SD-WAN un DNS, lai palīdzētu administratoram: arhitektūras funkcijas un prakse

Statīvs, kuram, ja vēlaties, varat pieskarties mūsu laboratorijā.

SD-WAN un SD-Access ir divas dažādas jaunas patentētas pieejas tīklu veidošanai. Nākotnē tiem vajadzētu apvienoties vienā pārklājuma tīklā, taču pagaidām tie tikai tuvojas. Loģika ir šāda: mēs ņemam 1990. gadu tīklu un izlaižam tajā visus nepieciešamos ielāpus un funkcijas, negaidot, kad tas kļūs par jaunu atvērto standartu vēl pēc 10 gadiem.

SD-WAN ir SDN ielāps izplatītajiem uzņēmumu tīkliem. Transports ir atsevišķs, vadība ir atsevišķa, tāpēc vadība ir vienkāršota.

Plusi - aktīvi tiek izmantoti visi komunikācijas kanāli, arī rezerves kanāli. Ir pakešu maršrutēšana uz lietojumprogrammām: kas, pa kuru kanālu un ar kādu prioritāti. Vienkāršota procedūra jaunu punktu izvietošanai: tā vietā, lai ieviestu konfigurāciju, vienkārši norādiet Cisco servera adresi lielajā internetā, CROC datu centra vai klienta adresi, no kuras tiek ņemtas tieši jūsu tīklam paredzētās konfigurācijas.

SD-Access (DNA) ir lokālā tīkla pārvaldības automatizācija: konfigurācija no viena punkta, vedņi, ērtas saskarnes. Faktiski cits tīkls ir izveidots ar citu transportu protokola līmenī virs jūsu, un perimetra robežās tiek nodrošināta saderība ar vecākiem tīkliem.

Mēs arī to aplūkosim tālāk.

Tagad daži demonstrējumi mūsu laboratorijas testu stendos, kā tas izskatās un darbojas.

Sāksim ar SD-WAN. Galvenās iezīmes:

• Jaunu punktu (ZTP) izvietošanas vienkāršošana - tiek pieņemts, ka jūs kaut kādā veidā padodat punktu ar servera adresi ar iestatījumiem. Punkts pieklauvē pie tā, saņem konfigurāciju, sarullē to un ir iekļauts jūsu vadības panelī. Tas nodrošina Zero-Touch Provisioning (ZTP). Lai izvietotu galapunktu, tīkla inženierim nav jādodas uz vietni. Galvenais ir pareizi ieslēgt ierīci uz vietas un pievienot tai visus kabeļus, tad iekārta automātiski pieslēgsies sistēmai. Varat lejupielādēt konfigurācijas, izmantojot DNS vaicājumus piegādātāja mākonī no pievienotā USB diska, vai arī varat atvērt hipersaiti no klēpjdatora, kas savienots ar ierīci, izmantojot Wi-Fi vai Ethernet.
• Ikdienas tīkla administrēšanas vienkāršošana - konfigurācija no veidnēm, globālās politikas, centralizēti konfigurēts vismaz piecām filiālēm, vismaz 5. Viss no vienas vietas. Lai izvairītos no ilga brauciena, ir ļoti ērta iespēja automātiski atgriezties pie iepriekšējās konfigurācijas.
• Lietojumprogrammu līmeņa trafika pārvaldība — kvalitatīvas un nepārtrauktas lietojumprogrammu parakstu atjaunināšanas nodrošināšana. Politikas tiek konfigurētas un ieviestas centralizēti (nav nepieciešams rakstīt un atjaunināt maršruta kartes katram maršrutētājam, kā iepriekš). Var redzēt, kas ko, kur un ko sūta.
• Tīkla segmentācija. Neatkarīgi izolēti VPN visā infrastruktūrā — katrs ar savu maršrutēšanu. Pēc noklusējuma satiksme starp tām ir slēgta; jūs varat atvērt piekļuvi tikai saprotamiem trafika veidiem saprotamos tīkla mezglos, piemēram, visu izlaižot caur lielu ugunsmūri vai starpniekserveri.
• Tīkla kvalitātes vēstures redzamība — kā darbojās lietojumprogrammas un kanāli. Ļoti noderīgi, lai analizētu un labotu situāciju pat pirms lietotāji sāk saņemt sūdzības par lietojumprogrammu nestabilo darbību.
• Redzamība dažādos kanālos — vai tie ir naudas vērti, vai divi dažādi operatori patiešām ierodas jūsu vietnē, vai arī tie faktiski iet caur vienu un to pašu tīklu un vienlaikus degradējas/krīt.
• Mākoņu lietojumprogrammu redzamība un trafika vadīšana pa noteiktiem kanāliem, pamatojoties uz to (Cloud Onramp).
• Viena aparatūra satur maršrutētāju un ugunsmūri (precīzāk, NGFW). Mazāk aparatūras vienību nozīmē, ka ir lētāk atvērt jaunu filiāli.

SD-WAN risinājumu komponenti un arhitektūra

Gala ierīces ir WAN maršrutētāji, kas var būt aparatūras vai virtuāli.

Orķestratori ir tīkla pārvaldības rīks. Tie ir konfigurēti ar gala ierīces parametriem, trafika maršrutēšanas politikām un drošības funkcionalitāti. Iegūtās konfigurācijas tiek automātiski nosūtītas uz mezgliem caur vadības tīklu. Paralēli orķestrētājs klausās tīklu un uzrauga ierīču, portu, sakaru kanālu pieejamību un saskarnes ielādi.

Analīzes rīki. Viņi veido pārskatus, pamatojoties uz datiem, kas savākti no gala ierīcēm: kanālu kvalitātes vēsture, tīkla lietojumprogrammas, mezglu pieejamība utt.

Kontrolieri ir atbildīgi par trafika maršrutēšanas politiku piemērošanu tīklā. To tuvāko analogu tradicionālajos tīklos var uzskatīt par BGP Route Reflector. Globālās politikas, ko administrators konfigurē orķestrētājā, liek kontrolieriem mainīt maršrutēšanas tabulu sastāvu un nosūtīt atjauninātu informāciju gala ierīcēm.

Ko IT pakalpojums iegūst no SD-WAN:

1. Rezerves kanāls tiek pastāvīgi izmantots (nav dīkstāvē). Tas izrādās lētāk, jo jūs varat atļauties divus mazāk biezus kanālus.
2. Automātiska lietojumprogrammu trafika pārslēgšana starp kanāliem.
3. Administratora laiks: varat attīstīt tīklu globāli, nevis pārmeklēt katru aparatūras daļu ar konfigurācijām.
4. Jaunu zaru audzēšanas ātrums. Viņa ir daudz garāka.
5. Mazāks dīkstāves laiks, nomainot mirušo aprīkojumu.
6. Ātri pārkonfigurējiet tīklu jauniem pakalpojumiem.

Ko uzņēmums iegūst no SD-WAN:

1. Garantēta biznesa lietojumprogrammu darbība izkliedētā tīklā, tostarp caur atvērtiem interneta kanāliem. Tas ir par biznesa paredzamību.
2. Tūlītējs atbalsts jaunām biznesa lietojumprogrammām visā izplatītajā tīklā neatkarīgi no filiāļu skaita. Tas ir par biznesa ātrumu.
3. Ātrs un drošs filiāļu savienojums jebkurā attālā vietā, izmantojot jebkādas savienojuma tehnoloģijas (internets ir visur, bet nomātās līnijas un VPN nav). Tas attiecas uz uzņēmējdarbības elastību atrašanās vietas izvēlē.
4. Tas varētu būt projekts ar piegādi un nodošanu ekspluatācijā, vai arī tas varētu būt pakalpojums
   ar ikmēneša maksājumiem no IT uzņēmuma, telekomunikāciju operatora vai mākoņa operatora. Kurš jums ir ērts.

SD-WAN biznesa priekšrocības var būt pilnīgi atšķirīgas, piemēram, viens klients mums pastāstīja, ka augstākā līmeņa vadītājs saņēmis pieprasījumu pēc tiešās līnijas ar visiem daudztūkstoš uzņēmuma darbiniekiem un iespēju piegādāt saturu.

Mums tā bija "militāra operācija". Tajā brīdī jau risinājām CSPD modernizācijas problēmu. Un, ja mēs saprotam, ka mums principā ir jāiesaistās iekārtu atjaunošanā un tehnoloģiju kaudze ir pavirzījusies uz priekšu, kāpēc mums būtu jāiesaistās to pašu tehnoloģiju un pakalpojumu atjaunošanā, ja mēs varam spert soli tālāk.

SD-WAN uz vietas instalēja Enikey. Tas ir svarīgi attālām filiālēm, kur var vienkārši nebūt parasta administratora. Nosūtiet pa pastu, sakiet: “Iespraudiet 1. kabeli 1. kastē, 2. kabeli 2. kastē un nejauciet to! Neapjūk, #@$@%!” Un, ja viņi to nesajauc, pati ierīce sazinās ar centrālo serveri, paņem un piemēro tās konfigurācijas, un šis birojs kļūst par daļu no uzņēmuma drošā tīkla. Ir patīkami, kad nav jāceļo un ir viegli attaisnot savu budžetu.

Šeit ir statīva diagramma:

Daži konfigurācijas piemēri:

Politika - globālie satiksmes pārvaldības noteikumi. Politikas rediģēšana.

Aktivizēt satiksmes kontroles politiku.

Ierīces pamatparametru masveida konfigurācija (IP adreses, DHCP pūli).

Lietojumprogrammu veiktspējas uzraudzības ekrānuzņēmumi

Mākoņa lietojumprogrammām.

Sīkāka informācija par Office365.

Vietējām lietojumprogrammām. Diemžēl mūsu stendā nevarējām atrast lietojumprogrammas ar kļūdām (FEC atkopšanas līmenis visur ir nulle).

Papildus - datu pārraides kanālu veiktspēja.

Kāda aparatūra tiek atbalstīta SD-WAN

1. Aparatūras platformas:

• Cisco vEdge maršrutētāji (iepriekš Viptela vEdge), kuros darbojas Viptela OS.
• 1. un 000. sērijas integrēto pakalpojumu maršrutētāji (ISR), kuros darbojas IOS XE SD-WAN.
• Aggregation Services Router (ASR) 1 sērija, kurā darbojas IOS XE SD-WAN.

2. Virtuālās platformas:

• Mākoņpakalpojumu maršrutētājs (CSR) 1 v, kurā darbojas IOS XE SD-WAN.
• vEdge Cloud Router, kurā darbojas Viptela OS.

Virtuālās platformas var izvietot Cisco x86 skaitļošanas platformās, piemēram, Enterprise Network Compute System (ENCS) 5 sērijā, Unified Computing System (UCS) un Cloud Services Platform (CSP) 000 sērijā. Virtuālās platformas var darboties arī jebkurā x5 ierīcē. izmantojot hipervizoru, piemēram, KVM vai VMware ESi.

Kā darbojas jauna ierīce

Izvietošanai licencēto ierīču saraksts tiek lejupielādēts no Cisco viedkonta vai augšupielādēts kā CSV fails. Vēlāk mēģināšu iegūt vairāk ekrānuzņēmumu, jo pašlaik mums nav nevienas jaunas ierīces, ko izvietot.

Darbību secība, ko ierīce veic izvietošanas laikā.

Kā tiek ieviesta jauna ierīces/konfigurācijas piegādes metode

Mēs pievienojam ierīces viedajam kontam.

Varat lejupielādēt CSV failu vai lejupielādēt pa vienam:

Ievadiet ierīces parametrus:

Pēc tam vManage mēs sinhronizējam datus ar viedo kontu. Ierīce parādās sarakstā:

Nolaižamajā izvēlnē pretī ierīcei noklikšķiniet uz Ģenerēt sāknēšanas konfigurāciju
un iegūstiet sākotnējo konfigurāciju:

Šī konfigurācija ir jāievada ierīcē. Vienkāršākais veids ir ierīcei pievienot zibatmiņas disku ar saglabātu failu ar nosaukumu ciscosd-wan.cfg. Sāknēšanas laikā ierīce meklēs šo failu.

Saņemot sākotnējo konfigurāciju, ierīce varēs sasniegt orķestrētāju un no turienes saņemt pilnu konfigurāciju.

Mēs skatāmies uz SD piekļuvi (DNS)

SD-Access ļauj ērti konfigurēt pieslēgvietas un piekļuves tiesības lietotājiem, kas savienojas. Tas tiek darīts, izmantojot vedņus. Portu parametri tiek iestatīti saistībā ar grupām “Administratori”, “Grāmatvedība”, “Printeri”, nevis ar VLAN un IP apakštīkliem. Tas samazina cilvēku kļūdas. Ja, piemēram, uzņēmumam ir daudz filiāļu visā Krievijā, bet centrālais birojs ir pārslogots, tad SD-Access ļauj atrisināt vairāk problēmu lokāli. Piemēram, tās pašas problēmas saistībā ar traucējummeklēšanu.

Informācijas drošībai ir svarīgi, lai SD-Access ietvertu skaidru lietotāju un ierīču sadalīšanu grupās un mijiedarbības politiku definēšanu starp tām, autorizāciju jebkuram klienta savienojumam ar tīklu un “piekļuves tiesību” nodrošināšanu visā tīklā. Ja sekojat šai pieejai, administrēšana kļūst daudz vienkāršāka.

Jaunu biroju palaišanas process ir arī vienkāršots, pateicoties slēdžos esošajiem Plug-and-Play aģentiem. Nav jāskrien pa krosu ar pulti vai vispār jādodas uz vietu.

Šeit ir konfigurācijas piemēri:

Vispārējais statuss.

Negadījumi, kas administratoram jāpārskata.

Automātiski ieteikumi, ko mainīt konfigurācijās.

Plāns SD-WAN integrēšanai ar SD-piekļuvi

Dzirdēju, ka Cisco ir tādi plāni - SD-WAN un SD-Access. Tam vajadzētu ievērojami samazināt hemoroīdu skaitu, pārvaldot ģeogrāfiski izplatītus un vietējos CSPD.

vManage (SD-WAN orķestrētājs) tiek pārvaldīts, izmantojot API no DNS centra (SD-piekļuves kontrolieris).

Mikro- un makrosegmentācijas politikas tiek kartētas šādi:

Pakotnes līmenī viss izskatās šādi:

Kurš par to domā un ko?

Jau kopš 2016. gada strādājam pie SD-WAN atsevišķā laboratorijā, kurā testējam dažādus risinājumus mazumtirdzniecības, banku, transporta un rūpniecības vajadzībām.

Mēs daudz komunicējam ar reāliem klientiem.

Varu teikt, ka mazumtirdzniecība jau pārliecinoši testē SD-WAN, un daži to dara kopā ar pārdevējiem (visbiežāk ar Cisco), taču ir arī tādi, kas mēģina atrisināt problēmu paši: viņi raksta savu versiju. programmatūra, kuras funkcionalitāte ir līdzīga SD-WAN.

Ikviens tā vai citādi vēlas panākt visa zoodārza aprīkojuma centralizētu pārvaldību. Šis ir viens administrācijas punkts nestandarta instalācijām un standarta instalācijām dažādiem piegādātājiem un dažādām tehnoloģijām. Svarīgi ir maksimāli samazināt roku darbu, jo, pirmkārt, tas samazina cilvēciskā faktora risku iekārtu uzstādīšanā, otrkārt, atbrīvo IT servisa resursus citu uzdevumu risināšanai. Raksturīgi, ka nepieciešamība tiek atzīta pēc ļoti gariem atjaunošanas cikliem visā valstī. Un, piemēram, ja mazumtirgotājs tirgo alkoholu, tad tam nepieciešama pastāvīga komunikācija pārdošanai. Atjaunināšana vai dīkstāve dienas laikā tieši ietekmē ieņēmumus.

Tagad mazumtirdzniecībā ir skaidra izpratne par to, kādi IT uzdevumi izmantos SD-WAN:

1. Ātra izvietošana (bieži vien tas ir nepieciešams LTE pirms kabeļtelevīzijas pakalpojumu sniedzēja ierašanās, bieži vien ir nepieciešams, lai pilsētas administrators, izmantojot GPC, izvirza jauno punktu, un tad centrs vienkārši skatās un konfigurē).
2. Centralizēta vadība, komunikācija svešiem objektiem.
3. Telekomunikāciju izmaksu samazināšana.
4. Dažādi papildu pakalpojumi (DPI funkcijas ļauj noteikt prioritāti trafika piegādei no svarīgām lietojumprogrammām, piemēram, kases aparātiem).
5. Strādājiet ar kanāliem automātiski, nevis manuāli.

Un ir arī atbilstības pārbaude - visi par to daudz runā, bet neviens to neuztver kā problēmu. Uzturēšana, ka viss darbojas pareizi, darbojas arī šajā paradigmā. Daudzi uzskata, ka viss tīkla tehnoloģiju tirgus virzīsies šajā virzienā.

Bankas, IMHO, pašlaik testē SD-WAN drīzāk kā jaunu tehnoloģisku līdzekli. Viņi gaida, kad beigsies atbalsts iepriekšējo paaudžu tehnikai un tikai tad mainīsies. Bankām parasti ir sava īpaša gaisotne caur komunikācijas kanāliem, tāpēc pašreizējais nozares stāvoklis tās īpaši netraucē. Problēmas drīzāk slēpjas citās lidmašīnās.

Atšķirībā no Krievijas tirgus Eiropā tiek aktīvi ieviests SD-WAN. Viņu saziņas kanāli ir dārgāki, un tāpēc Eiropas uzņēmumi savu kaudzi nogādā Krievijas nodaļās. Krievijā ir zināma stabilitāte, jo kanālu izmaksas (pat tad, ja reģions ir 25 reizes dārgāks par centru) izskatās diezgan normāli un nerada jautājumus. Gadu no gada komunikācijas kanāliem ir bezierunu budžets.

Šeit ir piemērs no pasaules prakses, kad uzņēmums ietaupīja laiku un naudu, izmantojot Cisco SD-WAN.

Ir tāda kompānija - National Instruments. Kādā brīdī viņi sāka saprast, ka globālais datortīkls, kas “iegūts”, apvienojot 88 vietnes visā pasaulē, ir neefektīvs. Turklāt uzņēmumam trūka karstā ūdens piegādes jaudas un veiktspējas. Nebija līdzsvara starp uzņēmuma nepārtraukto izaugsmi un ierobežoto IT budžetu.

SD-WAN palīdzēja National Instruments samazināt MPLS izmaksas par 25% (450. gada beigās ietaupot 2018 3 ASV dolāru), paplašinot joslas platumu par 075%.

SD-WAN ieviešanas rezultātā uzņēmums saņēma viedu programmatūras definētu tīklu un centralizētu politikas pārvaldību, lai automātiski optimizētu trafiku un lietojumprogrammu veiktspēju. Šeit - detalizēts gadījums.

Tieši šeit galīgi traks gadījums ar S7 pārvietošanu uz citu ofisu, kad sākumā viss sākās grūti, bet interesanti - vajadzēja pārtaisīt 1,5 tūkstošus portu. Bet tad kaut kas nogāja greizi un rezultātā admini izrādījās pēdējie pirms termiņa, uz kuriem krīt visas uzkrātās kavēšanās.

Lasi vairāk angļu valodā:

• American Banker: Fifth Third iegulda 5 gadu tīkla jaunināšanā ar SD-WAN .
• Mākoņa SD-WAN panākumu veidošana Kochā.
• McKesson SD-WAN ceļojums uz izmaksu ietaupījumiem .
• SD-WAN Retail PoC un segmentācija: Gap Stores.
• Bet Cisco globālais pētījums par tīkla tendencēm pasaulē.

Krieviski:

• Vietnē CNews.
• Kā mēs ieviesām SD-Access un kāpēc tas bija vajadzīgs.
• Tīkla audums Cisco ACI datu centram - lai palīdzētu administratoram.
• Stabils kanāls, kas balstīts uz programmatūras definētiem SD-WAN tīkliem: maršruta izvēles problēmu risināšana.
• Mans e-pasts, ja jums ir kādi jautājumi vai vēlaties pārbaudīt savus uzdevumus mūsu stendā, - [e-pasts aizsargāts].

Avots: www.habr.com