SD-WAN i DNA za pomoć administratoru: značajke arhitekture i praksa

Stalak koji možete dodirnuti u našem laboratoriju ako želite.

SD-WAN i SD-Access dva su različita nova vlasnička pristupa izgradnji mreža. U budućnosti bi se trebali spojiti u jednu preklapajuću mrežu, ali zasad se tek približavaju. Logika je sljedeća: uzimamo mrežu iz 1990-ih i postavljamo sve potrebne zakrpe i značajke na nju, ne čekajući da postane novi otvoreni standard za sljedećih 10 godina.

SD-WAN je SDN zakrpa za distribuirane poslovne mreže. Transport je odvojen, kontrola je odvojena, pa je kontrola pojednostavljena.

Prednosti - aktivno se koriste svi komunikacijski kanali, uključujući rezervni. Postoji usmjeravanje paketa prema aplikacijama: što, kroz koji kanal i s kojim prioritetom. Pojednostavljena procedura postavljanja novih točaka: umjesto izbacivanja konfiguracije, samo odredite adresu Cisco servera na velikom Internetu, podatkovnog centra CROC-a ili kupca, odakle se preuzimaju konfiguracije specifične za vašu mrežu.

SD-Access (DNA) je automatizacija upravljanja lokalnom mrežom: konfiguracija s jedne točke, čarobnjaci, prikladna sučelja. Zapravo, izgrađena je druga mreža s drugačijim prijenosom na razini protokola povrh vaše, a kompatibilnost sa starijim mrežama osigurana je na granicama perimetra.

I ovim ćemo se pozabaviti u nastavku.

Sada nekoliko demonstracija na ispitnim stolovima u našem laboratoriju, kako to izgleda i radi.

Počnimo sa SD-WAN-om. Glavne značajke:

• Pojednostavljenje postavljanja novih točaka (ZTP) - pretpostavlja se da točku nekako nahranite adresom poslužitelja s postavkama. Točka pokuca na njega, primi konfiguraciju, smota je i uključena je u vašu upravljačku ploču. Ovo osigurava Zero-Touch Provisioning (ZTP). Da bi postavio krajnju točku, mrežni inženjer ne mora putovati na mjesto. Glavna stvar je pravilno uključiti uređaj na licu mjesta i spojiti sve kabele na njega, a zatim će se oprema automatski spojiti na sustav. Možete preuzeti konfiguracije putem DNS upita u oblaku dobavljača s povezanog USB pogona ili možete otvoriti hipervezu s prijenosnog računala povezanog s uređajem putem Wi-Fi ili Etherneta.
• Pojednostavljenje rutinske mrežne administracije - konfiguracija iz predložaka, globalna pravila, centralno konfigurirana za najmanje pet podružnica, najmanje 5. Sve s jednog mjesta. Kako biste izbjegli dugo putovanje, postoji vrlo praktična opcija za automatski povratak na prethodnu konfiguraciju.
• Upravljanje prometom na razini aplikacije—osiguravanje kvalitete i kontinuiranog ažuriranja potpisa aplikacije. Pravila se konfiguriraju i uvode centralno (nema potrebe za pisanjem i ažuriranjem mapa ruta za svaki usmjerivač, kao prije). Možete vidjeti tko šalje što, gdje i što.
• Segmentacija mreže. Neovisni izolirani VPN-ovi na vrhu cijele infrastrukture - svaki sa svojim vlastitim usmjeravanjem. Prema zadanim postavkama, promet između njih je zatvoren; možete otvoriti pristup samo razumljivim vrstama prometa u razumljivim mrežnim čvorovima, na primjer, prolazeći sve kroz veliki vatrozid ili proxy.
• Vidljivost povijesti kvalitete mreže - rad aplikacija i kanala. Vrlo korisno za analizu i ispravljanje situacije čak i prije nego što korisnici počnu primati pritužbe na nestabilan rad aplikacija.
• Vidljivost kroz kanale - vrijede li oni novca, dolaze li dva različita operatera na vašu web-lokaciju ili zapravo prolaze kroz istu mrežu i degradiraju/padaju u isto vrijeme.
• Vidljivost za aplikacije u oblaku i usmjeravanje prometa kroz određene kanale na temelju toga (Cloud Onramp).
• Jedan dio hardvera sadrži router i firewall (točnije NGFW). Manje hardvera znači da je jeftinije otvoriti novu poslovnicu.

Komponente i arhitektura SD-WAN rješenja

Krajnji uređaji su WAN usmjerivači, koji mogu biti hardverski ili virtualni.

Orkestratori su alat za upravljanje mrežom. Oni su konfigurirani s parametrima krajnjeg uređaja, pravilima usmjeravanja prometa i sigurnosnom funkcijom. Rezultirajuće konfiguracije se automatski šalju kroz kontrolnu mrežu do čvorova. Paralelno, orkestrator sluša mrežu i prati dostupnost uređaja, priključaka, komunikacijskih kanala i učitavanje sučelja.

Alati za analitiku. Izrađuju izvješća na temelju podataka prikupljenih s krajnjih uređaja: povijesti kvalitete kanala, mrežnih aplikacija, dostupnosti čvorova itd.

Kontrolori su odgovorni za primjenu pravila usmjeravanja prometa na mrežu. Njihov najbliži analog u tradicionalnim mrežama može se smatrati BGP Route Reflector. Globalna pravila koja administrator konfigurira u orkestratoru uzrokuju da kontroleri mijenjaju sastav svojih tablica usmjeravanja i šalju ažurirane informacije krajnjim uređajima.

Što IT usluga dobiva od SD-WAN-a:

1. Rezervni kanal je stalno u upotrebi (nije u stanju mirovanja). Ispada jeftinije jer si možete priuštiti dva kanala manje debljine.
2. Automatsko prebacivanje prometa aplikacije između kanala.
3. Administratorsko vrijeme: možete razvijati mrežu globalno, umjesto da puzite kroz svaki komad hardvera s konfiguracijama.
4. Brzina podizanja novih grana. Puno je viša.
5. Manje zastoja tijekom zamjene mrtve opreme.
6. Brzo ponovno konfigurirajte mrežu za nove usluge.

Što poduzeće dobiva od SD-WAN-a:

1. Zajamčen rad poslovnih aplikacija na distribuiranoj mreži, uključujući i otvorene internetske kanale. Radi se o predvidljivosti poslovanja.
2. Trenutna podrška za nove poslovne aplikacije u cijeloj distribuiranoj mreži, bez obzira na broj poslovnica. Radi se o poslovnoj brzini.
3. Brzo i sigurno povezivanje poslovnica na bilo kojoj udaljenoj lokaciji korištenjem bilo koje tehnologije povezivanja (Internet je posvuda, ali iznajmljene linije i VPN nisu). Ovdje se radi o poslovnoj fleksibilnosti u odabiru lokacije.
4. To može biti projekt s isporukom i puštanjem u pogon ili može biti usluga
   uz mjesečne uplate IT tvrtke, telekom operatera ili cloud operatera. Što god vama odgovara.

Poslovne prednosti SD-WAN-a mogu biti potpuno različite, primjerice, jedan korisnik nam je rekao da je vrhunski menadžer dobio zahtjev za izravnu liniju sa svim zaposlenicima višetisućne tvrtke i mogućnost isporuke sadržaja.

Za nas je to bila “vojna operacija”. U tom trenutku već smo rješavali problem modernizacije CSPD-a. A kad shvatimo da se načelno trebamo baviti obnovom opreme, a tehnološki je sklop krenuo naprijed, zašto bismo se bavili obnovom istih tehnologija i usluga ako možemo ići korak dalje.

Enikey je na licu mjesta instalirao SD-WAN. Ovo je važno za udaljene podružnice, gdje jednostavno ne postoji normalan administrator. Pošaljite poštom, recite: “Utaknite kabel 1 u kutiju 1, kabel 2 u kutiju 2 i nemojte miješati! Nemojte se zbuniti, #@$@%!" A ako oni to ne pomiješaju, sam uređaj komunicira sa središnjim poslužiteljem, preuzima i primjenjuje njegove konfiguracije, a ovaj ured postaje dio sigurne mreže tvrtke. Lijepo je kad ne morate putovati i to je lako opravdati u svom budžetu.

Evo dijagrama postolja:

Neki primjeri konfiguracije:

Politika - globalna pravila za upravljanje prometom. Uređivanje pravila.

Aktivirajte politiku kontrole prometa.

Masovna konfiguracija osnovnih parametara uređaja (IP adrese, DHCP skupovi).

Snimke zaslona praćenja rada aplikacije

Za aplikacije u oblaku.

Pojedinosti za Office365.

Za on-prem aplikacije. Nažalost, nismo uspjeli pronaći aplikacije s pogreškama na našem štandu (FEC stopa oporavka posvuda je nula).

Dodatno - performanse kanala za prijenos podataka.

Koji je hardver podržan na SD-WAN-u

1. Hardverske platforme:

• Cisco vEdge usmjerivači (bivši Viptela vEdge) s operativnim sustavom Viptela.
• 1 i 000 serije integriranih usmjerivača usluga (ISR-ovi) koji pokreću IOS XE SD-WAN.
• Usmjerivač usluga agregacije (ASR) serije 1 koji pokreće IOS XE SD-WAN.

2. Virtualne platforme:

• Cloud Services Router (CSR) 1v koji pokreće IOS XE SD-WAN.
• vEdge Cloud Router koji pokreće Viptela OS.

Virtualne platforme mogu se postaviti na Cisco x86 računalne platforme, kao što je Enterprise Network Compute System (ENCS) serije 5, Unified Computing System (UCS) i Cloud Services Platform (CSP) serije 000. Virtualne platforme također mogu raditi na bilo kojem x5 uređaju koristeći hipervizor kao što je KVM ili VMware ESi.

Kako novi uređaj radi dalje

Popis licenciranih uređaja za implementaciju preuzima se s Cisco pametnog računa ili učitava kao CSV datoteka. Kasnije ću pokušati dobiti još snimaka zaslona, ​​trenutno nemamo novih uređaja za implementaciju.

Slijed koraka kroz koje uređaj prolazi kada se postavi.

Kako se uvodi novi način isporuke uređaja/konfiguracije

Dodavamo uređaje na Smart Account.

Možete preuzeti CSV datoteku ili možete preuzeti jednu po jednu:

Ispunite parametre uređaja:

Zatim u vManageu sinkroniziramo podatke s pametnim računom. Uređaj se pojavljuje na popisu:

U padajućem izborniku nasuprot uređaja kliknite Generate Bootstrap Configuration
i dobijte početnu konfiguraciju:

Ova se konfiguracija mora unijeti u uređaj. Najlakši način je povezati flash pogon sa spremljenom datotekom pod nazivom ciscosd-wan.cfg na uređaj. Prilikom pokretanja, uređaj će tražiti ovu datoteku.

Nakon što primi početnu konfiguraciju, uređaj će moći doći do orkestratora i od tamo primiti punu konfiguraciju.

Gledamo SD-Access (DNK)

SD-Access olakšava konfiguriranje priključaka i prava pristupa za povezivanje korisnika. To se radi pomoću čarobnjaka. Parametri porta postavljeni su u odnosu na grupe "Administratori", "Računovodstvo", "Pisači", a ne na VLAN-ove i IP podmreže. Ovo minimizira ljudske pogreške. Ako, na primjer, tvrtka ima mnogo podružnica diljem Rusije, ali je središnji ured preopterećen, tada vam SD-Access omogućuje lokalno rješavanje više problema. Na primjer, isti problemi u vezi s rješavanjem problema.

Za informacijsku sigurnost važno je da SD-Access uključuje jasnu podjelu korisnika i uređaja u skupine i definiranje politika interakcije između njih, autorizaciju za bilo kakvo povezivanje klijenta s mrežom te pružanje “prava pristupa” u cijeloj mreži. Ako slijedite ovaj pristup, administracija postaje puno lakša.

Proces pokretanja novih ureda također je pojednostavljen zahvaljujući Plug-and-Play agentima u preklopnicima. Nema potrebe trčati po zemlji s konzolom ili uopće ići na mjesto.

Evo primjera konfiguracije:

Opće stanje.

Incidenti koje bi administrator trebao pregledati.

Automatske preporuke o tome što promijeniti u konfiguracijama.

Plan za integraciju SD-WAN-a sa SD-Accessom

Čuo sam da Cisco ima takve planove - SD-WAN i SD-Access. Ovo bi trebalo značajno smanjiti hemoroide pri liječenju geografski raspoređenih i lokalnih CSPD-ova.

vManage (SD-WAN orkestrator) upravlja se putem API-ja iz DNA centra (SD-Access kontroler).

Politike mikro- i makro-segmentacije mapirane su na sljedeći način:

Na razini paketa sve izgleda ovako:

Tko o tome misli i što?

Мы занимаемся SD-WAN с 2016 года в отдельной лаборатории, где тестируем разные варианты решений под нужды розницы, банков, транспорта и промышленности.

Puno komuniciramo sa stvarnim kupcima.

Mogu reći da maloprodaja već pouzdano testira SD-WAN, a neki to rade s dobavljačima (najčešće s Ciscom), ali ima i onih koji problem pokušavaju riješiti sami: pišu vlastitu verziju softver koji je po funkcionalnosti sličan SD-WAN-u.

Svatko, na ovaj ili onaj način, želi postići centralizirano upravljanje cjelokupnom opremom zoološkog vrta. Ovo je jedna točka administracije za nestandardne instalacije i standardne za različite dobavljače i različite tehnologije. Važno je minimizirati ručni rad jer, prvo, smanjuje rizik od ljudskog faktora pri postavljanju opreme, a drugo, oslobađa resurse IT službe za rješavanje drugih problema. Tipično, prepoznavanje potrebe dolazi iz vrlo dugih ciklusa obnove diljem zemlje. I, na primjer, ako trgovac prodaje alkohol, onda mu je za prodaju potrebna stalna komunikacija. Ažuriranje ili zastoj tijekom dana izravno utječe na prihod.

Sada u maloprodaji postoji jasno razumijevanje za koje IT zadatke će se koristiti SD-WAN:

1. Brza implementacija (često potrebno na LTE-u prije dolaska kabelskog provajdera, često je potrebno da novu točku podigne administrator u gradu preko GPC-a, a onda centar jednostavno pogleda i konfigurira).
2. Centralizirano upravljanje, komunikacija za strane objekte.
3. Smanjenje troškova telekomunikacija.
4. Razne dodatne usluge (DPI značajke omogućuju prioritizaciju isporuke prometa iz važnih aplikacija kao što su blagajne).
5. Radite s kanalima automatski, a ne ručno.

A postoji i provjera usklađenosti - svi o tome puno pričaju, ali nitko to ne doživljava kao problem. Održavanje da sve radi ispravno također dobro funkcionira u ovoj paradigmi. Mnogi vjeruju da će cijelo tržište mrežne tehnologije krenuti u tom smjeru.

Banke, IMHO, trenutno testiraju SD-WAN radije kao novu tehnološku značajku. Čekaju prestanak podrške za prethodne generacije opreme i tek onda će se mijenjati. Banke uglavnom imaju svoje posebno ozračje kroz komunikacijske kanale pa im trenutno stanje u industriji ne smeta previše. Problemi prije leže na drugim planovima.

Za razliku od ruskog tržišta, SD-WAN se aktivno implementira u Europi. Njihovi komunikacijski kanali su skuplji, pa europske tvrtke donose svoj stack ruskim odjelima. U Rusiji postoji određena stabilnost, jer cijena kanala (čak i kada je regija 25 puta skuplja od centra) izgleda sasvim normalno i ne izaziva pitanja. Iz godine u godinu postoji bezuvjetan budžet za komunikacijske kanale.

Evo primjera iz svjetske prakse, kada je tvrtka uštedjela vrijeme i novac koristeći SD-WAN na Ciscu.

Postoji takva tvrtka - National Instruments. U određenom su trenutku počeli shvaćati da je globalna računalna mreža, "dobivena" kombinacijom 88 stranica diljem svijeta, neučinkovita. Osim toga, poduzeću su nedostajali kapacitet i performanse opskrbe potrošnom toplom vodom. Nije bilo ravnoteže između kontinuiranog rasta tvrtke i ograničenog IT proračuna.

SD-WAN je pomogao National Instrumentsu smanjiti troškove MPLS-a za 25% (uštedivši 450 USD na kraju 2018.), proširivši propusnost za 3%.

Kao rezultat implementacije SD-WAN-a, tvrtka je dobila pametnu softverski definiranu mrežu i centralizirano upravljanje politikama za automatsku optimizaciju prometa i izvedbe aplikacija. Ovdje - detaljan slučaj.

Upravo ovdje potpuno lud slučaj premještanja S7 u drugi ured, kada je u početku sve počelo teško, ali zanimljivo - bilo je potrebno ponoviti 1,5 tisuća portova. Ali onda je nešto pošlo po zlu i kao rezultat toga, admini su ispali zadnji prije isteka roka, na koje padaju sva nagomilana kašnjenja.

Pročitajte više na engleskom:

• American Banker: Fifth Third ulaže u 5-godišnju nadogradnju mreže sa SD-WAN-om .
• Izgradnja Cloud SD-WAN uspjeha u Kochu.
• McKessonov SD-WAN put do uštede .
• SD-WAN Maloprodajni PoC i segmentacija: Gap Stores.
• Ali Ciscova globalna studija o mrežnim trendovima u svijetu.

Na ruskom:

• Na CNewsu.
• Kako smo implementirali SD-Access i zašto je bio potreban.
• Mrežna struktura za Cisco ACI podatkovni centar - za pomoć administratoru.
• Stabilni kanal temeljen na softverski definiranim SD-WAN mrežama: rješavanje problema odabira rute.
• Moj e-mail, ako imate pitanja ili želite isprobati svoje zadatke na našem štandu, - [e-pošta zaštićena].

Izvor: www.habr.com