Nahi izanez gero gure laborategian ukitu dezakezun stand bat.
SD-WAN eta SD-Access sareak eraikitzeko jabedun ikuspegi berri desberdin dira. Etorkizunean, gainjarri sare batean batu beharko lukete, baina oraingoz hurbiltzen ari dira. Logika hau da: 1990eko hamarkadako sare bat hartu eta beharrezko adabaki eta funtzio guztiak zabaltzen ditugu bertan, beste 10 urte barru estandar ireki berri bat izan arte itxaron gabe.
SD-WAN banatutako enpresa-sareetarako SDN adabaki bat da. Garraioa bereizita dago, kontrola bereizita dago, beraz, kontrola sinplifikatu egiten da.
Pros - komunikazio-kanal guztiak aktiboki erabiltzen dira, babeskopia barne. Paketeen bideratzea dago aplikazioetara: zer, zein kanal bidez eta zein lehentasunekin. Puntu berriak zabaltzeko prozedura sinplifikatu bat: konfigurazio bat zabaldu beharrean, zehaztu besterik ez duzu Cisco zerbitzariaren helbidea Internet handian, CROC datu-zentroan edo bezeroaren helbidea, nondik hartzen diren zure sarerako bereziki konfigurazioak.
SD-Access (DNA) sare lokalen kudeaketaren automatizazioa da: puntu batetik konfiguratzea, morroiak, interfaze erosoak. Izan ere, beste sare bat eraikitzen da zurearen gainean protokolo mailan beste garraio batekin, eta sare zaharragoekin bateragarritasuna bermatzen da perimetroko mugetan.
Honetaz ere landuko dugu jarraian.
Orain erakustaldi batzuk gure laborategiko proba-bankuetan, nola dagoen eta nola funtzionatzen duen.
Has gaitezen SD-WAN-ekin. Ezaugarri nagusiak:
- Puntu berrien hedapenaren sinplifikazioa (ZTP) - nolabait puntua zerbitzariaren helbidea ezarpenekin elikatzen duzula suposatzen da. Puntuak kolpatzen du, konfigurazioa jasotzen du, bildu eta zure kontrol panelean sartzen da. Horrek Zero-Touch Provisioning (ZTP) bermatzen du. Amaiera-puntu bat zabaltzeko, sareko ingeniari batek ez du gunera joan beharrik. Gauza nagusia da gailua behar bezala piztea eta hari kable guztiak konektatzea, orduan ekipamendua automatikoki konektatuko da sistemara. Konfigurazioak deskarga ditzakezu saltzailearen hodeian DNS kontsulten bidez konektatutako USB disko batetik, edo hiperesteka bat ireki dezakezu gailura konektatutako ordenagailu eramangarri batetik Wi-Fi edo Ethernet bidez.
- Sareko ohiko administrazioaren sinplifikazioa - konfigurazioa txantiloietatik, politika globaletatik, zentralki konfiguratuta gutxienez bost adarretarako, gutxienez 5. Dena leku batetik. Bidaia luzea saihesteko, aurreko konfiguraziora automatikoki itzultzeko aukera oso erosoa dago.
- Aplikazio-mailako trafiko-kudeaketa: kalitatea eta aplikazioen sinadura etengabeko eguneratzeak bermatuz. Politikak zentralki konfiguratu eta zabaltzen dira (ez dago bideratzaile bakoitzeko ibilbide-mapak idatzi eta eguneratu beharrik, lehen bezala). Nork zer, nora eta zer bidaltzen duen ikus dezakezu.
- Sarearen segmentazioa. VPN isolatu independenteak azpiegitura osoaren gainean - bakoitza bere bideratzearekin. Lehenespenez, haien arteko trafikoa itxita dago; sareko nodo ulergarrietako trafiko mota ulergarrietarako soilik ireki dezakezu sarbidea, adibidez, dena suebaki edo proxy handi batetik igaroz.
- Sarearen kalitatearen historiaren ikusgarritasuna - aplikazioak eta kanalak nola funtzionatzen zuten. Oso erabilgarria, erabiltzaileak aplikazioen funtzionamendu ezegonkorrari buruzko kexak jasotzen hasi aurretik egoera aztertzeko eta zuzentzeko.
- Ikusgarritasuna kanaletan: dirua merezi al dute, bi operadore ezberdin benetan zure gunera etortzen diren edo sare beretik pasatzen ari dira eta aldi berean degradatzen/erortzen ari dira.
- Hodeiko aplikazioetarako ikusgarritasuna eta bertan oinarritutako zenbait kanaletatik bideratzea trafikoa (Cloud Onramp).
- Hardware-pieza batek bideratzailea eta suebaki bat ditu (zehatzago, NGFW). Hardware gutxiago izateak esan nahi du merkeagoa dela adar berri bat irekitzea.
SD-WAN soluzioen osagaiak eta arkitektura
Amaierako gailuak WAN bideratzaileak dira, hardwarea edo birtualak izan daitezkeenak.
Orkestratzaileak sareak kudeatzeko tresna bat dira. Azken gailuaren parametroekin, trafikoa bideratzeko politikekin eta segurtasun funtzionaltasunekin konfiguratuta daude. Sortutako konfigurazioak automatikoki bidaltzen dira kontrol sarearen bidez nodoetara. Aldi berean, orkestratzaileak sarea entzuten du eta gailuen, portuen, komunikazio-kanalen eta interfazeen kargaren erabilgarritasuna kontrolatzen du.
Analitika tresnak. Txostenak egiten dituzte amaierako gailuetatik jasotako datuetan oinarrituta: kanalen kalitatearen historia, sareko aplikazioak, nodoen erabilgarritasuna, etab.
Kontrolatzaileak sarean trafikoa bideratzeko politikak aplikatzeaz arduratzen dira. Sare tradizionaletan duten analogo hurbilena BGP Route Reflector har daiteke. Administratzaileak orkestratzailean konfiguratzen dituen politika orokorrek kontrolatzaileek beren bideratze-taulen konposizioa aldatzen dute eta azken gailuetara informazio eguneratua bidaltzen dute.
Zer lortzen du IT zerbitzuak SD-WANetik:
- Babeskopia kanala etengabe erabiltzen da (ez inaktiboa). Merkeagoa bihurtzen da, bi kanal lodi gutxiago ordaindu ditzakezulako.
- Aplikazioen trafikoa kanalen artean automatikoki aldatzea.
- Administratzailearen denbora: sarea globalki garatu dezakezu, konfigurazioekin hardware-pieza bakoitzean arakatu beharrean.
- Adar berriak altxatzeko abiadura. Askoz altuagoa da.
- Hildako ekipamenduak ordezkatzen dituzun bitartean geldialdi-denbora gutxiago.
- Azkar konfiguratu sarea zerbitzu berrietarako.
Zer lortzen du negozio batek SD-WANetik:
- Enpresa-aplikazioen funtzionamendu bermatua sare banatu batean, Interneteko kanal irekien bidez barne. Negozioaren aurreikusgarritasunari buruzkoa da.
- Banatutako sare osoan negozio-aplikazio berrietarako berehalako laguntza, sukurtsalen kopurua edozein dela ere. Negozioaren abiadurari buruzkoa da.
- Sukurtsalen konexio azkarra eta segurua urruneko edozein kokapenetan edozein konexio teknologia erabiliz (Internet nonahi dago, baina alokairuko lineak eta VPN ez). Kokapen bat aukeratzeko negozioaren malgutasunari buruzkoa da hau.
- Bidalketa eta abian jartzeko proiektu bat izan daiteke, edo zerbitzu bat izan daiteke
informatika-enpresa, telekomunikazio-operadore edo hodeiko operadore baten hileroko ordainketekin. Zuretzat komenigarria dena.
SD-WANen negozio-onurak guztiz desberdinak izan daitezke, adibidez, bezero batek esan zigun goi-zuzendari batek milaka enpresa bateko langile guztiekin lerro zuzena eta edukia emateko gaitasuna jaso zuela.
Guretzat βoperazio militarraβ izan zen. Momentu horretan, jadanik CSPD modernizatzeko arazoa konpontzen ari ginen. Eta ulertzen dugunean, printzipioz, ekipamenduak berritzeari ekin behar diogula, eta teknologia pila aurreratu denean, zergatik aritu beharko genuke teknologia eta zerbitzu berberen berriztapenean urrats bat gehiago eman ahal badugu.
SD-WAN gunean instalatzen du Enikey-k. Hau garrantzitsua da urruneko sukurtsaletarako, non administratzaile normal bat ez dagoenean. Bidali postaz, esan: "Entxufatu 1 kablea 1 kutxan, 2 kablea 2 kaxan, eta ez nahastu! Ez nahastu, #@$@%!" Eta nahasten ez badute, gailua bera zerbitzari zentralarekin komunikatzen da, bere konfigurazioak jaso eta aplikatzen ditu, eta bulego hau konpainiaren sare seguruaren parte bihurtzen da. Polita da bidaiatu beharrik ez duzunean eta erraza da zure aurrekontuan justifikatzea.
Hona hemen standaren eskema:
Konfigurazio adibide batzuk:
Politika - trafikoa kudeatzeko arau globalak. Politika bat editatzea.
Aktibatu trafikoa kontrolatzeko politika.
Gailuaren oinarrizko parametroen konfigurazio masiboa (IP helbideak, DHCP multzoak).
Aplikazioen errendimenduaren jarraipenaren pantaila-argazkiak
Hodeiko aplikazioetarako.
Office365-en xehetasunak.
On-premiko aplikazioetarako. Zoritxarrez, gure standean ezin izan ditugu akatsak dituzten aplikazioak aurkitu (FEC Berreskuratze-tasa zero da edonon).
Gainera - datuen transmisio-kanalen errendimendua.
Zer hardware onartzen den SD-WAN-en
1. Hardware plataformak:
- Cisco vEdge bideratzaileak (lehen Viptela vEdge) Viptela OS exekutatzen duten.
- 1 eta 000 serieko Zerbitzu Integratuen bideratzaileak (ISR) IOS XE SD-WAN exekutatzen dutenak.
- Aggregation Services Router (ASR) 1 seriea IOS XE SD-WAN exekutatzen duena.
2. Plataforma birtualak:
- Cloud Services Router (CSR) 1v IOS XE SD-WAN exekutatzen duena.
- vEdge Cloud Router Viptela OS exekutatzen duena.
Plataforma birtualak Cisco x86 informatika plataformetan heda daitezke, hala nola Enterprise Network Compute System (ENCS) 5 seriean, Unified Computing System (UCS) eta Cloud Services Platform (CSP) 000 seriean. Plataforma birtualak edozein x5 gailutan ere exekutatu daitezke. KVM edo VMware ESi bezalako hipervisor bat erabiliz.
Gailu berri bat nola abiarazten den
Inplementatzeko lizentziadun gailuen zerrenda Cisco smart kontu batetik deskargatzen da edo CSV fitxategi gisa kargatzen da. Geroago pantaila-argazki gehiago lortzen saiatuko naiz, oraintxe bertan ez dugu gailu berririk zabaltzeko.
Gailu batek zabaltzen denean egiten dituen urratsen sekuentzia.
Gailu/konfigurazio bidalketa-metodo berri bat nola zabaltzen den
Gailuak gehitzen ditugu kontu adimendunean.
CSV fitxategi bat deskarga dezakezu edo bat aldi berean deskarga dezakezu:
Bete gailuaren parametroak:
Ondoren, vManage-n datuak kontu adimendunarekin sinkronizatzen ditugu. Gailua zerrendan agertzen da:
Gailuaren parean dagoen goitibeherako menuan, egin klik Sortu Bootstrap konfigurazioa
eta lortu hasierako konfigurazioa:
Konfigurazio hau gailuari eman behar zaio. Modurik errazena ciscosd-wan.cfg izeneko gordetako fitxategi batekin flash drive bat gailura konektatzea da. Abiatzerakoan, gailuak fitxategi hau bilatuko du.
Hasierako konfigurazioa jasota, gailua orkestratzailera iritsi eta handik konfigurazio osoa jaso ahal izango du.
SD-Access (DNA) aztertzen dugu
SD-Access-ek portuak eta sarbide-eskubideak konfiguratzea errazten du erabiltzaileak konektatzeko. Hau morroiak erabiliz egiten da. Portu-parametroak "Administratzaileak", "Kontabilitatea", "Inprimagailuak" taldeei dagokienez ezartzen dira, eta ez VLAN eta IP azpisareekin. Horrek giza akatsak gutxitzen ditu. Adibidez, enpresa batek Errusian sukurtsal asko baditu, baina bulego zentrala gainkargatuta badago, SD-Access-ek arazo gehiago lokalean konpontzeko aukera ematen du. Adibidez, arazo berdinak konpontzeko arazoak.
Informazioaren segurtasunerako, garrantzitsua da SD-Access erabiltzaileak eta gailuak taldetan banatzea argi eta garbi izatea eta haien arteko interakzio-politikak definitzea, bezeroen sarerako edozein konexio baimentzea eta sare osoan "sarbide-eskubideak" ematea. Ikuspegi hau jarraitzen baduzu, administrazioa askoz errazagoa izango da.
Bulego berrien abiarazteko prozesua ere sinplifikatu egiten da etengailuetako Plug-and-Play agenteei esker. Ez dago kontsola batekin herrialdean zehar korrika egin beharrik, ezta gunera joan beharrik ere.
Hona hemen konfigurazio adibideak:
Egoera orokorra.
Administratzaile batek berrikusi behar dituen gorabeherak.
Konfigurazioetan aldatu beharrekoari buruzko gomendio automatikoak.
SD-WAN SD-Access-ekin integratzeko plana
Entzun nuen Ciscok halako planak dituela - SD-WAN eta SD-Access. Honek hemorroideak nabarmen murriztu beharko lituzke geografikoki banatutako eta tokiko CSPDak kudeatzen direnean.
vManage (SD-WAN orkestratzailea) DNA Center-etik (SD-Access controller) API bidez kudeatzen da.
Mikro- eta makro-segmentazio-politikak honela mapatzen dira:
Pakete mailan, dena honelakoa da:
Nork pentsatzen du honetaz eta zer?
SD-WAN 2016az geroztik ari gara lanean aparteko laborategi batean, non konponbide desberdinak probatzen ditugun txikizkako, banku, garraio eta industriaren beharretarako.
Benetako bezeroekin asko komunikatzen gara.
Esan dezaket txikizkako merkataritzak dagoeneko konfiantzaz probatzen ari direla SD-WAN, eta batzuk saltzaileekin egiten ari direla (gehienetan Ciscorekin), baina badaude arazoa beren kabuz konpontzen saiatzen ari direnak ere: beren bertsioa idazten ari dira. SD-WANen funtzionalitatean antzekoa den softwarea.
Denek, nola edo hala, ekipamendu-zoo osoaren kudeaketa zentralizatua lortu nahi dute. Estandarra ez diren instalazioetarako eta saltzaile ezberdinetarako eta teknologia ezberdinetarako estandarrak diren administrazio-puntu bat da. Garrantzitsua da eskuzko lana gutxitzea, lehenik eta behin, ekipamenduak konfiguratzerakoan giza faktorearen arriskua murrizten duelako, eta, bestetik, informatika zerbitzuaren baliabideak askatzen dituelako beste zeregin batzuk konpontzeko. Normalean, beharraren aitorpena herrialde osoko berritze-ziklo luzeetatik dator. Eta, adibidez, dendari batek alkohola saltzen badu, gero etengabeko komunikazioa behar du salmentarako. Egunean zehar eguneratzeak edo geldialdiak zuzenean eragiten du diru-sarreretan.
Orain txikizkako merkataritzan argi dago zer IT zereginek SD-WAN erabiliko duten:
- Inplementazio azkarra (askotan LTEn behar da kable-hornitzailea iritsi baino lehen, askotan beharrezkoa da puntu berria hiriko administratzaileak GPC bidez planteatzea, eta gero zentroak begiratu eta konfiguratu besterik ez du egiten).
- Kudeaketa zentralizatua, objektu arrotzetarako komunikazioa.
- Telekomunikazio kostuak murriztea.
- Hainbat zerbitzu gehigarri (DPI eginbideek ahalbidetzen dute trafikoaren bidalketa lehenesteko aplikazio garrantzitsuetatik, hala nola kutxa erregistratzaileak).
- Lan egin kanalekin automatikoki, ez eskuz.
Eta betetze-kontrol bat ere badago - denek asko hitz egiten dute horretaz, baina inork ez du arazo gisa hautematen. Dena ondo funtzionatzen duela mantentzeak ere ondo funtzionatzen du paradigma honetan. Askok uste dute sare teknologikoen merkatu osoa norabide horretan mugituko dela.
Bankuak, IMHO, gaur egun SD-WAN probatzen ari dira ezaugarri teknologiko berri gisa. Aurreko belaunaldietako ekipoen laguntzaren amaieraren zain daude eta orduan bakarrik aldatuko dira. Kutxek, oro har, bere giro berezia izaten dute komunikazio bideen bidez, beraz, industriaren egungo egoerak ez ditu asko kezkatzen. Arazoak beste plano batzuetan daude.
Errusiako merkatuan ez bezala, SD-WAN aktiboki ezartzen ari da Europan. Haien komunikazio-bideak garestiagoak dira, eta, beraz, Europako enpresek euren pila Errusiako dibisioetara eramaten dute. Errusian, nolabaiteko egonkortasuna dago, kanalen kostua (eskualdea erdigunea baino 25 aldiz garestiagoa denean ere) nahiko normala dirudi eta ez du zalantza sortzen. Urtetik urtera, baldintzarik gabeko aurrekontua dago komunikazio bideetarako.
Hona hemen munduko praktikaren adibide bat, enpresa batek Cisco-n SD-WAN erabiliz denbora eta dirua aurreztu zuenean.
Halako enpresa bat dago - National Instruments. Une jakin batean, mundu osoko 88 gune konbinatuz βlortutakoβ sare informatiko globala eraginkorra ez zela ulertzen hasi ziren. Gainera, konpainiak ur bero sanitarioaren hornikuntzaren ahalmena eta errendimendua falta zuen. Ez zegoen orekarik konpainiaren etengabeko hazkundearen eta IT aurrekontu mugatuaren artean.
SD-WANek National Instrumentsek MPLS kostuak % 25 murrizten lagundu zion (450 amaieran 2018 $ aurreztuz), banda zabalera % 3ean zabalduz.
SD-WAN ezartzearen ondorioz, konpainiak softwareak definitutako sare adimenduna eta politikaren kudeaketa zentralizatua jaso zituen trafikoa eta aplikazioen errendimendua automatikoki optimizatzeko. - kasu zehatza.
S7 bat beste bulego batera eramateko kasu guztiz zoroa, hasieran dena zaila hasi zenean, baina interesgarria - 1,5 mila ataka berregin behar ziren. Baina gero zerbait gaizki joan zen eta, ondorioz, administratzaileak azkenak izan ziren epemuga baino lehen, pilatutako atzerapen guztiak.
Irakurri gehiago ingelesez:
- .
- .
- .
- .
- Baina munduko sareko joerei buruz.
Errusieraz:
- .
- .
- .
- .
- Nire posta elektronikoa, galderarik baduzu edo zure zereginak gure standean probatu nahi badituzu, - [posta elektroniko bidez babestua].
Iturria: www.habr.com