SD-WAN kaj DNA por helpi la administranton: arkitekturaj funkcioj kaj praktiko

Stando, kiun vi povas tuŝi en nia laboratorio, se vi volas.

SD-WAN kaj SD-Aliro estas du malsamaj novaj proprietaj aliroj por konstrui retojn. En la estonteco, ili devus kunfandiĝi en unu tegmentan reton, sed nuntempe ili nur proksimiĝas. La logiko estas jena: ni prenas reton de la 1990-aj jaroj kaj elvolvas ĉiujn necesajn flikaĵojn kaj funkciojn sur ĝin, sen atendi ke ĝi fariĝos nova malferma normo post pliaj 10 jaroj.

SD-WAN estas SDN-peceto al distribuitaj entreprenaj retoj. Transporto estas aparta, kontrolo estas aparta, do kontrolo estas simpligita.

Avantaĝoj - ĉiuj komunikadkanaloj estas aktive uzataj, inkluzive de la rezerva. Estas vojigo de pakoj al aplikoj: kio, tra kiu kanalo kaj kun kia prioritato. Simpligita proceduro por disfaldi novajn punktojn: anstataŭ lanĉi agordon, simple specifu la adreson de la Cisco-servilo en la granda Interreto, la CROC-datumcentro aŭ la kliento, de kie la agordoj specife por via reto estas prenitaj.

SD-Access (DNA) estas aŭtomatigo de administrado de loka reto: agordo de unu punkto, sorĉistoj, oportunaj interfacoj. Fakte, alia reto estas konstruita kun malsama transporto ĉe la protokola nivelo super la via, kaj kongruo kun pli malnovaj retoj estas certigita ĉe la perimetraj limoj.

Ni ankaŭ traktos ĉi tion ĉi sube.

Nun kelkaj pruvoj sur testbenkoj en nia laboratorio, kiel ĝi aspektas kaj funkcias.

Ni komencu per SD-WAN. Ĉefaj trajtoj:

• Simpligo de disvastigo de novaj punktoj (ZTP) - oni supozas, ke vi iel nutras la punkton per la servila adreso per agordoj. La punkto frapas sur ĝi, ricevas la agordon, ruliĝas ĝin kaj estas inkluzivita en via kontrolpanelo. Ĉi tio certigas Zero-Touch Provisioning (ZTP). Por deploji finpunkton, retinĝeniero ne bezonas vojaĝi al la retejo. La ĉefa afero estas ŝalti la aparaton ĝuste surloke kaj konekti ĉiujn kablojn al ĝi, tiam la ekipaĵo aŭtomate konektos al la sistemo. Vi povas elŝuti agordojn per DNS-demandoj en la nubo de la vendisto de konektita USB-disko, aŭ vi povas malfermi hiperligilon de tekokomputilo konektita al la aparato per Wi-Fi aŭ Ethernet.
• Simpligo de rutina retadministrado - agordo el ŝablonoj, tutmondaj politikoj, centre agordita por almenaŭ kvin branĉoj, almenaŭ 5 000. Ĉio el unu loko. Por eviti longan vojaĝon, estas tre oportuna opcio por aŭtomate reveni al la antaŭa agordo.
• Apliknivela trafikadministrado - certigante kvaliton kaj kontinuajn aplikaĵajn subskribajn ĝisdatigojn. Politikoj estas agorditaj kaj lanĉitaj centre (ne necesas skribi kaj ĝisdatigi itinermapojn por ĉiu enkursigilo, kiel antaŭe). Vi povas vidi kiu sendas kion, kien kaj kion.
• Reta segmentigo. Sendependaj izolitaj VPN-oj aldone al la tuta infrastrukturo - ĉiu kun sia propra vojigo. Defaŭlte, trafiko inter ili estas fermita; vi povas malfermi aliron nur al kompreneblaj specoj de trafiko en kompreneblaj retaj nodoj, ekzemple, pasante ĉion tra granda fajroŝirmilo aŭ prokurilo.
• Videbleco de la reto-kvalita historio - kiel aplikoj kaj kanaloj funkciis. Tre utila por analizi kaj korekti la situacion eĉ antaŭ ol uzantoj komencas ricevi plendojn pri la malstabila funkciado de aplikaĵoj.
• Videbleco trans kanaloj - ĉu ili valoras la monon, ĉu du malsamaj funkciigistoj efektive venas al via retejo, aŭ ĉu ili efektive trairas la saman reton kaj degradas/falas samtempe.
• Videbleco por nubaj aplikoj kaj stirado de trafiko tra iuj kanaloj bazitaj sur ĝi (Cloud Onramp).
• Unu aparataro enhavas enkursigilon kaj fajroŝirmilon (pli precize, NGFW). Malpli da aparataro signifas, ke estas pli malmultekosta malfermi novan branĉon.

Komponentoj kaj arkitekturo de SD-WAN-solvoj

Finaj aparatoj estas WAN-enkursigiloj, kiuj povas esti aparataro aŭ virtualaj.

Orkestrantoj estas reto-administra ilo. Ili estas agorditaj kun finaj aparato-parametroj, trafikvojaj politikoj kaj sekureca funkcio. La rezultaj agordoj estas senditaj aŭtomate tra la kontrolreto al la nodoj. Paralele, la orkestro aŭskultas la reton kaj kontrolas la haveblecon de aparatoj, havenoj, komunikadkanaloj kaj interfaco-ŝarĝado.

Analizaj iloj. Ili faras raportojn bazitajn sur datumoj kolektitaj de finaj aparatoj: historio de la kvalito de kanaloj, retaj aplikoj, noda havebleco, ktp.

Regiloj respondecas pri aplikado de trafikvojaj politikoj al la reto. Ilia plej proksima analogo en tradiciaj retoj povas esti konsiderita BGP Route Reflector. Tutmondaj politikoj, kiujn la administranto agordas en la orkestranto, igas regilojn ŝanĝi la konsiston de siaj vojtabloj kaj sendi ĝisdatigitajn informojn al finaj aparatoj.

Kion la IT-servo ricevas de SD-WAN:

1. La rezerva kanalo estas konstante uzata (ne senmova). Ĝi rezultas pli malmultekosta ĉar vi povas pagi du malpli dikaj kanaloj.
2. Aŭtomata ŝanĝado de aplika trafiko inter kanaloj.
3. Administra tempo: vi povas disvolvi la reton tutmonde, anstataŭ rampi tra ĉiu aparataro kun agordoj.
4. Rapido kreskigi novajn branĉojn. Ŝi estas multe pli alta.
5. Malpli malfunkcio dum anstataŭigado de morta ekipaĵo.
6. Rapide reagordu la reton por novaj servoj.

Kion komerco ricevas de SD-WAN:

1. Garantiita funkciado de komercaj aplikoj en distribuita reto, inkluzive per malfermaj interretaj kanaloj. Temas pri komerca antaŭvidebleco.
2. Tuja subteno por novaj komercaj aplikoj tra la tuta distribuita reto, sendepende de la nombro da branĉoj. Temas pri komerca rapideco.
3. Rapida kaj sekura konekto de branĉoj en iuj malproksimaj lokoj uzante ajnajn konektajn teknologiojn (Interreto estas ĉie, sed luitaj linioj kaj VPN ne). Ĉi tio temas pri komerca fleksebleco en elekto de loko.
4. Ĉi tio povus esti projekto kun livero kaj komisiado, aŭ ĝi povus esti servo
   kun monataj pagoj de IT-kompanio, teleentreprenisto aŭ nubfunkciigisto. Kiu ajn estas oportuna por vi.

La komercaj avantaĝoj de SD-WAN povas esti tute malsamaj, ekzemple, unu kliento diris al ni, ke supera administranto ricevis peton pri rekta linio kun ĉiuj dungitoj de multmilfirmao kaj la kapablon liveri enhavon.

Por ni ĝi estis "armea operacio". En tiu momento, ni jam solvis la problemon de modernigo de la CSPD. Kaj kiam ni komprenas, ke ni, principe, devas okupiĝi pri renovigo de ekipaĵoj, kaj la teknologia stako antaŭeniris, kial ni okupiĝu pri renovigo de la samaj teknologioj kaj servoj, se ni povas fari paŝon plu.

SD-WAN estas instalita surloke de Enikey. Ĉi tio gravas por foraj branĉoj, kie eble simple ne estas normala administranto. Sendu poŝte, diru: "Enŝovu kablon 1 en keston 1, kablon 2 en keston 2, kaj ne miksu ĝin! Ne konfuziĝu, #@$@%!” Kaj se ili ne miksas ĝin, la aparato mem komunikas kun la centra servilo, prenas kaj aplikas ĝiajn agordojn, kaj ĉi tiu oficejo fariĝas parto de la sekura reto de la kompanio. Estas agrable kiam vi ne devas vojaĝi kaj estas facile pravigi en via buĝeto.

Jen diagramo de la stando:

Kelkaj agordaj ekzemploj:

Politiko - tutmondaj reguloj por administri trafikon. Redaktado de politiko.

Aktivigu trafikkontrolan politikon.

Amasa agordo de bazaj aparato-parametroj (IP-adresoj, DHCP-grupoj).

Ekrankopioj de aplikaĵa agado-monitorado

Por nubaj aplikoj.

Detaloj por Office365.

Por surlokaj aplikoj. Bedaŭrinde, ni ne povis trovi aplikaĵojn kun eraroj ĉe nia stando (FEC Recovery rate estas nulo ĉie).

Aldone - agado de kanaloj de transdono de datumoj.

Kia aparataro estas subtenata sur SD-WAN

1. Aparataj platformoj:

• Cisco vEdge-enkursigiloj (antaŭe Viptela vEdge) kurantaj Viptela OS.
• 1 kaj 000 serioj Integrated Services Routers (ISR) kurantaj IOS XE SD-WAN.
• Agregation Services Router (ASR) 1 serio kurante IOS XE SD-WAN.

2. Virtualaj platformoj:

• Cloud Services Router (CSR) 1v funkcianta IOS XE SD-WAN.
• vEdge Cloud Router funkcianta Viptela OS.

Virtualaj platformoj povas esti deplojitaj sur Cisco x86 komputikplatformoj, kiel ekzemple la Enterprise Network Compute System (ENCS) 5 serio, Unified Computing System (UCS), kaj Cloud Services Platform (CSP) 000 serioj. Virtualaj platformoj ankaŭ povas funkcii per iu ajn x5-aparato uzante hiperviziilon kiel KVM aŭ VMware ESi.

Kiel nova aparato ruliĝas

La listo de aprobitaj aparatoj por deplojo estas elŝutita aŭ el Cisco-inteligenta konto aŭ alŝutita kiel CSV-dosiero. Mi provos akiri pli da ekrankopioj poste, nun ni ne havas novajn aparatojn por disfaldi.

La sekvenco de paŝoj kiujn aparato trairas kiam deplojita.

Kiel nova aparato/agorda livera metodo estas lanĉita

Ni aldonas aparatojn al Smart Account.

Vi povas elŝuti CSV-dosieron, aŭ vi povas elŝuti unu samtempe:

Plenigu la aparatojn parametrojn:

Poste, en vManage ni sinkronigas la datumojn kun la Inteligenta Konto. La aparato aperas en la listo:

En la falmenuo kontraŭ la aparato, alklaku Generu Bootstrap-Agordon
kaj ricevu la komencan agordon:

Ĉi tiu agordo devas esti provizita al la aparato. La plej facila maniero estas konekti flash drive kun konservita dosiero nomita ciscosd-wan.cfg al la aparato. Dum ekŝargo, la aparato serĉos ĉi tiun dosieron.

Ricevinte la komencan agordon, la aparato povos atingi la orkestron kaj ricevi plenan agordon de tie.

Ni rigardas SD-Aliro (DNA)

SD-Aliro faciligas agordi havenojn kaj alirrajtojn por konekti uzantojn. Ĉi tio estas farita per sorĉistoj. Havenaj parametroj estas fiksitaj rilate al la grupoj "Administrantoj", "Kontado", "Presiloj", kaj ne al VLANoj kaj IP-subretoj. Ĉi tio minimumigas homajn erarojn. Se, ekzemple, firmao havas multajn filiojn tra Rusio, sed la centra oficejo estas troŝarĝita, tiam SD-Access permesas vin solvi pli da problemoj loke. Ekzemple, la samaj problemoj pri solvo de problemoj.

Por informa sekureco, gravas, ke SD-Aliro implikas klaran dividon de uzantoj kaj aparatoj en grupojn kaj la difinon de interagaj politikoj inter ili, rajtigon por ajna klienta konekto al la reto, kaj disponigon de "alirrajtoj" tra la reto. Se vi sekvas ĉi tiun aliron, administrado fariĝas multe pli facila.

La ekprocezo por novaj oficejoj ankaŭ estas simpligita danke al Plug-and-Play agentoj en la ŝaltiloj. Ne necesas trakuri transteren per konzolo, aŭ eĉ iri al la retejo entute.

Jen ekzemploj de agordo:

Ĝenerala statuso.

Okazaĵoj kiujn administranto devus revizii.

Aŭtomataj rekomendoj pri tio, kion ŝanĝi en agordoj.

Planu por integri SD-WAN kun SD-Aliro

Mi aŭdis, ke Cisco havas tiajn planojn - SD-WAN kaj SD-Access. Ĉi tio devus signife redukti hemoroidojn dum administrado de geografie distribuitaj kaj lokaj CSPD-oj.

vManage (SD-WAN-orkestro) estas administrita per API de DNA-Centro (SD-Aliro-regilo).

Mikro- kaj makro-segmentaj politikoj estas mapitaj jene:

Sur la pakaĵnivelo, ĉio aspektas jene:

Kiu pensas pri tio kaj kio?

Ni laboras pri SD-WAN ekde 2016 en aparta laboratorio, kie ni testas malsamajn solvojn por la bezonoj de podetala komerco, bankoj, transporto kaj industrio.

Ni multe komunikas kun realaj klientoj.

Mi povas diri, ke podetala komerco jam memfide testas SD-WAN, kaj iuj faras tion kun vendistoj (plej ofte kun Cisco), sed ankaŭ estas tiuj, kiuj provas solvi la problemon memstare: ili skribas sian propran version de programaro kiu estas simila en funkcieco al SD-WAN.

Ĉiuj, iel aŭ alie, volas atingi centralizitan administradon de la tuta zoo de ekipaĵoj. Ĉi tio estas unu punkto de administrado por ne-normaj instalaĵoj kaj normaj por malsamaj vendistoj kaj malsamaj teknologioj. Gravas minimumigi manan laboron ĉar, unue, ĝi reduktas la riskon de la homa faktoro dum agordado de ekipaĵo, kaj due, ĝi liberigas la rimedojn de la IT-servo por solvi aliajn problemojn. Tipe, rekono de la bezono venas de tre longaj renovigcikloj tra la lando. Kaj, ekzemple, se komercisto vendas alkoholon, tiam ĝi bezonas konstantan komunikadon por vendo. Ĝisdatigo aŭ malfunkcio dum la tago rekte influas enspezon.

Nun en podetala komerco estas klara kompreno pri kiaj IT-taskoj uzos SD-WAN:

1. Rapida deplojo (ofte necesa sur LTE antaŭ ol la kabloprovizanto alvenas, ofte necesas ke la nova punkto estu levita de la administranto en la urbo per GPC, kaj tiam la centro simple rigardas kaj agordas).
2. Alcentrigita administrado, komunikado por fremdaj objektoj.
3. Reduktante telekomunikajn kostojn.
4. Diversaj kromaj servoj (DPI-ecoj ebligas prioritatigi la liveron de trafiko de gravaj aplikaĵoj kiel kasregistriloj).
5. Laboru kun kanaloj aŭtomate, ne permane.

Kaj ankaŭ estas kontrolado de plenumo - ĉiuj parolas pri ĝi multe, sed neniu perceptas ĝin kiel problemon. Subteni ke ĉio funkcias ĝuste ankaŭ funkcias bone en ĉi tiu paradigmo. Multaj kredas, ke la tuta retteknologia merkato moviĝos en ĉi tiu direkto.

Bankoj, IMHO, nuntempe testas SD-WAN prefere kiel novan teknologian funkcion. Ili atendas la finon de subteno por antaŭaj generacioj de ekipaĵoj kaj nur tiam ili ŝanĝiĝos. Bankoj ĝenerale havas propran specialan etoson per komunikaj kanaloj, do la nuna stato de la industrio ne tre ĝenas ilin. La problemoj prefere kuŝas sur aliaj aviadiloj.

Male al la rusa merkato, SD-WAN estas aktive efektivigita en Eŭropo. Iliaj komunikadkanaloj estas pli multekostaj, kaj tial eŭropaj kompanioj alportas sian stakon al rusaj dividoj. En Rusio, estas certa stabileco, ĉar la kosto de kanaloj (eĉ kiam la regiono estas 25 fojojn pli multekosta ol la centro) aspektas tute normala kaj ne levas demandojn. De jaro al jaro, ekzistas senkondiĉa buĝeto por komunikaj kanaloj.

Jen ekzemplo de monda praktiko, kiam kompanio ŝparis tempon kaj monon uzante SD-WAN ĉe Cisco.

Estas tia kompanio - National Instruments. Je certa punkto, ili komencis kompreni, ke la tutmonda komputila reto, "akirita" per kombinado de 88 retejoj tra la mondo, estas neefika. Krome, al la firmao mankis la kapacito kaj efikeco de sia hejma varma akvoprovizado. Ekzistis neniu ekvilibro inter la kontinua kresko de la firmao kaj limigita IT-buĝeto.

SD-WAN helpis Naciajn Instrumentojn redukti MPLS-kostojn je 25% (ŝparante $ 450 fine de 2018), vastigante bendolarĝon je 3%.

Kiel rezulto de la efektivigo de SD-WAN, la firmao ricevis inteligentan softvar-difinitan reton kaj centralizitan politikan administradon por aŭtomate optimumigi trafikon kaj aplikaĵon. Jen - detala kazo.

Ĉi tie absolute freneza kazo de translokado de S7 al alia oficejo, kiam komence ĉio komenciĝis malfacila, sed interese - necesis refari 1,5 mil havenojn. Sed tiam io misfunkciis kaj kiel rezulto, la administrantoj rezultis esti la lastaj antaŭ la limdato, sur kiuj falas ĉiuj amasigitaj prokrastoj.

Legu pli en la angla:

• Amerika Bankisto: Fifth Third investas en 5-jara reto ĝisdatigo kun SD-WAN .
• Konstruante Cloud SD-WAN-sukceson ĉe Koch.
• La SD-WAN-Vojaĝo de McKesson al Kosta Ŝparado .
• SD-WAN Retail PoC & Segmentation: Gap Stores.
• Sed Tutmonda studo de Cisco pri retaj tendencoj en la mondo.

En la rusa:

• En CNews.
• Kiel ni efektivigis SD-Aliro kaj kial ĝi estis bezonata.
• Reta ŝtofo por la datumcentro de Cisco ACI - por helpi la administranton.
• Stabila kanalo bazita sur softvar-difinitaj SD-WAN-retoj: solvado de itinero-elektoproblemoj.
• Mia retpoŝto, se vi havas demandojn aŭ ŝatus testi viajn taskojn ĉe nia stando, - [retpoŝte protektita].

fonto: www.habr.com