SD-WAN e ADN para axudar ao administrador: características da arquitectura e práctica

Un stand que podes tocar no noso laboratorio se queres.

SD-WAN e SD-Access son dous novos enfoques propietarios diferentes para construír redes. No futuro, deberían fusionarse nunha rede superposta, pero polo de agora só se están achegando. A lóxica é esta: tomamos unha rede dos anos 1990 e implementamos nela todos os parches e funcións necesarios, sen esperar a que se converta nun novo estándar aberto dentro de 10 anos.

SD-WAN é un parche SDN para redes empresariais distribuídas. O transporte é separado, o control é separado, polo que o control é simplificado.

Pros: úsanse activamente todas as canles de comunicación, incluída a de reserva. Hai enrutamento de paquetes a aplicacións: que, por que canle e con que prioridade. Un procedemento simplificado para implementar novos puntos: en lugar de lanzar unha configuración, só tes que especificar o enderezo do servidor Cisco na gran Internet, o centro de datos CROC ou o cliente, de onde se toman as configuracións específicas para a túa rede.

SD-Access (DNA) é a automatización da xestión da rede local: configuración desde un punto, asistentes, interfaces convenientes. De feito, constrúese outra rede cun transporte diferente a nivel de protocolo por riba do teu, e a compatibilidade con redes máis antigas está garantida nos límites do perímetro.

Tamén trataremos isto a continuación.

Agora algunhas demostracións nos bancos de probas do noso laboratorio, como se ve e como funciona.

Comecemos con SD-WAN. Principais características:

• Simplificación da implantación de novos puntos (ZTP): suponse que dalgunha maneira alimenta o punto co enderezo do servidor con configuración. O punto peta nel, recibe a configuración, enróllaa e inclúese no teu panel de control. Isto garante Zero-Touch Provisioning (ZTP). Para implementar un punto final, un enxeñeiro de rede non necesita viaxar ao sitio. O principal é acender o dispositivo correctamente no lugar e conectar todos os cables a el, entón o equipo conectarase automaticamente ao sistema. Podes descargar configuracións mediante consultas DNS na nube do provedor desde unha unidade USB conectada ou podes abrir unha hiperligazón desde un portátil conectado ao dispositivo mediante Wi-Fi ou Ethernet.
• Simplificación da administración de rede rutineira: configuración a partir de modelos, políticas globais, configuradas de forma centralizada para polo menos cinco sucursais, polo menos 5 000. Todo desde un só lugar. Para evitar unha longa viaxe, hai unha opción moi cómoda para volver automaticamente á configuración anterior.
• Xestión de tráfico a nivel de aplicación: garante a calidade e as actualizacións continuas da sinatura das aplicacións. As políticas configúranse e desenvólvense de forma centralizada (non é necesario escribir e actualizar mapas de ruta para cada enrutador, como antes). Podes ver quen envía que, onde e que.
• Segmentación da rede. VPN illadas independentes enriba de toda a infraestrutura, cada unha co seu propio enrutamento. De forma predeterminada, o tráfico entre eles está pechado; só pode abrir o acceso a tipos de tráfico comprensibles en nodos de rede comprensibles, por exemplo, pasando todo por un gran firewall ou proxy.
• Visibilidade do historial de calidade da rede: como funcionaron as aplicacións e as canles. Moi útil para analizar e corrixir a situación incluso antes de que os usuarios comecen a recibir queixas sobre o funcionamento inestable das aplicacións.
• Visibilidade entre as canles: valen a pena o diñeiro, son dous operadores diferentes que chegan ao teu sitio ou están pasando pola mesma rede e degradándose/caendo ao mesmo tempo.
• Visibilidade para aplicacións na nube e dirección de tráfico a través de determinadas canles en función del (Cloud Onramp).
• Unha peza de hardware contén un enrutador e un firewall (máis precisamente, NGFW). Menos pezas de hardware significa que é máis barato abrir unha nova sucursal.

Compoñentes e arquitectura das solucións SD-WAN

Os dispositivos finais son enrutadores WAN, que poden ser de hardware ou virtuais.

Os orquestadores son unha ferramenta de xestión de rede. Están configurados con parámetros do dispositivo final, políticas de enrutamento de tráfico e funcións de seguranza. As configuracións resultantes envíanse automaticamente a través da rede de control aos nodos. Paralelamente, o orquestrador escoita a rede e supervisa a dispoñibilidade de dispositivos, portos, canles de comunicación e carga da interface.

Ferramentas analíticas. Realizan informes a partir dos datos recollidos dos dispositivos finais: historial da calidade das canles, aplicacións de rede, dispoñibilidade de nodos, etc.

Os controladores son os responsables de aplicar as políticas de enrutamento do tráfico á rede. O seu análogo máis próximo nas redes tradicionais pódese considerar BGP Route Reflector. As políticas globais que o administrador configura no orquestrator fan que os controladores cambien a composición das súas táboas de enrutamento e envíen información actualizada aos dispositivos finais.

Que obtén o servizo de TI de SD-WAN:

1. A canle de copia de seguridade está en uso constantemente (non inactiva). Resulta máis barato porque podes pagar dúas canles menos grosas.
2. Cambio automático de tráfico de aplicacións entre canles.
3. Tempo de administrador: pode desenvolver a rede globalmente, en lugar de rastrexar cada peza de hardware con configuracións.
4. Velocidade de levantar novas ramas. Ela é moito máis alta.
5. Menos tempo de inactividade ao substituír equipos mortos.
6. Reconfigura rapidamente a rede para novos servizos.

Que obtén unha empresa de SD-WAN:

1. Funcionamento garantido das aplicacións empresariais nunha rede distribuída, incluso a través de canles abertas de Internet. Trátase de previsibilidade empresarial.
2. Soporte instantáneo para novas aplicacións empresariais en toda a rede distribuída, independentemente do número de sucursais. Trátase da velocidade do negocio.
3. Conexión rápida e segura de sucursais en calquera localización remota usando calquera tecnoloxía de conexión (Internet está en todas partes, pero as liñas alugadas e VPN non o están). Trátase da flexibilidade empresarial á hora de escoller unha localización.
4. Este pode ser un proxecto con entrega e posta en servizo, ou pode ser un servizo
   con pagos mensuais dunha empresa informática, operador de telecomunicacións ou operador de nube. O que sexa conveniente para ti.

Os beneficios comerciais de SD-WAN poden ser completamente diferentes, por exemplo, un cliente díxonos que un alto directivo recibira unha solicitude de conexión directa con todos os empregados dunha empresa de miles de persoas e a capacidade de entregar contido.

Para nós foi unha "operación militar". Nese momento xa estabamos resolvendo o problema da modernización do CSPD. E cando entendemos que, en principio, necesitamos dedicarnos á renovación dos equipos, e a pila tecnolóxica avanzou, por que debemos comprometernos na renovación das mesmas tecnoloxías e servizos se podemos dar un paso máis.

SD-WAN está instalado no sitio por Enikey. Isto é importante para as sucursais remotas, onde simplemente non hai un administrador normal. Envía por correo, diga: "Enchufe o cable 1 na caixa 1, o cable 2 na caixa 2 e non o mesturas! Non te confundas, #@$@%!" E se non o mesturan, o propio dispositivo comunícase co servidor central, recolle e aplica as súas configuracións, e esta oficina pasa a formar parte da rede segura da empresa. É agradable cando non tes que viaxar e é fácil xustificar no teu orzamento.

Aquí tedes un diagrama do stand:

Algúns exemplos de configuración:

Política: regras globais para xestionar o tráfico. Editando unha política.

Activar a política de control de tráfico.

Configuración masiva de parámetros básicos do dispositivo (enderezos IP, grupos DHCP).

Capturas de pantalla do seguimento do rendemento da aplicación

Para aplicacións na nube.

Detalles para Office365.

Para aplicacións presenciais. Desafortunadamente, non puidemos atopar aplicacións con erros no noso stand (a taxa de recuperación de FEC é cero en todas partes).

Ademais - rendemento das canles de transmisión de datos.

Que hardware é compatible con SD-WAN

1. Plataformas de hardware:

• Enrutadores Cisco vEdge (anteriormente Viptela vEdge) que executan Viptela OS.
• Enrutadores de servizos integrados (ISR) das series 1 e 000 que executan IOS XE SD-WAN.
• Enrutador de servizos de agregación (ASR) serie 1 que executa IOS XE SD-WAN.

2. Plataformas virtuais:

• Cloud Services Router (CSR) 1v con IOS XE SD-WAN.
• vEdge Cloud Router con Viptela OS.

As plataformas virtuais pódense implementar en plataformas informáticas Cisco x86, como a serie Enterprise Network Compute System (ENCS) 5, Unified Computing System (UCS) e Cloud Services Platform (CSP) serie 000. As plataformas virtuais tamén se poden executar en calquera dispositivo x5. utilizando un hipervisor como KVM ou VMware ESi.

Como funciona un novo dispositivo

A lista de dispositivos con licenza para a súa implantación descárgase desde unha conta intelixente de Cisco ou cárgase como ficheiro CSV. Tentarei obter máis capturas de pantalla, agora mesmo non temos ningún dispositivo novo que implementar.

A secuencia de pasos polos que pasa un dispositivo cando se implanta.

Como se implementa un novo método de entrega de dispositivo/configuración

Engadimos dispositivos á conta intelixente.

Podes descargar un ficheiro CSV ou podes descargar un á vez:

Encha os parámetros do dispositivo:

A continuación, en vManage sincronizamos os datos coa conta intelixente. O dispositivo aparece na lista:

No menú despregable situado fronte ao dispositivo, faga clic en Xerar configuración de arranque
e obtén a configuración inicial:

Esta configuración debe ser enviada ao dispositivo. O xeito máis sinxelo é conectar ao dispositivo unha unidade flash cun ficheiro gardado chamado ciscosd-wan.cfg. Ao iniciar, o dispositivo buscará este ficheiro.

Unha vez recibida a configuración inicial, o dispositivo poderá chegar ao orquestrator e recibir unha configuración completa dende alí.

Miramos SD-Access (ADN)

SD-Access facilita a configuración de portos e dereitos de acceso para conectar usuarios. Isto faise mediante asistentes. Os parámetros dos portos establécense en relación aos grupos "Administradores", "Contabilidade", "Impresoras" e non ás VLAN e subredes IP. Isto minimiza os erros humanos. Se, por exemplo, unha empresa ten moitas sucursais en toda Rusia, pero a oficina central está sobrecargada, SD-Access permítelle resolver máis problemas localmente. Por exemplo, os mesmos problemas con respecto á resolución de problemas.

Para a seguridade da información, é importante que SD-Access implique unha división clara de usuarios e dispositivos en grupos e a definición de políticas de interacción entre eles, a autorización de calquera conexión de cliente á rede e a provisión de "dereitos de acceso" en toda a rede. Se segues este enfoque, a administración faise moito máis fácil.

O proceso de inicio das novas oficinas tamén se simplifica grazas aos axentes Plug-and-Play nos switches. Non hai necesidade de correr por todo o país cunha consola, nin sequera de ir ao sitio.

Aquí tes exemplos de configuración:

Estado xeral.

Incidentes que un administrador debería revisar.

Recomendacións automáticas sobre que cambiar nas configuracións.

Plan para integrar SD-WAN con SD-Access

Oín que Cisco ten tales plans: SD-WAN e SD-Access. Isto debería reducir significativamente as hemorróidas ao xestionar os CSPD locais e distribuídos xeograficamente.

vManage (orquestrador SD-WAN) xestionase mediante API desde DNA Center (controlador SD-Access).

As políticas de micro e macrosegmentación están mapeadas do seguinte xeito:

A nivel de paquete, todo se ve así:

Quen pensa nisto e que?

Levamos traballando en SD-WAN desde 2016 nun laboratorio separado, onde probamos diferentes solucións para as necesidades de comercio polo miúdo, bancos, transporte e industria.

Comunicámonos moito con clientes reais.

Podo dicir que o comercio minorista xa está probando con seguridade SD-WAN, e algúns o están facendo con provedores (a maioría das veces con Cisco), pero tamén hai quen está tentando resolver o problema por si mesmo: está a escribir a súa propia versión de software que é similar en funcións á SD-WAN.

Todos, dun xeito ou doutro, queren conseguir unha xestión centralizada de todo o zoolóxico de equipamento. Este é un punto de administración para instalacións non estándar e estándar para diferentes provedores e tecnoloxías diferentes. É importante minimizar o traballo manual porque, en primeiro lugar, reduce o risco do factor humano á hora de configurar os equipos e, en segundo lugar, libera os recursos do servizo informático para resolver outras tarefas. Normalmente, o recoñecemento da necesidade vén de ciclos de renovación moi longos en todo o país. E, por exemplo, se un venda polo miúdo vende alcohol, entón necesita unha comunicación constante para as vendas. A actualización ou o tempo de inactividade durante o día afecta directamente aos ingresos.

Agora no comercio polo miúdo hai unha comprensión clara de que tarefas de TI usarán SD-WAN:

1. Implementación rápida (moitas veces é necesario en LTE antes de que chegue o provedor de cable, moitas veces é necesario que o administrador da cidade o plantexa o novo punto a través de GPC, e despois o centro simplemente mira e configura).
2. Xestión centralizada, comunicación para obxectos estraños.
3. Redución dos custos de telecomunicacións.
4. Varios servizos adicionais (as funcións DPI permiten priorizar a entrega de tráfico desde aplicacións importantes como as caixas rexistradoras).
5. Traballa con canles automaticamente, non manualmente.

E tamén hai un control de cumprimento: todo o mundo fala moito diso, pero ninguén o percibe como un problema. Manter que todo funciona correctamente tamén funciona ben neste paradigma. Moitos cren que todo o mercado da tecnoloxía de rede avanzará nesta dirección.

Os bancos, en mi humilde opinión, están probando SD-WAN como unha nova función tecnolóxica. Están á espera de que remate o soporte para as xeracións anteriores de equipos e só entón cambiarán. Os bancos xeralmente teñen o seu propio ambiente especial a través das canles de comunicación, polo que o estado actual da industria non lles molesta moito. Os problemas máis ben están noutros planos.

A diferenza do mercado ruso, SD-WAN estase implementando activamente en Europa. As súas canles de comunicación son máis caras e, polo tanto, as empresas europeas levan a súa pila ás divisións rusas. En Rusia, hai unha certa estabilidade, porque o custo das canles (mesmo cando a rexión é 25 veces máis cara que o centro) parece bastante normal e non suscita dúbidas. De ano en ano, hai un orzamento incondicional para as canles de comunicación.

Aquí tes un exemplo da práctica mundial, cando unha empresa aforrou tempo e diñeiro usando SD-WAN en Cisco.

Hai tal empresa - National Instruments. En certo momento, comezaron a entender que a rede informática global, "obtida" ao combinar 88 sitios en todo o mundo, era ineficaz. Ademais, a empresa carecía da capacidade e do rendemento da súa subministración de auga quente. Non houbo equilibrio entre o crecemento continuo da empresa e o limitado orzamento de TI.

SD-WAN axudou a National Instruments a reducir os custos de MPLS nun 25 % (aforrando 450 2018 $ a finais de 3), ampliando o ancho de banda nun 075 XNUMX %.

Como resultado da implementación de SD-WAN, a compañía recibiu unha rede intelixente definida por software e unha xestión centralizada de políticas para optimizar automaticamente o tráfico e o rendemento das aplicacións. Xusto aquí - caso detallado.

Aquí un caso absolutamente tolo de mover un S7 a outra oficina, cando ao principio todo comezou difícil, pero interesante: foi necesario refacer 1,5 mil portos. Pero entón algo saíu mal e, como resultado, os administradores resultaron ser os últimos antes do prazo, sobre os que recaen todos os atrasos acumulados.

Ler máis en inglés:

• American Banker: Fifth Third inviste na actualización da rede de 5 anos con SD-WAN .
• Creando éxito SD-WAN Cloud en Koch.
• Viaxe SD-WAN de McKesson para aforrar custos .
• SD-WAN PoC minorista e segmentación: Gap Stores.
• Pero Estudo global de Cisco sobre as tendencias das redes no mundo.

En ruso:

• En CNews.
• Como implementamos SD-Access e por que era necesario.
• Tecido de rede para o centro de datos Cisco ACI: para axudar ao administrador.
• Canle estable baseada en redes SD-WAN definidas por software: solución de problemas de selección de rutas.
• O meu correo electrónico, se tes algunha dúbida ou queres probar as túas tarefas no noso stand, - [protexido por correo electrónico].

Fonte: www.habr.com