Stand yang dapat Anda sentuh di lab kami jika Anda mau.
SD-WAN dan SD-Access adalah dua pendekatan kepemilikan baru yang berbeda untuk membangun jaringan. Di masa depan, mereka harus bergabung menjadi satu jaringan overlay, tetapi untuk saat ini mereka semakin dekat. Logikanya begini: kami mengambil jaringan dari tahun 1990-an dan meluncurkan semua patch dan fitur yang diperlukan ke dalamnya, tanpa menunggu hingga jaringan tersebut menjadi standar terbuka baru dalam 10 tahun berikutnya.
SD-WAN adalah patch SDN untuk jaringan perusahaan terdistribusi. Transportasi terpisah, kontrol terpisah, sehingga kontrol disederhanakan.
Kelebihan - semua saluran komunikasi digunakan secara aktif, termasuk saluran cadangan. Ada perutean paket ke aplikasi: apa, melalui saluran mana dan dengan prioritas apa. Prosedur yang disederhanakan untuk menerapkan titik baru: alih-alih meluncurkan konfigurasi, cukup tentukan alamat server Cisco di Internet besar, pusat data CROC, atau pelanggan, tempat konfigurasi khusus untuk jaringan Anda diambil.
SD-Access (DNA) adalah otomatisasi manajemen jaringan lokal: konfigurasi dari satu titik, wizard, antarmuka yang nyaman. Faktanya, jaringan lain dibangun dengan transport berbeda pada tingkat protokol di atas jaringan Anda, dan kompatibilitas dengan jaringan lama dipastikan pada batas perimeter.
Kami juga akan membahasnya di bawah.
Sekarang beberapa demonstrasi di bangku tes di lab kami, tampilannya dan cara kerjanya.
Mari kita mulai dengan SD-WAN. Fitur utama:
- Penyederhanaan penerapan titik baru (ZTP) - diasumsikan bahwa Anda memasukkan titik tersebut dengan alamat server dengan pengaturan. Intinya mengetuknya, menerima konfigurasi, menggulungnya dan dimasukkan ke dalam panel kontrol Anda. Hal ini memastikan Penyediaan Zero-Touch (ZTP). Untuk menyebarkan titik akhir, teknisi jaringan tidak perlu melakukan perjalanan ke situs. Hal utama adalah menyalakan perangkat dengan benar di lokasi dan menghubungkan semua kabel ke sana, maka peralatan akan secara otomatis terhubung ke sistem. Anda dapat mengunduh konfigurasi melalui kueri DNS di cloud vendor dari drive USB yang terhubung, atau Anda dapat membuka hyperlink dari laptop yang terhubung ke perangkat melalui Wi-Fi atau Ethernet.
- Penyederhanaan administrasi jaringan rutin - konfigurasi dari templat, kebijakan global, dikonfigurasi secara terpusat untuk setidaknya lima cabang, setidaknya 5. Semuanya dari satu tempat. Untuk menghindari perjalanan panjang, ada opsi yang sangat mudah untuk kembali secara otomatis ke konfigurasi sebelumnya.
- Manajemen lalu lintas tingkat aplikasiβmemastikan pembaruan tanda tangan aplikasi yang berkualitas dan berkelanjutan. Kebijakan dikonfigurasikan dan diluncurkan secara terpusat (tidak perlu menulis dan memperbarui peta rute untuk setiap router, seperti sebelumnya). Anda dapat melihat siapa yang mengirim apa, kemana dan apa.
- Segmentasi jaringan. VPN independen yang terisolasi di atas seluruh infrastruktur - masing-masing dengan peruteannya sendiri. Secara default, lalu lintas di antara mereka ditutup; Anda hanya dapat membuka akses ke jenis lalu lintas yang dapat dimengerti di node jaringan yang dapat dimengerti, misalnya, melewati semuanya melalui firewall atau proxy yang besar.
- Visibilitas riwayat kualitas jaringan - bagaimana kinerja aplikasi dan saluran. Sangat berguna untuk menganalisis dan memperbaiki situasi bahkan sebelum pengguna mulai menerima keluhan tentang pengoperasian aplikasi yang tidak stabil.
- Visibilitas di seluruh saluran - apakah sepadan dengan biaya yang dikeluarkan, apakah dua operator berbeda benar-benar datang ke situs Anda, atau apakah mereka benar-benar melalui jaringan yang sama dan mengalami penurunan/jatuh pada saat yang bersamaan.
- Visibilitas untuk aplikasi cloud dan mengarahkan lalu lintas melalui saluran tertentu berdasarkan itu (Cloud Onramp).
- Satu perangkat keras berisi router dan firewall (lebih tepatnya, NGFW). Lebih sedikit perangkat keras berarti lebih murah untuk membuka cabang baru.
Komponen dan arsitektur solusi SD-WAN
Perangkat akhir adalah router WAN, yang dapat berupa perangkat keras atau virtual.
Orchestrator adalah alat manajemen jaringan. Mereka dikonfigurasikan dengan parameter perangkat akhir, kebijakan perutean lalu lintas, dan fungsi keamanan. Konfigurasi yang dihasilkan dikirim secara otomatis melalui jaringan kontrol ke node. Secara paralel, orkestrator mendengarkan jaringan dan memantau ketersediaan perangkat, port, saluran komunikasi, dan pemuatan antarmuka.
Alat analisis. Mereka membuat laporan berdasarkan data yang dikumpulkan dari perangkat akhir: riwayat kualitas saluran, aplikasi jaringan, ketersediaan node, dll.
Pengendali bertanggung jawab untuk menerapkan kebijakan perutean lalu lintas ke jaringan. Analog terdekatnya dalam jaringan tradisional adalah BGP Route Reflector. Kebijakan global yang dikonfigurasikan oleh administrator di orkestrator menyebabkan pengontrol mengubah komposisi tabel peruteannya dan mengirimkan informasi terbaru ke perangkat akhir.
Apa yang didapat layanan IT dari SD-WAN:
- Saluran cadangan terus digunakan (tidak menganggur). Ternyata lebih murah karena Anda mampu membeli dua saluran yang tidak terlalu tebal.
- Peralihan otomatis lalu lintas aplikasi antar saluran.
- Waktu administrator: Anda dapat mengembangkan jaringan secara global, daripada menjelajahi setiap perangkat keras dengan konfigurasi.
- Kecepatan membesarkan cabang baru. Dia jauh lebih tinggi.
- Lebih sedikit waktu henti saat mengganti peralatan yang mati.
- Konfigurasikan ulang jaringan dengan cepat untuk layanan baru.
Apa yang didapat bisnis dari SD-WAN:
- Jaminan pengoperasian aplikasi bisnis pada jaringan terdistribusi, termasuk melalui saluran Internet terbuka. Ini tentang prediktabilitas bisnis.
- Dukungan instan untuk aplikasi bisnis baru di seluruh jaringan terdistribusi, berapapun jumlah cabangnya. Ini tentang kecepatan bisnis.
- Koneksi cabang yang cepat dan aman di lokasi terpencil mana pun menggunakan teknologi koneksi apa pun (Internet ada di mana-mana, tetapi jalur sewaan dan VPN tidak). Ini tentang fleksibilitas bisnis dalam memilih lokasi.
- Ini bisa berupa proyek dengan pengiriman dan commissioning, atau bisa juga berupa layanan
dengan pembayaran bulanan dari perusahaan IT, operator telekomunikasi atau operator cloud. Apapun yang nyaman bagi Anda.
Manfaat bisnis SD-WAN bisa sangat berbeda, misalnya, salah satu pelanggan memberi tahu kami bahwa seorang manajer puncak telah menerima permintaan sambungan langsung dengan seluruh karyawan di sebuah perusahaan multi-ribu dan kemampuan untuk menyampaikan konten.
Bagi kami itu adalah βoperasi militer.β Saat itu, kami sudah menyelesaikan masalah modernisasi CSPD. Dan ketika kita memahami bahwa pada prinsipnya kita perlu merenovasi peralatan, dan teknologi telah bergerak maju, mengapa kita perlu merenovasi teknologi dan layanan yang sama jika kita bisa melangkah lebih jauh.
SD-WAN diinstal di situs oleh Enikey. Hal ini penting untuk cabang terpencil, di mana mungkin tidak ada administrator normal. Kirim lewat pos, katakan: βMasukkan kabel 1 ke kotak 1, kabel 2 ke kotak 2, dan jangan tercampur! Jangan bingung, #@$@%!β Dan jika mereka tidak mencampuradukkannya, perangkat itu sendiri akan berkomunikasi dengan server pusat, mengambil dan menerapkan konfigurasinya, dan kantor ini menjadi bagian dari jaringan aman perusahaan. Sangat menyenangkan ketika Anda tidak perlu bepergian dan mudah untuk menyesuaikan anggaran Anda.
Berikut diagram dudukannya:
Beberapa contoh konfigurasi:
Kebijakan - aturan global untuk mengatur lalu lintas. Mengedit kebijakan.
Aktifkan kebijakan kontrol lalu lintas.
Konfigurasi massal parameter perangkat dasar (alamat IP, kumpulan DHCP).
Tangkapan layar pemantauan kinerja aplikasi
Untuk aplikasi awan.
Detail untuk Office365.
Untuk aplikasi di lokasi. Sayangnya, kami tidak dapat menemukan aplikasi dengan kesalahan di stand kami (tingkat Pemulihan FEC nol di semua tempat).
Selain itu - kinerja saluran transmisi data.
Perangkat keras apa yang didukung di SD-WAN
1. Platform perangkat keras:
- Router Cisco vEdge (sebelumnya Viptela vEdge) menjalankan Viptela OS.
- Router Layanan Terintegrasi (ISR) seri 1 dan 000 yang menjalankan IOS XE SD-WAN.
- Router Layanan Agregasi (ASR) seri 1 menjalankan IOS XE SD-WAN.
2. Platform maya:
- Router Layanan Cloud (CSR) 1v menjalankan IOS XE SD-WAN.
- vEdge Cloud Router menjalankan Viptela OS.
Platform virtual dapat diterapkan pada platform komputasi Cisco x86, seperti Enterprise Network Compute System (ENCS) seri 5, Unified Computing System (UCS), dan Cloud Services Platform (CSP) seri 000. Platform virtual juga dapat berjalan di perangkat x5 apa pun menggunakan hypervisor seperti KVM atau VMware ESi.
Bagaimana perangkat baru berjalan
Daftar perangkat berlisensi untuk penerapan diunduh dari akun pintar Cisco atau diunggah sebagai file CSV. Saya akan mencoba mendapatkan lebih banyak tangkapan layar nanti, saat ini kami tidak memiliki perangkat baru untuk digunakan.
Urutan langkah yang dilalui perangkat saat dikerahkan.
Bagaimana metode pengiriman perangkat/konfigurasi baru diluncurkan
Kami menambahkan perangkat ke Akun Cerdas.
Anda dapat mengunduh file CSV, atau mengunduh satu per satu:
Isi parameter perangkat:
Selanjutnya di vManage kita sinkronisasi data dengan Smart Account. Perangkat muncul dalam daftar:
Di menu tarik-turun di seberang perangkat, klik Hasilkan Konfigurasi Bootstrap
dan dapatkan konfigurasi awal:
Konfigurasi ini harus dimasukkan ke perangkat. Cara termudah adalah menghubungkan flash drive dengan file tersimpan bernama ciscosd-wan.cfg ke perangkat. Saat boot, perangkat akan mencari file ini.
Setelah menerima konfigurasi awal, perangkat akan dapat menghubungi orkestrator dan menerima konfigurasi lengkap dari sana.
Kami melihat SD-Access (DNA)
SD-Access memudahkan konfigurasi port dan hak akses untuk menghubungkan pengguna. Ini dilakukan dengan menggunakan penyihir. Parameter port diatur sehubungan dengan grup "Administrator", "Akuntansi", "Printer", dan bukan ke VLAN dan subnet IP. Ini meminimalkan kesalahan manusia. Jika, misalnya, sebuah perusahaan memiliki banyak cabang di seluruh Rusia, tetapi kantor pusatnya kelebihan beban, maka SD-Access memungkinkan Anda menyelesaikan lebih banyak masalah secara lokal. Misalnya masalah yang sama mengenai pemecahan masalah.
Untuk keamanan informasi, penting bahwa SD-Access melibatkan pembagian pengguna dan perangkat yang jelas ke dalam kelompok dan definisi kebijakan interaksi di antara mereka, otorisasi untuk setiap koneksi klien ke jaringan, dan penyediaan βhak aksesβ di seluruh jaringan. Jika Anda mengikuti pendekatan ini, administrasi menjadi lebih mudah.
Proses startup untuk kantor baru juga disederhanakan berkat agen Plug-and-Play di switch. Tidak perlu berkeliling lintas alam dengan konsol, atau bahkan mengunjungi situsnya sama sekali.
Berikut adalah contoh konfigurasi:
Status umum.
Insiden yang harus ditinjau oleh administrator.
Rekomendasi otomatis tentang apa yang harus diubah dalam konfigurasi.
Rencana untuk mengintegrasikan SD-WAN dengan SD-Access
Saya mendengar Cisco memiliki rencana seperti itu - SD-WAN dan SD-Access. Hal ini akan mengurangi wasir secara signifikan ketika mengelola CSPD yang tersebar secara geografis dan lokal.
vManage (orkestrasi SD-WAN) dikelola melalui API dari DNA Center (pengontrol SD-Access).
Kebijakan segmentasi mikro dan makro dipetakan sebagai berikut:
Di tingkat paket, semuanya terlihat seperti ini:
Siapa yang memikirkan hal ini dan apa?
Kami telah mengerjakan SD-WAN sejak tahun 2016 di laboratorium terpisah, tempat kami menguji berbagai solusi untuk kebutuhan ritel, bank, transportasi, dan industri.
Kami banyak berkomunikasi dengan pelanggan nyata.
Saya dapat mengatakan bahwa ritel sudah dengan percaya diri menguji SD-WAN, dan beberapa melakukan ini dengan vendor (paling sering dengan Cisco), tetapi ada juga yang mencoba menyelesaikan masalah mereka sendiri: mereka menulis versi mereka sendiri. perangkat lunak yang fungsinya mirip dengan SD-WAN.
Setiap orang, dengan satu atau lain cara, ingin mencapai pengelolaan terpusat atas seluruh peralatan kebun binatang. Ini adalah satu titik administrasi untuk instalasi non-standar dan standar untuk vendor berbeda dan teknologi berbeda. Penting untuk meminimalkan pekerjaan manual karena, pertama, mengurangi risiko faktor manusia saat menyiapkan peralatan, dan kedua, membebaskan sumber daya layanan TI untuk memecahkan masalah lain. Biasanya, kesadaran akan kebutuhan ini berasal dari siklus pembaruan yang sangat panjang di seluruh negeri. Dan, misalnya, jika pengecer menjual alkohol, maka penjualannya memerlukan komunikasi yang terus-menerus. Pembaruan atau waktu henti pada siang hari secara langsung memengaruhi pendapatan.
Sekarang di ritel ada pemahaman yang jelas tentang tugas TI apa yang akan menggunakan SD-WAN:
- Penyebaran cepat (sering kali diperlukan pada LTE sebelum penyedia kabel tiba, seringkali titik baru perlu dimunculkan oleh administrator di kota melalui GPC, dan kemudian pusat hanya melihat dan mengonfigurasi).
- Manajemen terpusat, komunikasi untuk benda asing.
- Mengurangi biaya telekomunikasi.
- Berbagai layanan tambahan (fitur DPI memungkinkan untuk memprioritaskan pengiriman lalu lintas dari aplikasi penting seperti mesin kasir).
- Bekerja dengan saluran secara otomatis, bukan secara manual.
Dan ada juga pemeriksaan kepatuhan - semua orang sering membicarakannya, tetapi tidak ada yang menganggapnya sebagai masalah. Mempertahankan agar semuanya berfungsi dengan benar juga berfungsi dengan baik dalam paradigma ini. Banyak yang percaya bahwa seluruh pasar teknologi jaringan akan bergerak ke arah ini.
Bank, IMHO, saat ini sedang menguji SD-WAN sebagai fitur teknologi baru. Mereka menunggu berakhirnya dukungan untuk peralatan generasi sebelumnya dan baru setelah itu mereka akan berubah. Bank pada umumnya memiliki suasana khusus melalui saluran komunikasi, sehingga keadaan industri saat ini tidak terlalu mengganggu mereka. Masalahnya terletak pada bidang lain.
Berbeda dengan pasar Rusia, SD-WAN secara aktif diterapkan di Eropa. Saluran komunikasi mereka lebih mahal, dan oleh karena itu perusahaan-perusahaan Eropa membawa tumpukan mereka ke divisi Rusia. Di Rusia, terdapat stabilitas tertentu, karena biaya saluran (bahkan ketika wilayah tersebut 25 kali lebih mahal daripada pusat) terlihat cukup normal dan tidak menimbulkan pertanyaan. Dari tahun ke tahun, ada anggaran tanpa syarat untuk saluran komunikasi.
Berikut adalah contoh dari praktik dunia, ketika sebuah perusahaan menghemat waktu dan uang menggunakan SD-WAN di Cisco.
Ada perusahaan seperti itu - National Instruments. Pada titik tertentu, mereka mulai memahami bahwa jaringan komputer global yang βdiperolehβ dengan menggabungkan 88 situs di seluruh dunia tidak efektif. Selain itu, perusahaan juga kekurangan kapasitas dan kinerja pasokan air panas domestik. Tidak ada keseimbangan antara pertumbuhan berkelanjutan perusahaan dan anggaran TI yang terbatas.
SD-WAN membantu National Instruments mengurangi biaya MPLS sebesar 25% (menghemat $450 pada akhir tahun 2018), meningkatkan bandwidth sebesar 3%.
Sebagai hasil dari penerapan SD-WAN, perusahaan menerima jaringan cerdas yang ditentukan perangkat lunak dan manajemen kebijakan terpusat untuk mengoptimalkan lalu lintas dan kinerja aplikasi secara otomatis. - kasus rinci.
kasus yang benar-benar gila untuk memindahkan S7 ke kantor lain, ketika pada awalnya semuanya dimulai dengan sulit, tetapi menarik - 1,5 ribu port perlu dibuat ulang. Tapi kemudian ada yang tidak beres dan akibatnya, para admin menjadi orang terakhir sebelum batas waktu, yang menjadi tanggung jawab semua akumulasi penundaan.
Baca lebih lanjut dalam bahasa Inggris:
- .
- .
- .
- .
- Tetapi tentang tren jaringan di dunia.
Dalam bahasa Rusia:
- .
- .
- .
- .
- Email saya, jika Anda memiliki pertanyaan atau ingin menguji tugas Anda di stand kami, - [email dilindungi].
Sumber: www.habr.com