SD-WAN et DNA pour aider l'administrateur : fonctionnalités et pratique de l'architecture

Un stand que vous pourrez toucher dans notre laboratoire si vous le souhaitez.

SD-WAN et SD-Access sont deux nouvelles approches propriétaires différentes pour créer des réseaux. À l’avenir, ils devraient fusionner en un seul réseau superposé, mais pour l’instant, ils ne font que se rapprocher. La logique est la suivante : nous prenons un réseau des années 1990 et y déployons tous les correctifs et fonctionnalités nécessaires, sans attendre qu'il devienne un nouveau standard ouvert dans 10 ans.

SD-WAN est un correctif SDN pour les réseaux d'entreprise distribués. Le transport est séparé, le contrôle est séparé, donc le contrôle est simplifié.

Avantages - tous les canaux de communication sont activement utilisés, y compris celui de secours. Il y a un routage des paquets vers les applications : quoi, par quel canal et avec quelle priorité. Une procédure simplifiée pour déployer de nouveaux points : au lieu de déployer une config, précisez simplement l'adresse du serveur Cisco sur le grand Internet, du data center CROC ou du client, d'où sont extraites les configs spécifiques à votre réseau.

SD-Access (DNA) est l'automatisation de la gestion du réseau local : configuration à partir d'un seul point, assistants, interfaces pratiques. En fait, un autre réseau est construit avec un transport différent au niveau du protocole au-dessus du vôtre, et la compatibilité avec les réseaux plus anciens est assurée aux limites du périmètre.

Nous traiterons également de cela ci-dessous.

Maintenant quelques démonstrations sur des bancs de test dans notre laboratoire, à quoi ça ressemble et comment ça marche.

Commençons par le SD-WAN. Caractéristiques principales:

• Simplification du déploiement de nouveaux points (ZTP) - on suppose que vous alimentez d'une manière ou d'une autre le point avec l'adresse du serveur avec les paramètres. Le point frappe dessus, reçoit la config, l'enroule et est inclus dans votre panneau de contrôle. Cela garantit le provisionnement sans contact (ZTP). Pour déployer un point de terminaison, un ingénieur réseau n'a pas besoin de se déplacer sur le site. L'essentiel est d'allumer correctement l'appareil sur place et d'y connecter tous les câbles, l'équipement se connectera alors automatiquement au système. Vous pouvez télécharger des configurations via des requêtes DNS dans le cloud du fournisseur à partir d'une clé USB connectée, ou vous pouvez ouvrir un lien hypertexte à partir d'un ordinateur portable connecté à l'appareil via Wi-Fi ou Ethernet.
• Simplification de l'administration réseau de routine - configuration à partir de modèles, politiques globales, configurées de manière centralisée pour au moins cinq succursales, au moins 5 000. Tout à partir d'un seul endroit. Pour éviter un long trajet, il existe une option très pratique pour revenir automatiquement à la configuration précédente.
• Gestion du trafic au niveau des applications : garantissant la qualité et des mises à jour continues des signatures d'applications. Les politiques sont configurées et déployées de manière centralisée (il n'est pas nécessaire d'écrire et de mettre à jour des cartes de route pour chaque routeur, comme auparavant). Vous pouvez voir qui envoie quoi, où et quoi.
• Segmentation du réseau. VPN isolés indépendants au-dessus de l'ensemble de l'infrastructure, chacun avec son propre routage. Par défaut, le trafic entre eux est fermé, vous ne pouvez ouvrir l'accès qu'à des types de trafic compréhensibles dans des nœuds de réseau compréhensibles, par exemple en passant tout via un grand pare-feu ou un proxy.
• Visibilité de l'historique de la qualité du réseau - performances des applications et des canaux. Très utile pour analyser et corriger la situation avant même que les utilisateurs ne commencent à recevoir des plaintes concernant le fonctionnement instable des applications.
• Visibilité sur tous les canaux : en valent-ils la peine, deux opérateurs différents viennent-ils réellement sur votre site, ou passent-ils réellement par le même réseau et se dégradent/tombent en même temps.
• Visibilité des applications cloud et pilotage du trafic via certains canaux en fonction de celles-ci (Cloud Onramp).
• Un élément matériel contient un routeur et un pare-feu (plus précisément, NGFW). Moins de matériel signifie qu’il est moins cher d’ouvrir une nouvelle succursale.

Composants et architecture des solutions SD-WAN

Les périphériques finaux sont des routeurs WAN, qui peuvent être matériels ou virtuels.

Les orchestrateurs sont un outil de gestion de réseau. Ils sont configurés avec des paramètres de périphérique final, des politiques de routage du trafic et des fonctionnalités de sécurité. Les configurations résultantes sont envoyées automatiquement via le réseau de contrôle aux nœuds. En parallèle, l'orchestrateur écoute le réseau et surveille la disponibilité des périphériques, des ports, des canaux de communication et le chargement des interfaces.

Outils d'analyse. Ils réalisent des rapports basés sur les données collectées depuis les appareils finaux : historique de la qualité des canaux, des applications réseau, de la disponibilité des nœuds, etc.

Les contrôleurs sont responsables de l’application des politiques de routage du trafic au réseau. Leur analogue le plus proche dans les réseaux traditionnels peut être considéré comme le réflecteur de route BGP. Les stratégies globales que l'administrateur configure dans l'orchestrateur obligent les contrôleurs à modifier la composition de leurs tables de routage et à envoyer des informations mises à jour aux périphériques finaux.

Que obtient le service informatique du SD-WAN :

1. Le canal de sauvegarde est constamment utilisé (pas inactif). Cela s'avère moins cher car vous pouvez vous permettre deux canaux moins épais.
2. Commutation automatique du trafic des applications entre les canaux.
3. Temps d'administrateur : vous pouvez développer le réseau globalement, plutôt que d'explorer chaque élément matériel avec des configurations.
4. Rapidité de création de nouvelles succursales. Elle est beaucoup plus grande.
5. Moins de temps d’arrêt lors du remplacement des équipements morts.
6. Reconfigurez rapidement le réseau pour de nouveaux services.

Qu'est-ce qu'une entreprise obtient du SD-WAN :

1. Fonctionnement garanti des applications métiers sur un réseau distribué, y compris via des canaux Internet ouverts. Il s'agit de prévisibilité commerciale.
2. Prise en charge instantanée des nouvelles applications métiers sur l'ensemble du réseau distribué, quel que soit le nombre de succursales. Il s’agit de rapidité commerciale.
3. Connexion rapide et sécurisée des succursales dans tous les sites distants en utilisant toutes les technologies de connexion (Internet est partout, mais pas les lignes louées et les VPN). Il s’agit de flexibilité commerciale dans le choix d’un emplacement.
4. Il peut s'agir d'un projet avec livraison et mise en service, ou d'un service
   avec des paiements mensuels d'une société informatique, d'un opérateur télécom ou d'un opérateur cloud. Selon ce qui vous convient.

Les avantages commerciaux du SD-WAN peuvent être complètement différents. Par exemple, un client nous a dit qu'un cadre supérieur avait reçu une demande pour une ligne directe avec tous les employés d'une entreprise de plusieurs milliers d'employés et la possibilité de fournir du contenu.

Pour nous, c’était une « opération militaire ». A cette époque, nous résolvions déjà le problème de la modernisation de la CSPD. Et lorsque nous comprenons que nous devons, en principe, nous engager dans la rénovation des équipements et que la pile technologique a progressé, pourquoi devrions-nous nous engager dans la rénovation des mêmes technologies et services si nous pouvons aller plus loin.

Le SD-WAN est installé sur site par Enikey. Ceci est important pour les succursales distantes, où il se peut qu'il n'y ait tout simplement pas d'administrateur normal. Envoyez par mail en disant : « Branchez le câble 1 dans la boîte 1, le câble 2 dans la boîte 2, et ne mélangez pas ! Ne vous y trompez pas, #@$@% ! » Et s’ils ne mélangent pas les choses, l’appareil lui-même communique avec le serveur central, récupère et applique ses configurations, et ce bureau fait partie du réseau sécurisé de l’entreprise. C’est bien quand on n’a pas besoin de voyager et c’est facile à justifier dans son budget.

Voici un schéma du stand :

Quelques exemples de configuration :

Politique - règles globales de gestion du trafic. Modification d'une politique.

Activez la politique de contrôle du trafic.

Configuration en masse des paramètres de base des appareils (adresses IP, pools DHCP).

Captures d'écran de la surveillance des performances des applications

Pour les applications cloud.

Détails pour Office365.

Pour les applications sur site. Malheureusement, nous n'avons pas pu trouver de candidatures erronées sur notre stand (le taux de récupération FEC est nul partout).

De plus - performances des canaux de transmission de données.

Quel matériel est pris en charge sur SD-WAN

1. Plateformes matérielles :

• Routeurs Cisco vEdge (anciennement Viptela vEdge) exécutant Viptela OS.
• Routeurs à services intégrés (ISR) séries 1 et 000 exécutant IOS XE SD-WAN.
• Routeur de services d'agrégation (ASR) série 1 exécutant IOS XE SD-WAN.

2. Plateformes virtuelles :

• Routeur de services cloud (CSR) 1 000 V exécutant IOS XE SD-WAN.
• vEdge Cloud Router exécutant Viptela OS.

Les plates-formes virtuelles peuvent être déployées sur les plates-formes informatiques Cisco x86, telles que la série Enterprise Network Compute System (ENCS) 5, le système informatique unifié (UCS) et la plate-forme de services cloud (CSP) série 000. Les plates-formes virtuelles peuvent également s'exécuter sur n'importe quel périphérique x5. en utilisant un hyperviseur tel que KVM ou VMware ESi.

Comment un nouvel appareil démarre

La liste des appareils sous licence pour le déploiement est téléchargée à partir d'un compte Cisco Smart ou téléchargée sous forme de fichier CSV. J'essaierai d'obtenir plus de captures d'écran plus tard, pour le moment nous n'avons aucun nouvel appareil à déployer.

Séquence d'étapes suivies par un appareil lorsqu'il est déployé.

Comment une nouvelle méthode de livraison de périphérique/configuration est déployée

Nous ajoutons des appareils au compte Smart.

Vous pouvez télécharger un fichier CSV ou un à la fois :

Remplissez les paramètres de l'appareil :

Ensuite, dans vManage, nous synchronisons les données avec le compte Smart. L'appareil apparaît dans la liste :

Dans le menu déroulant en face de l'appareil, cliquez sur Générer la configuration d'amorçage
et récupérez la configuration initiale :

Cette configuration doit être transmise à l'appareil. Le moyen le plus simple consiste à connecter un lecteur flash avec un fichier enregistré nommé ciscosd-wan.cfg à l'appareil. Lors du démarrage, l'appareil recherchera ce fichier.

Après avoir reçu la configuration initiale, l'appareil pourra atteindre l'orchestrateur et recevoir une configuration complète à partir de là.

Nous regardons SD-Access (DNA)

SD-Access facilite la configuration des ports et des droits d'accès pour les utilisateurs connectés. Cela se fait à l'aide d'assistants. Les paramètres de port sont définis par rapport aux groupes « Administrateurs », « Comptabilité », « Imprimantes », et non aux VLAN et sous-réseaux IP. Cela minimise les erreurs humaines. Si, par exemple, une entreprise possède de nombreuses succursales dans toute la Russie, mais que le bureau central est surchargé, SD-Access vous permet de résoudre davantage de problèmes localement. Par exemple, les mêmes problèmes concernant le dépannage.

Pour la sécurité des informations, il est important que SD-Access implique une division claire des utilisateurs et des appareils en groupes et la définition de politiques d'interaction entre eux, l'autorisation de toute connexion client au réseau et la fourniture de « droits d'accès » sur l'ensemble du réseau. Si vous suivez cette approche, l’administration devient beaucoup plus facile.

Le processus de démarrage des nouveaux bureaux est également simplifié grâce aux agents Plug-and-Play dans les commutateurs. Il n'est pas nécessaire de parcourir le pays avec une console, ni même de se rendre sur le site.

Voici des exemples de configuration :

Statut général.

Incidents qu'un administrateur doit examiner.

Recommandations automatiques sur ce qu'il faut modifier dans les configurations.

Plan d'intégration du SD-WAN avec SD-Access

J'ai entendu dire que Cisco avait de tels projets : SD-WAN et SD-Access. Cela devrait réduire considérablement les hémorroïdes lors de la gestion des CSPD géographiquement réparties et locales.

vManage (Orchestrateur SD-WAN) est géré via l'API de DNA Center (contrôleur SD-Access).

Les politiques de micro et macro-segmentation sont cartographiées comme suit :

Au niveau du package, tout ressemble à ceci :

Qui pense à ça et quoi ?

Nous travaillons sur le SD-WAN depuis 2016 dans un laboratoire séparé, où nous testons différentes solutions pour les besoins du commerce de détail, des banques, des transports et de l'industrie.

Nous communiquons beaucoup avec de vrais clients.

Je peux dire que le commerce de détail teste déjà le SD-WAN en toute confiance, et certains le font avec des fournisseurs (le plus souvent avec Cisco), mais il y a aussi ceux qui essaient de résoudre le problème par eux-mêmes : ils écrivent leur propre version de logiciel dont les fonctionnalités sont similaires à celles du SD-WAN.

Tout le monde, d'une manière ou d'une autre, souhaite parvenir à une gestion centralisée de l'ensemble des équipements du zoo. Il s'agit d'un point d'administration pour les installations non standard et standard pour différents fournisseurs et différentes technologies. Il est important de minimiser le travail manuel car, d'une part, cela réduit le risque du facteur humain lors de la mise en place des équipements, et d'autre part, cela libère les ressources du service informatique pour résoudre d'autres problèmes. Généralement, la reconnaissance du besoin vient des très longs cycles de renouvellement à travers le pays. Et, par exemple, si un détaillant vend de l’alcool, il a alors besoin d’une communication constante pour vendre. Les mises à jour ou les temps d'arrêt pendant la journée affectent directement les revenus.

Désormais, dans le commerce de détail, on comprend clairement quelles tâches informatiques utiliseront le SD-WAN :

1. Déploiement rapide (souvent nécessaire sur LTE avant l'arrivée du câblo-opérateur, il est souvent nécessaire que le nouveau point soit soulevé par l'administrateur de la ville via GPC, puis le centre regarde et configure simplement).
2. Gestion centralisée, communication pour corps étrangers.
3. Réduire les coûts des télécommunications.
4. Divers services supplémentaires (les fonctionnalités DPI permettent de prioriser l'acheminement du trafic provenant d'applications importantes telles que les caisses enregistreuses).
5. Travaillez avec les chaînes automatiquement, pas manuellement.

Et il y a aussi un contrôle de conformité – tout le monde en parle beaucoup, mais personne ne le perçoit comme un problème. Maintenir que tout fonctionne correctement fonctionne également très bien dans ce paradigme. Beaucoup pensent que l’ensemble du marché des technologies de réseau évoluera dans cette direction.

Les banques, à mon humble avis, testent actuellement le SD-WAN plutôt comme une nouvelle fonctionnalité technologique. Ils attendent la fin du support des générations d'équipements précédentes et ce n'est qu'alors qu'ils changeront. Les banques ont généralement leur propre atmosphère particulière à travers les canaux de communication, de sorte que l'état actuel du secteur ne les dérange pas beaucoup. Les problèmes se situent plutôt sur d’autres plans.

Contrairement au marché russe, le SD-WAN est activement mis en œuvre en Europe. Leurs canaux de communication sont plus chers et les entreprises européennes apportent donc leur contribution aux divisions russes. En Russie, il existe une certaine stabilité, car le coût des chaînes (même lorsque la région est 25 fois plus chère que le centre) semble tout à fait normal et ne pose pas de questions. D'année en année, il existe un budget inconditionnel pour les canaux de communication.

Voici un exemple tiré de la pratique mondiale, lorsqu'une entreprise a économisé du temps et de l'argent en utilisant le SD-WAN sur Cisco.

Il existe une telle société - National Instruments. À un moment donné, ils ont commencé à comprendre que le réseau informatique mondial, « obtenu » en combinant 88 sites à travers le monde, était inefficace. De plus, l’entreprise manquait de capacité et de performance en matière d’approvisionnement en eau chaude sanitaire. Il n'y avait pas d'équilibre entre la croissance continue de l'entreprise et un budget informatique limité.

Le SD-WAN a aidé National Instruments à réduire ses coûts MPLS de 25 % (économie de 450 2018 $ fin 3), augmentant ainsi la bande passante de 075 XNUMX %.

Grâce à la mise en œuvre du SD-WAN, l'entreprise a bénéficié d'un réseau intelligent défini par logiciel et d'une gestion centralisée des politiques pour optimiser automatiquement les performances du trafic et des applications. ici - cas détaillé.

Ici un cas absolument fou de déplacement d'un S7 vers un autre bureau, alors qu'au début tout avait commencé difficile, mais intéressant - il a fallu refaire 1,5 mille ports. Mais ensuite, quelque chose s'est mal passé et, par conséquent, les administrateurs se sont avérés être les derniers avant la date limite, sur lesquels retombent tous les retards accumulés.

Lire la suite en anglais :

• American Banker : Fifth Third investit dans une mise à niveau de son réseau sur 5 ans avec le SD-WAN .
• Construire le succès du Cloud SD-WAN chez Koch.
• Le parcours SD-WAN de McKesson vers des économies de coûts .
• PoC et segmentation de vente au détail SD-WAN : Gap Stores.
• Et ici Étude mondiale Cisco sur les tendances des réseaux dans le monde.

En russe:

• Sur CNews.
• Comment nous avons implémenté SD-Access et pourquoi il était nécessaire.
• Structure réseau pour le centre de données Cisco ACI - pour aider l'administrateur.
• Canal stable basé sur des réseaux SD-WAN définis par logiciel : résoudre les problèmes de sélection de route.
• Mon email, si vous avez des questions ou souhaitez tester vos tâches sur notre stand, - [email protected].

Source: habr.com