SD-WAN ja DNA administraatori abistamiseks: arhitektuuri funktsioonid ja praktika

Statiiv, mida saate soovi korral meie laboris katsuda.

SD-WAN ja SD-Access on kaks erinevat uut patenteeritud lähenemisviisi võrkude ehitamiseks. Tulevikus peaksid need ühinema üheks ülekattevõrguks, kuid praegu on nad alles lähenemas. Loogika on järgmine: võtame 1990. aastatest pärit võrgu ja juurutame sellele kõik vajalikud paigad ja funktsioonid, ootamata, et sellest saaks 10 aasta pärast uus avatud standard.

SD-WAN on SDN-i plaaster hajutatud ettevõttevõrkudele. Transport on eraldi, juhtimine on eraldi, seega on juhtimine lihtsustatud.

Plussid – aktiivselt kasutatakse kõiki suhtluskanaleid, ka varukanalit. Toimub pakettide marsruutimine rakendustesse: mida, millise kanali kaudu ja millise prioriteediga. Lihtsustatud protseduur uute punktide juurutamiseks: konfiguratsiooni väljatöötamise asemel määrake lihtsalt suure Interneti Cisco serveri aadress, CROC andmekeskus või klient, kust võetakse spetsiaalselt teie võrgu jaoks mõeldud konfiguratsioonid.

SD-Access (DNA) on kohaliku võrgu haldamise automatiseerimine: konfigureerimine ühest punktist, viisardid, mugavad liidesed. Tegelikult on teine ​​võrk ehitatud teistsuguse transpordiga protokolli tasemel sinu oma peale ja perimeetri piiridel on tagatud ühilduvus vanemate võrkudega.

Seda käsitleme ka allpool.

Nüüd mõned demonstratsioonid meie labori katsestenditel, kuidas see välja näeb ja töötab.

Alustame SD-WAN-iga. Põhijooned:

• Uute punktide juurutamise lihtsustamine (ZTP) - eeldatakse, et söödate punkti kuidagi serveriaadressiga seadetega. Punkt koputab sellele, võtab konfiguratsiooni vastu, rullib selle kokku ja lisatakse teie juhtpaneelile. See tagab ZTP (Zero-Touch Provisioning). Lõpp-punkti juurutamiseks ei pea võrguinsener saidile sõitma. Peaasi, et seade kohapeal õigesti sisse lülitada ja kõik kaablid sellega ühendada, siis ühenduvad seadmed automaatselt süsteemiga. Saate konfiguratsioone alla laadida DNS-päringute kaudu müüja pilves ühendatud USB-draivist või avada hüperlingi sülearvutist, mis on seadmega ühendatud Wi-Fi või Etherneti kaudu.
• Rutiinse võrguhalduse lihtsustamine – konfigureerimine mallidest, globaalsed poliitikad, tsentraalselt konfigureeritud vähemalt viie haru jaoks, vähemalt 5. Kõik ühest kohast. Pika teekonna vältimiseks on väga mugav võimalus naasta automaatselt eelmisele konfiguratsioonile.
• Rakenduse tasemel liikluse haldamine – tagab kvaliteedi ja pidevate rakenduste allkirjade värskendamise. Poliitika konfigureeritakse ja levitatakse tsentraalselt (pole vaja kirjutada ja värskendada iga ruuteri marsruudikaarte, nagu varem). Saab näha, kes mida, kuhu ja mida saadab.
• Võrgu segmenteerimine. Sõltumatud isoleeritud VPN-id kogu infrastruktuuri peal – igaühel oma marsruutimine. Vaikimisi on liiklus nende vahel suletud; juurdepääsu saate avada ainult arusaadavat tüüpi liiklusele arusaadavates võrgusõlmedes, näiteks läbides kõik suure tulemüüri või puhverserveri.
• Võrgu kvaliteediajaloo nähtavus – kuidas rakendused ja kanalid toimisid. Väga kasulik olukorra analüüsimiseks ja parandamiseks isegi enne, kui kasutajad hakkavad saama kaebusi rakenduste ebastabiilse töö kohta.
• Nähtavus kanalite lõikes – kas need on seda raha väärt, kas teie saidile tulevad tegelikult kaks erinevat operaatorit või läbivad nad tegelikult sama võrku ja halvenevad/langevad samal ajal.
• Pilverakenduste nähtavus ja selle alusel liikluse juhtimine teatud kanalite kaudu (Cloud Onramp).
• Üks riistvara sisaldab ruuterit ja tulemüüri (täpsemalt NGFW). Vähem riistvara tähendab, et uue filiaali avamine on odavam.

SD-WAN lahenduste komponendid ja arhitektuur

Lõppseadmed on WAN-ruuterid, mis võivad olla riistvaralised või virtuaalsed.

Orkestrid on võrguhaldustööriist. Need on konfigureeritud lõppseadme parameetrite, liikluse marsruutimise poliitikate ja turbefunktsioonidega. Saadud konfiguratsioonid saadetakse automaatselt läbi juhtvõrgu sõlmedesse. Paralleelselt kuulab orkestraator võrku ja jälgib seadmete saadavust, porte, sidekanaleid ja liidese laadimist.

Analüüsi tööriistad. Nad koostavad aruandeid lõppseadmetest kogutud andmete põhjal: kanalite kvaliteedi ajalugu, võrgurakendused, sõlmede saadavus jne.

Kontrollerid vastutavad võrgus liikluse suunamise poliitikate rakendamise eest. Nende lähimaks analoogiks traditsioonilistes võrkudes võib pidada BGP Route Reflectoriks. Üldised poliitikad, mille administraator orkestraatoris konfigureerib, muudavad kontrollerid oma marsruutimistabelite koostist ja saadavad lõppseadmetele värskendatud teavet.

Mida IT-teenus SD-WAN-ist saab:

1. Varukanal on pidevalt kasutusel (mitte jõude). See osutub odavamaks, sest saate endale lubada kaks vähem paksu kanalit.
2. Rakenduse liikluse automaatne ümberlülitamine kanalite vahel.
3. Administraatori aeg: saate võrku arendada globaalselt, selle asemel, et iga riistvara konfiguratsioonidega läbi roomata.
4. Uute okste kasvatamise kiirus. Ta on palju pikem.
5. Vähem seisakuid surnud seadmete väljavahetamisel.
6. Seadistage võrk kiiresti uute teenuste jaoks ümber.

Mida saab ettevõte SD-WAN-ist:

1. Ärirakenduste garanteeritud toimimine hajutatud võrgus, sealhulgas avatud Interneti-kanalite kaudu. See puudutab ettevõtte prognoositavust.
2. Uute ärirakenduste kohene tugi kogu hajutatud võrgus, sõltumata filiaalide arvust. Asi on ärikiiruses.
3. Filiaalide kiire ja turvaline ühendus mis tahes kaugemates asukohtades mis tahes ühendustehnoloogia abil (Internet on kõikjal, kuid püsiliinid ja VPN mitte). See puudutab ettevõtte paindlikkust asukoha valikul.
4. See võib olla tarne ja kasutuselevõtuga projekt või teenus
   IT-ettevõtte, sideoperaatori või pilveoperaatori kuumaksetega. Kumb on teile mugav.

SD-WAN-i ärikasu võib olla täiesti erinev, näiteks rääkis üks klient meile, et tippjuhile on tulnud taotlus otseliini saamiseks mitmetuhandelise ettevõtte kõigi töötajatega ja sisu kohaletoimetamise võimalus.

Meie jaoks oli see "sõjaline operatsioon". Sel hetkel olime juba lahendamas CSPD moderniseerimise probleemi. Ja kui saame aru, et meil on põhimõtteliselt vaja tegeleda seadmete renoveerimisega ja tehnoloogiavirn on edasi liikunud, siis miks peaksime tegelema samade tehnoloogiate ja teenuste renoveerimisega, kui saame astuda sammu edasi.

SD-WAN-i installib kohapeal Enikey. See on oluline kaugemate filiaalide jaoks, kus tavalist administraatorit lihtsalt ei pruugi olla. Saatke postiga ja öelge: "Ühendage kaabel 1 kasti 1, kaabel 2 kasti 2 ja ärge segage seda! Ärge sattuge segadusse, #@$@%!” Ja kui nad seda segamini ei aja, suhtleb seade ise keskserveriga, võtab üles ja rakendab selle konfiguratsioonid ning see kontor saab osaks ettevõtte turvalisest võrgust. On tore, kui sa ei pea reisima ja seda on lihtne oma eelarvega põhjendada.

Siin on stendi skeem:

Mõned konfiguratsiooninäited:

Poliitika – globaalsed reeglid liikluse haldamiseks. Eeskirja muutmine.

Aktiveerige liikluskorralduspoliitika.

Seadme põhiparameetrite masskonfiguratsioon (IP-aadressid, DHCP-kogumid).

Rakenduse jõudluse jälgimise ekraanipildid

Pilverakenduste jaoks.

Office365 üksikasjad.

Kohapealsete rakenduste jaoks. Kahjuks ei leidnud me oma stendilt vigadega rakendusi (FEC Recovery rate on kõikjal null).

Lisaks - andmeedastuskanalite jõudlus.

Millist riistvara SD-WAN toetab?

1. Riistvaraplatvormid:

• Cisco vEdge ruuterid (endine Viptela vEdge), mis kasutavad Viptela OS-i.
• 1- ja 000-seeria integreeritud teenuste ruuterid (ISR-id), mis töötavad IOS XE SD-WAN-iga.
• Aggregation Services Router (ASR) 1 seeria, mis töötab IOS XE SD-WAN-iga.

2. Virtuaalsed platvormid:

• Pilveteenuste ruuter (CSR) 1v, mis töötab IOS XE SD-WAN-iga.
• vEdge Cloud Router, milles töötab Viptela OS.

Virtuaalseid platvorme saab juurutada Cisco x86 arvutusplatvormidel, nagu Enterprise Network Compute System (ENCS) 5 seeria, Unified Computing System (UCS) ja Cloud Services Platform (CSP) 000 seeria. Virtuaalplatvorme saab kasutada ka mis tahes x5 seadmes kasutades hüperviisorit, nagu KVM või VMware ESi.

Kuidas uus seade veereb

Juurutamiseks mõeldud litsentsitud seadmete loend laaditakse alla kas Cisco nutikalt kontolt või laaditakse üles CSV-failina. Proovin hiljem rohkem ekraanipilte saada, praegu pole meil ühtegi uut seadet juurutada.

Toimingute jada, mille seade juurutamisel läbib.

Uue seadme/konfiguratsiooni edastusmeetodi juurutamine

Lisame seadmed Nutikontole.

Saate alla laadida CSV-faili või ükshaaval.

Täitke seadme parameetrid:

Järgmisena sünkroonime vManage'is andmed nutika kontoga. Seade kuvatakse loendis:

Seadme vastas asuvas rippmenüüs klõpsake nuppu Generate Bootstrap Configuration
ja hankige esialgne konfiguratsioon:

See konfiguratsioon tuleb seadmesse sisestada. Lihtsaim viis on ühendada seadmega mälupulk, millel on salvestatud fail nimega ciscosd-wan.cfg. Käivitamisel otsib seade seda faili.

Pärast esialgse konfiguratsiooni saamist jõuab seade orkestraatorini ja saab sealt täieliku konfiguratsiooni.

Vaatame SD-juurdepääsu (DNA)

SD-juurdepääs muudab kasutajate ühendamiseks pordide ja juurdepääsuõiguste konfigureerimise lihtsaks. Seda tehakse viisardite abil. Pordi parameetrid määratakse seoses rühmadega "Administraatorid", "Raamatupidamine", "Printerid", mitte aga VLAN-ide ja IP-alamvõrkudega. See vähendab inimlikke vigu. Kui ettevõttel on näiteks palju filiaale üle Venemaa, kuid keskkontor on ülekoormatud, siis SD-Access võimaldab lahendada rohkem probleeme kohapeal. Näiteks samad probleemid seoses tõrkeotsinguga.

Infoturbe huvides on oluline, et SD-juurdepääs hõlmaks kasutajate ja seadmete selget jaotamist rühmadesse ning nendevaheliste interaktsioonipoliitikate määratlemist, mis tahes kliendi võrguühenduse autoriseerimist ja juurdepääsuõiguste andmist kogu võrgus. Kui järgite seda lähenemisviisi, muutub haldamine palju lihtsamaks.

Tänu lülitites olevatele Plug-and-Play agentidele on ka uute kontorite käivitamise protsess lihtsam. Pole vaja konsooliga maastikul ringi joosta ega isegi kohapeale minna.

Siin on konfiguratsiooni näited:

Üldine staatus.

Juhtumid, mida administraator peaks üle vaatama.

Automaatsed soovitused selle kohta, mida konfiguratsioonides muuta.

Plaan integreerida SD-WAN SD-juurdepääsuga

Kuulsin, et Ciscol on sellised plaanid - SD-WAN ja SD-Access. See peaks geograafiliselt jaotatud ja kohalike CSPD-de haldamisel hemorroidide arvu oluliselt vähendama.

vManage'i (SD-WAN-i orkestraatorit) hallatakse API kaudu DNA keskusest (SD-juurdepääsukontroller).

Mikro- ja makrosegmenteerimise poliitikad on kaardistatud järgmiselt.

Paketi tasemel näeb kõik välja järgmine:

Kes sellest arvab ja mida?

Oleme SD-WAN-iga töötanud alates 2016. aastast eraldi laboris, kus testime erinevaid lahendusi jaekaubanduse, pankade, transpordi ja tööstuse vajadustele.

Suhtleme palju päris klientidega.

Võin öelda, et jaekaubandus testib juba enesekindlalt SD-WAN-i ja mõned teevad seda koos müüjatega (enamasti Ciscoga), kuid on ka neid, kes proovivad probleemi ise lahendada: nad kirjutavad oma versiooni tarkvara, mis on funktsionaalsuselt sarnane SD-WAN-iga.

Kõik tahavad nii või teisiti saavutada kogu loomaaia tehnika tsentraliseeritud haldamise. See on üks halduspunkt mittestandardsetele installatsioonidele ja standardsetele erinevatele tarnijatele ja erinevatele tehnoloogiatele. Käsitöö minimeerimine on oluline, sest esiteks vähendab see inimfaktori riski seadmete seadistamisel ning teiseks vabastab IT-teenuse ressursid muude probleemide lahendamiseks. Tavaliselt tunnistatakse vajadust väga pikkade uuendamistsüklite kaudu kogu riigis. Ja näiteks kui jaemüüja müüb alkoholi, siis vajab ta müügiks pidevat suhtlemist. Päevane värskendamine või seisakud mõjutavad otseselt tulusid.

Nüüd on jaemüügis selge arusaam sellest, millised IT-ülesanded kasutavad SD-WAN-i:

1. Kiire juurutamine (sageli on vaja LTE-s enne kaabeltelevisiooni pakkuja saabumist, sageli on vaja, et linna administraator tõstaks uue punkti GPC kaudu ja siis keskus lihtsalt vaatab ja seadistab).
2. Tsentraliseeritud juhtimine, side võõrobjektidele.
3. Telekommunikatsioonikulude vähendamine.
4. Erinevad lisateenused (DPI funktsioonid võimaldavad eelistada liikluse edastamist olulistest rakendustest nagu kassaaparaadid).
5. Töötage kanalitega automaatselt, mitte käsitsi.

Ja käib ka vastavuskontroll – kõik räägivad sellest palju, aga keegi ei taju seda probleemina. Selles paradigmas toimib hästi ka selle tagamine, et kõik töötab õigesti. Paljud usuvad, et kogu võrgutehnoloogia turg liigub selles suunas.

Pangad, IMHO, katsetavad praegu SD-WAN-i pigem uue tehnoloogilise funktsioonina. Nad ootavad eelmiste põlvkondade seadmete toetamise lõppu ja alles siis muutuvad. Pankadel on üldjuhul suhtluskanalite kaudu oma eriline atmosfäär, mistõttu valdkonna hetkeseis neid väga ei häiri. Probleemid peituvad pigem teistes lennukites.

Erinevalt Venemaa turust rakendatakse SD-WAN-i Euroopas aktiivselt. Nende sidekanalid on kallimad ja seetõttu toovad Euroopa ettevõtted oma virna Venemaa divisjonidesse. Venemaal on teatav stabiilsus, sest kanalite maksumus (isegi kui piirkond on keskusest 25 korda kallim) näeb üsna normaalne välja ega tekita küsimusi. Aastast aastasse on sidekanalite jaoks tingimusteta eelarve.

Siin on näide maailma praktikast, kui ettevõte säästis aega ja raha, kasutades Cisco SD-WAN-i.

On selline ettevõte - National Instruments. Mingil hetkel hakkasid nad mõistma, et ülemaailmne arvutivõrk, mis on "saadud" 88 saidi ühendamisel üle maailma, oli ebaefektiivne. Lisaks puudus ettevõttel sooja tarbeveevarustuse võimsus ja jõudlus. Puudus tasakaal ettevõtte pideva kasvu ja piiratud IT-eelarve vahel.

SD-WAN aitas National Instrumentsil vähendada MPLS-i kulusid 25% (450. aasta lõpus säästsid 2018 3 dollarit), suurendades ribalaiust 075%.

SD-WANi juurutamise tulemusena sai ettevõte nutika tarkvaraga määratletud võrgu ja tsentraliseeritud poliitikahalduse, et optimeerida automaatselt liiklust ja rakenduste jõudlust. Siin - üksikasjalik juhtum.

Siin täiesti hull S7 teise kontorisse kolimise juhtum, kui algul algas kõik keeruliselt, aga huvitav - oli vaja 1,5 tuhat porti ümber teha. Siis aga läks midagi viltu ja selle tulemusena osutusid adminnid viimasteks enne tähtaega, kellele kõik kogunenud hilinemised langevad.

Loe lähemalt inglise keeles:

• American Banker: Fifth Third investeerib 5-aastasesse võrguuuendusse SD-WAN-iga .
• Cloud SD-WAN edu loomine Kochis.
• McKessoni SD-WAN-reis kulude kokkuhoiuks .
• SD-WAN Retail PoC ja segmenteerimine: Gap Stores.
• ja siin Cisco globaalne uuring võrgutrendide kohta maailmas.

Vene keeles:

• CNewsis.
• Kuidas me SD-juurdepääsu juurutasime ja miks seda vaja oli.
• Cisco ACI andmekeskuse võrgukangas – administraatori abistamiseks.
• Tarkvaraga määratletud SD-WAN võrkudel põhinev stabiilne kanal: marsruudi valiku probleemide lahendamine.
• Minu meiliaadress, kui teil on küsimusi või soovite oma ülesandeid meie stendis testida, - [meiliga kaitstud].

Allikas: www.habr.com