SD-WAN e DNA per aiutare l'amministratore: caratteristiche e pratica dell'architettura

Uno stand che potrai toccare con mano nel nostro laboratorio se vuoi.

SD-WAN e SD-Access sono due nuovi approcci proprietari diversi alla costruzione di reti. In futuro dovrebbero fondersi in un’unica rete overlay, ma per ora sono solo vicini. La logica è questa: prendiamo una rete degli anni ’1990 e vi implementiamo tutte le patch e le funzionalità necessarie, senza aspettare che diventi un nuovo standard aperto tra altri 10 anni.

SD-WAN è una patch SDN per reti aziendali distribuite. Il trasporto è separato, il controllo è separato, quindi il controllo è semplificato.

Pro: tutti i canali di comunicazione vengono utilizzati attivamente, incluso quello di backup. Esiste l'instradamento dei pacchetti alle applicazioni: cosa, attraverso quale canale e con quale priorità. Una procedura semplificata per l'implementazione di nuovi punti: invece di implementare una configurazione, è sufficiente specificare l'indirizzo del server Cisco sulla grande Internet, del data center CROC o del cliente, da cui vengono prese le configurazioni specifiche per la propria rete.

SD-Access (DNA) è l'automazione della gestione della rete locale: configurazione da un punto, procedure guidate, comode interfacce. Infatti, viene costruita un'altra rete con un trasporto diverso a livello di protocollo sopra la vostra, e la compatibilità con le reti più vecchie è assicurata ai confini perimetrali.

Anche di questo ci occuperemo più avanti.

Ora alcune dimostrazioni sui banchi prova nel nostro laboratorio, come appare e funziona.

Cominciamo con SD-WAN. Caratteristiche principali:

• Semplificazione dell'implementazione di nuovi punti (ZTP): si presuppone che in qualche modo si alimenti il ​​punto con l'indirizzo del server con le impostazioni. Il punto ci bussa sopra, riceve la configurazione, lo arrotola ed è inserito nel tuo pannello di controllo. Ciò garantisce il provisioning Zero-Touch (ZTP). Per distribuire un endpoint, non è necessario che un tecnico di rete si rechi sul sito. L'importante è accendere correttamente il dispositivo sul posto e collegarvi tutti i cavi, quindi l'apparecchiatura si collegherà automaticamente al sistema. Puoi scaricare le configurazioni tramite query DNS nel cloud del fornitore da un'unità USB connessa oppure puoi aprire un collegamento ipertestuale da un laptop connesso al dispositivo tramite Wi-Fi o Ethernet.
• Semplificazione dell'amministrazione di rete di routine: configurazione da modelli, policy globali, configurazione centralizzata per almeno cinque filiali, almeno 5. Tutto da un unico posto. Per evitare un lungo viaggio, esiste un'opzione molto comoda per tornare automaticamente alla configurazione precedente.
• Gestione del traffico a livello di applicazione: garanzia di qualità e aggiornamenti continui delle firme delle applicazioni. Le policy vengono configurate e implementate centralmente (non è necessario scrivere e aggiornare le mappe del percorso per ciascun router, come prima). Puoi vedere chi sta inviando cosa, dove e cosa.
• Segmentazione della rete. VPN isolate indipendenti sopra l'intera infrastruttura, ciascuna con il proprio routing. Per impostazione predefinita, il traffico tra loro è chiuso; puoi aprire l'accesso solo a tipi di traffico comprensibili in nodi di rete comprensibili, ad esempio facendo passare tutto attraverso un grande firewall o proxy.
• Visibilità della cronologia della qualità della rete: come si sono comportate le applicazioni e i canali. Molto utile per analizzare e correggere la situazione anche prima che gli utenti inizino a ricevere reclami sul funzionamento instabile delle applicazioni.
• Visibilità attraverso i canali: valgono i soldi spesi, due operatori diversi stanno effettivamente arrivando sul tuo sito o stanno effettivamente attraversando la stessa rete e peggiorano/cadono allo stesso tempo.
• Visibilità per le applicazioni cloud e indirizzamento del traffico attraverso determinati canali basati su di essa (Cloud Onramp).
• Un componente hardware contiene un router e un firewall (più precisamente, NGFW). Meno componenti hardware significa che è più economico aprire una nuova filiale.

Componenti e architettura delle soluzioni SD-WAN

I dispositivi finali sono router WAN, che possono essere hardware o virtuali.

Gli orchestratori sono uno strumento di gestione della rete. Sono configurati con parametri del dispositivo finale, policy di instradamento del traffico e funzionalità di sicurezza. Le configurazioni risultanti vengono inviate automaticamente ai nodi attraverso la rete di controllo. Parallelamente, l'orchestratore ascolta la rete e monitora la disponibilità di dispositivi, porte, canali di comunicazione e caricamento dell'interfaccia.

Strumenti di analisi. Realizzano report basati sui dati raccolti dai dispositivi finali: cronologia della qualità dei canali, applicazioni di rete, disponibilità dei nodi, ecc.

I controllori sono responsabili dell'applicazione delle politiche di instradamento del traffico alla rete. Il loro analogo più vicino nelle reti tradizionali può essere considerato BGP Route Reflector. I criteri globali configurati dall'amministratore nell'orchestratore fanno sì che i controller modifichino la composizione delle tabelle di routing e inviino informazioni aggiornate ai dispositivi finali.

Cosa ottiene il servizio IT da SD-WAN:

1. Il canale di backup è costantemente in uso (non inattivo). Risulta più economico perché puoi permetterti due canali meno spessi.
2. Commutazione automatica del traffico delle applicazioni tra i canali.
3. Tempo dell'amministratore: puoi sviluppare la rete a livello globale, anziché eseguire la scansione di ogni componente hardware con le configurazioni.
4. Velocità di sollevamento di nuovi rami. Lei è molto più alta.
5. Meno tempi di inattività durante la sostituzione delle apparecchiature danneggiate.
6. Riconfigurare rapidamente la rete per nuovi servizi.

Cosa ottiene un'azienda da SD-WAN:

1. Funzionamento garantito delle applicazioni aziendali su una rete distribuita, anche attraverso canali Internet aperti. Si tratta di prevedibilità aziendale.
2. Supporto immediato per nuove applicazioni aziendali su tutta la rete distribuita, indipendentemente dal numero di filiali. È una questione di velocità aziendale.
3. Connessione veloce e sicura di filiali in qualsiasi località remota utilizzando qualsiasi tecnologia di connessione (Internet è ovunque, ma le linee affittate e la VPN no). Si tratta di flessibilità aziendale nella scelta di una sede.
4. Potrebbe trattarsi di un progetto con consegna e messa in servizio, oppure potrebbe essere un servizio
   con pagamenti mensili da parte di una società IT, operatore di telecomunicazioni o operatore cloud. Qualunque sia conveniente per te.

I vantaggi aziendali di SD-WAN possono essere completamente diversi, ad esempio, un cliente ci ha detto che un top manager aveva ricevuto una richiesta per una linea diretta con tutti i dipendenti di un'azienda multimilionaria e la possibilità di fornire contenuti.

Per noi è stata una “operazione militare”. In quel momento stavamo già risolvendo il problema della modernizzazione della PSDC. E quando comprendiamo che, in linea di principio, dobbiamo impegnarci nel rinnovamento delle attrezzature e che lo stack tecnologico è andato avanti, perché dovremmo impegnarci nel rinnovamento delle stesse tecnologie e servizi se possiamo fare un ulteriore passo avanti.

SD-WAN è installato in loco da Enikey. Questo è importante per le filiali remote, dove semplicemente potrebbe non esserci un normale amministratore. Invia per posta, dicendo: "Collega il cavo 1 alla scatola 1, il cavo 2 alla scatola 2 e non confonderlo! Non confonderti, #@$@%!” E se non si confondono, il dispositivo stesso comunica con il server centrale, raccoglie e applica le sue configurazioni e questo ufficio diventa parte della rete sicura dell’azienda. È bello quando non devi viaggiare ed è facile giustificarlo nel tuo budget.

Ecco uno schema dello stand:

Alcuni esempi di configurazione:

Policy: regole globali per la gestione del traffico. Modifica di una politica.

Attiva la politica di controllo del traffico.

Configurazione di massa dei parametri di base del dispositivo (indirizzi IP, pool DHCP).

Schermate del monitoraggio delle prestazioni dell'applicazione

Per applicazioni cloud.

Dettagli per Office365.

Per applicazioni in sede. Purtroppo non siamo riusciti a trovare applicazioni con errori presso il nostro stand (il tasso di recupero FEC è pari a zero ovunque).

Inoltre: prestazioni dei canali di trasmissione dati.

Quale hardware è supportato su SD-WAN

1. Piattaforme hardware:

• Router Cisco vEdge (in precedenza Viptela vEdge) con sistema operativo Viptela.
• Router di servizi integrati (ISR) serie 1 e 000 con IOS XE SD-WAN.
• Aggregation Services Router (ASR) serie 1 con IOS XE SD-WAN.

2. Piattaforme virtuali:

• Router di servizi cloud (CSR) 1v con IOS XE SD-WAN.
• vEdge Cloud Router con sistema operativo Viptela.

Le piattaforme virtuali possono essere distribuite su piattaforme informatiche Cisco x86, come la serie Enterprise Network Compute System (ENCS) 5, Unified Computing System (UCS) e Cloud Services Platform (CSP) serie 000. Le piattaforme virtuali possono anche essere eseguite su qualsiasi dispositivo x5 utilizzando un hypervisor come KVM o VMware ESi.

Come si avvia un nuovo dispositivo

L'elenco dei dispositivi con licenza per la distribuzione viene scaricato da un account Cisco Smart o caricato come file CSV. Cercherò di ottenere più screenshot in seguito, al momento non abbiamo nuovi dispositivi da distribuire.

La sequenza di passaggi che un dispositivo esegue una volta distribuito.

Come viene implementato un nuovo metodo di consegna del dispositivo/configurazione

Aggiungiamo dispositivi allo Smart Account.

Puoi scaricare un file CSV oppure scaricarne uno alla volta:

Compila i parametri del dispositivo:

Successivamente, in vManage sincronizziamo i dati con lo Smart Account. Il dispositivo appare nell'elenco:

Nel menu a discesa di fronte al dispositivo, fai clic su Genera configurazione Bootstrap
e ottieni la configurazione iniziale:

Questa configurazione deve essere fornita al dispositivo. Il modo più semplice è collegare al dispositivo un'unità flash con un file salvato denominato ciscosd-wan.cfg. Durante l'avvio, il dispositivo cercherà questo file.

Dopo aver ricevuto la configurazione iniziale, il dispositivo potrà raggiungere l'orchestratore e da lì ricevere una configurazione completa.

Consideriamo SD-Access (DNA)

SD-Access semplifica la configurazione delle porte e dei diritti di accesso per la connessione degli utenti. Questo viene fatto utilizzando le procedure guidate. I parametri della porta sono impostati in relazione ai gruppi “Amministratori”, “Contabilità”, “Stampanti” e non alle VLAN e alle sottoreti IP. Ciò riduce al minimo gli errori umani. Se, ad esempio, un'azienda ha molte filiali in tutta la Russia, ma l'ufficio centrale è sovraccarico, SD-Access consente di risolvere più problemi a livello locale. Ad esempio, gli stessi problemi relativi alla risoluzione dei problemi.

Per la sicurezza delle informazioni, è importante che SD-Access comporti una chiara divisione degli utenti e dei dispositivi in ​​gruppi e la definizione di politiche di interazione tra loro, l'autorizzazione per qualsiasi connessione client alla rete e la fornitura di "diritti di accesso" su tutta la rete. Se segui questo approccio, l'amministrazione diventa molto più semplice.

Anche il processo di avvio per i nuovi uffici è semplificato grazie agli agenti Plug-and-Play negli switch. Non è necessario correre in giro per il paese con una console o addirittura andare sul posto.

Ecco alcuni esempi di configurazione:

Stato generale.

Incidenti che un amministratore dovrebbe esaminare.

Consigli automatici su cosa modificare nelle configurazioni.

Pianificare l'integrazione di SD-WAN con SD-Access

Ho sentito che Cisco ha piani del genere: SD-WAN e SD-Access. Ciò dovrebbe ridurre significativamente le emorroidi durante la gestione di CSPD locali e distribuiti geograficamente.

vManage (orchestratore SD-WAN) è gestito tramite API da DNA Center (controller SD-Access).

Le politiche di micro e macro segmentazione sono mappate come segue:

A livello di pacchetto, tutto assomiglia a questo:

Chi pensa a questo e cosa?

Lavoriamo su SD-WAN dal 2016 in un laboratorio separato, dove testiamo diverse soluzioni per le esigenze del commercio al dettaglio, delle banche, dei trasporti e dell'industria.

Comunichiamo molto con clienti reali.

Posso dire che la vendita al dettaglio sta già testando con sicurezza SD-WAN, e alcuni lo stanno facendo con i fornitori (il più delle volte con Cisco), ma c'è anche chi sta cercando di risolvere il problema da solo: sta scrivendo la propria versione di software con funzionalità simili a SD-WAN.

Tutti, in un modo o nell'altro, vogliono ottenere una gestione centralizzata dell'intero zoo di attrezzature. Questo è un punto di amministrazione per installazioni non standard e standard per diversi fornitori e diverse tecnologie. È importante ridurre al minimo il lavoro manuale perché, in primo luogo, riduce il rischio del fattore umano durante l'installazione delle apparecchiature e, in secondo luogo, libera le risorse del servizio IT per risolvere altri problemi. In genere, il riconoscimento della necessità deriva da cicli di rinnovamento molto lunghi in tutto il Paese. E, ad esempio, se un rivenditore vende alcolici, ha bisogno di una comunicazione costante per le vendite. Gli aggiornamenti o i tempi di inattività durante il giorno influiscono direttamente sulle entrate.

Ora nel commercio al dettaglio c’è una chiara comprensione di quali attività IT utilizzeranno la SD-WAN:

1. Implementazione rapida (spesso necessaria su LTE prima dell'arrivo del fornitore di servizi via cavo, spesso è necessario che il nuovo punto venga sollevato dall'amministratore in città tramite GPC, quindi il centro semplicemente cerca e configura).
2. Gestione centralizzata, comunicazione per oggetti estranei.
3. Ridurre i costi delle telecomunicazioni.
4. Diversi servizi aggiuntivi (le funzionalità DPI consentono di dare priorità alla consegna del traffico da applicazioni importanti come i registratori di cassa).
5. Lavora con i canali automaticamente, non manualmente.

E c'è anche un controllo di conformità: tutti ne parlano molto, ma nessuno lo percepisce come un problema. Anche mantenere che tutto funzioni correttamente funziona bene in questo paradigma. Molti credono che l’intero mercato delle tecnologie di rete si muoverà in questa direzione.

Le banche, secondo me, stanno attualmente testando la SD-WAN piuttosto come una nuova funzionalità tecnologica. Stanno aspettando la fine del supporto per le generazioni precedenti di apparecchiature e solo allora cambieranno. Le banche generalmente hanno un'atmosfera speciale attraverso i canali di comunicazione, quindi lo stato attuale del settore non le disturba molto. I problemi si trovano piuttosto su altri piani.

A differenza del mercato russo, la SD-WAN viene implementata attivamente in Europa. I loro canali di comunicazione sono più costosi e quindi le aziende europee portano le loro risorse nelle divisioni russe. In Russia c'è una certa stabilità, perché il costo dei canali (anche quando la regione è 25 volte più cara del centro) sembra abbastanza normale e non solleva dubbi. Di anno in anno esiste un budget incondizionato per i canali di comunicazione.

Ecco un esempio tratto dalla pratica mondiale, in cui un'azienda ha risparmiato tempo e denaro utilizzando SD-WAN su Cisco.

Esiste una società del genere: National Instruments. Ad un certo punto si cominciò a capire che la rete informatica globale, “ottenuta” unendo 88 siti sparsi nel mondo, era inefficace. Inoltre, l'azienda non disponeva della capacità e delle prestazioni necessarie per la fornitura di acqua calda sanitaria. Non c'era equilibrio tra la crescita continua dell'azienda e il budget IT limitato.

SD-WAN ha aiutato National Instruments a ridurre i costi MPLS del 25% (risparmiando 450 dollari alla fine del 2018), espandendo la larghezza di banda del 3%.

Come risultato dell'implementazione di SD-WAN, l'azienda ha ricevuto una rete intelligente definita dal software e una gestione centralizzata delle policy per ottimizzare automaticamente il traffico e le prestazioni delle applicazioni. qui - caso dettagliato.

Qui un caso assolutamente folle di spostare l'S7 in un altro ufficio, quando all'inizio tutto è iniziato in modo difficile, ma interessante: è stato necessario rifare 1,5mila porte. Ma poi qualcosa è andato storto e di conseguenza gli amministratori si sono rivelati gli ultimi prima della scadenza, sui quali ricadono tutti i ritardi accumulati.

Leggi di più in inglese:

• American Banker: Fifth Third investe nell'aggiornamento quinquennale della rete con SD-WAN .
• Costruire il successo di Cloud SD-WAN presso Koch.
• Il percorso SD-WAN di McKesson verso il risparmio sui costi .
• PoC e segmentazione della vendita al dettaglio SD-WAN: Gap Store.
• Ma Studio globale Cisco sulle tendenze della rete nel mondo.

In russo:

• Su CNews.
• Come abbiamo implementato SD-Access e perché era necessario.
• Tessuto di rete per il data center Cisco ACI - per aiutare l'amministratore.
• Canale stabile basato su reti SD-WAN definite dal software: risoluzione dei problemi di selezione del percorso.
• La mia email, se hai domande o vuoi testare le tue attività presso il nostro stand, - [email protected].

Fonte: habr.com