SD-WAN y DNA para ayudar al administrador: características y práctica de la arquitectura

Un soporte que puedes tocar en nuestro laboratorio si quieres.

SD-WAN y SD-Access son dos nuevos enfoques propietarios diferentes para construir redes. En el futuro, deberían fusionarse en una red superpuesta, pero por ahora apenas se están acercando. La lógica es la siguiente: tomamos una red de la década de 1990 y le implementamos todos los parches y funciones necesarios, sin esperar a que se convierta en un nuevo estándar abierto dentro de 10 años.

SD-WAN es un parche SDN para redes corporativas distribuidas. El transporte es independiente, el control es independiente, por lo que el control se simplifica.

Ventajas: todos los canales de comunicación se utilizan activamente, incluido el de respaldo. Hay enrutamiento de paquetes a aplicaciones: qué, a través de qué canal y con qué prioridad. Un procedimiento simplificado para implementar nuevos puntos: en lugar de implementar una configuración, simplemente especifique la dirección del servidor Cisco en Internet, el centro de datos CROC o el cliente, de donde se toman las configuraciones específicas para su red.

SD-Access (DNA) es la automatización de la gestión de la red local: configuración desde un punto, asistentes, interfaces convenientes. De hecho, se construye otra red con un transporte diferente a nivel de protocolo además del suyo, y la compatibilidad con redes más antiguas está garantizada en los límites del perímetro.

También nos ocuparemos de esto a continuación.

Ahora algunas demostraciones en bancos de pruebas de nuestro laboratorio, cómo se ve y funciona.

Comencemos con SD-WAN. Principales características:

• Simplificación de la implementación de nuevos puntos (ZTP): se supone que de alguna manera alimenta el punto con la dirección del servidor con la configuración. El punto lo toca, recibe la configuración, lo enrolla y lo incluye en su panel de control. Esto garantiza el aprovisionamiento sin intervención (ZTP). Para implementar un punto final, no es necesario que un ingeniero de redes viaje al sitio. Lo principal es encender correctamente el dispositivo en el sitio y conectarle todos los cables, luego el equipo se conectará automáticamente al sistema. Puede descargar configuraciones a través de consultas DNS en la nube del proveedor desde una unidad USB conectada, o puede abrir un hipervínculo desde una computadora portátil conectada al dispositivo a través de Wi-Fi o Ethernet.
• Simplificación de la administración rutinaria de la red: configuración a partir de plantillas, políticas globales, configuración centralizada para al menos cinco sucursales, al menos 5. Todo desde un solo lugar. Para evitar un viaje largo, existe una opción muy conveniente para volver automáticamente a la configuración anterior.
• Gestión del tráfico a nivel de aplicaciones: garantiza calidad y actualizaciones continuas de firmas de aplicaciones. Las políticas se configuran e implementan de forma centralizada (no es necesario escribir y actualizar mapas de ruta para cada enrutador, como antes). Puedes ver quién envía qué, dónde y qué.
• Segmentación de la red. VPN independientes aisladas sobre toda la infraestructura, cada una con su propio enrutamiento. De forma predeterminada, el tráfico entre ellos está cerrado; puede abrir el acceso solo a tipos de tráfico comprensibles en nodos de red comprensibles, por ejemplo, pasando todo a través de un gran firewall o proxy.
• Visibilidad del historial de calidad de la red: cómo se desempeñaron las aplicaciones y los canales. Muy útil para analizar y corregir la situación incluso antes de que los usuarios empiecen a recibir quejas sobre el funcionamiento inestable de las aplicaciones.
• Visibilidad en todos los canales: ¿vale la pena el dinero?, ¿hay dos operadores diferentes que realmente llegan a su sitio? o ¿en realidad están pasando por la misma red y degradándose o cayendo al mismo tiempo?
• Visibilidad de aplicaciones en la nube y dirección del tráfico a través de ciertos canales basados ​​en ella (Cloud Onramp).
• Una pieza de hardware contiene un enrutador y un firewall (más precisamente, NGFW). Menos piezas de hardware significa que es más barato abrir una nueva sucursal.

Componentes y arquitectura de soluciones SD-WAN

Los dispositivos finales son enrutadores WAN, que pueden ser hardware o virtuales.

Los orquestadores son una herramienta de gestión de redes. Están configurados con parámetros del dispositivo final, políticas de enrutamiento de tráfico y funcionalidad de seguridad. Las configuraciones resultantes se envían automáticamente a través de la red de control a los nodos. Paralelamente, el orquestador escucha la red y monitorea la disponibilidad de dispositivos, puertos, canales de comunicación y carga de la interfaz.

Herramientas de análisis. Realizan informes basados ​​en datos recopilados de los dispositivos finales: historial de calidad de canales, aplicaciones de red, disponibilidad de nodos, etc.

Los controladores son responsables de aplicar políticas de enrutamiento del tráfico a la red. Su análogo más cercano en las redes tradicionales puede considerarse el reflector de ruta BGP. Las políticas globales que el administrador configura en el orquestador hacen que los controladores cambien la composición de sus tablas de enrutamiento y envíen información actualizada a los dispositivos finales.

¿Qué obtiene el servicio de TI de SD-WAN?

1. El canal de respaldo está constantemente en uso (no inactivo). Resulta más barato porque puedes permitirte dos canales menos gruesos.
2. Cambio automático del tráfico de aplicaciones entre canales.
3. Tiempo de administrador: puede desarrollar la red globalmente, en lugar de rastrear cada pieza de hardware con configuraciones.
4. Velocidad de levantamiento de nuevas ramas. Ella es mucho más alta.
5. Menos tiempo de inactividad al reemplazar equipos muertos.
6. Reconfigure rápidamente la red para nuevos servicios.

¿Qué obtiene una empresa de SD-WAN?

1. Operación garantizada de aplicaciones comerciales en una red distribuida, incluso a través de canales abiertos de Internet. Se trata de previsibilidad empresarial.
2. Soporte instantáneo para nuevas aplicaciones comerciales en toda la red distribuida, independientemente del número de sucursales. Se trata de velocidad empresarial.
3. Conexión rápida y segura de sucursales en cualquier ubicación remota utilizando cualquier tecnología de conexión (Internet está en todas partes, pero las líneas arrendadas y VPN no). Se trata de flexibilidad empresarial a la hora de elegir una ubicación.
4. Este podría ser un proyecto con entrega y puesta en marcha, o podría ser un servicio.
   con pagos mensuales de una empresa de TI, operador de telecomunicaciones u operador de nube. Lo que sea conveniente para ti.

Los beneficios comerciales de SD-WAN pueden ser completamente diferentes; por ejemplo, un cliente nos dijo que un alto directivo había recibido una solicitud para una línea directa con todos los empleados de una empresa de varios miles de personas y la capacidad de entregar contenido.

Para nosotros fue una “operación militar”. En aquel momento ya estábamos solucionando el problema de la modernización de la CSPD. Y cuando entendemos que, en principio, necesitamos renovar equipos y la tecnología ha avanzado, ¿por qué deberíamos renovar las mismas tecnologías y servicios si podemos dar un paso más?

Enikey instala SD-WAN en el sitio. Esto es importante para las sucursales remotas, donde es posible que simplemente no haya un administrador normal. Envíe por correo y diga: “¡Conecte el cable 1 a la caja 1, el cable 2 a la caja 2 y no los mezcle! ¡No te confundas, #@$@%!” Y si no se mezclan, el propio dispositivo se comunica con el servidor central, recoge y aplica sus configuraciones, y esta oficina pasa a formar parte de la red segura de la empresa. Es agradable cuando no tienes que viajar y es fácil de justificar en tu presupuesto.

Aquí hay un diagrama del stand:

Algunos ejemplos de configuración:

Política: reglas globales de gestión del tráfico. Editar una política.

Activar política de control de tráfico.

Configuración masiva de parámetros básicos del dispositivo (direcciones IP, pools DHCP).

Capturas de pantalla de monitoreo del rendimiento de aplicaciones

Para aplicaciones en la nube.

Detalles de Office365.

Para aplicaciones locales. Desafortunadamente, no pudimos encontrar aplicaciones con errores en nuestro stand (la tasa de recuperación FEC es cero en todas partes).

Además, el rendimiento de los canales de transmisión de datos.

¿Qué hardware es compatible con SD-WAN?

1. Plataformas de hardware:

• Enrutadores Cisco vEdge (anteriormente Viptela vEdge) que ejecutan el sistema operativo Viptela.
• Enrutadores de servicios integrados (ISR) de las series 1 y 000 que ejecutan IOS XE SD-WAN.
• Enrutador de servicios de agregación (ASR) serie 1 que ejecuta IOS XE SD-WAN.

2. Plataformas virtuales:

• Enrutador de servicios en la nube (CSR) 1v con IOS XE SD-WAN.
• Enrutador vEdge Cloud con sistema operativo Viptela.

Las plataformas virtuales se pueden implementar en plataformas informáticas Cisco x86, como Enterprise Network Compute System (ENCS) serie 5, Unified Computing System (UCS) y Cloud Services Platform (CSP) serie 000. Las plataformas virtuales también se pueden ejecutar en cualquier dispositivo x5. utilizando un hipervisor como KVM o VMware ESi.

Cómo funciona un nuevo dispositivo

La lista de dispositivos con licencia para implementación se descarga desde una cuenta inteligente de Cisco o se carga como un archivo CSV. Intentaré obtener más capturas de pantalla más tarde; en este momento no tenemos ningún dispositivo nuevo para implementar.

La secuencia de pasos por los que pasa un dispositivo cuando se implementa.

Cómo se implementa un nuevo método de entrega de dispositivo/configuración

Agregamos dispositivos a Smart Account.

Puedes descargar un archivo CSV o puedes descargar uno a la vez:

Complete los parámetros del dispositivo:

A continuación, en vManage sincronizamos los datos con la Smart Account. El dispositivo aparece en la lista:

En el menú desplegable frente al dispositivo, haga clic en Generar configuración de Bootstrap
y obtenga la configuración inicial:

Esta configuración debe enviarse al dispositivo. La forma más sencilla es conectar una unidad flash con un archivo guardado llamado ciscosd-wan.cfg al dispositivo. Al arrancar, el dispositivo buscará este archivo.

Una vez recibida la configuración inicial, el dispositivo podrá llegar al orquestador y recibir una configuración completa desde allí.

Nos fijamos en SD-Access (DNA)

SD-Access facilita la configuración de puertos y derechos de acceso para los usuarios conectados. Esto se hace mediante asistentes. Los parámetros del puerto se configuran en relación con los grupos "Administradores", "Contabilidad", "Impresoras", y no con VLAN y subredes IP. Esto minimiza los errores humanos. Si, por ejemplo, una empresa tiene muchas sucursales en toda Rusia, pero la oficina central está sobrecargada, SD-Access le permite resolver más problemas localmente. Por ejemplo, los mismos problemas con respecto a la resolución de problemas.

Para la seguridad de la información, es importante que SD-Access implique una división clara de usuarios y dispositivos en grupos y la definición de políticas de interacción entre ellos, autorización para cualquier conexión de cliente a la red y provisión de "derechos de acceso" en toda la red. Si sigue este enfoque, la administración se vuelve mucho más fácil.

El proceso de puesta en marcha de nuevas oficinas también se simplifica gracias a los agentes Plug-and-Play en los conmutadores. No es necesario correr a campo traviesa con una consola, ni siquiera ir al sitio.

A continuación se muestran ejemplos de configuración:

Estatus general.

Incidencias que un administrador debe revisar.

Recomendaciones automáticas sobre qué cambiar en las configuraciones.

Plan de integración de SD-WAN con SD-Access

Escuché que Cisco tiene esos planes: SD-WAN y SD-Access. Esto debería reducir significativamente las hemorroides cuando se tratan los CSPD locales y distribuidos geográficamente.

vManage (orquestador SD-WAN) se administra a través de API desde DNA Center (controlador SD-Access).

Las políticas de micro y macrosegmentación se mapean de la siguiente manera:

A nivel de paquete, todo se ve así:

¿Quién piensa en esto y qué?

Trabajamos en SD-WAN desde 2016 en un laboratorio independiente, donde probamos diferentes soluciones para las necesidades del comercio minorista, los bancos, el transporte y la industria.

Nos comunicamos mucho con clientes reales.

Puedo decir que el comercio minorista ya está probando SD-WAN con confianza, y algunos lo están haciendo con proveedores (la mayoría de las veces con Cisco), pero también hay quienes están tratando de resolver el problema por su cuenta: están escribiendo su propia versión de software que tiene una funcionalidad similar a SD-WAN.

Todo el mundo, de una forma u otra, quiere lograr una gestión centralizada de todo el equipamiento del zoológico. Este es un punto de administración para instalaciones no estándar y estándar para diferentes proveedores y diferentes tecnologías. Es importante minimizar el trabajo manual porque, en primer lugar, reduce el riesgo del factor humano a la hora de configurar los equipos y, en segundo lugar, libera recursos del servicio de TI para solucionar otros problemas. Normalmente, el reconocimiento de la necesidad surge de ciclos de renovación muy largos en todo el país. Y, por ejemplo, si un minorista vende alcohol, entonces necesita una comunicación constante para las ventas. Las actualizaciones o el tiempo de inactividad durante el día afectan directamente los ingresos.

Ahora en el comercio minorista existe una comprensión clara de qué tareas de TI utilizarán SD-WAN:

1. Despliegue rápido (a menudo es necesario en LTE antes de que llegue el proveedor de cable, a menudo es necesario que el administrador de la ciudad levante el nuevo punto a través de GPC, y luego el centro simplemente mira y configura).
2. Gestión centralizada, comunicación de objetos extraños.
3. Reducir los costos de las telecomunicaciones.
4. Varios servicios adicionales (las funciones DPI permiten priorizar la entrega de tráfico desde aplicaciones importantes como las cajas registradoras).
5. Trabaje con canales automáticamente, no manualmente.

Y también hay un control de cumplimiento: todo el mundo habla mucho de ello, pero nadie lo percibe como un problema. Mantener que todo funcione correctamente también funciona bien en este paradigma. Muchos creen que todo el mercado de la tecnología de redes se moverá en esta dirección.

Los bancos, en mi humilde opinión, están probando actualmente SD-WAN más bien como una nueva característica tecnológica. Están esperando el fin del soporte para generaciones anteriores de equipos y solo entonces cambiarán. Los bancos generalmente tienen su propia atmósfera especial a través de los canales de comunicación, por lo que el estado actual de la industria no les preocupa mucho. Los problemas más bien residen en otros planos.

A diferencia del mercado ruso, SD-WAN se está implementando activamente en Europa. Sus canales de comunicación son más caros y, por lo tanto, las empresas europeas llevan su pila a las divisiones rusas. En Rusia hay cierta estabilidad, porque el coste de los canales (incluso cuando la región es 25 veces más cara que el centro) parece bastante normal y no plantea dudas. Año tras año, existe un presupuesto incondicional para canales de comunicación.

A continuación se muestra un ejemplo de la práctica mundial, cuando una empresa ahorró tiempo y dinero utilizando SD-WAN en Cisco.

Existe una empresa así: National Instruments. En cierto momento, empezaron a comprender que la red informática global, "obtenida" combinando 88 sitios en todo el mundo, era ineficaz. Además, la empresa carecía de la capacidad y rendimiento de su suministro de agua caliente sanitaria. No había equilibrio entre el crecimiento continuo de la empresa y el limitado presupuesto de TI.

SD-WAN ayudó a National Instruments a reducir los costos de MPLS en un 25 % (ahorrando $450 2018 a fines de 3), ampliando el ancho de banda en un 075 %.

Como resultado de la implementación de SD-WAN, la empresa recibió una red inteligente definida por software y una gestión de políticas centralizada para optimizar automáticamente el tráfico y el rendimiento de las aplicaciones. Aquí - caso detallado.

Justo aqui Un caso absolutamente loco de trasladar un S7 a otra oficina, cuando al principio todo empezó difícil, pero interesante: fue necesario rehacer 1,5 mil puertos. Pero entonces algo salió mal y como resultado, los administradores resultaron ser los últimos antes de la fecha límite, sobre quienes recaen todos los retrasos acumulados.

Leer más en inglés:

• Banquero estadounidense: Fifth Third invierte en una actualización de red de 5 años con SD-WAN .
• Construyendo el éxito de Cloud SD-WAN en Koch.
• El viaje SD-WAN de McKesson hacia el ahorro de costos .
• PoC y segmentación minorista SD-WAN: tiendas Gap.
• y aquí Estudio global de Cisco sobre las tendencias de redes en el mundo.

En ruso

• En CNews.
• Cómo implementamos SD-Access y por qué era necesario.
• Tejido de red para el centro de datos de Cisco ACI: para ayudar al administrador.
• Canal estable basado en redes SD-WAN definidas por software: resolviendo problemas de selección de rutas.
• Mi correo electrónico, si tienes dudas o quieres probar tus tareas en nuestro stand, - [email protected].

Fuente: habr.com