SD-WAN en DNA om de behearder te helpen: arsjitektuerfunksjes en praktyk

In stand dat jo kinne oanreitsje yn ús lab as jo wolle.

SD-WAN en SD-Access binne twa ferskillende nije proprietêre oanpak foar it bouwen fan netwurken. Yn 'e takomst moatte se fusearje yn ien overlay-netwurk, mar foar no komme se gewoan tichtby. De logika is dit: wy nimme in netwurk út 'e 1990's en rôlje alle nedige patches en funksjes derop út, sûnder te wachtsjen dat it oer in oare 10 jier in nije iepen standert wurdt.

SD-WAN is in SDN-patch foar ferspraat ûndernimmingsnetwurken. Ferfier is apart, kontrôle is apart, sadat kontrôle wurdt ferienfâldige.

Pros - alle kommunikaasjekanalen wurde aktyf brûkt, ynklusyf de reservekopy. Der is routing fan pakketten nei applikaasjes: wat, troch hokker kanaal en mei hokker prioriteit. In ferienfâldige proseduere foar it ynsetten fan nije punten: ynstee fan in konfiguraasje út te rollen, spesifisearje gewoan it adres fan 'e Cisco-tsjinner op it grutte ynternet, it CROC-datasintrum of de klant, wêr't de konfiguraasjes spesifyk foar jo netwurk wurde nommen.

SD-Access (DNA) is automatisearring fan lokaal netwurkbehear: konfiguraasje fan ien punt, wizards, handige ynterfaces. Yn feite is in oar netwurk boud mei in oar ferfier op it protokolnivo boppe op jo, en kompatibiliteit mei âldere netwurken wurdt garandearre by de perimetergrinzen.

Dêr sille wy hjirûnder ek mei omgean.

No wat demonstraasjes op testbanken yn ús lab, hoe't it derút sjocht en wurket.

Litte wy begjinne mei SD-WAN. Wichtigste skaaimerken:

• Ienfâldiging fan ynset fan nije punten (ZTP) - der wurdt fan útgien dat jo ien of oare manier feed it punt mei de tsjinner adres mei ynstellings. It punt kloppet derop, ûntfangt de konfiguraasje, rôlet it op en is opnommen yn jo kontrôlepaniel. Dit soarget foar Zero-Touch Provisioning (ZTP). Om in einpunt yn te setten, hoecht in netwurkingenieur net nei de side te reizgjen. It wichtichste is om it apparaat goed op 'e side te skeakeljen en alle kabels oan te ferbinen, dan sil de apparatuer automatysk ferbine mei it systeem. Jo kinne konfiguraasjes downloade fia DNS-fragen yn 'e wolk fan' e ferkeaper fan in ferbûn USB-stasjon, of jo kinne in hyperlink iepenje fan in laptop ferbûn mei it apparaat fia Wi-Fi of Ethernet.
• Ienfâldiging fan routine netwurk administraasje - config út sjabloanen, globale belied, sintraal konfigurearre foar op syn minst fiif tûken, op syn minst 5 Alles fan ien plak. Om in lange reis te foarkommen, is d'r in heul handige opsje om automatysk werom te gean nei de foarige konfiguraasje.
• Ferkearsbehear op applikaasjenivo - garandearjen fan kwaliteit en trochgeande updates foar applikaasje-hantekening. Belieden wurde sintraal konfigureare en útrôle (d'r is gjin needsaak om rûtekaarten te skriuwen en te aktualisearjen foar elke router, lykas earder). Jo kinne sjen wa't wat stjoert, wêr en wat.
• Netwurk segmintaasje. Unôfhinklike isolearre VPN's boppe op 'e heule ynfrastruktuer - elk mei in eigen routing. Standert is it ferkear tusken harren sletten, jo kinne allinich tagong krije ta begryplike soarten ferkear yn begryplike netwurkknooppunten, bygelyks alles troch in grutte firewall of proxy.
• Sichtberens fan 'e skiednis fan netwurkkwaliteit - hoe't applikaasjes en kanalen presteare. Hiel nuttich foar it analysearjen en korrigearjen fan 'e situaasje sels foardat brûkers klachten begjinne te ûntfangen oer de ynstabile wurking fan applikaasjes.
• Sichtberens oer kanalen - binne se it jild wurdich, binne twa ferskillende operators dy't wirklik nei jo side komme, of geane se eins troch itselde netwurk en degradearje / falle tagelyk.
• Sichtberens foar wolkapplikaasjes en it stjoeren fan ferkear fia bepaalde kanalen basearre op it (Cloud Onramp).
• Ien stik hardware befettet in router en in firewall (noch krekter, NGFW). Minder stikken hardware betsjut dat it goedkeaper is om in nije filiaal te iepenjen.

Komponinten en arsjitektuer fan SD-WAN oplossings

Einapparaten binne WAN-routers, dy't hardware of firtuele kinne wêze.

Orchestrators binne in ark foar netwurkbehear. Se binne konfigureare mei parameters foar einapparaat, ferkearsroutingbelied en feiligensfunksjonaliteit. De resultearjende konfiguraasjes wurde automatysk troch it kontrôlenetwurk nei de knopen stjoerd. Yn parallel harket de orkestrator nei it netwurk en kontrolearret de beskikberens fan apparaten, havens, kommunikaasjekanalen en laden fan ynterface.

Analytics ark. Se meitsje rapporten basearre op gegevens sammele fan einapparaten: skiednis fan 'e kwaliteit fan kanalen, netwurkapplikaasjes, beskikberens fan knooppunten, ensfh.

Controllers binne ferantwurdlik foar it tapassen fan ferkearsroutingbelied op it netwurk. Harren tichtste analoog yn tradisjonele netwurken kin wurde beskôge BGP Route Reflector. Globaal belied dat de behearder yn 'e orkestrator konfigurearret, feroarsaket kontrôlers om de gearstalling fan har routingtabellen te feroarjen en bywurke ynformaasje te stjoeren nei einapparaten.

Wat krijt de IT-tsjinst fan SD-WAN:

1. It backupkanaal is konstant yn gebrûk (net idle). It komt goedkeaper út omdat je twa minder dikke kanalen betelje kinne.
2. Automatysk wikseljen fan applikaasjeferkear tusken kanalen.
3. Beheardertiid: jo kinne it netwurk wrâldwiid ûntwikkelje, ynstee fan troch elk stik hardware te krûpen mei konfiguraasjes.
4. Snelheid fan it ferheegjen fan nije tûken. Se is folle langer.
5. Minder downtime by it ferfangen fan deade apparatuer.
6. Konfigurearje it netwurk fluch opnij foar nije tsjinsten.

Wat krijt in bedriuw fan SD-WAN:

1. Garandearre wurking fan saaklike applikaasjes op in ferspraat netwurk, ynklusyf fia iepen ynternet kanalen. It giet oer saaklike foarsisberens.
2. Direkte stipe foar nije saaklike applikaasjes oer it heule ferspraat netwurk, nettsjinsteande it oantal filialen. It giet om saaklike snelheid.
3. Snelle en feilige ferbining fan tûken op elke lokaasje op ôfstân mei elke ferbiningstechnologyen (it ynternet is oeral, mar ferhierlinen en VPN binne net). Dit giet oer saaklike fleksibiliteit by it kiezen fan in lokaasje.
4. Dit kin in projekt wêze mei levering en yn opdracht, of it kin in tsjinst wêze
   mei moanlikse betellingen fan in IT-bedriuw, telekomoperator of wolkoperator. Wat is handich foar jo.

De saaklike foardielen fan SD-WAN kinne folslein oars wêze, bygelyks ien klant fertelde ús dat in topmanager in fersyk krige foar in direkte line mei alle meiwurkers fan in meartûzen bedriuw en de mooglikheid om ynhâld te leverjen.

Foar ús wie it in "militêre operaasje." Op dat stuit hawwe wy it probleem fan modernisearjen fan de CSPD al oplost. En as wy begripe dat wy yn prinsipe moatte dwaande hâlde mei de renovaasje fan apparatuer, en de technology stack is ferpleatst foarút, wêrom moatte wy lestich falle mei de renovaasje fan deselde technologyen en tsjinsten as wy kinne nimme in stap fierder.

SD-WAN wurdt ynstalleare op side troch Enikey. Dit is wichtich foar tûken op ôfstân, wêr't d'r gewoan gjin normale behearder kin wêze. Stjoer per post, sis: "Stop kabel 1 yn doaze 1, kabel 2 yn doaze 2, en meng it net! Wês net yn 'e war, #@$@%!" En as se it net mingje, kommunisearret it apparaat sels mei de sintrale tsjinner, nimt har konfiguraasjes op en jildt, en dit kantoar wurdt diel fan it feilige netwurk fan it bedriuw. It is moai as jo net hoege te reizgjen en it is maklik te rjochtfeardigjen yn jo budzjet.

Hjir is in diagram fan 'e stand:

Guon konfiguraasjefoarbylden:

Belied - globale regels foar it behearen fan ferkear. In belied bewurkje.

Aktivearje ferkearskontrôlebelied.

Massakonfiguraasje fan basisapparaatparameters (IP-adressen, DHCP-pools).

Skermôfbyldings fan tafersjoch op applikaasjeprestaasjes

Foar wolk applikaasjes.

Details foar Office365.

Foar on-prem applikaasjes. Spitigernôch koenen wy gjin applikaasjes fine mei flaters op ús stand (FEC Recovery rate is nul oeral).

Dêrneist - prestaasjes fan gegevens oerdracht kanalen.

Hokker hardware wurdt stipe op SD-WAN

1. Hardware platfoarms:

• Cisco vEdge-routers (earder Viptela vEdge) mei Viptela OS.
• 1 en 000 rige Integrated Services Router (ISRs) running IOS XE SD-WAN.
• Aggregation Services Router (ASR) 1 rige running IOS XE SD-WAN.

2. Firtuele platfoarms:

• Cloud Services Router (CSR) 1v running IOS XE SD-WAN.
• vEdge Cloud Router mei Viptela OS.

Firtuele platfoarms kinne wurde ynset op Cisco x86-kompjûterplatfoarms, lykas de Enterprise Network Compute System (ENCS) 5-searje, Unified Computing System (UCS), en Cloud Services Platform (CSP) 000-searjes kinne ek rinne op elk x5-apparaat mei help fan in hypervisor lykas KVM of VMware ESi.

Hoe't in nij apparaat rôlet op

De list mei fergunning apparaten foar ynset wurdt ynladen itsij út in Cisco smart account of uploaded as in CSV triem. Ik sil letter besykje mear skermôfbyldings te krijen, op it stuit hawwe wy gjin nije apparaten om yn te setten.

De folchoarder fan stappen in apparaat giet troch as ynset.

Hoe in nij apparaat / config levering metoade wurdt rôle út

Wy foegje apparaten ta oan Smart Account.

Jo kinne in CSV-bestân downloade, of jo kinne ien tagelyk downloade:

Folje de apparaatparameters yn:

Folgjende, yn vManage syngronisearje wy de gegevens mei it Smart Account. It apparaat ferskynt yn 'e list:

Klikje yn it dellûkmenu tsjinoer it apparaat op Generearje Bootstrap-konfiguraasje
en krije de earste konfiguraasje:

Dizze konfiguraasje moat wurde fieden nei it apparaat. De maklikste manier is om in flash drive te ferbinen mei in bewarre triem mei de namme ciscosd-wan.cfg oan it apparaat. By it opstarten sil it apparaat nei dit bestân sykje.

Nei't de earste konfiguraasje ûntfongen is, sil it apparaat de orkestrator kinne berikke en dêrwei in folsleine konfiguraasje ûntfange.

Wy sjogge nei SD-Access (DNA)

SD-Access makket it maklik om havens en tagongsrjochten te konfigurearjen foar it ferbinen fan brûkers. Dit wurdt dien mei help fan wizards. Havenparameters wurde ynsteld yn relaasje ta de groepen "Behearders", "Rekânsje", "Printers", en net foar VLAN's en IP-subnetten. Dit minimearret minsklike flaters. As bygelyks in bedriuw in protte filialen yn Ruslân hat, mar it sintrale kantoar is oerladen, dan kinne jo mei SD-Access mear problemen lokaal oplosse. Bygelyks, deselde problemen oangeande troubleshooting.

Foar ynformaasjefeiligens is it wichtich dat SD-Access in dúdlike ferdieling fan brûkers en apparaten yn groepen omfettet en de definysje fan ynteraksjebelied tusken har, autorisaasje foar elke klantferbining mei it netwurk, en it leverjen fan "tagongsrjochten" yn it heule netwurk. As jo ​​​​dizze oanpak folgje, wurdt administraasje folle makliker.

It opstartproses foar nije kantoaren wurdt ek ferienfâldige troch Plug-and-Play-aginten yn 'e skeakels. D'r is gjin ferlet om mei in konsole lâns te rinnen, of sels nei de side te gean.

Hjir binne konfiguraasjefoarbylden:

Algemiene status.

Ynsidinten dy't in behearder moat besjen.

Automatyske oanbefellings oer wat te feroarjen yn konfiguraasjes.

Plan foar it yntegrearjen fan SD-WAN mei SD-Access

Ik hearde dat Cisco hat sokke plannen - SD-WAN en SD-Access. Dit moat aambeien signifikant ferminderje by it behearen fan geografysk ferspraat en lokale CSPD's.

vManage (SD-WAN orkestrator) wurdt beheard fia API út DNA Center (SD-Access controller).

Belied foar mikro- en makrosegmentaasje wurde as folget yn kaart brocht:

Op pakketnivo sjocht alles der sa út:

Wa tinkt hjiroer en wat?

Wy hawwe wurke oan SD-WAN sûnt 2016 yn in apart laboratoarium, dêr't wy testen ferskate oplossings foar de behoeften fan detailhannel, banken, ferfier en yndustry.

Wy kommunisearje in protte mei echte klanten.

Ik kin sizze dat detailhannel al mei fertrouwen testet SD-WAN, en guon dogge dit mei leveransiers (meast faaks mei Cisco), mar der binne ek dyjingen dy't besykje te lossen it probleem op har eigen: se skriuwe harren eigen ferzje fan software dy't yn funksjonaliteit ferlykber is mei SD-WAN.

Elkenien wol, op ien of oare manier, sintralisearre behear fan 'e hiele bistetún fan apparatuer berikke. Dit is ien punt fan administraasje foar net-standert ynstallaasjes en standert foar ferskate leveransiers en ferskate technologyen. It is wichtich om hânwurk te minimalisearjen, om't it as earste it risiko fan 'e minsklike faktor ferminderet by it ynstellen fan apparatuer, en twad it de middels fan' e IT-tsjinst befrijt om oare taken op te lossen. Typysk komt de erkenning fan 'e need fan heul lange fernijingssyklusen yn it heule lân. En, bygelyks, as in retailer alkohol ferkeapet, dan hat it konstante kommunikaasje nedich foar ferkeap. Bywurkjen of downtime oerdeis hat direkte ynfloed op ynkomsten.

No yn 'e detailhannel is d'r in dúdlik begryp fan hokker IT-taken SD-WAN sille brûke:

1. Snelle ynset (faak nedich op LTE foardat de kabelprovider komt, faaks is it nedich dat it nije punt wurdt ferhege troch de behearder yn 'e stêd fia GPC, en dan sjocht it sintrum gewoan en konfigurearret).
2. Sintraal behear, kommunikaasje foar frjemde objekten.
3. Ferminderjen fan telekomkosten.
4. Ferskate ekstra tsjinsten (DPI-funksjes meitsje it mooglik om de levering fan ferkear te prioritearjen fan wichtige applikaasjes lykas kassa's).
5. Wurkje mei kanalen automatysk, net mei de hân.

En der is ek in konformiteitskontrôle - elkenien praat der in protte oer, mar gjinien sjocht it as in probleem. Behâlden dat alles goed wurket wurket ek goed yn dit paradigma. In protte leauwe dat de heule netwurktechnologymerk yn dizze rjochting sil bewegen.

Banken, IMHO, testen SD-WAN op it stuit earder as in nije technologyske funksje. Se wachtsje op it ein fan stipe foar eardere generaasjes fan apparatuer en allinich dan sille se feroarje. Banken hawwe oer it generaal har eigen spesjale sfear fia kommunikaasjekanalen, sadat de hjoeddeistige steat fan 'e yndustry har net bot hindert. De problemen lizze earder op oare fleantugen.

Oars as de Russyske merk wurdt SD-WAN aktyf yn Jeropa ymplementearre. Har kommunikaasjekanalen binne djoerder, en dêrom bringe Jeropeeske bedriuwen har stack nei Russyske divyzjes. Yn Ruslân is d'r in bepaalde stabiliteit, om't de kosten fan kanalen (sels as de regio 25 kear djoerder is as it sintrum) gewoan normaal sjocht en gjin fragen opropt. Fan jier oant jier is der in ûnbedoeld budzjet foar kommunikaasjekanalen.

Hjir is in foarbyld út wrâld praktyk, doe't in bedriuw bewarre tiid en jild mei help fan SD-WAN op Cisco.

Der is sa'n bedriuw - National Instruments. Op in bepaald punt begûnen se te begripen dat it wrâldwide kompjûternetwurk, "ferkrigen" troch it kombinearjen fan 88 siden om 'e wrâld, net effektyf wie. Derneist miste it bedriuw de kapasiteit en prestaasjes fan har húshâldlik hytwetterfoarsjenning. D'r wie gjin lykwicht tusken de trochgeande groei fan it bedriuw en it beheinde IT-budzjet.

SD-WAN holp National Instruments om MPLS-kosten mei 25% te ferleegjen ($450 besparje oan 'e ein fan 2018), bânbreedte útwreidzje mei 3%.

As gefolch fan 'e ymplemintaasje fan SD-WAN krige it bedriuw in tûk software-definieare netwurk en sintralisearre beliedsbehear om automatysk ferkear en applikaasjeprestaasjes te optimalisearjen. Hjir krekt - detaillearre gefal.

Rjochts hjir in absolút gek gefal fan it ferpleatsen fan in S7 nei in oar kantoar, doe't earst alles lestich begon, mar ynteressant - it wie nedich om 1,5 tûzen havens opnij te meitsjen. Mar doe gie der wat mis en dêrtroch blykten de admins de lêsten te wêzen foar de deadline, op wa't alle opboude fertragingen falle.

Lês mear yn it Ingelsk:

• American Banker: Fifth Third ynvestearret yn 5-jierrige netwurk upgrade mei SD-WAN .
• Bouwe Cloud SD-WAN súkses by Koch.
• McKesson's SD-WAN-reis nei kostenbesparring .
• SD-WAN Retail PoC & Segmentaasje: Gap Stores.
• Mar Cisco globale stúdzje op netwurk trends yn 'e wrâld.

Yn it Russysk:

• Op CNews.
• Hoe't wy SD-Access ymplementearre hawwe en wêrom it nedich wie.
• Netwurk stof foar de Cisco ACI data sintrum - te helpen de behearder.
• Stabyl kanaal basearre op software-definieare SD-WAN-netwurken: problemen foar rûteseleksje oplosse.
• Myn e-postadres, as jo fragen hawwe of jo taken op ús stand teste wolle, is mkazakov@croc.ru.

Boarne: www.habr.com