SD-WAN ir DNR padėti administratoriui: architektūros ypatybės ir praktika

Stovas, kurį, jei norite, galite paliesti mūsų laboratorijoje.

SD-WAN ir SD-Access yra du skirtingi nauji patentuoti tinklų kūrimo būdai. Ateityje jie turėtų susijungti į vieną perdangos tinklą, tačiau kol kas jie tik artėja. Logika tokia: mes paimame 1990-ųjų tinklą ir įdiegiame visas reikalingas pataisas ir funkcijas, nelaukdami, kol jis taps nauju atviru standartu dar po 10 metų.

SD-WAN yra paskirstytų įmonių tinklų SDN pataisa. Transportas yra atskiras, valdymas yra atskiras, todėl valdymas yra supaprastintas.

Argumentai "už" - aktyviai naudojami visi ryšio kanalai, įskaitant atsarginį. Yra paketų nukreipimas į programas: kas, kokiu kanalu ir kokiu prioritetu. Supaprastinta naujų taškų diegimo procedūra: užuot išleidę konfigūraciją, tiesiog nurodykite Cisco serverio dideliame internete, CROC duomenų centro arba kliento, iš kurio paimtos konkrečiai jūsų tinklui skirtos konfigūracijos, adresą.

SD-Access (DNA) – tai vietinio tinklo valdymo automatizavimas: konfigūracija iš vieno taško, vedliai, patogios sąsajos. Tiesą sakant, kitas tinklas yra pastatytas su kitokiu transportu protokolo lygiu virš jūsų, o suderinamumas su senesniais tinklais užtikrinamas perimetro ribose.

Mes taip pat aptarsime tai toliau.

Dabar keletas demonstracijų ant bandymų stendų mūsų laboratorijoje, kaip tai atrodo ir veikia.

Pradėkime nuo SD-WAN. Pagrindinės funkcijos:

• Naujų taškų (ZTP) diegimo supaprastinimas - daroma prielaida, kad jūs kažkaip paduodate tašką serverio adresu su nustatymais. Taškas atsitrenkia į jį, gauna konfigūraciją, suvynioja ją ir yra įtrauktas į jūsų valdymo skydelį. Tai užtikrina „Zero-Touch Provisioning“ (ZTP). Norint įdiegti galutinį tašką, tinklo inžinieriui nereikia keliauti į svetainę. Svarbiausia yra teisingai įjungti įrenginį vietoje ir prijungti prie jo visus laidus, tada įranga automatiškai prisijungs prie sistemos. Galite atsisiųsti konfigūracijas naudodami DNS užklausas pardavėjo debesyje iš prijungto USB disko arba galite atidaryti hipersaitą iš nešiojamojo kompiuterio, prijungto prie įrenginio per Wi-Fi arba Ethernet.
• Įprasto tinklo administravimo supaprastinimas – konfigūracija iš šablonų, globalios strategijos, centralizuotai sukonfigūruota mažiausiai penkioms šakoms, mažiausiai 5. Viskas iš vienos vietos. Norint išvengti ilgos kelionės, yra labai patogi galimybė automatiškai grįžti į ankstesnę konfigūraciją.
• Programos lygio srauto valdymas – užtikrina kokybę ir nuolatinius programos parašo atnaujinimus. Politika sukonfigūruojama ir išleidžiama centralizuotai (nereikia rašyti ir atnaujinti kiekvieno maršrutizatoriaus maršruto žemėlapių, kaip anksčiau). Galima matyti, kas ką, kur ir ką siunčia.
• Tinklo segmentavimas. Nepriklausomi izoliuoti VPN ant visos infrastruktūros – kiekvienas turi savo maršrutą. Pagal numatytuosius nustatymus srautas tarp jų yra uždarytas; prieigą galite atidaryti tik suprantamiems srauto tipams suprantamuose tinklo mazguose, pavyzdžiui, viską perduodant per didelę ugniasienę arba tarpinį serverį.
• Tinklo kokybės istorijos matomumas – kaip veikė programos ir kanalai. Labai naudinga analizuojant ir taisant situaciją dar prieš vartotojams pradedant gauti skundų dėl nestabilaus programų veikimo.
• Matomumas visuose kanaluose – ar jie verti pinigų, ar du skirtingi operatoriai iš tikrųjų ateina į jūsų svetainę, ar jie iš tikrųjų eina per tą patį tinklą ir tuo pačiu metu degraduoja/krenta.
• Debesų programų matomumas ir srauto nukreipimas tam tikrais kanalais pagal tai („Cloud Onramp“).
• Vienoje techninėje įrangoje yra maršrutizatorius ir ugniasienė (tiksliau, NGFW). Mažiau techninės įrangos reiškia, kad pigiau atidaryti naują filialą.

SD-WAN sprendimų komponentai ir architektūra

Galiniai įrenginiai yra WAN maršrutizatoriai, kurie gali būti aparatiniai arba virtualūs.

Orkestratoriai yra tinklo valdymo įrankis. Jie sukonfigūruoti naudojant galutinio įrenginio parametrus, srauto nukreipimo strategijas ir saugos funkcijas. Gautos konfigūracijos automatiškai siunčiamos per valdymo tinklą į mazgus. Lygiagrečiai orkestrantas klausosi tinklo ir stebi įrenginių prieinamumą, prievadus, ryšio kanalus ir sąsajos įkėlimą.

Analitikos įrankiai. Jie rengia ataskaitas pagal duomenis, surinktus iš galutinių įrenginių: kanalų kokybės istoriją, tinklo programas, mazgų prieinamumą ir kt.

Valdikliai yra atsakingi už srauto nukreipimo politikos taikymą tinkle. Artimiausiu jų analogu tradiciniuose tinkluose galima laikyti BGP Route Reflector. Visuotinės strategijos, kurias administratorius sukonfigūruoja orkestruotoje, verčia valdiklius pakeisti savo maršruto lentelių sudėtį ir siųsti atnaujintą informaciją galutiniams įrenginiams.

Ką IT paslauga gauna iš SD-WAN:

1. Atsarginis kanalas yra nuolat naudojamas (nenaudojamas). Pasirodo pigiau, nes galite sau leisti dviem mažesnio storio kanalus.
2. Automatinis programų srauto perjungimas tarp kanalų.
3. Administratoriaus laikas: galite plėtoti tinklą visame pasaulyje, o ne tikrinti kiekvieną aparatinę įrangą su konfigūracijomis.
4. Naujų šakų auginimo greitis. Ji daug aukštesnė.
5. Mažiau prastovų keičiant neveikiančią įrangą.
6. Greitai perkonfigūruokite tinklą naujoms paslaugoms.

Ką verslas gauna iš SD-WAN:

1. Garantuotas verslo programų veikimas paskirstytame tinkle, įskaitant atvirus interneto kanalus. Kalbama apie verslo nuspėjamumą.
2. Greitas naujų verslo programų palaikymas visame paskirstytame tinkle, neatsižvelgiant į filialų skaičių. Kalbama apie verslo greitį.
3. Greitas ir saugus filialų prijungimas bet kurioje atokioje vietoje naudojant bet kokias ryšio technologijas (internetas yra visur, bet skirtosios linijos ir VPN nėra). Tai susiję su verslo lankstumu renkantis vietą.
4. Tai gali būti projektas su pristatymu ir paleidimu arba paslauga
   su mėnesiniais IT įmonės, telekomunikacijų operatoriaus ar debesijos operatoriaus mokėjimais. Kuris jums patogu.

SD-WAN nauda verslui gali būti visiškai kitokia, pavyzdžiui, vienas klientas mums pasakojo, kad aukščiausio lygio vadovas gavo užklausą dėl tiesioginės linijos su visais daugiatūkstantinės įmonės darbuotojais ir galimybės pristatyti turinį.

Mums tai buvo „karinė operacija“. Tuo metu jau sprendėme BSPD modernizavimo problemą. Ir kai suprantame, kad iš principo turime užsiimti įrangos atnaujinimu, o technologijų krūva pajudėjo į priekį, kodėl turėtume užsiimti tų pačių technologijų ir paslaugų atnaujinimu, jei galime žengti žingsnį toliau.

SD-WAN svetainėje įdiegė Enikey. Tai svarbu nutolusiems filialams, kur gali tiesiog nebūti normalaus administratoriaus. Siųskite paštu, pasakykite: „Prijunkite 1 kabelį prie 1 dėžutės, 2 kabelį į 2 dėžutę ir nemaišykite! Nesusipainiokite, #@$@%! Ir jei jie to nesumaišo, pats įrenginys susisiekia su centriniu serveriu, pasiima ir pritaiko jo konfigūracijas, o ši įstaiga tampa saugaus įmonės tinklo dalimi. Smagu, kai nereikia keliauti ir lengva pagrįsti savo biudžetą.

Štai stovo schema:

Kai kurie konfigūracijos pavyzdžiai:

Politika – pasaulinės eismo valdymo taisyklės. Politikos redagavimas.

Suaktyvinti eismo valdymo politiką.

Masinė pagrindinių įrenginio parametrų konfigūracija (IP adresai, DHCP telkiniai).

Programos veikimo stebėjimo ekrano kopijos

Debesų programoms.

Išsami informacija apie „Office365“.

„On-prem“ programoms. Deja, mūsų stende nepavyko rasti programų su klaidomis (FEC atkūrimo rodiklis visur lygus nuliui).

Papildomai – duomenų perdavimo kanalų veikimas.

Kokia aparatinė įranga palaikoma SD-WAN

1. Aparatinės įrangos platformos:

• Cisco vEdge maršruto parinktuvai (anksčiau Viptela vEdge), kuriuose veikia Viptela OS.
• 1 ir 000 serijų integruotų paslaugų maršrutizatoriai (ISR), kuriuose veikia IOS XE SD-WAN.
• Agregavimo paslaugų maršrutizatorius (ASR) 1 serija, kurioje veikia IOS XE SD-WAN.

2. Virtualios platformos:

• Cloud Services Router (CSR) 1v, kuriame veikia IOS XE SD-WAN.
• „vEdge Cloud Router“, kuriame veikia „Viptela“ OS.

Virtualios platformos gali būti įdiegtos Cisco x86 skaičiavimo platformose, pvz., Enterprise Network Compute System (ENCS) 5 serijoje, Unified Computing System (UCS) ir Cloud Services Platform (CSP) 000 serijoje. Virtualios platformos taip pat gali veikti bet kuriame x5 įrenginyje naudojant hipervizorių, pvz., KVM arba VMware ESi.

Kaip įsijungia naujas įrenginys

Diegimui skirtų licencijuotų įrenginių sąrašas atsisiunčiamas iš „Cisco“ išmaniosios paskyros arba įkeliamas kaip CSV failas. Vėliau pabandysiu gauti daugiau ekrano kopijų, nes šiuo metu neturime naujų įrenginių, kuriuos galėtume įdiegti.

Veiksmų seka, kurią įrenginys atlieka įdiegus.

Kaip išleidžiamas naujas įrenginio / konfigūracijos pristatymo metodas

Prie išmaniosios paskyros pridedame įrenginius.

Galite atsisiųsti CSV failą arba galite atsisiųsti po vieną:

Įveskite įrenginio parametrus:

Tada vManage sinchronizuojame duomenis su išmaniąja paskyra. Įrenginys rodomas sąraše:

Priešais įrenginį esančiame išskleidžiamajame meniu spustelėkite Generuoti įkrovos konfigūraciją
ir gaukite pradinę konfigūraciją:

Ši konfigūracija turi būti pateikta įrenginiui. Lengviausias būdas yra prijungti „flash drive“ su išsaugotu failu pavadinimu ciscosd-wan.cfg prie įrenginio. Įkrovos metu įrenginys ieškos šio failo.

Gavęs pradinę konfigūraciją, įrenginys galės pasiekti orkestrantą ir iš ten gauti visą konfigūraciją.

Mes žiūrime į SD prieigą (DNR)

SD-Access leidžia lengvai konfigūruoti prievadus ir prieigos teises prisijungiantiems vartotojams. Tai atliekama naudojant vedlius. Prievado parametrai nustatomi atsižvelgiant į grupes „Administratoriai“, „Apskaita“, „Spausdintuvai“, o ne su VLAN ir IP potinkliais. Tai sumažina žmogiškųjų klaidų skaičių. Jei, pavyzdžiui, įmonė turi daug filialų visoje Rusijoje, tačiau centrinis biuras yra perkrautas, SD-Access leidžia išspręsti daugiau problemų vietoje. Pavyzdžiui, tos pačios problemos, susijusios su trikčių šalinimu.

Informacijos saugumui svarbu, kad SD-Access apimtų aiškų vartotojų ir įrenginių padalijimą į grupes ir jų sąveikos politikos apibrėžimą, bet kokio kliento prisijungimo prie tinklo įgaliojimą ir „prieigos teisių“ suteikimą visame tinkle. Jei laikysitės šio požiūrio, administravimas taps daug lengvesnis.

Naujų biurų paleidimo procesas taip pat supaprastintas dėl jungikliuose esančių „Plug-and-Play“ agentų. Nereikia lakstyti visureigių su pultu ar net eiti į aikštelę.

Štai konfigūracijos pavyzdžiai:

Bendra būsena.

Įvykiai, kuriuos administratorius turėtų peržiūrėti.

Automatinės rekomendacijos, ką keisti konfigūracijose.

Planas integruoti SD-WAN su SD prieiga

Girdėjau, kad Cisco turi tokius planus – SD-WAN ir SD-Access. Tai turėtų žymiai sumažinti hemorojus, kai valdomi geografiškai paskirstyti ir vietiniai CSPD.

vManage (SD-WAN orkestrantas) valdomas per API iš DNA centro (SD prieigos valdiklis).

Mikro- ir makrosegmentavimo strategijos susietos taip:

Paketo lygmeniu viskas atrodo taip:

Kas apie tai galvoja ir ką?

Su SD-WAN dirbame nuo 2016 metų atskiroje laboratorijoje, kurioje išbandome skirtingus sprendimus mažmeninės prekybos, bankų, transporto ir pramonės poreikiams.

Daug bendraujame su tikrais klientais.

Galiu pasakyti, kad mažmeninė prekyba jau užtikrintai išbando SD-WAN, o kai kurie tai daro su pardavėjais (dažniausiai su Cisco), tačiau yra ir tokių, kurie bando išspręsti problemą patys: rašo savo versiją. programinė įranga, kurios funkcionalumas yra panašus į SD-WAN.

Visi vienaip ar kitaip nori pasiekti centralizuotą viso zoologijos sodo įrangos valdymą. Tai vienas administravimo taškas nestandartiniams įrengimams ir standartiniams skirtingiems tiekėjams ir skirtingoms technologijoms. Svarbu kuo labiau sumažinti rankų darbą, nes, pirma, tai sumažina žmogiškojo faktoriaus riziką montuojant įrangą, antra, atlaisvina IT tarnybos resursų kitoms užduotims spręsti. Paprastai poreikis pripažįstamas dėl labai ilgų atnaujinimo ciklų visoje šalyje. Ir, pavyzdžiui, jei mažmenininkas parduoda alkoholį, jam reikia nuolatinio pardavimo. Atnaujinimas arba prastovos dienos metu tiesiogiai veikia pajamas.

Dabar mažmeninėje prekyboje aiškiai suprantama, kokioms IT užduotims bus naudojamas SD-WAN:

1. Greitas diegimas (dažnai prireikia per LTE prieš atvykstant kabelių tiekėjui, dažnai reikia, kad naują tašką mieste pakeltų administratorius per GPC, o tada centras tiesiog žiūri ir konfigūruoja).
2. Centralizuotas valdymas, komunikacija dėl svetimų objektų.
3. Sumažinti telekomunikacijų išlaidas.
4. Įvairios papildomos paslaugos (DPI funkcijos leidžia teikti pirmenybę srautui iš svarbių programų, tokių kaip kasos aparatai).
5. Dirbkite su kanalais automatiškai, o ne rankiniu būdu.

Taip pat yra atitikties patikra – visi apie tai daug kalba, bet niekas to nesuvokia kaip problemos. Palaikymas, kad viskas veiktų tinkamai, taip pat gerai veikia šioje paradigmoje. Daugelis mano, kad visa tinklo technologijų rinka judės šia kryptimi.

Bankai, IMHO, šiuo metu išbando SD-WAN kaip naują technologinę funkciją. Jie laukia ankstesnių kartų įrangos palaikymo pabaigos ir tik tada keisis. Paprastai bankai turi savo ypatingą atmosferą per komunikacijos kanalus, todėl dabartinė pramonės padėtis jų nelabai trikdo. Problemos veikiau slypi kitose plokštumose.

Skirtingai nei Rusijos rinkoje, SD-WAN aktyviai diegiamas Europoje. Jų ryšio kanalai yra brangesni, todėl Europos įmonės perkelia savo krūvą į Rusijos padalinius. Rusijoje yra tam tikras stabilumas, nes kanalų kaina (net kai regionas 25 kartus brangesnis už centrą) atrodo visai normaliai ir klausimų nekelia. Metai iš metų komunikacijos kanalams skiriamas besąlygiškas biudžetas.

Štai pavyzdys iš pasaulinės praktikos, kai įmonė sutaupė laiko ir pinigų naudodama Cisco SD-WAN.

Yra tokia kompanija – National Instruments. Tam tikru momentu jie pradėjo suprasti, kad pasaulinis kompiuterių tinklas, „gautas“ sujungus 88 svetaines visame pasaulyje, buvo neveiksmingas. Be to, įmonei trūko karšto vandens tiekimo pajėgumų ir našumo. Nebuvo pusiausvyros tarp nuolatinio įmonės augimo ir riboto IT biudžeto.

SD-WAN padėjo „National Instruments“ sumažinti MPLS išlaidas 25 % (450 m. pabaigoje sutaupyti 2018 3 USD), praplečiant pralaidumą 075 XNUMX %.

Įdiegus SD-WAN, įmonė gavo išmanųjį programinės įrangos apibrėžtą tinklą ir centralizuotą politikos valdymą, kad automatiškai optimizuotų srautą ir programų našumą. Tiesiog čia - detalus atvejis.

Čia visiškai beprotiškas S7 perkėlimo į kitą biurą atvejis, kai iš pradžių viskas prasidėjo sunkiai, bet įdomiai - reikėjo perdaryti 1,5 tūkst. Bet tada kažkas nutiko ir dėl to adminai pasirodė paskutiniai prieš terminą, kuriems krenta visi susikaupę vėlavimai.

Skaityti daugiau angliškai:

• Amerikos bankininkas: Fifth Third investuoja į 5 metų tinklo atnaujinimą naudojant SD-WAN .
• „Cloud SD-WAN“ sėkmės kūrimas „Koch“..
• McKesson SD-WAN kelionė siekiant sutaupyti .
• SD-WAN Retail PoC ir segmentavimas: Gap Stores.
• Bet Cisco pasaulinis tyrimas apie tinklo tendencijas pasaulyje.

Rusiškai:

• Per CNews.
• Kaip įdiegėme SD prieigą ir kodėl to reikėjo.
• Tinklo audinys Cisco ACI duomenų centrui – padėti administratoriui.
• Stabilus kanalas, pagrįstas programine įranga apibrėžtais SD-WAN tinklais: maršruto parinkimo problemų sprendimas.
• Mano el. paštas, jei turite klausimų ar norėtumėte išbandyti savo užduotis mūsų stende, - [apsaugotas el. paštu].

Šaltinis: www.habr.com