SD-WAN û DNA ji bo arîkariya rêveberê: taybetmendiyên mîmarî û pratîkê

Standek ku heke hûn bixwazin hûn dikarin di laboratûara me de dest pê bikin.

SD-WAN û SD-Access du nêzîkatiyên nû yên xwedaniyê yên avakirina torê ne. Di paşerojê de, divê ew di yek tora pêvekirî de bibin yek, lê heya niha ew tenê nêzîk dibin. Mantiq ev e: em torgilokek ji salên 1990-an digirin û hemî paç û taybetmendiyên pêwîst li ser wê derdixin, bêyî ku li bendê bin ku ew di 10 salên din de bibe standardek nû ya vekirî.

SD-WAN ji bo torên pargîdanî yên belavkirî pêvekek SDN-ê ye. Veguhastin cuda ye, kontrol cuda ye, ji ber vê yekê kontrol hêsan e.

Pros - hemî kanalên danûstendinê bi çalak têne bikar anîn, tevî ya paşverû. Rêvekirina pakêtan ber bi sepanan ve heye: çi, bi kîjan kanalê û bi kîjan pêşanî. Pêvajoyek hêsan a ji bo danîna xalên nû: li şûna ku hûn konfigurasyonek derxînin, tenê navnîşana servera Cisco ya li ser Înterneta mezin, navenda daneya CROC an xerîdar diyar bikin, ku vesazên bi taybetî ji bo tora we jê têne girtin.

SD-Access (DNA) otomasyona rêveberiya torê ya herêmî ye: veavakirina ji yek xalê, sêrbaz, navberên hêsan. Di rastiyê de, torgilokek din bi veguheztinek cihêreng di asta protokolê de li ser ya we hatî çêkirin, û lihevhatina bi torên kevin re di sînorên perimeterê de tête peyda kirin.

Em ê li jêr jî bi vê yekê re mijûl bibin.

Naha hin xwenîşandan li ser maseyên ceribandinê yên di laboratûara me de, ew çawa xuya dike û dixebite.

Ka em bi SD-WAN dest pê bikin. Taybetmendiyên sereke:

• Hêsankirina bicîhkirina xalên nû (ZTP) - tê texmîn kirin ku hûn bi rengek bi mîhengan xalê bi navnîşana serverê re têr dikin. Xal li wê dixe, konfigurasyonê distîne, wê hildiweşîne û di panela kontrola we de tê de ye. Ev piştrast dike Zero-Touch Provisioning (ZTP). Ji bo danîna xalek dawî, endezyarek torê ne hewce ye ku biçe malperê. Ya sereke ev e ku hûn cîhazê li cîhê rast vekin û hemî kabloyan pê ve girêdin, wê hingê amûr dê bixweber bi pergalê ve were girêdan. Hûn dikarin bi navgîniya lêpirsînên DNS-ê yên di ewra firoşkarê de ji ajokerek USB-ya girêdayî ve konfigurasyonan dakêşin, an jî hûn dikarin ji laptopek ku bi Wi-Fi an Ethernet ve bi cîhazê ve girêdayî ye hîpergirêdanek vekin.
• Hêsankirina rêveberiya torê ya rûtîn - veavakirina ji şablonan, polîtîkayên gerdûnî, bi navendî ji bo herî kêm pênc şax, bi kêmî ve 5. Her tişt ji yek cîhê ve hatî mîheng kirin. Ji bo ku ji rêwîtiyek dirêj dûr bikevin, vebijarkek pir hêsan heye ku bixweber vegere konfigurasyona berê.
• Rêvebiriya seyrûsefera serîlêdanê-temînkirina kalîteyê û nûvekirinên îmzeya serîlêdanê ya domdar. Polîtîka têne mîheng kirin û li navendê têne derxistin (ne hewce ye ku ji bo her router, wekî berê, nexşeyên rêgezê binivîsin û nûve bikin). Hûn dikarin bibînin ku kî çi, li ku û çi dişîne.
• Parçekirina torê. VPN-yên serbixwe yên veqetandî li ser tevahiya binesaziyê - her yek bi rêça xwe. Ji hêla xwerû, seyrûsefera di navbera wan de girtî ye; hûn dikarin bi tenê cûreyên seyrûsefera têgihîştî di girêkên torê yên têgihîştî de vekin, mînakî, her tiştî di nav dîwarek fireh an proxyek mezin re derbas bikin.
• Dîtina dîroka kalîteya torê - serîlêdan û kanalan çawa pêk anîn. Ji bo analîzkirin û rastkirina rewşê jî pir bikêrhatî ye berî ku bikarhêner dest bi wergirtina giliyan li ser xebata bêserûber a serlêdanan bikin.
• Dîtina li ser kanalan - gelo ew hêjayî drav in, du operatorên cihêreng bi rastî têne ser malpera we, an ew bi rastî di heman torê re derbas dibin û di heman demê de xirab dibin/dikevin.
• Dîtina ji bo serîlêdanên ewr û rêvekirina seyrûsefera bi hin kanalên li ser bingeha wê (Cloud Onramp).
• Yek perçeyek hardware routerek û dîwarek agir heye (bi rastî, NGFW). Kêm perçeyên hardware tê vê wateyê ku vekirina şaxek nû erzantir e.

Pêkhatin û mîmariya çareseriyên SD-WAN

Amûrên dawîn routerên WAN in, ku dikarin hardware an virtual bin.

Orkestrator amûrek rêveberiya torê ne. Ew bi parametreyên cîhaza paşîn, polîtîkayên rêça trafîkê, û fonksiyona ewlehiyê ve têne mîheng kirin. Mîhengên encam bixweber bi navgîniya tora kontrolê ji girêkan re têne şandin. Di paralel de, orkestrator guh dide torê û hebûna amûr, port, kanalên ragihandinê, û barkirina navbeynkariyê dişopîne.

Amûrên Analytics. Ew li gorî daneyên ku ji cîhazên paşîn hatine berhev kirin raporan çêdikin: dîroka qalîteya kanalan, serîlêdanên torê, hebûna nodê, hwd.

Kontrolker ji sepandina polîtîkayên rêça trafîkê li ser torê berpirsiyar in. Di torên kevneşopî de analoga wan a herî nêzîk dikare BGP Route Reflector were hesibandin. Polîtîkayên gerdûnî yên ku rêveber di orkestratorê de mîheng dike, dibe sedem ku kontrolker pêkhateya tabloyên rêwîtiyê biguhezînin û agahdariya nûvekirî ji cîhazên dawî re bişînin.

Karûbarê IT-ê ji SD-WAN çi distîne:

1. Kanala hilanînê bi domdarî tê bikar anîn (ne bêkar). Ew erzantir derdikeve ji ber ku hûn dikarin du kanalên kêmtir qalind bidin.
2. Veguheztina otomatîkî ya seyrûsefera serîlêdanê di navbera kanalan de.
3. Demê rêveber: hûn dikarin torê li seranserê cîhanê pêşve bibin, li şûna ku bi vesazkirinê ve di nav her perçeyek hardware de bigerin.
4. Leza bilindkirina şaxên nû. Ew pir dirêjtir e.
5. Dema ku cîhazên mirî diguhezînin de kêm dem kêm dibe.
6. Bi lez torê ji bo karûbarên nû veava bikin.

Karsaziyek ji SD-WAN çi distîne:

1. Xebata garantîkirî ya serîlêdanên karsaziyê li ser torgilokek belavkirî, tevî kanalên înternetê yên vekirî. Ew li ser pêşbîniya karsaziyê ye.
2. Piştgiriya tavilê ji bo serîlêdanên karsaziya nû li seranserê tevaya tora belavkirî, bêyî ku hejmara şaxan bigire. Ew li ser leza karsaziyê ye.
3. Girêdana bilez û ewledar a şaxên li her deverên dûr bi karanîna teknolojiyên pêwendiyê (Internet li her derê ye, lê xetên kirêkirî û VPN ne). Ev li ser nermbûna karsaziyê di hilbijartina cîhek de ye.
4. Ev dibe ku projeyek bi radestkirin û komîsyonê be, an jî dikare bibe xizmetek
   bi dravdana mehane ji pargîdaniyek IT, operatorê telekomê an operatorê cloudê. Kîjan ji bo we rehet e.

Feydeyên karsaziyê yên SD-WAN dikarin bi tevahî cûda bin, mînakî, xerîdarek ji me re got ku rêveberek jorîn daxwazek rêzek rasterast bi hemî karmendên pargîdaniyek pir-hezar re û şiyana radestkirina naverokê wergirtiye.

Ji bo me ev "operasyoneke leşkerî" bû. Di wê kêliyê de me pirsgirêka nûjenkirina CSPD çareser dikir. Û gava ku em têdigihin ku em, di prensîbê de, hewce ne ku em bi nûkirina amûran re mijûl bibin, û stûna teknolojiyê bi pêş ve çûye, gelo çima divê em tev li nûvekirina heman teknolojiyê û karûbaran bibin heke em dikarin gavekî pêşdetir bavêjin.

SD-WAN li ser malperê ji hêla Enikey ve hatî saz kirin. Ev ji bo şaxên dûr girîng e, ku dibe ku tenê rêveberek normal nebe. Bi e-nameyê bişînin, bêjin: "Kabloya 1 têxin qutiya 1, kabloya 2 li qutiya 2, û wê tevlihev nekin! Tevlihev nebin, #@$@%!” Û heke ew wê tevlihev nekin, cîhaz bixwe bi servera navendî re têkilî daynin, konfigurasyona xwe hildibijêre û bicîh tîne, û ev ofîs dibe beşek ji tora ewledar a pargîdaniyê. Dema ku hûn ne hewce ne rêwîtiyê bikin xweş e û hêsan e ku meriv di budceya xwe de rastdar bike.

Li vir diagramek standê ye:

Hin mînakên vesazkirinê:

Siyaset - qaîdeyên gerdûnî yên ji bo birêvebirina trafîkê. Editing a Policy.

Polîtîkaya kontrolkirina trafîkê çalak bikin.

Veavakirina girseyî ya pîvanên cîhaza bingehîn (navnîşanên IP, hewzên DHCP).

Dîmenên çavdêriya performansa serîlêdanê

Ji bo serîlêdanên ewr.

Hûrguliyên ji bo Office365.

Ji bo serîlêdanên ser-prem. Mixabin, me nekarî serîlêdanên bi xeletî li standa xwe bibînin (rêjeya Vegerandina FEC li her deverê sifir e).

Wekî din - performansa kanalên ragihandina daneyê.

Çi hardware li ser SD-WAN piştgirî ye

1. Platformên hardware:

• Roterên Cisco vEdge (berê Viptela vEdge) Viptela OS-ê dimeşînin.
• Rêbazên Karûbarên Yekgirtî (ISR) yên rêzikên 1 û 000 ku IOS XE SD-WAN dimeşînin.
• Rêbaza Karûbarên Kombûnê (ASR) 1 series ku IOS XE SD-WAN dimeşîne.

2. Platformên virtual:

• Routera Karûbarên Cloud (CSR) 1v ku IOS XE SD-WAN dimeşîne.
• vEdge Cloud Router ku Viptela OS-ê dimeşîne.

Platformên Virtual dikarin li ser platformên hesabkirinê yên Cisco x86 werin bicîh kirin, wek Pergala Hesabkirina Tora Enterprise (ENCS) series 5, Pergala Hesabkirina Yekgirtî (UCS), û Platforma Karûbarên Cloud (CSP) series 000. Platformên virtual dikarin li ser her amûrek x5 jî bixebitin. bikaranîna hypervisor wek KVM an VMware ESi.

Çawa amûrek nû li ser diqewime

Navnîşa cîhazên destûrdar ên ji bo bicîhkirinê an ji hesabek jîr a Cisco-yê tê dakêşandin an jî wekî pelek CSV tê barkirin. Ez ê hewl bidim ku dûv re bêtir dîmenên dîmenan bistînim, aniha ti cîhazên me yên nû tune ku em bicîh bikin.

Rêziya gavan gava ku amûrek tê vedan derbas dibe.

Çawa rêbazek radestkirina amûrek / mîhengê nû tê derxistin

Em cîhazan li Hesabê Smart zêde dikin.

Hûn dikarin pelek CSV dakêşin, an jî hûn dikarin yek carî dakêşin:

Parametreyên cîhazê dagirin:

Dûv re, di vManage de em daneyan bi Hesabê Smart re hevdeng dikin. Amûr di navnîşê de xuya dike:

Di pêşeka daketî ya li hember cîhazê de, bikirtînin Veavakirina Bootstrap Biafirînin
û konfigurasyona destpêkê bistînin:

Pêdivî ye ku ev mîheng bi cîhazê ve were xwar. Awayê herî hêsan ew e ku hûn ajokerek flash bi pelek tomarkirî ya bi navê ciscosd-wan.cfg bi cîhazê ve girêdin. Dema bootkirinê, cîhaz dê li vê pelê bigere.

Piştî wergirtina veavakirina destpêkê, amûr dê bikaribe xwe bigihîne orkestrator û ji wir veavakirinek tevahî bistîne.

Em li SD-Access (DNA) dinêrin

SD-Access mîhengkirina port û mafên gihîştina ji bo girêdana bikarhêneran hêsan dike. Ev bi karanîna sêrbazan pêk tê. Parametreyên portê bi komên "Rêveber", "Hesabgir", "Çapker" ve, û ne bi VLAN û jêrtorên IP-yê re têkildar têne danîn. Ev xeletiyên mirovan kêm dike. Ger, bo nimûne, pargîdaniyek li seranserê Rûsyayê gelek şaxên wê hene, lê nivîsgeha navendî zêde barkirî ye, wê hingê SD-Access dihêle hûn bêtir pirsgirêkên herêmî çareser bikin. Mînakî, heman pirsgirêkên di derbarê çareserkirina pirsgirêkan de.

Ji bo ewlehiya agahdariyê, girîng e ku SD-Access dabeşkirina zelal a bikarhêner û cîhazan li koman û pênasekirina polîtîkayên danûstendinê di navbera wan de, destûr ji bo girêdana xerîdar a bi torê re, û peydakirina "mafên gihîştinê" li seranserê torê vedihewîne. Ger hûn vê rêbazê bişopînin, rêvebirin pir hêsantir dibe.

Pêvajoya destpêkirina ji bo ofîsên nû jî bi saya ajanên Plug-and-Play di guhezvanan de hêsan dibe. Ne hewce ye ku meriv bi konsolê re li seranserê welêt bimeşîne, an jî qet nebe biçin malperê.

Li vir mînakên veavakirinê hene:

Rewşa giştî.

Bûyerên ku divê rêveberek binirxîne.

Pêşniyarên otomatîkî yên li ser tiştên ku di mîhengan de biguhezînin.

Plana yekkirina SD-WAN bi SD-Access re

Min bihîst ku Cisco planên weha hene - SD-WAN û SD-Access. Pêdivî ye ku ev yek bi girîngî hemorroîd kêm bike dema ku CSPD-yên erdnîgarî belavbûyî û herêmî têne birêvebirin.

vManage (orkestrator SD-WAN) bi API-yê ji Navenda DNA (kontrolkerê SD-Access) ve tê rêvebirin.

Polîtîkayên dabeşkirina mîkro û makro bi vî rengî têne destnîşan kirin:

Di asta pakêtê de, her tişt bi vî rengî xuya dike:

Kî li ser vê yekê difikire û çi?

Em ji sala 2016-an vir ve li ser SD-WAN-ê di laboratuarek cihê de dixebitin, ku li wir em çareseriyên cihêreng ji bo hewcedariyên firotanê, bank, veguheztin û pîşesaziyê ceribandin.

Em bi xerîdarên rastîn re pir danûstandinê dikin.

Ez dikarim bibêjim ku firotgeh jixwe SD-WAN-ê bi pêbawer ceribandinê dike, û hin jî vê yekê bi firoşkaran re dikin (bi piranî bi Cisco re), lê yên ku hewl didin pirsgirêkê bi tena serê xwe çareser bikin jî hene: ew guhertoya xwe dinivîsin. nermalava ku di fonksiyonê de mîna SD-WAN e.

Her kes, bi rengekî an din, dixwaze ku bigihîje rêveberiya navendî ya tevahiya zoo ê alavên. Ev yek xala rêveberiyê ye ji bo sazkirinên ne-standard û yên standard ji bo firoşkarên cihêreng û teknolojiyên cihêreng. Girîng e ku xebata destan kêm bike ji ber ku, yekem, ew xetera faktora mirovî dema sazkirina amûran kêm dike, û ya duyemîn jî, ew çavkaniyên karûbarê IT-ê ji bo çareserkirina karên din azad dike. Bi gelemperî, naskirina hewcedariyê ji çerxên nûvekirina pir dirêj li seranserê welêt tê. Û, wek nimûne, eger firotgehek alkolê difiroşe, wê hingê ji bo firotanê pêwendiyek domdar hewce dike. Nûvekirin an demdirêjiya rojê rasterast bandorê li dahatê dike.

Naha di firotanê de têgihiştinek zelal heye ku dê çi karên IT-ê SD-WAN bikar bînin:

1. Bicihkirina bilez (pir caran li ser LTE-ê hewce dike berî ku peydakarê kabloyê bigihîje, pir caran hewce ye ku xala nû ji hêla rêveberê bajêr ve bi riya GPC-ê ve were rakirin, û dûv re navend bi hêsanî xuya dike û mîheng dike).
2. Rêveberiya navendî, ragihandina ji bo tiştên biyanî.
3. Kêmkirina lêçûnên telekomê.
4. Karûbarên din ên cihêreng (taybetmendiyên DPI gengaz dike ku pêşî li radestkirina seyrûseferê ji serîlêdanên girîng ên wekî tomarên dravê bigire).
5. Bi kanalan re bixweber bixebitin, ne bi destan.

Û di heman demê de kontrolek lihevhatinê jî heye - her kes li ser wê pir diaxive, lê kes wê wekî pirsgirêk nabîne. Parastina ku her tişt rast dixebite jî di vê paradîgmayê de baş dixebite. Pir kes bawer dikin ku tevahiya bazara teknolojiya torê dê di vî alî de bimeşe.

Bankên, IMHO, niha SD-WAN-ê wekî taybetmendiyek teknolojîk nû ceribandin. Ew li benda dawiya piştevaniya ji bo nifşên berê yên alavên ne û tenê wê hingê ew ê biguhezînin. Bank bi gelemperî bi kanalên ragihandinê re atmosfera xwe ya taybetî heye, ji ber vê yekê rewşa heyî ya pîşesaziyê wan pir aciz nake. Pirsgirêk bêtir li ser balafirên din in.

Berevajî bazara Rûsyayê, SD-WAN li Ewropayê bi rengek çalak tê sepandin. Kanalên wan ên ragihandinê bihatir in, û ji ber vê yekê pargîdaniyên Ewropî stûyê xwe digihînin beşên rûsî. Li Rûsyayê, aramiyek diyar heye, ji ber ku lêçûna kanalan (tevî ku herêm 25 carî ji navendê bihatir e) pir normal xuya dike û pirsan dernaxe holê. Sal bi sal ji bo kanalên ragihandinê budçeyek bê şert û merc heye.

Li vir mînakek ji pratîka cîhanê ye, dema ku pargîdaniyek dem û drav bi karanîna SD-WAN li Cisco-yê xilas kir.

Pargîdaniyek wusa heye - National Instruments. Di deverek diyar de, wan dest pê kir ku fêm bikin ku tora komputerê ya gerdûnî, ku bi berhevkirina 88 malperan li çaraliyê cîhanê "hatiye bidestxistin", bêbandor bû. Wekî din, pargîdanî ji kapasîteyê û performansa dabînkirina ava germa navmalî kêm bû. Di navbera mezinbûna domdar a pargîdanî û budceya sînorkirî ya IT de hevsengî tune bû.

SD-WAN alîkariya Amûrên Neteweyî kir ku lêçûnên MPLS% 25 kêm bike (di dawiya sala 450-an de 2018 $ xilas dike), firehiya bandê 3% berfireh dike.

Di encama pêkanîna SD-WAN de, pargîdanî torgilokek nermalava jîr diyarkirî û rêveberiya polîtîkaya navendî wergirt ku bixweber performansa seyrûsefer û serîlêdanê xweşbîn bike. Vir - doza berfireh.

Li vir bûyerek bêkêmasî ya dîn a veguhestina S7-ê li nivîsgehek din, dema ku di destpêkê de her tişt dijwar dest pê kir, lê balkêş bû - hewce bû ku 1,5 hezar port ji nû ve werin çêkirin. Lê dûv re tiştek xelet derket û di encamê de, admîn derket holê ku yên paşîn ên beriya muhletê ne, yên ku hemî derengiyên berhevkirî dikevin ser wan.

Zêdetir bi Îngilîzî bixwînin:

• Bankerê Amerîkî: Pêncemîn sêyemîn di nûvekirina torê ya 5-salî de bi SD-WAN re veberhênan dike .
• Avakirina serkeftina Cloud SD-WAN li Koch.
• Rêwîtiya SD-WAN ya McKesson ber bi Teserûfa Mesrefê ve .
• SD-WAN Retail PoC & Segmentation: Dikanên Gap.
• Lê Cisco lêkolîna gerdûnî li ser meylên torê yên li cîhanê.

Bi rûsî:

• Li ser CNews.
• Me çawa SD-Access bicîh kir û çima ew hewce bû.
• Fabrîkeya torê ya ji bo navenda daneya Cisco ACI - ji bo alîkariya rêveberê.
• Kanala stabîl li ser bingeha torên SD-WAN-ê-nermalava diyarkirî: çareserkirina pirsgirêkên hilbijartina rê.
• E-nameya min, heke pirsên we hebin an hûn dixwazin karên xwe li standa me biceribînin, - [email parastî].

Source: www.habr.com