SD-WAN و DNA برای کمک به مدیر: ویژگی های معماری و تمرین

پایه ای که در صورت تمایل می توانید آن را در آزمایشگاه ما لمس کنید.

SD-WAN و SD-Access دو رویکرد اختصاصی جدید متفاوت برای ساخت شبکه هستند. در آینده، آنها باید در یک شبکه همپوشانی ادغام شوند، اما در حال حاضر آنها به تازگی نزدیک می شوند. منطق این است: ما شبکه‌ای را از دهه 1990 می‌گیریم و همه وصله‌ها و ویژگی‌های لازم را روی آن قرار می‌دهیم، بدون اینکه منتظر باشیم تا 10 سال دیگر به یک استاندارد باز جدید تبدیل شود.

SD-WAN یک وصله SDN برای شبکه های سازمانی توزیع شده است. حمل و نقل جداگانه است، کنترل جداگانه است، بنابراین کنترل ساده شده است.

جوانب مثبت - از همه کانال های ارتباطی، از جمله پشتیبان، به طور فعال استفاده می شود. مسیریابی بسته ها به برنامه ها وجود دارد: چه، از طریق کدام کانال و با چه اولویتی. یک روش ساده برای استقرار نقاط جدید: به جای راه اندازی یک پیکربندی، فقط آدرس سرور سیسکو را در اینترنت بزرگ، مرکز داده CROC یا مشتری مشخص کنید، جایی که تنظیمات مخصوص شبکه شما از آنجا گرفته شده است.

SD-Access (DNA) اتوماسیون مدیریت شبکه محلی است: پیکربندی از یک نقطه، جادوگران، رابط های راحت. در واقع، شبکه دیگری با انتقال متفاوت در سطح پروتکل در بالای شبکه شما ساخته شده است و سازگاری با شبکه های قدیمی در مرزهای محیطی تضمین می شود.

در ادامه به این موضوع نیز خواهیم پرداخت.

اکنون چند نمایش روی نیمکت های آزمایشی در آزمایشگاه ما، نحوه ظاهر و عملکرد آن.

بیایید با SD-WAN شروع کنیم. ویژگی های اصلی:

• ساده سازی استقرار نقاط جدید (ZTP) - فرض بر این است که شما به نحوی نقطه را با آدرس سرور با تنظیمات تغذیه می کنید. نقطه روی آن ضربه می زند، پیکربندی را دریافت می کند، آن را رول می کند و در کنترل پنل شما قرار می گیرد. این تضمین Zero-Touch Provisioning (ZTP) را تضمین می کند. برای استقرار یک نقطه پایانی، یک مهندس شبکه نیازی به سفر به سایت ندارد. نکته اصلی این است که دستگاه را به درستی در محل روشن کنید و تمام کابل ها را به آن وصل کنید، سپس تجهیزات به طور خودکار به سیستم متصل می شوند. می‌توانید پیکربندی‌ها را از طریق جستارهای DNS در ابر فروشنده از درایو USB متصل دانلود کنید، یا می‌توانید یک پیوند از لپ‌تاپ متصل به دستگاه از طریق Wi-Fi یا اترنت باز کنید.
• ساده‌سازی مدیریت شبکه معمولی - پیکربندی از الگوها، سیاست‌های جهانی، پیکربندی مرکزی برای حداقل پنج شاخه، حداقل 5. همه چیز از یک مکان. برای جلوگیری از سفر طولانی، یک گزینه بسیار راحت برای بازگشت خودکار به تنظیمات قبلی وجود دارد.
• مدیریت ترافیک در سطح برنامه - تضمین کیفیت و به روز رسانی مداوم امضای برنامه. خط‌مشی‌ها به صورت مرکزی پیکربندی و اجرا می‌شوند (نیازی به نوشتن و به‌روزرسانی نقشه‌های مسیر برای هر روتر، مانند قبل نیست). می توانید ببینید چه کسی چه چیزی، کجا و چه چیزی را می فرستد.
• تقسیم بندی شبکه VPN های جدا شده مستقل در بالای کل زیرساخت - هر کدام با مسیریابی خاص خود. به طور پیش‌فرض، ترافیک بین آن‌ها بسته است؛ شما می‌توانید فقط به انواع ترافیک قابل درک در گره‌های شبکه قابل درک دسترسی داشته باشید، به عنوان مثال، عبور همه چیز از یک فایروال یا پروکسی بزرگ.
• مشاهده تاریخچه کیفیت شبکه - نحوه عملکرد برنامه ها و کانال ها. بسیار مفید برای تجزیه و تحلیل و اصلاح وضعیت حتی قبل از اینکه کاربران شروع به دریافت شکایت در مورد عملکرد ناپایدار برنامه ها کنند.
• دیده شدن در بین کانال ها - آیا ارزش پول را دارند، آیا دو اپراتور مختلف واقعاً به سایت شما می آیند یا اینکه در واقع از طریق یک شبکه می گذرند و در یک زمان تنزل می یابند.
• قابلیت مشاهده برای برنامه های ابری و هدایت ترافیک از طریق کانال های خاص بر اساس آن (Cloud Onramp).
• یک قطعه سخت افزار شامل یک روتر و یک فایروال (به طور دقیق تر، NGFW) است. قطعات سخت افزاری کمتر به این معنی است که باز کردن یک شعبه جدید ارزان تر است.

اجزا و معماری راه حل های SD-WAN

دستگاه های پایانی روترهای WAN هستند که می توانند سخت افزاری یا مجازی باشند.

ارکستراتورها یک ابزار مدیریت شبکه هستند. آنها با پارامترهای دستگاه نهایی، سیاست های مسیریابی ترافیک و عملکرد امنیتی پیکربندی شده اند. تنظیمات به دست آمده به طور خودکار از طریق شبکه کنترل به گره ها ارسال می شود. به موازات آن، ارکستراتور به شبکه گوش می دهد و در دسترس بودن دستگاه ها، پورت ها، کانال های ارتباطی و بارگذاری رابط را نظارت می کند.

ابزار تجزیه و تحلیل آنها گزارش هایی را بر اساس داده های جمع آوری شده از دستگاه های نهایی تهیه می کنند: تاریخچه کیفیت کانال ها، برنامه های کاربردی شبکه، در دسترس بودن گره ها و غیره.

کنترلرها مسئول اعمال سیاست های مسیریابی ترافیک در شبکه هستند. نزدیکترین آنالوگ آنها در شبکه های سنتی را می توان BGP Route Reflector در نظر گرفت. خط‌مشی‌های جهانی که سرپرست در ارکستراتور پیکربندی می‌کند باعث می‌شود که کنترل‌کننده‌ها ترکیب جدول مسیریابی خود را تغییر دهند و اطلاعات به‌روز شده را به دستگاه‌های پایانی ارسال کنند.

خدمات فناوری اطلاعات از SD-WAN چه چیزی دریافت می کند:

1. کانال پشتیبان دائما در حال استفاده است (بیکار نیست). ارزان تر به نظر می رسد زیرا می توانید دو کانال با ضخامت کمتر را بخرید.
2. تغییر خودکار ترافیک برنامه بین کانال ها.
3. زمان مدیر: شما می توانید شبکه را در سطح جهانی توسعه دهید، به جای خزیدن در هر بخش از سخت افزار با تنظیمات.
4. سرعت پرورش شاخه های جدید. او خیلی بلندتر است.
5. زمان از کار افتادن کمتر هنگام تعویض تجهیزات مرده.
6. به سرعت شبکه را برای سرویس های جدید پیکربندی مجدد کنید.

کسب و کار چه چیزی از SD-WAN دریافت می کند:

1. عملکرد تضمینی برنامه های تجاری در یک شبکه توزیع شده، از جمله از طریق کانال های باز اینترنت. این در مورد قابلیت پیش بینی کسب و کار است.
2. پشتیبانی فوری برای برنامه های تجاری جدید در سراسر شبکه توزیع شده، صرف نظر از تعداد شعب. این در مورد سرعت کسب و کار است.
3. اتصال سریع و ایمن شعب در هر مکان از راه دور با استفاده از هر فناوری اتصال (اینترنت همه جا وجود دارد، اما خطوط اجاره ای و VPN نیستند). این در مورد انعطاف پذیری کسب و کار در انتخاب مکان است.
4. این می تواند یک پروژه با تحویل و راه اندازی باشد یا می تواند یک سرویس باشد
   با پرداخت ماهانه از یک شرکت فناوری اطلاعات، اپراتور مخابراتی یا اپراتور ابری. هر کدام که برای شما مناسب است.

مزایای تجاری SD-WAN می تواند کاملاً متفاوت باشد، به عنوان مثال، یکی از مشتریان به ما گفت که یک مدیر ارشد درخواست خط مستقیم با همه کارمندان یک شرکت چند هزار نفری و توانایی ارائه محتوا را دریافت کرده است.

برای ما این یک "عملیات نظامی" بود. در آن لحظه، ما از قبل مشکل نوسازی CSPD را حل می کردیم. و وقتی می‌فهمیم که اصولاً باید درگیر نوسازی تجهیزات باشیم و پشته فناوری جلوتر رفته است، اگر می‌توانیم قدمی فراتر برداریم، چرا باید به نوسازی همان فناوری‌ها و خدمات بپردازیم.

SD-WAN توسط Enikey در سایت نصب شده است. این برای شاخه های راه دور مهم است، جایی که ممکن است یک مدیر عادی وجود نداشته باشد. از طریق پست ارسال کنید، بگویید: «کابل 1 را به جعبه 1 وصل کنید، کابل 2 را به جعبه 2 وصل کنید و آن را با هم مخلوط نکنید! گیج نشوید، #@$@%!» و اگر آن را با هم مخلوط نکنند، خود دستگاه با سرور مرکزی ارتباط برقرار می کند، تنظیمات آن را برمی دارد و اعمال می کند و این دفتر بخشی از شبکه امن شرکت می شود. وقتی مجبور نیستید سفر کنید خوب است و به راحتی می توانید بودجه خود را توجیه کنید.

در اینجا نموداری از غرفه آمده است:

چند نمونه پیکربندی:

سیاست - قوانین جهانی برای مدیریت ترافیک. ویرایش یک خط مشی

سیاست کنترل ترافیک را فعال کنید.

پیکربندی انبوه پارامترهای اصلی دستگاه (آدرس های IP، استخرهای DHCP).

تصاویری از نظارت بر عملکرد برنامه

برای برنامه های ابری

جزئیات برای Office365.

برای برنامه های کاربردی. متأسفانه، ما نتوانستیم برنامه های دارای خطا را در جایگاه خود پیدا کنیم (نرخ بازیابی FEC در همه جا صفر است).

علاوه بر این - عملکرد کانال های انتقال داده.

چه سخت افزاری در SD-WAN پشتیبانی می شود

1. پلتفرم های سخت افزاری:

• روترهای Cisco vEdge (قبلاً Viptela vEdge) که سیستم عامل Viptela را اجرا می کنند.
• روترهای خدمات مجتمع سری 1 و 000 (ISR) که IOS XE SD-WAN را اجرا می کنند.
• روتر خدمات جمع آوری (ASR) سری 1 که IOS XE SD-WAN را اجرا می کند.

2. پلتفرم های مجازی:

• روتر خدمات ابری (CSR) 1 ولتی با سیستم عامل IOS XE SD-WAN.
• روتر ابری vEdge که سیستم عامل Viptela را اجرا می کند.

پلتفرم‌های مجازی را می‌توان بر روی پلت‌فرم‌های محاسباتی سیسکو x86، مانند سیستم محاسباتی شبکه سازمانی (ENCS) سری 5، سیستم محاسباتی یکپارچه (UCS) و پلتفرم خدمات ابری (CSP) سری 000 مستقر کرد. پلت‌فرم‌های مجازی همچنین می‌توانند بر روی هر دستگاه x5 اجرا شوند. با استفاده از یک Hypervisor مانند KVM یا VMware ESi.

چگونه یک دستگاه جدید رول می شود

لیست دستگاه های دارای مجوز برای استقرار یا از یک حساب هوشمند Cisco دانلود می شود یا به عنوان یک فایل CSV آپلود می شود. بعداً سعی می‌کنم اسکرین‌شات‌های بیشتری بگیرم، در حال حاضر دستگاه جدیدی برای نصب نداریم.

توالی مراحلی که یک دستگاه هنگام استقرار طی می کند.

نحوه ارائه یک روش تحویل دستگاه/پیکربندی جدید

ما دستگاه ها را به حساب هوشمند اضافه می کنیم.

می‌توانید یک فایل CSV را دانلود کنید، یا می‌توانید یکی یکی دانلود کنید:

پارامترهای دستگاه را پر کنید:

بعد، در vManage داده ها را با حساب هوشمند همگام می کنیم. دستگاه در لیست ظاهر می شود:

در منوی کشویی روبروی دستگاه، روی Generate Bootstrap Configuration کلیک کنید
و پیکربندی اولیه را دریافت کنید:

این پیکربندی باید به دستگاه داده شود. ساده ترین راه این است که یک درایو فلش را با یک فایل ذخیره شده به نام ciscosd-wan.cfg به دستگاه متصل کنید. هنگام بوت شدن، دستگاه به دنبال این فایل می گردد.

پس از دریافت پیکربندی اولیه، دستگاه می‌تواند به ارکستراتور برسد و پیکربندی کامل را از آنجا دریافت کند.

ما به SD-Access (DNA) نگاه می کنیم

SD-Access پیکربندی پورت ها و حقوق دسترسی را برای کاربران متصل آسان می کند. این کار با استفاده از جادوگران انجام می شود. پارامترهای پورت در رابطه با گروه‌های "Administrators"، "Accounting"، "Printers" و نه به VLAN و زیرشبکه‌های IP تنظیم می‌شوند. این کار خطاهای انسانی را به حداقل می رساند. به عنوان مثال، اگر یک شرکت شعبه های زیادی در سراسر روسیه دارد، اما دفتر مرکزی بیش از حد بارگذاری شده است، SD-Access به شما امکان می دهد مشکلات بیشتری را به صورت محلی حل کنید. مثلا همین مشکلات در مورد عیب یابی.

برای امنیت اطلاعات، مهم است که SD-Access شامل تقسیم واضح کاربران و دستگاه‌ها به گروه‌ها و تعریف سیاست‌های تعامل بین آنها، مجوز برای هر اتصال مشتری به شبکه و ارائه «حقوق دسترسی» در سراسر شبکه باشد. اگر این رویکرد را دنبال کنید، مدیریت بسیار آسان تر می شود.

فرآیند راه اندازی دفاتر جدید نیز به لطف عوامل Plug-and-Play در سوئیچ ها ساده شده است. نیازی به دویدن در کراس کانتری با کنسول یا حتی رفتن به سایت نیست.

در اینجا نمونه های پیکربندی وجود دارد:

وضعیت عمومی

حوادثی که یک مدیر باید بررسی کند.

توصیه های خودکار در مورد آنچه که در تنظیمات تغییر دهید.

برنامه ریزی برای ادغام SD-WAN با SD-Access

شنیده ام که سیسکو چنین برنامه هایی دارد - SD-WAN و SD-Access. این باید به طور قابل توجهی باعث کاهش هموروئید در هنگام مدیریت CSPD های پراکنده جغرافیایی و محلی شود.

vManage (ارکستراتور SD-WAN) از طریق API از مرکز DNA (کنترل کننده SD-Access) مدیریت می شود.

سیاست‌های تقسیم‌بندی خرد و کلان به شرح زیر ترسیم می‌شوند:

در سطح بسته، همه چیز به این صورت است:

چه کسی و چه چیزی در این مورد فکر می کند؟

ما از سال 2016 روی SD-WAN در یک آزمایشگاه جداگانه کار می کنیم، جایی که ما راه حل های مختلفی را برای نیازهای خرده فروشی، بانک ها، حمل و نقل و صنعت آزمایش می کنیم.

ما بسیار با مشتریان واقعی ارتباط برقرار می کنیم.

می توانم بگویم که خرده فروشی در حال حاضر با اطمینان SD-WAN را آزمایش می کند، و برخی این کار را با فروشندگان (اغلب با سیسکو) انجام می دهند، اما کسانی نیز هستند که سعی می کنند مشکل را به تنهایی حل کنند: آنها در حال نوشتن نسخه خود هستند. نرم افزاری که از نظر عملکرد مشابه SD-WAN است.

هرکسی به هر نحوی می خواهد به مدیریت متمرکز کل تجهیزات باغ وحش دست یابد. این یک نقطه مدیریت برای نصب های غیر استاندارد و موارد استاندارد برای فروشندگان مختلف و فناوری های مختلف است. به حداقل رساندن کار دستی بسیار مهم است زیرا اولاً باعث کاهش ریسک عامل انسانی در هنگام راه اندازی تجهیزات می شود و ثانیاً منابع سرویس فناوری اطلاعات را برای حل سایر مشکلات آزاد می کند. به طور معمول، تشخیص نیاز از چرخه های بسیار طولانی تجدید در سراسر کشور ناشی می شود. و به عنوان مثال، اگر یک خرده‌فروش الکل بفروشد، برای فروش به ارتباط دائمی نیاز دارد. به روز رسانی یا خرابی در طول روز به طور مستقیم بر درآمد تأثیر می گذارد.

اکنون در خرده فروشی درک روشنی از وظایف IT وجود دارد که از SD-WAN استفاده می کنند:

1. استقرار سریع (اغلب قبل از رسیدن ارائه دهنده کابل در LTE مورد نیاز است، اغلب لازم است که نقطه جدید توسط سرپرست در شهر از طریق GPC مطرح شود و سپس مرکز به سادگی نگاه می کند و پیکربندی می کند).
2. مدیریت متمرکز، ارتباطات برای اشیاء خارجی.
3. کاهش هزینه های مخابراتی
4. خدمات اضافی مختلف (ویژگی های DPI امکان اولویت بندی تحویل ترافیک از برنامه های مهم مانند صندوق های نقدی را فراهم می کند).
5. با کانال ها به صورت خودکار کار کنید، نه دستی.

و همچنین یک بررسی انطباق وجود دارد - همه در مورد آن زیاد صحبت می کنند، اما هیچ کس آن را به عنوان یک مشکل درک نمی کند. حفظ اینکه همه چیز به درستی کار می کند نیز در این پارادایم خوب کار می کند. بسیاری بر این باورند که کل بازار فناوری شبکه به این سمت خواهد رفت.

بانک ها، IMHO، در حال حاضر SD-WAN را به عنوان یک ویژگی تکنولوژیکی جدید آزمایش می کنند. آنها منتظر پایان پشتیبانی برای نسل های قبلی تجهیزات هستند و تنها در این صورت تغییر خواهند کرد. بانک ها عموماً از طریق کانال های ارتباطی فضای خاص خود را دارند، بنابراین وضعیت فعلی صنعت چندان آنها را آزار نمی دهد. مشکلات بیشتر در هواپیماهای دیگر نهفته است.

برخلاف بازار روسیه، SD-WAN به طور فعال در اروپا اجرا می شود. کانال های ارتباطی آنها گران تر است و بنابراین شرکت های اروپایی پشته خود را به بخش های روسیه می آورند. در روسیه، ثبات خاصی وجود دارد، زیرا هزینه کانال ها (حتی زمانی که منطقه 25 برابر گران تر از مرکز است) کاملاً عادی به نظر می رسد و سؤالی ایجاد نمی کند. سال به سال بودجه بی قید و شرطی برای کانال های ارتباطی وجود دارد.

در اینجا مثالی از رویه جهانی آورده شده است، زمانی که یک شرکت با استفاده از SD-WAN در سیسکو در زمان و هزینه خود صرفه جویی کرد.

چنین شرکتی وجود دارد - National Instruments. در نقطه ای مشخص، آنها شروع به درک این موضوع کردند که شبکه جهانی کامپیوتر، "به دست آمده" با ترکیب 88 سایت در سراسر جهان، بی اثر است. علاوه بر این، این شرکت فاقد ظرفیت و عملکرد تامین آب گرم خانگی خود بود. هیچ تعادلی بین رشد مستمر شرکت و بودجه محدود IT وجود نداشت.

SD-WAN به National Instruments کمک کرد تا هزینه های MPLS را تا 25٪ کاهش دهد (450 دلار در پایان سال 2018 صرفه جویی کند)، پهنای باند را 3٪ افزایش دهد.

در نتیجه اجرای SD-WAN، این شرکت یک شبکه تعریف شده از نرم افزار هوشمند و مدیریت سیاست متمرکز را برای بهینه سازی خودکار ترافیک و عملکرد برنامه دریافت کرد. اینجا - مورد مفصل

درست همین جا یک مورد کاملاً دیوانه کننده انتقال S7 به دفتر دیگری، زمانی که در ابتدا همه چیز دشوار، اما جالب شروع شد - لازم بود 1,5 هزار پورت دوباره انجام شود. اما بعداً مشکلی پیش آمد و در نتیجه ادمین ها آخرین نفرات قبل از ضرب الاجل بودند که تمام تأخیرهای انباشته شده روی آنها می افتد.

ادامه مطلب را به زبان انگلیسی بخوانید:

• American Banker: Fifth Third در ارتقاء شبکه 5 ساله با SD-WAN سرمایه گذاری می کند .
• موفقیت در ساخت Cloud SD-WAN در Koch.
• سفر SD-WAN McKesson به سمت صرفه جویی در هزینه .
• SD-WAN خرده فروشی PoC & Segmentation: Gap Stores.
• و در اینجا مطالعه جهانی سیسکو در مورد روند شبکه در جهان

در روسی:

• در CNews.
• چگونه SD-Access را پیاده سازی کردیم و چرا به آن نیاز بود.
• پارچه شبکه برای مرکز داده Cisco ACI - برای کمک به مدیر.
• کانال پایدار بر اساس شبکه های SD-WAN تعریف شده توسط نرم افزار: حل مشکلات انتخاب مسیر.
• ایمیل من، اگر سؤالی دارید یا می خواهید وظایف خود را در غرفه ما آزمایش کنید، - [ایمیل محافظت شده].

منبع: www.habr.com