW). Weniger Hardware bedeutet, dass die Eröffnung einer neuen Filiale günstiger ist.

Komponenten und Architektur von SD-WAN-Lösungen

Endgeräte sind WAN-Router, die hardwaremäßig oder virtuell sein können.

Orchestratoren sind ein Netzwerkverwaltungstool. Sie werden mit Endgeräteparametern, Traffic-Routing-Richtlinien und Sicherheitsfunktionen konfiguriert. Die resultierenden Konfigurationen werden automatisch über das Kontrollnetzwerk an die Knoten gesendet. Parallel dazu lauscht der Orchestrator dem Netzwerk und überwacht die Verfügbarkeit von Geräten, Ports, Kommunikationskanälen und Schnittstellenauslastung.

Analysetools. Sie erstellen Berichte auf der Grundlage der von Endgeräten gesammelten Daten: Verlauf der Qualität von Kanälen, Netzwerkanwendungen, Knotenverfügbarkeit usw.

Controller sind für die Anwendung von Traffic-Routing-Richtlinien auf das Netzwerk verantwortlich. Ihr nächstgelegenes Analogon in traditionellen Netzwerken kann als BGP Route Reflector betrachtet werden. Globale Richtlinien, die der Administrator im Orchestrator konfiguriert, veranlassen Controller, die Zusammensetzung ihrer Routing-Tabellen zu ändern und aktualisierte Informationen an Endgeräte zu senden.

Was erhält der IT-Service von SD-WAN:

1. Der Backup-Kanal ist ständig in Gebrauch (nicht im Leerlauf). Es fällt günstiger aus, weil man sich zwei weniger dicke Kanäle leisten kann.
2. Automatische Umschaltung des Anwendungsverkehrs zwischen Kanälen.
3. Administratorzeit: Sie können das Netzwerk global entwickeln, anstatt jedes einzelne Hardwareteil mit Konfigurationen durchforsten zu müssen.
4. Geschwindigkeit beim Aufbau neuer Zweige. Sie ist viel größer.
5. Weniger Ausfallzeiten beim Austausch defekter Geräte.
6. Konfigurieren Sie das Netzwerk schnell für neue Dienste neu.

Was ein Unternehmen von SD-WAN erhält:

1. Garantierter Betrieb von Geschäftsanwendungen in einem verteilten Netzwerk, auch über offene Internetkanäle. Es geht um geschäftliche Vorhersehbarkeit.
2. Sofortiger Support für neue Geschäftsanwendungen im gesamten verteilten Netzwerk, unabhängig von der Anzahl der Niederlassungen. Es geht um die Geschäftsgeschwindigkeit.
3. Schnelle und sichere Verbindung von Filialen an beliebigen entfernten Standorten mit beliebigen Verbindungstechnologien (das Internet ist überall, Mietleitungen und VPN jedoch nicht). Dabei geht es um unternehmerische Flexibilität bei der Standortwahl.
4. Dabei kann es sich um ein Projekt mit Lieferung und Inbetriebnahme oder um eine Dienstleistung handeln
   mit monatlichen Zahlungen von einem IT-Unternehmen, Telekommunikationsanbieter oder Cloud-Betreiber. Was auch immer für Sie am bequemsten ist.

Die geschäftlichen Vorteile von SD-WAN können völlig unterschiedlich sein. Ein Kunde erzählte uns beispielsweise, dass ein Top-Manager eine Anfrage nach einer direkten Verbindung mit allen Mitarbeitern eines Multitausend-Unternehmens und der Möglichkeit zur Bereitstellung von Inhalten erhalten habe.

Für uns war es eine „Militäroperation“. Zu diesem Zeitpunkt waren wir bereits dabei, das Problem der Modernisierung des CSPD zu lösen. Und wenn wir verstehen, dass wir im Prinzip die Ausrüstung erneuern müssen und der Technologie-Stack sich weiterentwickelt hat, warum müssen wir dann dieselben Technologien und Dienste erneuern, wenn wir noch weiter gehen können?

SD-WAN wird vor Ort von Enikey installiert. Dies ist wichtig für entfernte Zweigstellen, in denen möglicherweise einfach kein normaler Administrator vorhanden ist. Senden Sie es per Post und sagen Sie: „Stecken Sie Kabel 1 in Box 1, Kabel 2 in Box 2 und verwechseln Sie es nicht!“ Lass dich nicht verwirren, #@$@%!“ Und wenn sie es nicht verwechseln, kommuniziert das Gerät selbst mit dem zentralen Server, greift seine Konfigurationen auf und wendet sie an, und dieses Büro wird Teil des sicheren Netzwerks des Unternehmens. Es ist schön, wenn Sie nicht reisen müssen und es in Ihrem Budget leicht zu rechtfertigen ist.

Hier ist ein Diagramm des Standes:

Einige Konfigurationsbeispiele:

Richtlinie – globale Regeln für die Verkehrsverwaltung. Bearbeiten einer Richtlinie.

Aktivieren Sie die Verkehrskontrollrichtlinie.

Massenkonfiguration grundlegender Geräteparameter (IP-Adressen, DHCP-Pools).

Screenshots der Anwendungsleistungsüberwachung

Für Cloud-Anwendungen.

Details zu Office365.

Für On-Prem-Anwendungen. Leider konnten wir an unserem Stand keine Anwendungen mit Fehlern finden (die FEC-Recovery-Rate liegt überall bei Null).

Zusätzlich - Leistung der Datenübertragungskanäle.

Welche Hardware wird auf SD-WAN unterstützt?

1. Hardwareplattformen:

• Cisco vEdge-Router (ehemals Viptela vEdge) mit Viptela OS.
• Integrierte Services-Router (ISRs) der Serien 1 und 000 mit IOS XE SD-WAN.
• Aggregation Services Router (ASR) 1-Serie mit IOS XE SD-WAN.

2. Virtuelle Plattformen:

• Cloud Services Router (CSR) 1 V mit IOS XE SD-WAN.
• vEdge Cloud Router mit Viptela OS.

Virtuelle Plattformen können auf Cisco x86-Computing-Plattformen wie der Enterprise Network Compute System (ENCS) 5-Serie, dem Unified Computing System (UCS) und der Cloud Services Platform (CSP) 000-Serie bereitgestellt werden. Virtuelle Plattformen können auch auf jedem x5-Gerät ausgeführt werden das die Verwendung eines Hypervisors wie KVM oder VMware ESi unterstützt.

Wie ein neues Gerät anrollt

Die Liste der lizenzierten Geräte für die Bereitstellung wird entweder von einem Cisco Smart Account heruntergeladen oder als CSV-Datei hochgeladen. Ich werde später versuchen, weitere Screenshots zu machen, im Moment haben wir keine neuen Geräte zum Einsatz.

Die Abfolge der Schritte, die ein Gerät bei der Bereitstellung durchläuft.

Wie eine neue Geräte-/Konfigurationsbereitstellungsmethode eingeführt wird

Wir fügen Geräte zum Smart Account hinzu.

Sie können eine CSV-Datei oder eine nach der anderen herunterladen:

Geben Sie die Geräteparameter ein:

Als nächstes synchronisieren wir in vManage die Daten mit dem Smart Account. Das Gerät erscheint in der Liste:

Klicken Sie im Dropdown-Menü gegenüber dem Gerät auf Bootstrap-Konfiguration generieren
und holen Sie sich die Erstkonfiguration:

Diese Konfiguration muss dem Gerät zugeführt werden. Am einfachsten ist es, ein Flash-Laufwerk mit einer gespeicherten Datei namens ciscosd-wan.cfg an das Gerät anzuschließen. Beim Booten sucht das Gerät nach dieser Datei.

Nach Erhalt der Erstkonfiguration kann das Gerät den Orchestrator erreichen und von dort eine vollständige Konfiguration erhalten.

Wir betrachten SD-Access (DNA)

SD-Access erleichtert die Konfiguration von Ports und Zugriffsrechten für verbindende Benutzer. Dies erfolgt über Assistenten. Portparameter werden in Bezug auf die Gruppen „Administratoren“, „Buchhaltung“ und „Drucker“ festgelegt und nicht auf VLANs und IP-Subnetze. Dadurch werden menschliche Fehler minimiert. Wenn ein Unternehmen beispielsweise viele Niederlassungen in ganz Russland hat, die Zentrale jedoch überlastet ist, können Sie mit SD-Access mehr Probleme vor Ort lösen. Zum Beispiel die gleichen Probleme bei der Fehlerbehebung.

Für die Informationssicherheit ist es wichtig, dass SD-Access eine klare Aufteilung von Benutzern und Geräten in Gruppen und die Definition von Interaktionsrichtlinien zwischen ihnen, die Autorisierung für jede Client-Verbindung zum Netzwerk und die Bereitstellung von „Zugriffsrechten“ im gesamten Netzwerk umfasst. Wenn Sie diesem Ansatz folgen, wird die Verwaltung viel einfacher.

Auch der Inbetriebnahmeprozess für neue Büros wird durch Plug-and-Play-Agenten in den Switches vereinfacht. Es ist nicht nötig, mit einer Konsole quer durchs Land zu laufen oder überhaupt auf die Baustelle zu gehen.

Hier sind Konfigurationsbeispiele:

Allgemeiner Status.

Vorfälle, die ein Administrator überprüfen sollte.

Automatische Empfehlungen, was in den Konfigurationen geändert werden sollte.

Planen Sie die Integration von SD-WAN mit SD-Access

Ich habe gehört, dass Cisco solche Pläne hat – SD-WAN und SD-Access. Dies sollte Hämorrhoiden bei der Behandlung geografisch verteilter und lokaler CSPDs deutlich reduzieren.

vManage (SD-WAN Orchestrator) wird über die API von DNA Center (SD-Access Controller) verwaltet.

Mikro- und Makrosegmentierungsrichtlinien werden wie folgt abgebildet:

Auf Paketebene sieht alles so aus:

Wer denkt darüber nach und was?

Seit 2016 arbeiten wir in einem eigenen Labor an SD-WAN und testen dort verschiedene Lösungen für die Bedürfnisse von Handel, Banken, Transport und Industrie.

Wir kommunizieren viel mit echten Kunden.

Ich kann sagen, dass der Einzelhandel SD-WAN bereits selbstbewusst testet, und einige tun dies mit Anbietern (am häufigsten mit Cisco), aber es gibt auch diejenigen, die versuchen, das Problem selbst zu lösen: Sie schreiben ihre eigene Version von Software, deren Funktionalität SD-WAN ähnelt.

Jeder möchte auf die eine oder andere Weise eine zentrale Verwaltung des gesamten Geräteparks erreichen. Dies ist ein Verwaltungspunkt für nicht standardmäßige Installationen und Standardinstallationen für verschiedene Anbieter und verschiedene Technologien. Es ist wichtig, die manuelle Arbeit zu minimieren, da dadurch erstens das Risiko des menschlichen Faktors beim Einrichten der Geräte verringert wird und zweitens die Ressourcen des IT-Dienstes für die Lösung anderer Probleme frei werden. In der Regel wird der Bedarf durch sehr lange Erneuerungszyklen im ganzen Land erkannt. Und wenn ein Einzelhändler beispielsweise Alkohol verkauft, ist für den Verkauf eine ständige Kommunikation erforderlich. Aktualisierungen oder Ausfallzeiten während des Tages wirken sich direkt auf den Umsatz aus.

Jetzt gibt es im Einzelhandel klare Vorstellungen davon, welche IT-Aufgaben SD-WAN nutzen werden:

1. Schnelle Bereitstellung (oft bei LTE erforderlich, bevor der Kabelanbieter eintrifft, oft ist es notwendig, dass der neue Punkt vom Administrator in der Stadt per GPC eingerichtet wird und das Zentrum dann einfach sucht und konfiguriert).
2. Zentralisierte Verwaltung, Kommunikation für Fremdkörper.
3. Reduzierung der Telekommunikationskosten.
4. Verschiedene Zusatzdienste (DPI-Funktionen ermöglichen die Priorisierung der Bereitstellung von Datenverkehr aus wichtigen Anwendungen wie Registrierkassen).
5. Arbeiten Sie automatisch mit Kanälen, nicht manuell.

Und es gibt auch einen Compliance-Check – alle reden viel darüber, aber niemand nimmt es als Problem wahr. Die Aufrechterhaltung, dass alles korrekt funktioniert, funktioniert in diesem Paradigma auch gut. Viele glauben, dass sich der gesamte Netzwerktechnologiemarkt in diese Richtung entwickeln wird.

Meiner Meinung nach testen Banken derzeit SD-WAN eher als neues technologisches Feature. Sie warten auf das Ende des Supports für frühere Gerätegenerationen und erst dann werden sie sich ändern. Generell herrscht bei Banken über Kommunikationskanäle eine ganz eigene Atmosphäre, sodass sie die aktuelle Lage der Branche nicht sonderlich stört. Die Probleme liegen vielmehr auf anderen Ebenen.

Im Gegensatz zum russischen Markt wird SD-WAN in Europa aktiv umgesetzt. Ihre Kommunikationskanäle sind teurer, und deshalb bringen europäische Unternehmen ihren Stack in russische Abteilungen. In Russland herrscht eine gewisse Stabilität, denn die Kosten für Sender (auch wenn die Region 25-mal teurer ist als das Zentrum) sehen ganz normal aus und werfen keine Fragen auf. Von Jahr zu Jahr gibt es ein bedingungsloses Budget für Kommunikationskanäle.

Hier ist ein Beispiel aus der weltweiten Praxis, als ein Unternehmen durch den Einsatz von SD-WAN auf Cisco Zeit und Geld sparte.

Es gibt so ein Unternehmen – National Instruments. Ab einem bestimmten Punkt begannen sie zu verstehen, dass das globale Computernetzwerk, das durch die Kombination von 88 Standorten auf der ganzen Welt „erhalten“ wurde, wirkungslos war. Darüber hinaus mangelte es dem Unternehmen an der Kapazität und Leistung seiner Warmwasserversorgung. Es gab kein Gleichgewicht zwischen dem kontinuierlichen Wachstum des Unternehmens und dem begrenzten IT-Budget.

Mithilfe von SD-WAN konnte National Instruments die MPLS-Kosten um 25 % senken (Einsparung von 450 US-Dollar Ende 2018) und die Bandbreite um 3 % erweitern.

Durch die Implementierung von SD-WAN erhielt das Unternehmen ein intelligentes softwaredefiniertes Netzwerk und eine zentrale Richtlinienverwaltung, um den Datenverkehr und die Anwendungsleistung automatisch zu optimieren. hier - detaillierter Fall.

Hier Ein absolut verrückter Fall des Umzugs einer S7 in ein anderes Büro, bei dem zunächst alles schwierig, aber interessant begann - es mussten 1,5 Tausend Ports neu erstellt werden. Doch dann ging etwas schief und in der Folge waren die Admins die Letzten vor Ablauf der Frist, auf die alle angehäuften Verzögerungen lasteten.

Lesen Sie mehr auf Englisch:

• American Banker: Fifth Third investiert in ein 5-jähriges Netzwerk-Upgrade mit SD-WAN .
• Aufbau von Cloud SD-WAN-Erfolg bei Koch.
• McKessons SD-WAN-Reise zu Kosteneinsparungen .
• SD-WAN Retail PoC und Segmentierung: Gap Stores.
• und hier Globale Studie von Cisco über Netzwerktrends in der Welt.

Auf Russisch:

• Auf CNews.
• Wie wir SD-Access implementiert haben und warum es benötigt wurde.
• Netzwerkstruktur für das Cisco ACI-Rechenzentrum – zur Unterstützung des Administrators.
• Stabiler Kanal basierend auf softwaredefinierten SD-WAN-Netzwerken: Lösung von Routenauswahlproblemen.
• Meine E-Mail, wenn Sie Fragen haben oder Ihre Aufgaben an unserem Stand testen möchten, - [E-Mail geschützt] .

Source: habr.com