Кааласаңыз, биздин лабораторияда кармай турган стенд.
SD-WAN жана SD-Access - бул тармактарды курууга эки башка жаңы проприетардык ыкмалар. Келечекте алар бир кабаттуу тармакка биригиши керек, бирок азыр алар жакындап жатышат. Логика мындай: биз 1990-жылдардагы тармакты алып, дагы 10 жылдан кийин жаңы ачык стандартка айланышын күтпөстөн, ага бардык керектүү тактарды жана функцияларды чыгарабыз.
SD-WAN бөлүштүрүлгөн ишкана тармактары үчүн SDN патч болуп саналат. Транспорт өзүнчө, башкаруу өзүнчө, ошондуктан башкаруу жөнөкөйлөштүрүлөт.
Жакшы жактары - бардык байланыш каналдары жигердүү колдонулат, анын ичинде резервдик. Пакеттерди тиркемелерге багыттоо бар: эмне, кайсы канал аркылуу жана кандай артыкчылык менен. Жаңы пункттарды жайылтуунун жөнөкөйлөштүрүлгөн процедурасы: конфигурацияны чыгаруунун ордуна, жөн гана чоң Интернеттеги Cisco серверинин дарегин, CROC маалымат борборунда же сиздин тармагыңыз үчүн конфигурациялар алынган кардар дарегин көрсөтүңүз.
SD-Access (ДНК) – бул локалдык тармакты башкарууну автоматташтыруу: бир чекиттен конфигурациялоо, усталар, ыңгайлуу интерфейстер. Чынында, башка тармак сиздин үстүндө протокол деңгээлинде башка транспорт менен курулган жана периметрдик чектерде эски тармактар менен шайкештик камсыз кылынат.
Төмөндө муну менен да алектенебиз.
Азыр биздин лабораториядагы сыноо стенддеринде кээ бир демонстрациялар, анын көрүнүшү жана иштеши.
SD-WAN менен баштайлы. Негизги өзгөчөлүктөрү:
- Жаңы пункттарды жайгаштырууну жөнөкөйлөтүү (ZTP) - сиз кандайдыр бир жол менен пунктту орнотуулар менен сервердин дареги менен камсыздайсыз деп болжолдонууда. Чекит аны тыкылдатат, конфигурацияны алат, аны жылдырат жана башкаруу панелиңизге кирет. Бул Zero-Touch Provisioning (ZTP) камсыз кылат. Акыркы чекитти жайгаштыруу үчүн тармак инженерине сайтка баруунун кереги жок. Негизгиси - түзмөктү сайтта туура күйгүзүү жана ага бардык кабелдерди туташтыруу, андан кийин жабдуулар системага автоматтык түрдө кошулат. Сиз конфигурацияларды DNS сурамдары аркылуу сатуучунун булутуна туташкан USB дискинен жүктөп алсаңыз болот же Wi-Fi же Ethernet аркылуу түзмөккө туташтырылган ноутбуктан гипершилтеме ача аласыз.
- Тармактын күнүмдүк башкаруусун жөнөкөйлөтүү - калыптардан конфигурациялоо, глобалдык саясаттар, борборлоштурулган, бери дегенде, беш бутак үчүн конфигурацияланган, кеминде 5. Баары бир жерден. Узак жолду болтурбоо үчүн, мурунку конфигурацияга автоматтык түрдө кайтуу үчүн абдан ыңгайлуу вариант бар.
- Колдонмо деңгээлиндеги трафикти башкаруу - сапаттуу жана үзгүлтүксүз колдонмо кол жаңыртууларын камсыз кылуу. Саясаттар конфигурацияланган жана борборлоштурулган (мурдагыдай ар бир роутер үчүн маршруттук карталарды жазуу жана жаңыртуу зарылчылыгы жок). Ким эмнени, кайда, эмнени жөнөтүп жатканын көрө аласыз.
- Тармакты сегменттөө. Бүткүл инфраструктуранын үстүндө көз карандысыз обочолонгон VPN'дер - ар биринин өзүнүн маршруту бар. Демейки боюнча, алардын ортосундагы трафик жабык; сиз түшүнүктүү тармак түйүндөрүндөгү трафиктин түшүнүктүү түрлөрүнө гана кирүү мүмкүнчүлүгүн ача аласыз, мисалы, бардыгын чоң брандмауэр же прокси аркылуу өткөрүү.
- Тармактын сапат тарыхынын көрүнүүсү - тиркемелер жана каналдар кандай аткарган. Колдонуучулар тиркемелердин туруксуз иштеши боюнча даттанууларды ала электе эле кырдаалды талдоо жана оңдоо үчүн абдан пайдалуу.
- Каналдар боюнча көрүнүү - алар акчага татыктуубу, эки башка оператор чындыгында сиздин сайтка келип жатабы же алар чындыгында бир эле тармак аркылуу өтүп, ошол эле учурда басынтып/жыгылып жатабы.
- Булут тиркемелери үчүн көрүнүү жана анын негизинде белгилүү каналдар аркылуу трафикти башкаруу (Cloud Onramp).
- Аппараттын бир бөлүгү роутерди жана брандмауэрди (тагыраак айтканда, NGFW) камтыйт. Аппараттык жабдуулардын азыраак бөлүгү жаңы филиалды ачуу арзаныраак дегенди билдирет.
SD-WAN чечимдеринин компоненттери жана архитектурасы
Акыркы түзмөктөр аппараттык же виртуалдык болушу мүмкүн болгон WAN роутерлер.
Оркестрлер - тармакты башкаруу куралы. Алар акыркы түзмөктүн параметрлери, трафикти багыттоо саясаттары жана коопсуздук функциялары менен конфигурацияланган. Алынган конфигурациялар автоматтык түрдө башкаруу тармагы аркылуу түйүндөргө жөнөтүлөт. Параллелдүү, оркестр тармакты угуп, түзмөктөрдүн, порттордун, байланыш каналдарынын жана интерфейстин жүктөлүшүнүн болушун көзөмөлдөйт.
Аналитика куралдары. Алар акыркы түзмөктөрдөн чогултулган маалыматтардын негизинде отчетторду түзүшөт: каналдардын сапатынын тарыхы, тармактык тиркемелер, түйүндөрдүн жеткиликтүүлүгү ж.б.
Контроллерлор тармакка трафикти багыттоо саясатын колдонуу үчүн жооптуу. Салттуу тармактарда алардын эң жакын аналогу BGP Route Reflector болуп саналат. Администратор оркестрде конфигурациялаган глобалдык саясаттар контроллерлорго маршруттук таблицалардын курамын өзгөртүүгө жана акыркы түзмөктөргө жаңыртылган маалыматты жөнөтүүгө себеп болот.
IT кызматы SD-WANдан эмне алат:
- Камдык канал тынымсыз колдонууда (бош эмес). Бул арзаныраак чыгат, анткени сиз эки азыраак калың каналды ала аласыз.
- Каналдар ортосундагы тиркеме трафигин автоматтык түрдө которуу.
- Администратордун убактысы: сиз конфигурациялары бар аппараттык жабдыктардын ар бир бөлүгүн кыдырбастан, тармакты глобалдык деңгээлде өнүктүрө аласыз.
- жаңы бутактарды көтөрүү ылдамдыгы. Анын бою алда канча узун.
- Өлгөн жабдууларды алмаштырууда азыраак токтоп калуу.
- Жаңы кызматтар үчүн тармакты тез конфигурациялаңыз.
SD-WANдан бизнес эмне алат:
- Бөлүштүрүлгөн тармакта, анын ичинде ачык интернет каналдары аркылуу бизнес тиркемелеринин кепилденген иштеши. Бул бизнести алдын ала айтууга байланыштуу.
- Филиалдардын санына карабастан, бүт бөлүштүрүлгөн тармак боюнча жаңы бизнес тиркемелерин ыкчам колдоо. Бул бизнестин ылдамдыгы жөнүндө.
- Каалаган байланыш технологияларын колдонуу менен каалаган алыскы жерлерде филиалдарды тез жана коопсуз туташтыруу (Интернет бардык жерде, бирок ижарага алынган линиялар жана VPN жок). Бул жайгашкан жерди тандоодо бизнестин ийкемдүүлүгү жөнүндө.
- Бул жеткирүү жана ишке киргизүү менен долбоор болушу мүмкүн, же бул кызмат болушу мүмкүн
IT компаниясынан, байланыш операторунан же булут операторунан ай сайын төлөнүүчү төлөмдөр менен. Сизге кайсынысы ыңгайлуу болсо.
SD-WANдын бизнес артыкчылыктары такыр башкача болушу мүмкүн, мисалы, бир кардар топ-менеджер көп миңдеген компаниянын бардык кызматкерлери менен түз байланышка жана мазмунду жеткирүү мүмкүнчүлүгүнө өтүнүч алганын айтты.
Биз үчүн бул “аскердик операция” болчу. Ошол учурда биз КПДны модернизациялоо маселесин чечип жатканбыз. Ал эми биз принцибинде жабдууларды жаңылоо менен алектенишибиз керек экенин түшүнүп, технологиялык стек алдыга жылды, эмне үчүн биз дагы бир кадам таштасак, ошол эле технологияларды жана кызматтарды жаңылоо менен алектенишибиз керек.
SD-WAN сайтында Enikey тарабынан орнотулган. Бул кадимки администратор жок болушу мүмкүн болгон алыскы филиалдар үчүн маанилүү. Почта аркылуу жөнөтүңүз, айтыңыз: “1-кабелди 1-кутуга, 2-кабелди 2-уячага салыңыз жана аны аралаштырбаңыз! Чаташтырбаңыз, #@$@%!" Эгер алар аралаштырбаса, аппарат өзү борбордук сервер менен байланышат, анын конфигурацияларын тандап, колдонот жана бул кеңсе компаниянын коопсуз тармагынын бир бөлүгү болуп калат. Саякаттоонун кереги жок болгондо жакшы жана бюджетиңизди актоо оңой.
Бул жерде стенддин диаграммасы:
Кээ бир конфигурация мисалдары:
Саясат - трафикти башкаруунун глобалдык эрежелери. Саясатты түзөтүү.
Жол кыймылын көзөмөлдөө саясатын активдештирүү.
Түзмөктүн негизги параметрлерин массалык конфигурациялоо (IP даректер, DHCP бассейндери).
Колдонмонун иштешинин мониторингинин скриншоттору
Булут колдонмолору үчүн.
Office365 чоо-жайы.
Жергиликтүү колдонмолор үчүн. Тилекке каршы, стендибизден каталары бар тиркемелерди таба алган жокпуз (FEC калыбына келтирүү ылдамдыгы бардык жерде нөлгө барабар).
Кошумча - маалыматтарды берүү каналдарынын аткаруу.
SD-WANда кандай жабдык колдоого алынат
1. Аппараттык платформалар:
- Viptela OS менен иштеген Cisco vEdge роутерлери (мурдагы Viptela vEdge).
- 1 жана 000 сериялуу Integrated Services Routers (ISRs) IOS XE SD-WAN менен иштейт.
- IOS XE SD-WAN менен иштеген Aggregation Services Router (ASR) 1 сериясы.
2. Виртуалдык платформалар:
- Cloud Services Router (CSR) 1v IOS XE SD-WAN менен иштейт.
- vEdge Cloud Router Viptela OS менен иштейт.
Виртуалдык платформаларды Enterprise Network Compute System (ENCS) 86 сериясы, Unified Computing System (UCS) жана Cloud Services Platform (CSP) 5 сериясы сыяктуу Cisco x000 эсептөө платформаларында жайгаштырса болот. Виртуалдык платформалар каалаган x5 түзмөгүндө да иштей алат. KVM же VMware ESi сыяктуу гипервизорду колдонуу.
Жаңы түзмөк кантип иштейт
Жайгаштыруу үчүн лицензияланган түзмөктөрдүн тизмеси же Cisco акылдуу каттоо эсебинен жүктөлүп алынат же CSV файлы катары жүктөлөт. Мен кийинчерээк көбүрөөк скриншотторду алууга аракет кылам, азыр бизде жайгаштыра турган жаңы түзмөктөр жок.
Аппарат орнотулганда өтүүчү кадамдардын ырааттуулугу.
Жаңы түзмөк/конфигурация жеткирүү ыкмасы кантип чыгарылат
Биз Smart аккаунтка түзмөктөрдү кошобуз.
Сиз CSV файлын жүктөп алсаңыз болот, же бир убакта жүктөп алсаңыз болот:
Аппараттын параметрлерин толтуруңуз:
Андан кийин, vManageде биз маалыматтарды Smart Account менен шайкештештиребиз. түзмөк тизмеде пайда болот:
Түзмөктүн карама-каршы жайгашкан ачылуучу менюдан Жүктөлүүчү конфигурацияны жаратууну чыкылдатыңыз
жана баштапкы конфигурацияны алыңыз:
Бул конфигурация түзмөккө берилиши керек. Эң оңой жолу - ciscosd-wan.cfg деп аталган сакталган файлы бар флеш-дискти аппаратка туташтыруу. Жүктөөдө аппарат бул файлды издейт.
Алгачкы конфигурацияны алгандан кийин, аппарат оркестрге жетип, ал жерден толук конфигурацияны ала алат.
Биз SD-Access (ДНК) карайбыз
SD-Access портторду конфигурациялоону жана колдонуучуларды туташтыруу үчүн кирүү укуктарын жеңилдетет. Бул усталардын жардамы менен жасалат. Порттун параметрлери VLAN жана IP субнеттерине эмес, "Администраторлор", "Бухгалтердик эсеп", "Принтерлер" топторуна карата коюлат. Бул адамдык каталарды азайтат. Эгер, мисалы, компаниянын Россия боюнча көптөгөн филиалдары бар болсо, бирок борбордук офиси ашыкча жүктөлсө, SD-Access сизге жергиликтүү деңгээлде көбүрөөк маселелерди чечүүгө мүмкүндүк берет. Мисалы, көйгөйлөрдү чечүү боюнча ошол эле көйгөйлөр.
Маалыматтык коопсуздук үчүн SD-Access колдонуучуларды жана түзмөктөрдү топторго так бөлүштүрүүнү жана алардын ортосундагы өз ара аракеттенүү саясатын аныктоону, тармакка кандайдыр бир кардар туташуу үчүн авторизациялоону жана бүткүл тармакта “кирүү укуктарын” камсыз кылууну камтышы маанилүү. Бул ыкманы колдонсоңуз, башкаруу алда канча жеңилдейт.
Жаңы кеңселерди ишке киргизүү процесси которгучтардагы Plug-and-Play агенттеринин аркасында да жөнөкөйлөштүрүлгөн. Консоль менен өлкө аралап чуркауунун, ал тургай сайтка баруунун да кереги жок.
Бул жерде конфигурациянын мисалдары:
Жалпы абалы.
Администратор карап чыгууга тийиш болгон окуялар.
Конфигурацияларда эмнени өзгөртүү керектиги боюнча автоматтык сунуштар.
SD-WAN менен SD-Access интеграциялоо планы
Мен Ciscoнун мындай пландары бар деп уктум - SD-WAN жана SD-Access. Бул географиялык жактан бөлүштүрүлгөн жана жергиликтүү CSPDлерди башкарууда геморройду олуттуу түрдө азайтышы керек.
vManage (SD-WAN оркестри) ДНК борборунан (SD-Access контроллери) API аркылуу башкарылат.
Микро- жана макро-сегментациялоо саясаты төмөнкүчө чагылдырылган:
Пакет деңгээлинде баары мындай көрүнөт:
Бул тууралуу ким жана эмне деп ойлойт?
Биз SD-WAN боюнча 2016-жылдан бери өзүнчө лабораторияда иштеп жатабыз, анда чекене сооданын, банктардын, транспорттун жана өнөр жайдын муктаждыктары үчүн ар кандай чечимдерди сынап жатабыз.
Биз чыныгы кардарлар менен көп сүйлөшөбүз.
Чекене SD-WANды ишенимдүү сынап жатат деп айта алам, ал эми кээ бирлери муну сатуучулар менен (көбүнчө Cisco менен) жасап жатышат, бирок маселени өз алдынча чечүүгө аракет кылгандар дагы бар: алар өздөрүнүн версиясын жазып жатышат. иштеши боюнча SD-WANга окшош программалык камсыздоо.
Ар бир адам, тигил же бул жол менен, жабдуулардын бүт зоопарктын борборлоштурулган башкарууга жетишүүнү каалайт. Бул стандарттуу эмес орнотуулар үчүн башкаруунун бир пункту жана ар кандай сатуучулар жана ар кандай технологиялар үчүн стандарттуу. Кол эмгегин минималдаштыруу маанилүү, анткени, биринчиден, ал жабдууларды орнотууда адам факторунун тобокелдигин азайтат, экинчиден, башка милдеттерди чечүү үчүн IT сервисинин ресурстарын бошотот. Эреже катары, муктаждыкты таануу өлкө боюнча өтө узак жаңылануу циклдеринен келип чыгат. Ал эми, мисалы, сатуучу спирт ичимдиктерин сатса, анда ал сатуу үчүн туруктуу байланыш керек. Күн ичинде жаңыртуу же токтоп калуу кирешеге түздөн-түз таасирин тийгизет.
Азыр чекене соодада SD-WAN кандай IT тапшырмалары колдонулаарын так түшүнүү бар:
- Ыкчам жайгаштыруу (көбүнчө кабелдик провайдер келгенге чейин LTEде талап кылынат, көбүнчө жаңы пунктту шаардагы администратор GPC аркылуу көтөрүшү керек, андан кийин борбор жөн гана карап, конфигурациялайт).
- Борборлоштурулган башкаруу, чет өлкөлүк объектилер үчүн байланыш.
- Телеком чыгымдарды азайтуу.
- Ар кандай кошумча кызматтар (DPI өзгөчөлүктөрү кассалык аппараттар сыяктуу маанилүү тиркемелерден трафикти жеткирүүгө артыкчылык берүүгө мүмкүндүк берет).
- Каналдар менен кол менен эмес, автоматтык түрдө иштеңиз.
Жана ошондой эле шайкештикти текшерүү бар - бардыгы бул жөнүндө көп айтышат, бирок эч ким аны көйгөй катары кабыл албайт. Баары туура иштешин сактоо бул парадигмада жакшы иштейт. Көптөр бүт тармактык технология рыногу бул багытта жылат деп ишенишет.
Банктар, IMHO, учурда SD-WANды жаңы технологиялык өзгөчөлүк катары сынап жатышат. Алар жабдуулардын мурунку муундарын колдоонун бүтүшүн күтүп жатышат жана ошондон кийин гана алар өзгөрөт. Банктар жалпысынан байланыш каналдары аркылуу өздөрүнүн өзгөчө атмосферасына ээ, ошондуктан тармактын азыркы абалы аларды көп деле тынчсыздандырбайт. Көйгөйлөр, тескерисинче, башка учактарда жатат.
Россиянын рыногунан айырмаланып, SD-WAN Европада жигердүү ишке ашырылууда. Алардын байланыш каналдары кымбатыраак, ошондуктан европалык компаниялар өздөрүнүн стектерин орусиялык бөлүмдөргө алып келишет. Россияда белгилүү бир туруктуулук бар, анткени каналдардын баасы (аймак борбордон 25 эсе кымбат болгондо да) кадимкидей көрүнөт жана суроолорду жаратпайт. Жылдан-жылга байланыш каналдары үчүн шартсыз бюджет бар.
Бул жерде Ciscoдо SD-WAN колдонуу менен компания убакытты жана акчаны үнөмдөгөн дүйнөлүк практикадан мисал келтирели.
Мындай компания бар - National Instruments. Белгилүү бир учурда, алар дүйнө жүзү боюнча 88 сайттарды бириктирүү менен "алынган" глобалдык компьютердик тармак натыйжасыз экенин түшүнө башташты. Мындан тышкары, ишкананын чарбалык ысык суу менен камсыздоо мүмкүнчүлүгү жана көрсөткүчтөрү жетишсиз болгон. Компаниянын тынымсыз өсүшү менен чектелген IT бюджетинин ортосунда тең салмактуулук болгон эмес.
SD-WAN National Instruments'ке MPLS чыгымдарын 25% га кыскартууга жардам берди (450-жылдын аягында 2018 3 долларды үнөмдөдү), өткөрүү жөндөмдүүлүгүн 075% кеңейтти.
SD-WAN ишке ашыруунун натыйжасында компания трафикти жана тиркеменин иштешин автоматтык түрдө оптималдаштыруу үчүн акылдуу программалык камсыздоо менен аныкталган тармакты жана борборлоштурулган саясатты башкарууну алды. - деталдуу иш.
S7ди башка кеңсеге которуунун таптакыр жинди окуясы, башында баары кыйын, бирок кызыктуу башталган - 1,5 миң портту кайра жасоо керек болчу. Бирок, андан кийин бир нерсе туура эмес болуп, натыйжада администраторлор акыркы мөөнөткө чейин болуп, бардык топтолгон кечигүүлөр аларга туура келет.
Көбүрөөк англисче:
- .
- .
- .
- .
- Мынакей дүйнөдөгү тармак тенденциялары боюнча.
Орусча:
- .
- .
- .
- .
- Менин электрондук почтам, эгер кандайдыр бир суроолоруңуз болсо же биздин стендде өзүңүздүн тапшырмаларыңызды сынагыңыз келсе, - [электрондук почта корголгон].
Source: www.habr.com