SD-WAN et DNA pour aider l'administrateur : fonctionnalités et pratique de l'architecture

Un stand que vous pouvez toucher dans notre laboratoire si vous le souhaitez.

SD-WAN et SD-Access sont deux nouvelles approches propriétaires distinctes pour la construction de réseaux. À l'avenir, elles devraient fusionner en un seul réseau superposé, mais pour l'instant, elles n'en sont qu'à leurs débuts. La logique est la suivante : prendre un réseau des années 1990 et y déployer tous les correctifs et fonctionnalités nécessaires, sans attendre qu'il devienne une nouvelle norme ouverte dans dix ans.

Le SD-WAN est une solution SDN pour les réseaux d'entreprise distribués. Le transport et le contrôle sont séparés, ce qui simplifie le contrôle.

Avantages : tous les canaux de communication sont utilisés activement, y compris le canal de secours. Les paquets sont routés vers les applications : lesquels, via quel canal et avec quelle priorité. Procédure simplifiée pour le déploiement de nouveaux points : au lieu de déployer une configuration, il suffit de spécifier l'adresse du serveur Cisco sur le Big Internet, du centre de données KROK ou du client, où les configurations sont prises spécifiquement pour votre réseau.

SD-Access (DNA) automatise la gestion des réseaux locaux : configuration centralisée, assistants et interfaces conviviales. En effet, un autre réseau est construit avec un autre transport au niveau du protocole, et la compatibilité avec les anciens réseaux est assurée aux limites du périmètre.

Nous aborderons également ce sujet ci-dessous.

Maintenant quelques démonstrations sur des bancs d'essai dans notre laboratoire, à quoi cela ressemble et fonctionne.

Commençons par le SD-WAN. Principales caractéristiques :

• Simplification du déploiement de nouveaux points (ZTP) : il est supposé que vous fournissez au point l'adresse du serveur avec les paramètres. Le point s'y connecte, reçoit la configuration, la déploie et l'active dans votre panneau de contrôle. Cela garantit le provisionnement sans intervention (ZTP). Pour déployer l'appareil final, l'ingénieur réseau n'a pas besoin de se déplacer sur site. L'essentiel est de mettre l'appareil sous tension sur site et de connecter tous les câbles, puis l'équipement se connectera automatiquement au système. Vous pouvez charger les configurations via des requêtes DNS dans le cloud du fournisseur depuis une clé USB connectée, ou ouvrir un lien hypertexte depuis un ordinateur portable connecté à l'appareil via Wi-Fi ou Ethernet.
• Simplification de l'administration réseau courante : configuration à partir de modèles, de politiques globales et configuration centralisée pour au moins cinq succursales, voire 5 000. Tout est centralisé. Pour éviter les longs déplacements, une option très pratique permet de revenir automatiquement à la configuration précédente.
• Gestion du trafic au niveau applicatif : garantie de la qualité et de la mise à jour constante des signatures applicatives. Les politiques sont configurées et déployées de manière centralisée (plus besoin de créer et de mettre à jour des cartes de routage pour chaque routeur, comme auparavant). Vous pouvez voir qui envoie quoi et où.
• Segmentation du réseau. VPN indépendants et isolés, au-dessus de l'infrastructure, chacun avec son propre routage. Par défaut, le trafic entre eux est fermé ; vous pouvez autoriser l'accès uniquement aux types de trafic compréhensibles dans les nœuds réseau compréhensibles, par exemple en passant par un pare-feu ou un proxy de grande taille.
• Visibilité sur l'historique des performances du réseau : performances des applications et des canaux. Très utile pour analyser et corriger la situation avant même que les utilisateurs ne se plaignent de performances applicatives instables.
• Visibilité par canaux : valent-ils l'argent investi, deux opérateurs différents viennent-ils réellement vers vous sur le site ou passent-ils réellement par le même réseau et se dégradent-ils/chutent-ils en même temps ?
• Visibilité des applications cloud et orientation du trafic via certains canaux en fonction de celles-ci (Cloud Onramp).
• Un élément matériel contient un routeur et un pare-feu (plus précisément, un NGFW). Moins de matériel signifie qu'il est moins coûteux de déployer une nouvelle branche.

Composants et architecture des solutions SD-WAN

Les périphériques finaux sont des routeurs WAN, qui peuvent être matériels ou virtuels.

Les orchestrateurs sont des outils de gestion réseau. Ils configurent les paramètres des terminaux, les politiques de routage du trafic et les fonctionnalités de sécurité. Les configurations reçues sont automatiquement envoyées aux nœuds via le réseau de contrôle. Parallèlement, l'orchestrateur écoute le réseau et surveille la disponibilité des périphériques, des ports, des canaux de communication et la charge des interfaces.

Outils d'analyse. Ils génèrent des rapports basés sur les données collectées auprès des terminaux : historique de la qualité des canaux, applications réseau, disponibilité des nœuds, etc.

Les contrôleurs sont responsables de l'application des politiques de routage du trafic au réseau. Leur équivalent le plus proche dans les réseaux traditionnels est le réflecteur de route BGP. Les politiques globales configurées par l'administrateur dans l'orchestrateur incitent les contrôleurs à modifier la composition de leurs tables de routage et à envoyer des informations mises à jour aux terminaux.

Qu'est-ce que le service informatique obtient du SD-WAN :

1. Le canal de secours est utilisé en permanence (et non inactif). Il est plus économique, car il permet d'autoriser deux canaux plus fins.
2. Commutation automatique du trafic d'application entre les canaux.
3. Temps de l'administrateur : vous pouvez développer le réseau à l'échelle mondiale, au lieu de parcourir chaque élément matériel avec des configurations.
4. La vitesse de développement des nouvelles branches est nettement plus élevée.
5. Moins de temps d’arrêt lors du remplacement des équipements morts.
6. Reconfiguration rapide du réseau pour de nouveaux services.

Qu'est-ce qu'une entreprise obtient du SD-WAN :

1. Fonctionnement garanti des applications métier sur un réseau distribué, y compris via des canaux Internet ouverts. Il s'agit de prévisibilité opérationnelle.
2. Prise en charge instantanée des nouvelles applications métier sur l'ensemble du réseau distribué, quel que soit le nombre de succursales. C'est la vitesse à laquelle les affaires progressent.
3. Connexion rapide et sécurisée des succursales dans n'importe quel site distant, quelle que soit la technologie de connexion (Internet est omniprésent, mais les lignes dédiées et les VPN ne le sont pas). Il s'agit d'une question de flexibilité pour les entreprises dans le choix de leur emplacement.
4. Il peut s’agir d’un projet avec livraison et mise en service, ou d’un service.
   avec des paiements mensuels d'une entreprise informatique, d'un opérateur télécom ou d'un opérateur cloud. À votre convenance.

Les avantages commerciaux du SD-WAN peuvent être complètement différents. Par exemple, un client nous a dit qu'un cadre supérieur avait demandé une ligne directe avec tous les employés d'une entreprise de plusieurs milliers d'employés et la possibilité de diffuser du contenu.

Pour nous, c'était une « opération militaire ». À ce moment-là, nous étions déjà en train de résoudre le problème de la modernisation du KSPD. Et quand nous comprenons qu'il faut absolument rénover les équipements et que la pile technologique a progressé, pourquoi rénover les mêmes technologies et services si nous pouvons aller plus loin ?

Le SD-WAN est installé sur site par enikeis. C'est important pour les succursales distantes, où il n'y a peut-être tout simplement pas d'administrateur. Envoyez-le par courrier, en disant : « Branchez le câble 1 dans le boîtier 1, le câble 2 dans le boîtier 2, et ne les mélangez pas ! Ne les mélangez pas, #@$@% ! » Et s'ils ne les mélangent pas, l'appareil se connecte au serveur central, prend et applique ses configurations, et ce bureau devient alors partie intégrante du réseau sécurisé de l'entreprise. C'est pratique de ne pas avoir à se déplacer et c'est facile à justifier dans le budget.

Et voici le schéma du stand :

Quelques exemples de paramètres :

Politique – Règles globales de gestion du trafic. Modification de la politique.

Activer la politique de gestion du trafic.

Configuration de masse des paramètres de base de l'appareil (adresses IP, pools DHCP).

Captures d'écran de surveillance des performances des applications

Pour les applications cloud.

Détails pour Office365.

Pour les applications sur site. Malheureusement, nous n'avons trouvé aucune application présentant des erreurs sur notre stand (le taux de récupération FEC est nul partout).

De plus, les performances des canaux de transmission de données.

Quel matériel est pris en charge sur SD-WAN

1. Plateformes matérielles :

• Routeurs Cisco vEdge (anciennement Viptela vEdge) exécutant le système d'exploitation Viptela.
• Routeurs à services intégrés (ISR) séries 1 et 000 exécutant IOS XE SD-WAN.
• Routeur de services d'agrégation (ASR) série 1 exécutant IOS XE SD-WAN.

2. Plateformes virtuelles :

• Routeur de services cloud (CSR) 1v exécutant IOS XE SD-WAN.
• Routeur cloud vEdge exécutant Viptela OS.

Les plateformes virtuelles peuvent être déployées sur les plateformes informatiques Cisco x86, telles que les Enterprise Network Compute System (ENCS) série 5, Unified Computing System (UCS) et Cloud Services Platform (CSP) série 000. Elles peuvent également s'exécuter sur tout périphérique x5 utilisant un hyperviseur tel que KVM ou VMware ESi.

Comment déployer un nouvel appareil

La liste des appareils sous licence à déployer est téléchargée depuis un compte Smart dans Cisco ou téléchargée sous forme de fichier CSV. J'essaierai de prendre d'autres captures d'écran ultérieurement, car nous n'avons pas de nouveaux appareils à déployer pour le moment.

La séquence d’étapes par lesquelles passe un appareil lors de son déploiement.

Comment déployer une nouvelle méthode de livraison d'appareil/configuration

Nous enregistrons les appareils dans Smart Account.

Vous pouvez télécharger un fichier CSV, ou un par un :

Remplissez les paramètres de l'appareil :

Ensuite, dans vManage, nous synchronisons les données avec le compte Smart. L'appareil apparaît dans la liste :

Dans le menu déroulant en face de l'appareil, cliquez sur Générer la configuration Bootstrap
et nous obtenons la configuration initiale :

Cette configuration doit être transmise à l'appareil. Le plus simple est de connecter une clé USB contenant un fichier nommé ciscosd-wan.cfg à l'appareil. Au démarrage, l'appareil recherchera ce fichier.

Après avoir reçu la configuration initiale, l'appareil pourra atteindre l'orchestrateur et recevoir une configuration complète à partir de là.

Regardons SD-Access (DNA)

SD-Access simplifie la configuration des ports et des droits d'accès pour les connexions utilisateur. Cette configuration s'effectue à l'aide d'assistants. Les paramètres des ports sont définis en fonction des groupes « Administrateurs », « Comptabilité » et « Imprimantes », et non des VLAN et des sous-réseaux IP. Cela minimise les erreurs liées au facteur humain. Si, par exemple, une entreprise possède de nombreuses succursales en Russie et que le siège social est surchargé, SD-Access permet de résoudre davantage de problèmes localement. Par exemple, les mêmes problèmes de dépannage.

Pour la sécurité des informations, il est important que SD-Access prévoie une répartition claire des utilisateurs et des appareils en groupes, la définition de politiques d'interaction entre eux, l'autorisation de toute connexion client au réseau et la garantie de droits d'accès sur l'ensemble du réseau. Cette approche simplifie grandement l'administration.

Le processus de démarrage des nouveaux bureaux est également simplifié grâce aux agents Plug-and-Play intégrés aux commutateurs. Plus besoin de parcourir les connexions croisées avec une console, ni même de se rendre sur site.

Voici quelques exemples de configuration :

Etat général.

Incidents qui devraient être examinés par l'administrateur.

Recommandations automatiques sur ce qu'il faut modifier dans les configurations.

Feuille de route d'intégration SD-WAN avec SD-Access

J'ai entendu dire que Cisco propose des solutions SD-WAN et SD-Access. Cela devrait réduire considérablement les contraintes liées à la gestion des CSDC, qu'ils soient géographiquement dispersés ou locaux.

vManage (orchestrateur SD-WAN) est géré via l'API de DNA Center (contrôleur SD-Access).

Les politiques de micro et macro-segmentation sont cartographiées comme suit :

Au niveau du package, cela ressemble à ceci :

Qui pense quoi à ce sujet ?

Nous travaillons avec SD-WAN depuis 2016 dans un laboratoire séparé, où nous testons différentes solutions pour les besoins du commerce de détail, des banques, des transports et de l'industrie.

Nous communiquons beaucoup avec de vrais clients.

Je peux dire que le commerce de détail teste déjà le SD-WAN en toute confiance, et certains le font avec des fournisseurs (le plus souvent avec Cisco), mais il y a aussi ceux qui essaient de résoudre le problème par eux-mêmes : ils écrivent leur propre version du logiciel, qui est similaire en termes de fonctionnalités au SD-WAN.

D'une manière ou d'une autre, tout le monde souhaite une gestion centralisée de l'ensemble de ses équipements. Il s'agit d'un point d'administration unique pour les installations non standard et d'un point d'administration unique pour les installations standard de différents fournisseurs et technologies. Il est important de minimiser le travail manuel, car cela réduit d'une part le risque d'erreur humaine lors de la configuration des équipements et, d'autre part, libère les ressources informatiques pour résoudre d'autres problèmes. Généralement, la compréhension du besoin découle de cycles de mise à jour très longs à l'échelle nationale. Par exemple, si un commerce de détail vend de l'alcool, une communication constante est nécessaire pour les ventes. Une mise à jour ou une interruption de service en cours de journée a un impact direct sur les revenus.

Désormais, les détaillants ont une idée claire des tâches pour lesquelles le service informatique utilisera le SD-WAN :

1. Déploiement rapide (souvent nécessaire sur LTE avant l'arrivée d'un fournisseur de câble, souvent nécessaire pour qu'un nouveau point soit mis en place par un administrateur de la ville dans le cadre d'un contrat de droit civil, puis le centre l'a simplement regardé et configuré).
2. Contrôle centralisé, communication pour les installations à l'étranger.
3. Réduire le coût des télécommunications.
4. Divers services supplémentaires (les fonctionnalités DPI permettent de distribuer le trafic provenant d'applications importantes telles que les caisses enregistreuses de manière prioritaire).
5. Travaillez avec les canaux automatiquement, pas manuellement.

Il y a aussi les tests de conformité : tout le monde en parle beaucoup, mais personne ne les perçoit comme un problème. S'assurer que tout fonctionne correctement est également efficace dans ce paradigme. Nombreux sont ceux qui pensent que l'ensemble du marché des technologies réseau évoluera dans cette direction.

À mon avis, les banques testent de plus en plus le SD-WAN comme une nouvelle fonctionnalité technologique. Elles attendent la fin du support des générations précédentes d'équipements avant de changer de stratégie. Les banques ont généralement leur propre approche en matière de canaux de communication ; la situation actuelle du secteur ne les inquiète donc pas outre mesure. Les problèmes se situent plutôt ailleurs.

Contrairement au marché russe, le SD-WAN est activement déployé en Europe. Leurs canaux de communication étant plus coûteux, les entreprises européennes transfèrent leur infrastructure vers leurs filiales russes. En Russie, la situation est relativement stable, car le coût des canaux (même si la région est 25 fois plus chère que le centre) semble tout à fait normal et ne pose aucun problème. Le budget des canaux de communication est alloué sans condition d'année en année.

Voici un exemple de pratique mondiale, où une entreprise a économisé du temps et de l'argent grâce au SD-WAN sur Cisco.

Il existe une telle entreprise : National Instruments. À un moment donné, elle a commencé à comprendre que le réseau informatique mondial, obtenu grâce à l'unification de 88 sites répartis dans le monde, était inefficace. De plus, l'entreprise manquait de bande passante et de performances WAN. Il n'y avait pas d'équilibre entre la croissance continue de l'entreprise et un budget informatique limité.

SD-WAN a aidé National Instruments à réduire les coûts MPLS de 25 % (450 2018 $ d'économies en 3) tout en augmentant la bande passante de 075 XNUMX %.

En mettant en œuvre le SD-WAN, l'entreprise a obtenu un réseau intelligent défini par logiciel et une gestion centralisée des politiques pour optimiser automatiquement le trafic et les performances des applications. ici — cas détaillé.

Ici Un cas complètement fou : le déménagement de S7 vers un autre bureau. Au début, tout a commencé difficilement, mais intéressant : il a fallu refaire 1,5 XNUMX ports. Mais un problème est survenu et, par conséquent, les administrateurs se sont retrouvés les derniers à devoir supporter tous les retards accumulés avant la date limite.

En savoir plus en anglais :

• American Banker : Fifth Third investit dans une mise à niveau de son réseau sur 5 ans avec SD-WAN .
• Construire le succès du SD-WAN Cloud chez Koch.
• Le parcours SD-WAN de McKesson vers des économies de coûts .
• Démonstration de faisabilité et segmentation du commerce de détail SD-WAN : magasins Gap.
• Et ici Recherche mondiale Cisco sur les tendances des réseaux dans le monde.

En russe:

• Sur CNews.
• Comment nous avons mis en œuvre SD-Access et pourquoi il était nécessaire.
• Structure réseau pour le centre de données Cisco ACI - pour aider l'administrateur.
• Canal résilient basé sur les réseaux définis par logiciel SD-WAN : résolution des problèmes de sélection d'itinéraire.
• Mon email, si vous avez des questions ou souhaitez tester vos tâches sur notre stand, est mkazakov@croc.ru.

Source: habr.com