SD-WAN en DNA om de beheerder te helpen: architectuurkenmerken en praktijk

Een stand die je desgewenst in ons lab mag aanraken.

SD-WAN en SD-Access zijn twee verschillende nieuwe, eigen benaderingen voor het bouwen van netwerken. In de toekomst zouden ze moeten samensmelten tot één overlay-netwerk, maar voorlopig komen ze nog maar net in de buurt. De logica is deze: we nemen een netwerk uit de jaren negentig en rollen er alle noodzakelijke patches en features op uit, zonder te wachten tot het over nog eens tien jaar een nieuwe open standaard wordt.

SD-WAN is een SDN-patch voor gedistribueerde bedrijfsnetwerken. Transport is gescheiden, controle is gescheiden, dus controle wordt vereenvoudigd.

Voordelen: alle communicatiekanalen worden actief gebruikt, inclusief de back-upkanalen. Er vindt routering van pakketten naar applicaties plaats: wat, via welk kanaal en met welke prioriteit. Een vereenvoudigde procedure voor het implementeren van nieuwe punten: in plaats van een configuratie uit te rollen, specificeert u gewoon het adres van de Cisco-server op het grote internet, het CROC-datacenter of de klant, waar de configuraties specifiek voor uw netwerk vandaan komen.

SD-Access (DNA) is automatisering van lokaal netwerkbeheer: configuratie vanaf één punt, wizards, handige interfaces. In feite wordt er een ander netwerk gebouwd met een ander transport op protocolniveau bovenop het uwe, en wordt compatibiliteit met oudere netwerken verzekerd aan de perimetergrenzen.

Ook dit behandelen wij hieronder.

Nu enkele demonstraties op proefbanken in ons lab, hoe het eruit ziet en werkt.

Laten we beginnen met SD-WAN. Belangrijkste kenmerken:

• Vereenvoudiging van de implementatie van nieuwe punten (ZTP) - er wordt aangenomen dat u op de een of andere manier het punt voedt met het serveradres met instellingen. De point klopt erop, ontvangt de configuratie, rolt deze op en wordt opgenomen in uw controlepaneel. Dit garandeert Zero-Touch Provisioning (ZTP). Om een ​​endpoint te implementeren hoeft een netwerkingenieur niet naar de locatie te reizen. Het belangrijkste is om het apparaat ter plaatse correct in te schakelen en alle kabels erop aan te sluiten, waarna de apparatuur automatisch verbinding maakt met het systeem. U kunt configuraties downloaden via DNS-verzoeken in de cloud van de leverancier vanaf een aangesloten USB-drive, of u kunt een hyperlink openen vanaf een laptop die via Wi-Fi of Ethernet met het apparaat is verbonden.
• Vereenvoudiging van routinematig netwerkbeheer - configuratie van sjablonen, globaal beleid, centraal geconfigureerd voor minimaal vijf vestigingen, minimaal 5. Alles vanaf één plek. Om een ​​lange reis te voorkomen, is er een zeer handige optie om automatisch terug te keren naar de vorige configuratie.
• Verkeersbeheer op applicatieniveau: waarborging van kwaliteit en voortdurende updates van applicatiehandtekeningen. Beleid wordt centraal geconfigureerd en uitgerold (het is niet nodig om routekaarten voor elke router te schrijven en bij te werken, zoals voorheen). Je kunt zien wie wat, waar en wat verzendt.
• Netwerksegmentatie. Onafhankelijke geïsoleerde VPN's bovenop de gehele infrastructuur - elk met zijn eigen routing. Standaard is het verkeer tussen hen gesloten; u kunt alleen de toegang openen tot begrijpelijke soorten verkeer in begrijpelijke netwerkknooppunten, door bijvoorbeeld alles door een grote firewall of proxy te laten gaan.
• Zichtbaarheid van de geschiedenis van de netwerkkwaliteit: hoe applicaties en kanalen presteerden. Zeer nuttig voor het analyseren en corrigeren van de situatie, zelfs voordat gebruikers klachten krijgen over de onstabiele werking van applicaties.
• Zichtbaarheid via alle kanalen: zijn ze het geld waard, komen er daadwerkelijk twee verschillende operators naar uw site, of gaan ze feitelijk via hetzelfde netwerk en tegelijkertijd vernederend/vallend?
• Zichtbaarheid voor cloudapplicaties en het op basis daarvan sturen van verkeer via bepaalde kanalen (Cloud Onramp).
• Eén stuk hardware bevat een router en een firewall (meer precies, NGFW). Minder hardware betekent dat het goedkoper is om een ​​nieuw filiaal te openen.

Componenten en architectuur van SD-WAN-oplossingen

Eindapparaten zijn WAN-routers, die hardwarematig of virtueel kunnen zijn.

Orchestrators zijn een netwerkbeheertool. Ze zijn geconfigureerd met eindapparaatparameters, verkeersrouteringsbeleid en beveiligingsfunctionaliteit. De resulterende configuraties worden automatisch via het controlenetwerk naar de knooppunten verzonden. Tegelijkertijd luistert de orkestrator naar het netwerk en bewaakt hij de beschikbaarheid van apparaten, poorten, communicatiekanalen en interfacebelasting.

Analytics-hulpmiddelen. Ze maken rapporten op basis van gegevens verzameld van eindapparaten: geschiedenis van de kwaliteit van kanalen, netwerkapplicaties, beschikbaarheid van knooppunten, enz.

Controllers zijn verantwoordelijk voor het toepassen van verkeersrouteringsbeleid op het netwerk. Hun dichtstbijzijnde analoog in traditionele netwerken kan worden beschouwd als BGP Route Reflector. Globaal beleid dat de beheerder in de Orchestrator configureert, zorgt ervoor dat controllers de samenstelling van hun routeringstabellen wijzigen en bijgewerkte informatie naar eindapparaten verzenden.

Wat krijgt de IT-dienst van SD-WAN:

1. Het back-upkanaal is voortdurend in gebruik (niet inactief). Het blijkt goedkoper omdat je twee minder dikke kanalen kunt betalen.
2. Automatisch schakelen van applicatieverkeer tussen kanalen.
3. Tijd voor beheerders: u kunt het netwerk wereldwijd ontwikkelen, in plaats van elk hardwareonderdeel met configuraties te doorzoeken.
4. Snelheid van het opkweken van nieuwe takken. Ze is veel groter.
5. Minder uitvaltijd bij het vervangen van defecte apparatuur.
6. Configureer het netwerk snel opnieuw voor nieuwe services.

Wat krijgt een bedrijf van SD-WAN:

1. Gegarandeerde werking van bedrijfsapplicaties op een gedistribueerd netwerk, ook via open internetkanalen. Het gaat om de voorspelbaarheid van het bedrijfsleven.
2. Directe ondersteuning voor nieuwe bedrijfsapplicaties over het gehele gedistribueerde netwerk, ongeacht het aantal vestigingen. Het gaat om zakelijke snelheid.
3. Snelle en veilige verbinding van filialen op elke afgelegen locatie met behulp van elke verbindingstechnologie (internet is overal, maar huurlijnen en VPN niet). Het gaat hier om zakelijke flexibiliteit bij het kiezen van een locatie.
4. Dit kan een project zijn met levering en inbedrijfstelling, maar ook een dienst
   met maandelijkse betalingen van een IT-bedrijf, telecomoperator of cloudoperator. Wat voor jou handig is.

De zakelijke voordelen van SD-WAN kunnen compleet verschillend zijn. Zo vertelde een klant ons dat een topmanager een verzoek had ontvangen voor een directe lijn met alle medewerkers van een meerduizendenbedrijf en de mogelijkheid om content te leveren.

Voor ons was het een ‘militaire operatie’. Op dat moment waren we al bezig met het oplossen van het probleem van de modernisering van de CSPD. En als we begrijpen dat we in principe apparatuur moeten renoveren, en de technologie is vooruitgegaan, waarom moeten we dan dezelfde technologieën en diensten renoveren als we verder kunnen gaan?

SD-WAN wordt door Enikey op locatie geïnstalleerd. Dit is belangrijk voor externe vestigingen, waar er misschien simpelweg geen normale beheerder is. Stuur per post en zeg: “Steek kabel 1 in doos 1, kabel 2 in doos 2, en gooi het niet door elkaar! Raak niet in de war, #@$@%!” En als ze het niet door elkaar halen, communiceert het apparaat zelf met de centrale server, pikt de configuraties op en past deze toe, en wordt dit kantoor onderdeel van het beveiligde netwerk van het bedrijf. Het is fijn als je niet hoeft te reizen en het is gemakkelijk te verantwoorden in je budget.

Hier is een diagram van de standaard:

Enkele configuratievoorbeelden:

Beleid - mondiale regels voor het beheren van verkeer. Een beleid bewerken.

Activeer het verkeersregelbeleid.

Massaconfiguratie van basisapparaatparameters (IP-adressen, DHCP-pools).

Schermafbeeldingen van monitoring van applicatieprestaties

Voor cloudtoepassingen.

Details voor Office365.

Voor toepassingen op locatie. Helaas hebben wij op onze stand geen applicaties met fouten kunnen vinden (FEC Recovery rate is overal nul).

Bovendien - prestaties van datatransmissiekanalen.

Welke hardware wordt ondersteund op SD-WAN

1. Hardwareplatforms:

• Cisco vEdge-routers (voorheen Viptela vEdge) met Viptela OS.
• 1- en 000-serie Integrated Services Routers (ISR's) met IOS XE SD-WAN.
• Aggregation Services Router (ASR) 1-serie met IOS XE SD-WAN.

2. Virtuele platforms:

• Cloud Services Router (CSR) 1v met IOS XE SD-WAN.
• vEdge Cloud Router met Viptela OS.

Virtuele platforms kunnen worden geïmplementeerd op Cisco x86-computerplatforms, zoals de Enterprise Network Compute System (ENCS) 5-serie, Unified Computing System (UCS) en Cloud Services Platform (CSP) 000-serie. Virtuele platforms kunnen ook op elk x5-apparaat worden uitgevoerd. met behulp van een hypervisor zoals KVM of VMware ESi.

Hoe een nieuw apparaat rolt

De lijst met gelicentieerde apparaten voor implementatie wordt gedownload vanaf een Cisco smart-account of geüpload als CSV-bestand. Ik zal later proberen meer schermafbeeldingen te maken, op dit moment hebben we geen nieuwe apparaten om te implementeren.

De reeks stappen die een apparaat doorloopt wanneer het wordt ingezet.

Hoe een nieuwe leveringsmethode voor apparaten/configuraties wordt uitgerold

We voegen apparaten toe aan Smart Account.

U kunt een CSV-bestand downloaden, maar u kunt ook één voor één downloaden:

Vul de apparaatparameters in:

Vervolgens synchroniseren we in vManage de gegevens met het Smart Account. Het apparaat verschijnt in de lijst:

Klik in het vervolgkeuzemenu tegenover het apparaat op Bootstrap-configuratie genereren
en haal de initiële configuratie op:

Deze configuratie moet naar het apparaat worden ingevoerd. De eenvoudigste manier is om een ​​flashstation met een opgeslagen bestand met de naam ciscosd-wan.cfg op het apparaat aan te sluiten. Tijdens het opstarten zal het apparaat naar dit bestand zoeken.

Nadat het apparaat de initiële configuratie heeft ontvangen, kan het de Orchestrator bereiken en van daaruit een volledige configuratie ontvangen.

We kijken naar SD-Access (DNA)

SD-Access maakt het eenvoudig om poorten en toegangsrechten te configureren voor het verbinden van gebruikers. Dit gebeurt met behulp van wizards. Poortparameters worden ingesteld met betrekking tot de groepen “Administrators”, “Accounting”, “Printers” en niet met betrekking tot VLAN's en IP-subnetten. Hierdoor worden menselijke fouten geminimaliseerd. Als een bedrijf bijvoorbeeld veel vestigingen heeft in heel Rusland, maar het centrale kantoor overbelast is, dan kun je met SD-Access meer problemen lokaal oplossen. Bijvoorbeeld dezelfde problemen met betrekking tot het oplossen van problemen.

Voor informatiebeveiliging is het belangrijk dat SD-Access een duidelijke indeling van gebruikers en apparaten in groepen omvat, evenals de definitie van het interactiebeleid daartussen, autorisatie voor elke clientverbinding met het netwerk en het verlenen van “toegangsrechten” binnen het hele netwerk. Als u deze aanpak volgt, wordt het beheer veel eenvoudiger.

Ook het opstartproces voor nieuwe kantoren wordt vereenvoudigd dankzij Plug-and-Play agents in de switches. Het is niet nodig om met een console door het hele land te rennen of zelfs maar naar de site te gaan.

Hier zijn configuratievoorbeelden:

Algemene status.

Incidenten die een beheerder moet beoordelen.

Automatische aanbevelingen over wat er in configuraties moet worden gewijzigd.

Plan voor de integratie van SD-WAN met SD-Access

Ik heb gehoord dat Cisco dergelijke plannen heeft: SD-WAN en SD-Access. Dit zou het aantal aambeien aanzienlijk moeten verminderen bij de behandeling van geografisch verspreide en lokale CSPD's.

vManage (SD-WAN-orkestrator) wordt beheerd via API vanuit DNA Center (SD-Access-controller).

Het micro- en macrosegmentatiebeleid wordt als volgt in kaart gebracht:

Op pakketniveau ziet alles er als volgt uit:

Wie bedenkt dit en wat?

Sinds 2016 werken we in een apart laboratorium aan SD-WAN, waar we verschillende oplossingen testen voor de behoeften van retail, banken, transport en industrie.

We communiceren veel met echte klanten.

Ik kan zeggen dat de detailhandel SD-WAN al met vertrouwen test, en sommigen doen dit samen met leveranciers (meestal met Cisco), maar er zijn ook mensen die het probleem zelf proberen op te lossen: ze schrijven hun eigen versie van software die qua functionaliteit vergelijkbaar is met SD-WAN.

Iedereen wil op de een of andere manier gecentraliseerd beheer van de hele dierentuin van apparatuur bereiken. Dit is één beheerpunt voor niet-standaardinstallaties en standaardinstallaties voor verschillende leveranciers en verschillende technologieën. Het is belangrijk om handmatig werk tot een minimum te beperken, omdat het ten eerste het risico van de menselijke factor bij het opzetten van apparatuur verkleint, en ten tweede de middelen van de IT-dienst vrijmaakt om andere problemen op te lossen. Doorgaans komt de erkenning van de noodzaak voort uit zeer lange vernieuwingscycli in het hele land. En als een detailhandelaar bijvoorbeeld alcohol verkoopt, heeft hij voor de verkoop constante communicatie nodig. Updates of downtime gedurende de dag hebben rechtstreeks invloed op de omzet.

In de detailhandel is er nu een duidelijk inzicht in welke IT-taken SD-WAN zullen gebruiken:

1. Snelle implementatie (vaak nodig op LTE voordat de kabelaanbieder arriveert, vaak is het nodig dat het nieuwe punt via GPC door de beheerder in de stad wordt opgehaald, en dan kijkt en configureert het centrum eenvoudig).
2. Gecentraliseerd beheer, communicatie voor vreemde voorwerpen.
3. Het verlagen van de telecomkosten.
4. Diverse aanvullende diensten (DPI-functies maken het mogelijk om prioriteit te geven aan de levering van verkeer van belangrijke applicaties zoals kassa's).
5. Werk automatisch met kanalen, niet handmatig.

En er is ook een nalevingscontrole: iedereen praat er veel over, maar niemand ervaart het als een probleem. Handhaven dat alles correct werkt, werkt ook prima in dit paradigma. Velen geloven dat de gehele markt voor netwerktechnologie in deze richting zal evolueren.

Banken, IMHO, testen SD-WAN momenteel eerder als een nieuwe technologische functie. Ze wachten op het einde van de ondersteuning voor eerdere generaties apparatuur en pas dan zullen ze veranderen. Banken hebben over het algemeen hun eigen speciale sfeer via communicatiekanalen, dus de huidige stand van zaken in de sector stoort hen niet erg. De problemen liggen eerder op andere vlakken.

In tegenstelling tot de Russische markt wordt SD-WAN actief geïmplementeerd in Europa. Hun communicatiekanalen zijn duurder en daarom brengen Europese bedrijven hun stack naar Russische divisies. In Rusland bestaat er een zekere stabiliteit, omdat de kosten van kanalen (zelfs als de regio 25 keer duurder is dan het centrum) er heel normaal uitzien en geen vragen oproepen. Van jaar tot jaar is er een onvoorwaardelijk budget voor communicatiekanalen.

Hier is een voorbeeld uit de wereldpraktijk, waarbij een bedrijf tijd en geld bespaarde door SD-WAN op Cisco te gebruiken.

Er is zo'n bedrijf: National Instruments. Op een gegeven moment begonnen ze te begrijpen dat het mondiale computernetwerk, ‘verkregen’ door 88 locaties over de hele wereld te combineren, niet effectief was. Bovendien ontbrak het bedrijf aan de capaciteit en prestaties van de warmwatervoorziening voor huishoudelijk gebruik. Er was geen evenwicht tussen de voortdurende groei van het bedrijf en het beperkte IT-budget.

SD-WAN hielp National Instruments de MPLS-kosten met 25% te verlagen (een besparing van $450 eind 2018), waardoor de bandbreedte met 3% werd uitgebreid.

Als resultaat van de implementatie van SD-WAN kreeg het bedrijf een slim, softwaregedefinieerd netwerk en gecentraliseerd beleidsbeheer om het verkeer en de applicatieprestaties automatisch te optimaliseren. Precies hier - gedetailleerd geval.

Hier een absoluut gek geval van het verhuizen van een S7 naar een ander kantoor, toen alles aanvankelijk moeilijk, maar interessant begon - het was nodig om 1,5 duizend poorten opnieuw uit te voeren. Maar toen ging er iets mis en als gevolg daarvan bleken de admins de laatsten voor de deadline te zijn, op wie alle opgebouwde vertragingen terechtkwamen.

Lees meer in het Engels:

• American Banker: Fifth Third investeert in een vijfjarige netwerkupgrade met SD-WAN .
• Succesvol bouwen aan Cloud SD-WAN bij Koch.
• McKesson's SD-WAN-reis naar kostenbesparingen .
• SD-WAN Retail PoC en segmentatie: Gap Stores.
• Maar Wereldwijd onderzoek van Cisco over netwerktrends in de wereld.

In het Russisch:

• Op CNews.
• Hoe we SD-Access implementeerden en waarom het nodig was.
• Netwerkstructuur voor het Cisco ACI-datacenter - om de beheerder te helpen.
• Stabiel kanaal gebaseerd op softwaregedefinieerde SD-WAN-netwerken: routeselectieproblemen oplossen.
• Mijn e-mail, als u vragen heeft of uw taken op onze stand wilt testen, - [e-mail beveiligd].

Bron: www.habr.com