SD-WAN ja DNA järjestelmänvalvojan apuna: arkkitehtuurin ominaisuudet ja käytäntö

Teline, jota voit halutessasi koskettaa laboratoriossamme.

SD-WAN ja SD-Access ovat kaksi erilaista uutta patentoitua lähestymistapaa verkkojen rakentamiseen. Jatkossa niiden pitäisi sulautua yhdeksi peittoverkostoksi, mutta toistaiseksi ne ovat vasta lähestymässä. Logiikka on seuraava: otamme verkon 1990-luvulta ja julkaisemme siihen kaikki tarvittavat korjaustiedostot ja ominaisuudet odottamatta, että siitä tulee uusi avoin standardi 10 vuoden kuluttua.

SD-WAN on SDN-korjaus hajautettuihin yritysverkkoihin. Kuljetus on erillinen, ohjaus on erillinen, joten ohjaus on yksinkertaistettu.

Plussat - kaikkia viestintäkanavia käytetään aktiivisesti, myös varakanavaa. Paketit reititetään sovelluksiin: mitä, minkä kanavan kautta ja millä prioriteetilla. Yksinkertaistettu menettely uusien pisteiden käyttöönottamiseksi: määrityksen sijaan määritä suuren Internetin Cisco-palvelimen, CROC-palvelinkeskuksen tai asiakkaan osoite, josta erityisesti verkkoasi koskevat konfiguraatiot on otettu.

SD-Access (DNA) on paikallisen verkon hallinnan automatisointi: konfigurointi yhdestä pisteestä, ohjatut toiminnot, kätevät rajapinnat. Itse asiassa toinen verkko on rakennettu eri siirrolla protokollatasolla sinun päällesi, ja yhteensopivuus vanhempien verkkojen kanssa varmistetaan reunarajoilla.

Käsittelemme myös tätä alla.

Nyt esittelyjä laboratoriomme testipenkeillä, miten se näyttää ja toimii.

Aloitetaan SD-WANista. Pääpiirteet:

• Uusien pisteiden käyttöönoton yksinkertaistaminen (ZTP) - oletetaan, että syötät pisteeseen jotenkin palvelimen osoitteen asetuksilla. Piste koputtaa siihen, vastaanottaa konfiguraation, rullaa sen ylös ja sisältyy ohjauspaneeliisi. Tämä varmistaa ZTP:n (Zero-Touch Provisioning). Päätepisteen käyttöönottoa varten verkkosuunnittelijan ei tarvitse matkustaa sivustolle. Tärkeintä on käynnistää laite oikein paikan päällä ja kytkeä kaikki kaapelit siihen, niin laite muodostaa automaattisesti yhteyden järjestelmään. Voit ladata konfiguraatioita DNS-kyselyiden kautta toimittajan pilvessä liitetyltä USB-asemalta tai voit avata hyperlinkin kannettavasta tietokoneesta, joka on liitetty laitteeseen Wi-Fi- tai Ethernet-yhteydellä.
• Rutiininomaisen verkonhallinnan yksinkertaistaminen - konfigurointi malleista, globaalit käytännöt, keskitetysti määritetty vähintään viidelle haaralle, vähintään 5. Kaikki yhdestä paikasta. Pitkän matkan välttämiseksi on erittäin kätevä vaihtoehto palata automaattisesti edelliseen kokoonpanoon.
• Sovellustason liikenteenhallinta – varmistaa laadun ja jatkuvan sovellusallekirjoituksen päivityksen. Käytännöt määritetään ja otetaan käyttöön keskitetysti (jokaiselle reitittimelle ei tarvitse kirjoittaa ja päivittää reittikarttoja, kuten ennen). Näet kuka lähettää mitä, minne ja mitä.
• Verkon segmentointi. Riippumattomat erilliset VPN:t koko infrastruktuurin päällä – jokaisella on oma reititys. Oletusarvoisesti liikenne niiden välillä on suljettu; voit avata pääsyn vain ymmärrettäville liikenteen tyypeille ymmärrettävissä verkon solmuissa, esimerkiksi kuljettamalla kaiken suuren palomuurin tai välityspalvelimen kautta.
• Verkon laatuhistorian näkyvyys – kuinka sovellukset ja kanavat toimivat. Erittäin hyödyllinen tilanteen analysoimiseksi ja korjaamiseksi jo ennen kuin käyttäjät alkavat saada valituksia sovellusten epävakaudesta.
• Näkyvyys eri kanavien välillä – ovatko ne rahan arvoisia, tulevatko kaksi eri operaattoria todella sivustollesi vai käyvätkö he todella saman verkon kautta ja heikentävät/laskevatko ne samaan aikaan.
• Pilvisovellusten näkyvyys ja liikenteen ohjaaminen tiettyjen kanavien kautta sen perusteella (Cloud Onramp).
• Yksi laitteisto sisältää reitittimen ja palomuurin (tarkemmin NGFW). Vähemmän laitteistoa tarkoittaa, että uuden sivukonttorin avaaminen on halvempaa.

SD-WAN-ratkaisujen komponentit ja arkkitehtuuri

Päätelaitteet ovat WAN-reitittimiä, jotka voivat olla laitteistoja tai virtuaalisia.

Orkesterit ovat verkonhallintatyökalu. Niille on määritetty päätelaitteen parametrit, liikenteen reitityskäytännöt ja suojaustoiminnot. Tuloksena olevat konfiguraatiot lähetetään automaattisesti ohjausverkon kautta solmuille. Samanaikaisesti orkesteri kuuntelee verkkoa ja tarkkailee laitteiden saatavuutta, portteja, viestintäkanavia ja käyttöliittymän kuormitusta.

Analyysityökalut. He tekevät raportteja päätelaitteilta kerättyjen tietojen perusteella: kanavien laatuhistoria, verkkosovellukset, solmujen saatavuus jne.

Ohjaajat ovat vastuussa liikenteen reitityskäytäntöjen soveltamisesta verkkoon. Niiden lähintä analogia perinteisissä verkoissa voidaan pitää BGP Route Reflectorina. Yleiset käytännöt, jotka järjestelmänvalvoja määrittää orkestraattorissa, saavat ohjaimet muuttamaan reititystaulukoidensa koostumusta ja lähettämään päivitettyjä tietoja päätelaitteisiin.

Mitä IT-palvelu saa SD-WAN:lta:

1. Varakanava on jatkuvasti käytössä (ei tyhjäkäynnillä). Se osoittautuu halvemmaksi, koska sinulla on varaa kahteen vähemmän paksuun kanavaan.
2. Sovellusliikenteen automaattinen vaihto kanavien välillä.
3. Järjestelmänvalvojan aika: voit kehittää verkkoa maailmanlaajuisesti sen sijaan, että indeksoisit jokaisen laitteiston konfiguraatioineen.
4. Uusien oksien kasvattamisen nopeus. Hän on paljon pitempi.
5. Vähemmän seisokkeja vaihdettaessa kuolleita laitteita.
6. Määritä verkko nopeasti uusille palveluille.

Mitä yritys saa SD-WAN:sta:

1. Yrityssovellusten taattu toiminta hajautetussa verkossa, myös avoimien Internet-kanavien kautta. Kyse on liiketoiminnan ennustettavuudesta.
2. Välitön tuki uusille yrityssovelluksille koko hajautetussa verkossa toimipisteiden lukumäärästä riippumatta. Kyse on liiketoiminnan nopeudesta.
3. Nopea ja turvallinen sivukonttoreiden yhteys missä tahansa etäpaikassa millä tahansa yhteysteknologialla (Internet on kaikkialla, mutta kiinteät linjat ja VPN eivät). Tässä on kyse liiketoiminnan joustavuudesta sijainnin valinnassa.
4. Tämä voi olla projekti, jossa on toimitus ja käyttöönotto, tai se voi olla palvelu
   kuukausimaksuilla IT-yritykseltä, teleoperaattorilta tai pilvioperaattorilta. Kumpi sinulle sopii.

SD-WANin liiketoiminnalliset hyödyt voivat olla täysin erilaisia, esimerkiksi eräs asiakas kertoi meille, että ylimmälle johtajalle on pyydetty suoraa yhteydenottoa usean tuhannen yrityksen kaikkiin työntekijöihin ja kykyä toimittaa sisältöä.

Meille se oli "sotilaallinen operaatio". Sillä hetkellä olimme jo ratkaisemassa CSPD:n modernisointiongelmaa. Ja kun ymmärrämme, että meidän on periaatteessa lähdettävä laitteiden kunnostukseen ja teknologiapino on mennyt eteenpäin, miksi meidän pitäisi ryhtyä samojen teknologioiden ja palveluiden kunnostukseen, jos voimme ottaa askeleen pidemmälle.

Enikey asentaa SD-WANin paikan päällä. Tämä on tärkeää etähaaroissa, joissa ei välttämättä ole normaalia järjestelmänvalvojaa. Lähetä postitse, sano: ”Kytke kaapeli 1 laatikkoon 1, kaapeli 2 laatikkoon 2, äläkä sekoita sitä! Älä hämmenny, #@$@%!” Ja jos he eivät sekoita sitä, laite itse kommunikoi keskuspalvelimen kanssa, poimii ja ottaa käyttöön sen asetukset, ja tästä toimistosta tulee osa yrityksen suojattua verkkoa. On mukavaa, kun sinun ei tarvitse matkustaa ja se on helppo perustella budjetillasi.

Tässä kaavio telineestä:

Muutamia esimerkkejä kokoonpanosta:

Käytäntö - globaalit säännöt liikenteen hallintaan. Käytännön muokkaaminen.

Aktivoi liikenteenohjauskäytäntö.

Laitteen perusparametrien massakonfigurointi (IP-osoitteet, DHCP-varastot).

Näyttökuvat sovelluksen suorituskyvyn seurannasta

Pilvisovelluksia varten.

Office365:n tiedot.

On-prem-sovelluksiin. Valitettavasti emme löytäneet osastoltamme virheitä sisältäviä sovelluksia (FEC-palautusaste on nolla kaikkialla).

Lisäksi - tiedonsiirtokanavien suorituskyky.

Mitä laitteita SD-WAN tukee

1. Laitteistoalustat:

• Cisco vEdge -reitittimet (aiemmin Viptela vEdge), joissa on Viptela OS.
• 1- ja 000-sarjan Integrated Services Routers (ISR) -reitittimet, joissa on käytössä IOS XE SD-WAN.
• Aggregation Services Router (ASR) 1 -sarja, jossa on käytössä IOS XE SD-WAN.

2. Virtuaaliset alustat:

• Cloud Services Router (CSR) 1v, jossa on käytössä IOS XE SD-WAN.
• vEdge Cloud Router, jossa on Viptela OS.

Virtuaalialustoja voidaan ottaa käyttöön Cisco x86 -laskenta-alustoilla, kuten Enterprise Network Compute System (ENCS) 5 -sarja, Unified Computing System (UCS) ja Cloud Services Platform (CSP) 000 -sarja. Virtuaalialustoja voidaan käyttää myös millä tahansa x5-laitteella käyttämällä hypervisoria, kuten KVM tai VMware ESi.

Kuinka uusi laite rullaa

Luettelo käyttöönotettavissa olevista laitteista ladataan joko Cisco Smart -tililtä tai CSV-tiedostona. Yritän saada lisää kuvakaappauksia myöhemmin, sillä tällä hetkellä meillä ei ole uusia laitteita käyttöönotettavana.

Vaihesarja, jonka laite käy läpi, kun se otetaan käyttöön.

Miten uusi laite/määrityksen toimitustapa otetaan käyttöön

Lisäämme laitteita Smart Accountiin.

Voit ladata CSV-tiedoston tai voit ladata yhden kerrallaan:

Täytä laitteen parametrit:

Seuraavaksi vManagessa synkronoimme tiedot Smart Accountin kanssa. Laite näkyy luettelossa:

Napsauta laitetta vastapäätä olevasta avattavasta valikosta Generate Bootstrap Configuration
ja hanki alkuasetukset:

Tämä asetus on syötettävä laitteeseen. Helpoin tapa on liittää laitteeseen flash-asema, jossa on tallennettu tiedosto nimeltä ciscosd-wan.cfg. Käynnistyksen aikana laite etsii tätä tiedostoa.

Alkukonfiguraation saatuaan laite voi tavoittaa orkestraattorin ja vastaanottaa sieltä täyden konfiguraation.

Tarkastelemme SD-Accessia (DNA)

SD-Accessin avulla on helppo määrittää portit ja käyttöoikeudet yhdistäville käyttäjille. Tämä tehdään ohjattujen toimintojen avulla. Porttiparametrit asetetaan suhteessa ryhmiin "Järjestelmänvalvojat", "Accounting", "Printers" eivätkä VLAN- ja IP-aliverkkoihin. Tämä minimoi inhimilliset virheet. Jos yrityksellä on esimerkiksi useita toimipisteitä eri puolilla Venäjää, mutta keskustoimisto on ylikuormitettu, SD-Accessin avulla voit ratkaista enemmän ongelmia paikallisesti. Esimerkiksi samat vianetsintäongelmat.

Tietoturvallisuuden kannalta on tärkeää, että SD-Access sisältää käyttäjien ja laitteiden selkeän jakamisen ryhmiin ja niiden välisten vuorovaikutuskäytäntöjen määrittelyn, valtuutuksen mahdollisille asiakasyhteyksille verkkoon ja "käyttöoikeuksien" tarjoamisen koko verkossa. Jos noudatat tätä lähestymistapaa, hallinnosta tulee paljon helpompaa.

Uusien toimistojen käynnistysprosessi on myös yksinkertaistettu kytkimien Plug-and-Play-agenttien ansiosta. Ei tarvitse juosta maastossa konsolin kanssa tai edes käydä sivustolla ollenkaan.

Tässä on esimerkkejä kokoonpanosta:

Yleinen tila.

Tapahtumat, jotka järjestelmänvalvojan tulee tarkistaa.

Automaattiset suositukset konfiguraatioiden muuttamista varten.

Suunnittele SD-WANin integrointi SD-Accessiin

Kuulin, että Ciscolla on tällaisia ​​suunnitelmia - SD-WAN ja SD-Access. Tämän pitäisi vähentää merkittävästi peräpukamia hoidettaessa maantieteellisesti jakautuneita ja paikallisia CSPD:itä.

vManagea (SD-WAN-orkesteri) hallitaan API:n kautta DNA Centeristä (SD-Access Controller).

Mikro- ja makrosegmentointikäytännöt on kartoitettu seuraavasti:

Pakettitasolla kaikki näyttää tältä:

Kuka ajattelee tästä ja mitä?

Olemme työstäneet SD-WAN:ia vuodesta 2016 lähtien erillisessä laboratoriossa, jossa testaamme erilaisia ​​ratkaisuja kaupan, pankkien, liikenteen ja teollisuuden tarpeisiin.

Kommunikoimme paljon todellisten asiakkaiden kanssa.

Voin sanoa, että vähittäiskauppa testaa jo luottavaisesti SD-WANia, ja jotkut tekevät tämän toimittajien kanssa (useimmiten Ciscon kanssa), mutta on myös niitä, jotka yrittävät ratkaista ongelman itse: he kirjoittavat oman versionsa ohjelmisto, joka on toiminnaltaan samanlainen kuin SD-WAN.

Jokainen, tavalla tai toisella, haluaa saavuttaa koko eläintarhan laitteiden keskitetyn hallinnan. Tämä on yksi hallintapiste epätyypillisille asennuksille ja vakioasennuksille eri toimittajille ja eri tekniikoille. Käsityön minimoiminen on tärkeää, koska ensinnäkin se vähentää inhimillisen tekijän riskiä laitteiden asennuksessa ja toiseksi vapauttaa IT-palvelun resursseja muiden tehtävien ratkaisemiseen. Tyypillisesti tarpeen tunnistaminen tulee erittäin pitkistä uusimissykleistä eri puolilla maata. Ja esimerkiksi jos jälleenmyyjä myy alkoholia, se tarvitsee jatkuvaa myyntiä. Päivitykset tai seisokit päivän aikana vaikuttavat suoraan tuloihin.

Nyt vähittäiskaupassa on selkeä käsitys siitä, mitkä IT-tehtävät käyttävät SD-WAN:ia:

1. Nopea käyttöönotto (tarvitaan usein LTE:ssä ennen kaapelipalveluntarjoajan saapumista, usein kaupungin järjestelmänvalvojan on nostettava uusi kohta GPC:n kautta, minkä jälkeen keskus vain näyttää ja määrittää).
2. Keskitetty hallinta, viestintä vieraisiin esineisiin.
3. Televiestintäkulujen pienentäminen.
4. Erilaisia ​​lisäpalveluita (DPI-ominaisuudet mahdollistavat liikenteen priorisoinnin tärkeistä sovelluksista, kuten kassakoneista).
5. Työskentele kanavien kanssa automaattisesti, ei manuaalisesti.

Ja siellä on myös vaatimustenmukaisuustarkastus - kaikki puhuvat siitä paljon, mutta kukaan ei pidä sitä ongelmana. Se, että kaikki toimii oikein, toimii hyvin myös tässä paradigmassa. Monet uskovat koko verkkoteknologiamarkkinoiden siirtyvän tähän suuntaan.

Pankit, IMHO, testaavat parhaillaan SD-WANia pikemminkin uutena teknologisena ominaisuutena. He odottavat aiempien sukupolvien laitteiden tuen loppumista ja vasta sitten ne muuttuvat. Pankeilla on yleensä oma erityinen ilmapiiri viestintäkanavien kautta, joten alan nykytilanne ei niitä juurikaan häiritse. Ongelmat ovat pikemminkin muissa koneissa.

Toisin kuin Venäjän markkinoilla, SD-WAN otetaan aktiivisesti käyttöön Euroopassa. Niiden viestintäkanavat ovat kalliimpia, ja siksi eurooppalaiset yritykset tuovat pinonsa Venäjän divisioonoihin. Venäjällä on tietty vakaus, koska kanavien kustannukset (vaikka alue on 25 kertaa kalliimpi kuin keskusta) näyttää melko normaalilta eivätkä herätä kysymyksiä. Vuodesta toiseen viestintäkanaville on varattu ehdoton budjetti.

Tässä on esimerkki maailmankäytännöstä, kun yritys säästi aikaa ja rahaa käyttämällä Ciscon SD-WAN:ia.

On olemassa sellainen yritys - National Instruments. Jossain vaiheessa he alkoivat ymmärtää, että maailmanlaajuinen tietokoneverkko, joka "saatu" yhdistämällä 88 sivustoa ympäri maailmaa, oli tehoton. Lisäksi yhtiöltä puuttui kuuman käyttöveden kapasiteetti ja suorituskyky. Yrityksen jatkuvan kasvun ja rajallisen IT-budjetin välillä ei ollut tasapainoa.

SD-WAN auttoi National Instrumentsia vähentämään MPLS-kustannuksia 25 % (450 2018 dollarin säästö vuoden 3 lopussa) ja laajentamaan kaistanleveyttä 075 XNUMX %.

SD-WAN:in käyttöönoton seurauksena yritys sai älykkään ohjelmiston määrittämän verkon ja keskitetyn käytäntöjenhallinnan optimoimaan automaattisesti liikenteen ja sovellusten suorituskyvyn. täällä - yksityiskohtainen tapaus.

Täällä aivan hullu tapaus siirtää S7 toiseen toimistoon, kun kaikki alkoi aluksi vaikealta, mutta mielenkiintoiselta - oli tarpeen tehdä 1,5 tuhatta porttia uudelleen. Mutta sitten jokin meni pieleen ja sen seurauksena järjestelmänvalvojat osoittautuivat viimeisiksi ennen määräaikaa, joille kaikki kertyneet viivästykset lankeavat.

Lue lisää englanniksi:

• American Banker: Fifth Third investoi viiden vuoden verkkopäivitykseen SD-WAN-yhteydellä .
• Cloud SD-WAN -menestyksen rakentaminen Kochissa.
• McKessonin SD-WAN-matka kustannussäästöihin .
• SD-WAN Retail PoC ja segmentointi: Gap Stores.
• Mutta Ciscon globaali tutkimus verkkotrendeistä maailmassa.

Venäjäksi:

• CNewsissa.
• Kuinka otimme käyttöön SD-Accessin ja miksi sitä tarvittiin.
• Verkkokangas Cisco ACI -palvelinkeskukseen - järjestelmänvalvojan avuksi.
• Vakaa kanava, joka perustuu ohjelmiston määrittämiin SD-WAN-verkkoihin: reitinvalintaongelmien ratkaiseminen.
• Sähköpostiosoitteeni, jos sinulla on kysyttävää tai haluat testata tehtäviäsi osastollamme, - [sähköposti suojattu].

Lähde: will.com