管理者を支援する SD-WAN と DNA: アーキテクチャの機能と実践

研究室内でご希望に応じて触っていただけるスタンドです。

SD-WAN と SD-Access は、ネットワークを構築するための 1990 つの異なる新しい独自のアプローチです。 将来的には、これらは 10 つのオーバーレイ ネットワークに統合されるはずですが、今のところはそれに近づいているところです。 そのロジックは次のとおりです。XNUMX 年代のネットワークを採用し、さらに XNUMX 年後に新しいオープン スタンダードになるのを待たずに、必要なパッチと機能をすべてそのネットワークに展開します。

SD-WAN は、分散型企業ネットワークへの SDN パッチです。 輸送と制御が分離されているため、制御が簡素化されます。

長所 - バックアップチャネルを含むすべての通信チャネルがアクティブに使用されます。 アプリケーションへのパケットのルーティングがあります。つまり、何を、どのチャネルを介して、どのような優先順位で行うかです。 新しいポイントを導入するための簡素化された手順: 構成をロールアウトする代わりに、大規模なインターネット上の Cisco サーバー、CROC データ センター、または顧客のアドレスを指定するだけで、ネットワーク専用の構成がそこから取得されます。

SD-Access (DNA) は、ローカル ネットワーク管理の自動化です。ワンポイントからの構成、ウィザード、便利なインターフェイスが含まれます。 実際、プロトコル レベルで別のトランスポートを使用して別のネットワークが構築されており、境界境界で古いネットワークとの互換性が確保されています。

これについても以下で扱います。

次に、私たちの研究室のテストベンチで、その外観と動作をいくつかデモンストレーションします。

SD-WAN から始めましょう。 主な特徴：

• 新しいポイントの展開の簡素化 (ZTP) - 何らかの方法でポイントにサーバー アドレスを設定で供給することが想定されています。 ポイントはそれをノックし、構成を受信し、ロールアップしてコントロールパネルに組み込まれます。 これにより、ゼロタッチ プロビジョニング (ZTP) が保証されます。 エンドポイントを展開するために、ネットワーク エンジニアがサイトに出張する必要はありません。 主なことは、現場でデバイスの電源を正しくオンにし、すべてのケーブルをデバイスに接続することです。そうすれば、機器は自動的にシステムに接続されます。 接続された USB ドライブからベンダーのクラウド内の DNS クエリを通じて構成をダウンロードしたり、Wi-Fi またはイーサネット経由でデバイスに接続されたラップトップからハイパーリンクを開くことができます。
• 日常的なネットワーク管理の簡素化 - テンプレートからの設定、グローバル ポリシー、少なくとも 5 つのブランチ、少なくとも 000 の集中設定、すべてを XNUMX か所から。 長い移動を避けるために、自動的に前の設定に戻る非常に便利なオプションがあります。
• アプリケーションレベルのトラフィック管理 - 高品質と継続的なアプリケーション署名の更新を保証します。 ポリシーは一元的に設定および展開されます（以前のように、各ルーターのルート マップを作成および更新する必要はありません）。 誰が、どこに、何を送信しているのかがわかります。
• ネットワークのセグメンテーション。 インフラストラクチャ全体の上に独立した隔離された VPN があり、それぞれが独自のルーティングを持っています。 デフォルトでは、それらの間のトラフィックは閉じられています。たとえば、すべてを大規模なファイアウォールやプロキシを通過させるなど、理解できるネットワーク ノード内の理解できるタイプのトラフィックにのみアクセスを開くことができます。
• ネットワーク品質履歴の可視化 - アプリケーションとチャネルのパフォーマンス。 アプリケーションの動作が不安定であるという苦情がユーザーから寄せられる前に、状況を分析して修正するのに非常に役立ちます。
• チャネル全体の可視性 - お金を払う価値があるのか​​、XNUMX つの異なるオペレーターが実際にサイトにアクセスしているのか、それとも実際に同じネットワークを経由していて、同時に機能が低下/停止しているのか。
• クラウド アプリケーションの可視化と、それに基づく特定のチャネルを介したトラフィックのステアリング (Cloud Onramp)。
• XNUMX つのハードウェアにはルーターとファイアウォール (より正確には NGFW) が含まれています。 ハードウェアの数が少ないということは、新しいブランチを開設するコストが安くなるということを意味します。

SD-WAN ソリューションのコンポーネントとアーキテクチャ

エンドデバイスは WAN ルーターであり、ハードウェアまたは仮想の場合があります。

オーケストレーターはネットワーク管理ツールです。 これらは、エンドデバイスのパラメータ、トラフィック ルーティング ポリシー、およびセキュリティ機能で構成されます。 結果の構成は、制御ネットワークを通じてノードに自動的に送信されます。 並行して、オーケストレーターはネットワークをリッスンし、デバイス、ポート、通信チャネル、インターフェイスの負荷の可用性を監視します。

分析ツール。 エンドデバイスから収集したデータ (チャネルの品質、ネットワーク アプリケーション、ノードの可用性などの履歴) に基づいてレポートを作成します。

コントローラは、トラフィック ルーティング ポリシーをネットワークに適用する責任があります。 従来のネットワークにおける最も近い類似物は、BGP ルート リフレクターと考えることができます。 管理者がオーケストレーターで構成するグローバル ポリシーにより、コントローラーはルーティング テーブルの構成を変更し、更新された情報をエンド デバイスに送信します。

IT サービスは SD-WAN から何を得ることができますか?

1. バックアップ チャネルは常に使用されています (アイドル状態ではありません)。 厚みの少ないチャンネルを XNUMX つ用意できるため、コストが安くなることがわかります。
2. チャネル間でのアプリケーション トラフィックの自動切り替え。
3. 管理者の時間: 構成を使用してハードウェアの各部分をクロールするのではなく、ネットワークをグローバルに開発できます。
4. 新しい枝を育てるスピード。 彼女はずっと背が高いです。
5. 故障した機器を交換する際のダウンタイムが短縮されます。
6. 新しいサービスのためにネットワークを迅速に再構成します。

企業は SD-WAN から何を得ることができますか?

1. オープン インターネット チャネルを含む分散ネットワーク上でのビジネス アプリケーションの動作を保証します。 それはビジネスの予測可能性に関するものです。
2. ブランチの数に関係なく、分散ネットワーク全体にわたる新しいビジネス アプリケーションを即座にサポートします。 ビジネスのスピードが問われます。
3. あらゆる接続テクノロジを使用して、遠隔地にある支店を高速かつ安全に接続します (インターネットはどこにでもありますが、専用線や VPN はありません)。 これは、場所を選択する際のビジネスの柔軟性に関するものです。
4. これは、納品と試運転を伴うプロジェクトである場合もあれば、サービスである場合もあります。
   IT企業、通信事業者、クラウド事業者からの月々の支払いで。 どちらでもご都合の良い方をお選びください。

SD-WAN のビジネス上の利点はまったく異なる場合があります。たとえば、ある顧客は、トップ マネージャーが数千社の全従業員との直通回線とコンテンツ配信機能の要望を受けたと話しました。

私たちにとって、それは「軍事作戦」でした。 その時点で、私たちはすでに CSPD の近代化の問題を解決していました。 そして、原則として機器の刷新に取り組む必要があることを理解し、技術スタックが進歩したとき、さらに一歩進められるのであれば、なぜ同じ技術やサービスの刷新に取り組む必要があるのでしょうか。

SD-WAN は Enikey によってオンサイトにインストールされます。 これは、通常の管理者が存在しない可能性があるリモートブランチにとって重要です。 メールで送信して次のように伝えます。「ケーブル 1 をボックス 1 に差し込み、ケーブル 2 をボックス 2 に差し込みます。混同しないでください。」 #@$@% さん、混乱しないでください!」 そして、混同しなければ、デバイス自体が中央サーバーと通信し、その構成を取得して適用し、このオフィスは会社の安全なネットワークの一部になります。 旅行する必要がなく、予算内で正当化するのが簡単な場合は便利です。

スタンドの図は次のとおりです。

いくつかの構成例:

ポリシー - トラフィックを管理するためのグローバル ルール。 ポリシーの編集。

トラフィック制御ポリシーをアクティブ化します。

基本的なデバイスパラメータ (IP アドレス、DHCP プール) の一括構成。

アプリケーションのパフォーマンス監視のスクリーンショット

クラウドアプリケーション向け。

Office365の詳細。

オンプレミス アプリケーションの場合。 残念ながら、私たちのスタンドではエラーのあるアプリケーションを見つけることができませんでした（FEC 回復率はどこでもゼロです）。

さらに、データ伝送チャネルのパフォーマンス。

SD-WAN でサポートされるハードウェアは何ですか

1. ハードウェア プラットフォーム:

• Viptela OS を実行している Cisco vEdge ルータ（旧称 Viptela vEdge）。
• IOS XE SD-WAN を実行する 1 および 000 シリーズのサービス統合型ルータ（ISR）。
• IOS XE SD-WAN を実行するアグリゲーション サービス ルーター (ASR) 1 シリーズ。

2. 仮想プラットフォーム:

• IOS XE SD-WAN を実行するクラウド サービス ルーター (CSR) 1v。
• Viptela OS を実行する vEdge Cloud Router。

仮想プラットフォームは、エンタープライズ ネットワーク コンピューティング システム (ENCS) 86 シリーズ、ユニファイド コンピューティング システム (UCS)、クラウド サービス プラットフォーム (CSP) 5 シリーズなどの Cisco x000 コンピューティング プラットフォームに導入でき、任意の x5 デバイスでも実行できます。 KVM や VMware ESi などのハイパーバイザーを使用します。

新しいデバイスがどのように稼働するか

導入用のライセンスを取得したデバイスのリストは、Cisco スマート アカウントからダウンロードされるか、CSV ファイルとしてアップロードされます。 後でさらにスクリーンショットを取得してみます。現時点では、導入する新しいデバイスがありません。

デバイスが展開されるときに実行される一連のステップ。

新しいデバイス/構成配信方法がどのように展開されるか

デバイスをスマート アカウントに追加します。

CSV ファイルをダウンロードすることも、一度に XNUMX つずつダウンロードすることもできます。

デバイスパラメータを入力します。

次に、vManage でデータをスマート アカウントと同期します。 デバイスがリストに表示されます。

デバイスの反対側のドロップダウン メニューで、[ブートストラップ構成の生成] をクリックします。
そして初期設定を取得します。

この設定はデバイスに供給する必要があります。 最も簡単な方法は、ciscosd-wan.cfg という名前のファイルが保存されたフラッシュ ドライブをデバイスに接続することです。 起動時に、デバイスはこのファイルを検索します。

初期構成を受信したデバイスは、オーケストレーターに到達し、そこから完全な構成を受信できるようになります。

SD-Access (DNA) について見ていきます。

SD-Access を使用すると、ユーザーを接続するためのポートとアクセス権を簡単に構成できます。 これはウィザードを使用して行われます。 ポートパラメータは、VLAN や IP サブネットではなく、「Administrators」、「Accounting」、「Printers」グループに関連して設定されます。 これにより人的エラーが最小限に抑えられます。 たとえば、会社がロシア全土に多数の支店を持っているが、本社が過負荷になっている場合、SD-Access を使用すると、より多くの問題をローカルで解決できます。 たとえば、トラブルシューティングに関する同じ問題です。

情報セキュリティの場合、SD-Access には、ユーザーとデバイスのグループへの明確な分割と、それらの間の対話ポリシーの定義、ネットワークへのクライアント接続の承認、およびネットワーク全体にわたる「アクセス権」の提供が含まれることが重要です。 このアプローチに従うと、管理がはるかに簡単になります。

スイッチのプラグ アンド プレイ エージェントのおかげで、新しいオフィスの立ち上げプロセスも簡素化されます。 コンソールを持って国境を越えて走り回る必要も、現場に行く必要もまったくありません。

構成例を次に示します。

一般的なステータス。

管理者が確認する必要があるインシデント。

構成の何を変更するかに関する自動推奨。

SD-WAN と SD-Access の統合計画

シスコには SD-WAN や SD-Access などの計画があると聞きました。 これにより、地理的に分散したローカルな CSPD を管理する際に、痔核が大幅に減少するはずです。

vManage (SD-WAN オーケストレーター) は、DNA Center (SD-Access コントローラー) から API を介して管理されます。

マイクロセグメンテーション ポリシーとマクロ セグメンテーション ポリシーは次のようにマッピングされます。

パッケージ レベルでは、すべては次のようになります。

誰がこれについて何を考えますか？

当社は 2016 年から別の研究所で SD-WAN に取り組んでおり、小売、銀行、運輸、産業のニーズに合わせたさまざまなソリューションをテストしています。

私たちは実際の顧客とたくさんコミュニケーションをとります。

小売業者はすでに自信を持って SD-WAN のテストを行っており、ベンダー (ほとんどの場合シスコと協力) と協力してテストを行っている企業もありますが、独自のバージョンのSD-WAN と機能的に似たソフトウェア。

誰もが何らかの形で、動物園全体の設備の一元管理を実現したいと考えています。 これは、非標準インストールと、さまざまなベンダーやさまざまなテクノロジの標準インストールの管理の XNUMX つのポイントです。 手動作業を最小限に抑えることが重要です。その理由は、第一に、機器のセットアップ時の人的要因のリスクが軽減され、第二に、他の問題を解決するために IT サービスのリソースが解放されるからです。 通常、その必要性は、全国各地で非常に長い更新サイクルによって認識されます。 また、たとえば小売業者がアルコールを販売する場合、販売のためには継続的なコミュニケーションが必要です。 日中の更新やダウンタイムは収益に直接影響します。

現在、小売業界では、どのような IT タスクで SD-WAN が使用されるかが明確に理解されています。

1. 迅速な展開 (多くの場合、ケーブル プロバイダーが到着する前に LTE で必要になります。多くの場合、都市の管理者が GPC 経由で新しいポイントを提示する必要があり、その後、センターが検索して設定するだけです)。
2. 一元管理、異物通信。
3. 通信コストの削減。
4. さまざまな追加サービス (DPI 機能により、レジなどの重要なアプリケーションからのトラフィックの配信を優先することができます)。
5. 手動ではなく自動的にチャンネルを操作します。

そして、コンプライアンスチェックもあります。誰もがそれについてよく話しますが、誰もそれを問題とは認識していません。 すべてが正しく機能するように維持することも、このパラダイムではうまく機能します。 ネットワーク テクノロジー市場全体がこの方向に進むと多くの人が信じています。

私見ですが、銀行は現在、新しい技術機能としてではなく、SD-WAN をテストしています。 彼らは前世代の機器のサポートが終了するのを待っており、その時点で初めて変更されます。 一般に銀行はコミュニケーションチャネルを通じて独自の雰囲気を持っているため、業界の現状はあまり気にしていません。 問題はむしろ別の面にあります。

ロシア市場とは異なり、SD-WAN はヨーロッパで積極的に導入されています。 彼らの通信チャネルはより高価であるため、ヨーロッパの企業は自社のスタックをロシアの部門に持ち込んでいます。 ロシアでは、チャネルのコストが（たとえその地域が中心部の25倍高い場合でも）極めて正常に見え、問題が生じないため、ある程度の安定性があります。 毎年、コミュニケーション チャネルに対して無条件の予算が投入されます。

ここでは、企業が Cisco の SD-WAN を使用して時間とコストを節約した世界の事例を紹介します。

そのような会社があります - National Instruments。 ある時点から、世界中の 88 拠点を組み合わせて「得られた」グローバル コンピューター ネットワークが非効率であることがわかり始めました。 さらに、同社には家庭用給湯の能力と性能が不足していました。 会社の継続的な成長と限られた IT 予算の間にはバランスがありませんでした。

SD-WAN により、National Instruments は MPLS コストを 25% 削減し (450 年末時点で 2018 ドルを節約)、帯域幅を 3% 拡大しました。

SD-WAN を実装した結果、同社はスマート ソフトウェア デファインド ネットワークと集中ポリシー管理を導入し、トラフィックとアプリケーションのパフォーマンスを自動的に最適化しました。 ここに - 詳細なケース。

ここに S7 を別のオフィスに移動するというまったくクレイジーなケースで、最初はすべてが困難でしたが興味深いものでした。1,5 個のポートをやり直す必要がありました。 しかしその後、何か問題が発生し、その結果、管理者が締め切り前の最後の管理者となり、累積された遅延はすべて管理者にかかっていたことが判明しました。

英語で詳しく読む:

• American Banker: Fifth Third は SD-WAN による 5 年間のネットワーク アップグレードに投資 .
• Koch でのクラウド SD-WAN の成功の構築.
• McKesson の SD-WAN コスト削減への取り組み .
• SD-WAN 小売 PoC とセグメンテーション: Gap ストア.
• しかし シスコのグローバル調査 世界のネットワーク動向について。

ロシア語：

• Cニュースについて.
• SD-Access の実装方法と SD-Access が必要な理由.
• Cisco ACI データセンターのネットワーク ファブリック - 管理者を支援します.
• ソフトウェア定義の SD-WAN ネットワークに基づく安定したチャネル: ルート選択の問題を解決.
• ご質問がある場合、または当社のスタンドでタスクをテストしたい場合は、私のメールアドレスまで、- [メール保護].

出所： habr.com