ProHoster > Blogs > AdministrÄcija > SD-WAN un DNS, lai palÄ«dzÄtu administratoram: arhitektÅ«ras funkcijas un prakse
SD-WAN un DNS, lai palÄ«dzÄtu administratoram: arhitektÅ«ras funkcijas un prakse
StatÄ«vs, kuram, ja vÄlaties, varat pieskarties mÅ«su laboratorijÄ.
SD-WAN un SD-Access ir divas dažÄdas jaunas patentÄtas pieejas tÄ«klu veidoÅ”anai. NÄkotnÄ tiem vajadzÄtu apvienoties vienÄ pÄrklÄjuma tÄ«klÄ, taÄu pagaidÄm tie tikai tuvojas. LoÄ£ika ir Å”Äda: mÄs Åemam 1990. gadu tÄ«klu un izlaižam tajÄ visus nepiecieÅ”amos ielÄpus un funkcijas, negaidot, kad tas kļūs par jaunu atvÄrto standartu vÄl pÄc 10 gadiem.
SD-WAN ir SDN ielÄps izplatÄ«tajiem uzÅÄmumu tÄ«kliem. Transports ir atseviŔķs, vadÄ«ba ir atseviŔķa, tÄpÄc vadÄ«ba ir vienkÄrÅ”ota.
Plusi - aktÄ«vi tiek izmantoti visi komunikÄcijas kanÄli, arÄ« rezerves kanÄli. Ir pakeÅ”u marÅ”rutÄÅ”ana uz lietojumprogrammÄm: kas, pa kuru kanÄlu un ar kÄdu prioritÄti. VienkÄrÅ”ota procedÅ«ra jaunu punktu izvietoÅ”anai: tÄ vietÄ, lai ieviestu konfigurÄciju, vienkÄrÅ”i norÄdiet Cisco servera adresi lielajÄ internetÄ, CROC datu centra vai klienta adresi, no kuras tiek Åemtas tieÅ”i jÅ«su tÄ«klam paredzÄtÄs konfigurÄcijas.
SD-Access (DNA) ir lokÄlÄ tÄ«kla pÄrvaldÄ«bas automatizÄcija: konfigurÄcija no viena punkta, vedÅi, Ärtas saskarnes. Faktiski cits tÄ«kls ir izveidots ar citu transportu protokola lÄ«menÄ« virs jÅ«su, un perimetra robežÄs tiek nodroÅ”inÄta saderÄ«ba ar vecÄkiem tÄ«kliem.
MÄs arÄ« to aplÅ«kosim tÄlÄk.
Tagad daži demonstrÄjumi mÅ«su laboratorijas testu stendos, kÄ tas izskatÄs un darbojas.
SÄksim ar SD-WAN. GalvenÄs iezÄ«mes:
Jaunu punktu (ZTP) izvietoÅ”anas vienkÄrÅ”oÅ”ana - tiek pieÅemts, ka jÅ«s kaut kÄdÄ veidÄ padodat punktu ar servera adresi ar iestatÄ«jumiem. Punkts pieklauvÄ pie tÄ, saÅem konfigurÄciju, sarullÄ to un ir iekļauts jÅ«su vadÄ«bas panelÄ«. Tas nodroÅ”ina Zero-Touch Provisioning (ZTP). Lai izvietotu galapunktu, tÄ«kla inženierim nav jÄdodas uz vietni. Galvenais ir pareizi ieslÄgt ierÄ«ci uz vietas un pievienot tai visus kabeļus, tad iekÄrta automÄtiski pieslÄgsies sistÄmai. Varat lejupielÄdÄt konfigurÄcijas, izmantojot DNS vaicÄjumus piegÄdÄtÄja mÄkonÄ« no pievienotÄ USB diska, vai arÄ« varat atvÄrt hipersaiti no klÄpjdatora, kas savienots ar ierÄ«ci, izmantojot Wi-Fi vai Ethernet.
Ikdienas tÄ«kla administrÄÅ”anas vienkÄrÅ”oÅ”ana - konfigurÄcija no veidnÄm, globÄlÄs politikas, centralizÄti konfigurÄts vismaz piecÄm filiÄlÄm, vismaz 5. Viss no vienas vietas. Lai izvairÄ«tos no ilga brauciena, ir ļoti Ärta iespÄja automÄtiski atgriezties pie iepriekÅ”ÄjÄs konfigurÄcijas.
Lietojumprogrammu lÄ«meÅa trafika pÄrvaldÄ«ba ā kvalitatÄ«vas un nepÄrtrauktas lietojumprogrammu parakstu atjauninÄÅ”anas nodroÅ”inÄÅ”ana. Politikas tiek konfigurÄtas un ieviestas centralizÄti (nav nepiecieÅ”ams rakstÄ«t un atjauninÄt marÅ”ruta kartes katram marÅ”rutÄtÄjam, kÄ iepriekÅ”). Var redzÄt, kas ko, kur un ko sÅ«ta.
TÄ«kla segmentÄcija. NeatkarÄ«gi izolÄti VPN visÄ infrastruktÅ«rÄ ā katrs ar savu marÅ”rutÄÅ”anu. PÄc noklusÄjuma satiksme starp tÄm ir slÄgta; jÅ«s varat atvÄrt piekļuvi tikai saprotamiem trafika veidiem saprotamos tÄ«kla mezglos, piemÄram, visu izlaižot caur lielu ugunsmÅ«ri vai starpniekserveri.
TÄ«kla kvalitÄtes vÄstures redzamÄ«ba ā kÄ darbojÄs lietojumprogrammas un kanÄli. Ä»oti noderÄ«gi, lai analizÄtu un labotu situÄciju pat pirms lietotÄji sÄk saÅemt sÅ«dzÄ«bas par lietojumprogrammu nestabilo darbÄ«bu.
RedzamÄ«ba dažÄdos kanÄlos ā vai tie ir naudas vÄrti, vai divi dažÄdi operatori patieÅ”Äm ierodas jÅ«su vietnÄ, vai arÄ« tie faktiski iet caur vienu un to paÅ”u tÄ«klu un vienlaikus degradÄjas/krÄ«t.
MÄkoÅu lietojumprogrammu redzamÄ«ba un trafika vadÄ«Å”ana pa noteiktiem kanÄliem, pamatojoties uz to (Cloud Onramp).
Viena aparatÅ«ra satur marÅ”rutÄtÄju un ugunsmÅ«ri (precÄ«zÄk, NGFW). MazÄk aparatÅ«ras vienÄ«bu nozÄ«mÄ, ka ir lÄtÄk atvÄrt jaunu filiÄli.
SD-WAN risinÄjumu komponenti un arhitektÅ«ra
Gala ierÄ«ces ir WAN marÅ”rutÄtÄji, kas var bÅ«t aparatÅ«ras vai virtuÄli.
OrÄ·estratori ir tÄ«kla pÄrvaldÄ«bas rÄ«ks. Tie ir konfigurÄti ar gala ierÄ«ces parametriem, trafika marÅ”rutÄÅ”anas politikÄm un droŔības funkcionalitÄti. IegÅ«tÄs konfigurÄcijas tiek automÄtiski nosÅ«tÄ«tas uz mezgliem caur vadÄ«bas tÄ«klu. ParalÄli orÄ·estrÄtÄjs klausÄs tÄ«klu un uzrauga ierÄ«Äu, portu, sakaru kanÄlu pieejamÄ«bu un saskarnes ielÄdi.
AnalÄ«zes rÄ«ki. ViÅi veido pÄrskatus, pamatojoties uz datiem, kas savÄkti no gala ierÄ«cÄm: kanÄlu kvalitÄtes vÄsture, tÄ«kla lietojumprogrammas, mezglu pieejamÄ«ba utt.
Kontrolieri ir atbildÄ«gi par trafika marÅ”rutÄÅ”anas politiku piemÄroÅ”anu tÄ«klÄ. To tuvÄko analogu tradicionÄlajos tÄ«klos var uzskatÄ«t par BGP Route Reflector. GlobÄlÄs politikas, ko administrators konfigurÄ orÄ·estrÄtÄjÄ, liek kontrolieriem mainÄ«t marÅ”rutÄÅ”anas tabulu sastÄvu un nosÅ«tÄ«t atjauninÄtu informÄciju gala ierÄ«cÄm.
Ko IT pakalpojums iegūst no SD-WAN:
Rezerves kanÄls tiek pastÄvÄ«gi izmantots (nav dÄ«kstÄvÄ). Tas izrÄdÄs lÄtÄk, jo jÅ«s varat atļauties divus mazÄk biezus kanÄlus.
AutomÄtiska lietojumprogrammu trafika pÄrslÄgÅ”ana starp kanÄliem.
Administratora laiks: varat attÄ«stÄ«t tÄ«klu globÄli, nevis pÄrmeklÄt katru aparatÅ«ras daļu ar konfigurÄcijÄm.
Jaunu zaru audzÄÅ”anas Ätrums. ViÅa ir daudz garÄka.
GarantÄta biznesa lietojumprogrammu darbÄ«ba izkliedÄtÄ tÄ«klÄ, tostarp caur atvÄrtiem interneta kanÄliem. Tas ir par biznesa paredzamÄ«bu.
TÅ«lÄ«tÄjs atbalsts jaunÄm biznesa lietojumprogrammÄm visÄ izplatÄ«tajÄ tÄ«klÄ neatkarÄ«gi no filiÄļu skaita. Tas ir par biznesa Ätrumu.
Ätrs un droÅ”s filiÄļu savienojums jebkurÄ attÄlÄ vietÄ, izmantojot jebkÄdas savienojuma tehnoloÄ£ijas (internets ir visur, bet nomÄtÄs lÄ«nijas un VPN nav). Tas attiecas uz uzÅÄmÄjdarbÄ«bas elastÄ«bu atraÅ”anÄs vietas izvÄlÄ.
Tas varÄtu bÅ«t projekts ar piegÄdi un nodoÅ”anu ekspluatÄcijÄ, vai arÄ« tas varÄtu bÅ«t pakalpojums
ar ikmÄneÅ”a maksÄjumiem no IT uzÅÄmuma, telekomunikÄciju operatora vai mÄkoÅa operatora. KurÅ” jums ir Ärts.
SD-WAN biznesa priekÅ”rocÄ«bas var bÅ«t pilnÄ«gi atŔķirÄ«gas, piemÄram, viens klients mums pastÄstÄ«ja, ka augstÄkÄ lÄ«meÅa vadÄ«tÄjs saÅÄmis pieprasÄ«jumu pÄc tieÅ”Äs lÄ«nijas ar visiem daudztÅ«kstoÅ” uzÅÄmuma darbiniekiem un iespÄju piegÄdÄt saturu.
Mums tÄ bija "militÄra operÄcija". TajÄ brÄ«dÄ« jau risinÄjÄm CSPD modernizÄcijas problÄmu. Un, ja mÄs saprotam, ka mums principÄ ir jÄiesaistÄs iekÄrtu atjaunoÅ”anÄ un tehnoloÄ£iju kaudze ir pavirzÄ«jusies uz priekÅ”u, kÄpÄc mums bÅ«tu jÄiesaistÄs to paÅ”u tehnoloÄ£iju un pakalpojumu atjaunoÅ”anÄ, ja mÄs varam spert soli tÄlÄk.
SD-WAN uz vietas instalÄja Enikey. Tas ir svarÄ«gi attÄlÄm filiÄlÄm, kur var vienkÄrÅ”i nebÅ«t parasta administratora. NosÅ«tiet pa pastu, sakiet: āIespraudiet 1. kabeli 1. kastÄ, 2. kabeli 2. kastÄ un nejauciet to! NeapjÅ«k, #@$@%!ā Un, ja viÅi to nesajauc, pati ierÄ«ce sazinÄs ar centrÄlo serveri, paÅem un piemÄro tÄs konfigurÄcijas, un Å”is birojs kļūst par daļu no uzÅÄmuma droÅ”Ä tÄ«kla. Ir patÄ«kami, kad nav jÄceļo un ir viegli attaisnot savu budžetu.
Šeit ir statīva diagramma:
Daži konfigurÄcijas piemÄri:
Politika - globÄlie satiksmes pÄrvaldÄ«bas noteikumi. Politikas rediÄ£ÄÅ”ana.
MÄkoÅpakalpojumu marÅ”rutÄtÄjs (CSR) 1 v, kurÄ darbojas IOS XE SD-WAN.
vEdge Cloud Router, kurÄ darbojas Viptela OS.
VirtuÄlÄs platformas var izvietot Cisco x86 skaitļoÅ”anas platformÄs, piemÄram, Enterprise Network Compute System (ENCS) 5 sÄrijÄ, Unified Computing System (UCS) un Cloud Services Platform (CSP) 000 sÄrijÄ. VirtuÄlÄs platformas var darboties arÄ« jebkurÄ x5 ierÄ«cÄ. izmantojot hipervizoru, piemÄram, KVM vai VMware ESi.
KÄ darbojas jauna ierÄ«ce
IzvietoÅ”anai licencÄto ierÄ«Äu saraksts tiek lejupielÄdÄts no Cisco viedkonta vai augÅ”upielÄdÄts kÄ CSV fails. VÄlÄk mÄÄ£inÄÅ”u iegÅ«t vairÄk ekrÄnuzÅÄmumu, jo paÅ”laik mums nav nevienas jaunas ierÄ«ces, ko izvietot.
DarbÄ«bu secÄ«ba, ko ierÄ«ce veic izvietoÅ”anas laikÄ.
KÄ tiek ieviesta jauna ierÄ«ces/konfigurÄcijas piegÄdes metode
MÄs pievienojam ierÄ«ces viedajam kontam.
Varat lejupielÄdÄt CSV failu vai lejupielÄdÄt pa vienam:
Ievadiet ierīces parametrus:
PÄc tam vManage mÄs sinhronizÄjam datus ar viedo kontu. IerÄ«ce parÄdÄs sarakstÄ:
NolaižamajÄ izvÄlnÄ pretÄ« ierÄ«cei noklikŔķiniet uz Ä¢enerÄt sÄknÄÅ”anas konfigurÄciju
un iegÅ«stiet sÄkotnÄjo konfigurÄciju:
Å Ä« konfigurÄcija ir jÄievada ierÄ«cÄ. VienkÄrÅ”Äkais veids ir ierÄ«cei pievienot zibatmiÅas disku ar saglabÄtu failu ar nosaukumu ciscosd-wan.cfg. SÄknÄÅ”anas laikÄ ierÄ«ce meklÄs Å”o failu.
SaÅemot sÄkotnÄjo konfigurÄciju, ierÄ«ce varÄs sasniegt orÄ·estrÄtÄju un no turienes saÅemt pilnu konfigurÄciju.
MÄs skatÄmies uz SD piekļuvi (DNS)
SD-Access ļauj Ärti konfigurÄt pieslÄgvietas un piekļuves tiesÄ«bas lietotÄjiem, kas savienojas. Tas tiek darÄ«ts, izmantojot vedÅus. Portu parametri tiek iestatÄ«ti saistÄ«bÄ ar grupÄm āAdministratoriā, āGrÄmatvedÄ«baā, āPrinteriā, nevis ar VLAN un IP apakÅ”tÄ«kliem. Tas samazina cilvÄku kļūdas. Ja, piemÄram, uzÅÄmumam ir daudz filiÄļu visÄ KrievijÄ, bet centrÄlais birojs ir pÄrslogots, tad SD-Access ļauj atrisinÄt vairÄk problÄmu lokÄli. PiemÄram, tÄs paÅ”as problÄmas saistÄ«bÄ ar traucÄjummeklÄÅ”anu.
InformÄcijas droŔībai ir svarÄ«gi, lai SD-Access ietvertu skaidru lietotÄju un ierÄ«Äu sadalÄ«Å”anu grupÄs un mijiedarbÄ«bas politiku definÄÅ”anu starp tÄm, autorizÄciju jebkuram klienta savienojumam ar tÄ«klu un āpiekļuves tiesÄ«buā nodroÅ”inÄÅ”anu visÄ tÄ«klÄ. Ja sekojat Å”ai pieejai, administrÄÅ”ana kļūst daudz vienkÄrÅ”Äka.
Jaunu biroju palaiÅ”anas process ir arÄ« vienkÄrÅ”ots, pateicoties slÄdžos esoÅ”ajiem Plug-and-Play aÄ£entiem. Nav jÄskrien pa krosu ar pulti vai vispÄr jÄdodas uz vietu.
Å eit ir konfigurÄcijas piemÄri:
VispÄrÄjais statuss.
NegadÄ«jumi, kas administratoram jÄpÄrskata.
AutomÄtiski ieteikumi, ko mainÄ«t konfigurÄcijÄs.
PlÄns SD-WAN integrÄÅ”anai ar SD-piekļuvi
DzirdÄju, ka Cisco ir tÄdi plÄni - SD-WAN un SD-Access. Tam vajadzÄtu ievÄrojami samazinÄt hemoroÄ«du skaitu, pÄrvaldot Ä£eogrÄfiski izplatÄ«tus un vietÄjos CSPD.
vManage (SD-WAN orÄ·estrÄtÄjs) tiek pÄrvaldÄ«ts, izmantojot API no DNS centra (SD-piekļuves kontrolieris).
Mikro- un makrosegmentÄcijas politikas tiek kartÄtas Å”Ädi:
Pakotnes lÄ«menÄ« viss izskatÄs Å”Ädi:
KurÅ” par to domÄ un ko?
Jau kopÅ” 2016. gada strÄdÄjam pie SD-WAN atseviÅ”Ä·Ä laboratorijÄ, kurÄ testÄjam dažÄdus risinÄjumus mazumtirdzniecÄ«bas, banku, transporta un rÅ«pniecÄ«bas vajadzÄ«bÄm.
MÄs daudz komunicÄjam ar reÄliem klientiem.
Varu teikt, ka mazumtirdzniecÄ«ba jau pÄrliecinoÅ”i testÄ SD-WAN, un daži to dara kopÄ ar pÄrdevÄjiem (visbiežÄk ar Cisco), taÄu ir arÄ« tÄdi, kas mÄÄ£ina atrisinÄt problÄmu paÅ”i: viÅi raksta savu versiju. programmatÅ«ra, kuras funkcionalitÄte ir lÄ«dzÄ«ga SD-WAN.
Ikviens tÄ vai citÄdi vÄlas panÄkt visa zoodÄrza aprÄ«kojuma centralizÄtu pÄrvaldÄ«bu. Å is ir viens administrÄcijas punkts nestandarta instalÄcijÄm un standarta instalÄcijÄm dažÄdiem piegÄdÄtÄjiem un dažÄdÄm tehnoloÄ£ijÄm. SvarÄ«gi ir maksimÄli samazinÄt roku darbu, jo, pirmkÄrt, tas samazina cilvÄciskÄ faktora risku iekÄrtu uzstÄdÄ«Å”anÄ, otrkÄrt, atbrÄ«vo IT servisa resursus citu uzdevumu risinÄÅ”anai. RaksturÄ«gi, ka nepiecieÅ”amÄ«ba tiek atzÄ«ta pÄc ļoti gariem atjaunoÅ”anas cikliem visÄ valstÄ«. Un, piemÄram, ja mazumtirgotÄjs tirgo alkoholu, tad tam nepiecieÅ”ama pastÄvÄ«ga komunikÄcija pÄrdoÅ”anai. AtjauninÄÅ”ana vai dÄ«kstÄve dienas laikÄ tieÅ”i ietekmÄ ieÅÄmumus.
Tagad mazumtirdzniecÄ«bÄ ir skaidra izpratne par to, kÄdi IT uzdevumi izmantos SD-WAN:
Ätra izvietoÅ”ana (bieži vien tas ir nepiecieÅ”ams LTE pirms kabeļtelevÄ«zijas pakalpojumu sniedzÄja ieraÅ”anÄs, bieži vien ir nepiecieÅ”ams, lai pilsÄtas administrators, izmantojot GPC, izvirza jauno punktu, un tad centrs vienkÄrÅ”i skatÄs un konfigurÄ).
DažÄdi papildu pakalpojumi (DPI funkcijas ļauj noteikt prioritÄti trafika piegÄdei no svarÄ«gÄm lietojumprogrammÄm, piemÄram, kases aparÄtiem).
StrÄdÄjiet ar kanÄliem automÄtiski, nevis manuÄli.
Un ir arÄ« atbilstÄ«bas pÄrbaude - visi par to daudz runÄ, bet neviens to neuztver kÄ problÄmu. UzturÄÅ”ana, ka viss darbojas pareizi, darbojas arÄ« Å”ajÄ paradigmÄ. Daudzi uzskata, ka viss tÄ«kla tehnoloÄ£iju tirgus virzÄ«sies Å”ajÄ virzienÄ.
Bankas, IMHO, paÅ”laik testÄ SD-WAN drÄ«zÄk kÄ jaunu tehnoloÄ£isku lÄ«dzekli. ViÅi gaida, kad beigsies atbalsts iepriekÅ”Äjo paaudžu tehnikai un tikai tad mainÄ«sies. BankÄm parasti ir sava Ä«paÅ”a gaisotne caur komunikÄcijas kanÄliem, tÄpÄc paÅ”reizÄjais nozares stÄvoklis tÄs Ä«paÅ”i netraucÄ. ProblÄmas drÄ«zÄk slÄpjas citÄs lidmaŔīnÄs.
AtŔķirÄ«bÄ no Krievijas tirgus EiropÄ tiek aktÄ«vi ieviests SD-WAN. ViÅu saziÅas kanÄli ir dÄrgÄki, un tÄpÄc Eiropas uzÅÄmumi savu kaudzi nogÄdÄ Krievijas nodaļÄs. KrievijÄ ir zinÄma stabilitÄte, jo kanÄlu izmaksas (pat tad, ja reÄ£ions ir 25 reizes dÄrgÄks par centru) izskatÄs diezgan normÄli un nerada jautÄjumus. Gadu no gada komunikÄcijas kanÄliem ir bezierunu budžets.
Å eit ir piemÄrs no pasaules prakses, kad uzÅÄmums ietaupÄ«ja laiku un naudu, izmantojot Cisco SD-WAN.
Ir tÄda kompÄnija - National Instruments. KÄdÄ brÄ«dÄ« viÅi sÄka saprast, ka globÄlais datortÄ«kls, kas āiegÅ«tsā, apvienojot 88 vietnes visÄ pasaulÄ, ir neefektÄ«vs. TurklÄt uzÅÄmumam trÅ«ka karstÄ Å«dens piegÄdes jaudas un veiktspÄjas. Nebija lÄ«dzsvara starp uzÅÄmuma nepÄrtraukto izaugsmi un ierobežoto IT budžetu.
SD-WAN palÄ«dzÄja National Instruments samazinÄt MPLS izmaksas par 25% (450. gada beigÄs ietaupot 2018 3 ASV dolÄru), paplaÅ”inot joslas platumu par 075%.
SD-WAN ievieÅ”anas rezultÄtÄ uzÅÄmums saÅÄma viedu programmatÅ«ras definÄtu tÄ«klu un centralizÄtu politikas pÄrvaldÄ«bu, lai automÄtiski optimizÄtu trafiku un lietojumprogrammu veiktspÄju. Å eit - detalizÄts gadÄ«jums.
TieÅ”i Å”eit galÄ«gi traks gadÄ«jums ar S7 pÄrvietoÅ”anu uz citu ofisu, kad sÄkumÄ viss sÄkÄs grÅ«ti, bet interesanti - vajadzÄja pÄrtaisÄ«t 1,5 tÅ«kstoÅ”us portu. Bet tad kaut kas nogÄja greizi un rezultÄtÄ admini izrÄdÄ«jÄs pÄdÄjie pirms termiÅa, uz kuriem krÄ«t visas uzkrÄtÄs kavÄÅ”anÄs.