SD-WAN og DNA for å hjelpe administratoren: arkitekturfunksjoner og praksis

Et stativ som du kan ta på i laboratoriet vårt hvis du vil.

SD-WAN og SD-Access er to forskjellige nye proprietære tilnærminger til å bygge nettverk. I fremtiden bør de slå seg sammen til ett overleggsnettverk, men foreløpig nærmer de seg bare. Logikken er denne: vi tar et nettverk fra 1990-tallet og ruller ut alle nødvendige oppdateringer og funksjoner på det, uten å vente på at det skal bli en ny åpen standard om ytterligere 10 år.

SD-WAN er en SDN-oppdatering til distribuerte bedriftsnettverk. Transport er separat, kontroll er separat, så kontroll er forenklet.

Fordeler - alle kommunikasjonskanaler brukes aktivt, inkludert backup-en. Det er ruting av pakker til applikasjoner: hva, gjennom hvilken kanal og med hvilken prioritet. En forenklet prosedyre for å distribuere nye punkter: i stedet for å rulle ut en konfigurasjon, spesifiser bare adressen til Cisco-serveren på det store Internett, CROC-datasenteret eller kunden, hvor konfigurasjonene spesifikt for nettverket ditt er hentet fra.

SD-Access (DNA) er automatisering av lokal nettverksadministrasjon: konfigurasjon fra ett punkt, veivisere, praktiske grensesnitt. Faktisk er et annet nettverk bygget med en annen transport på protokollnivå på toppen av ditt, og kompatibilitet med eldre nettverk er sikret ved perimetergrensene.

Vi vil også ta for oss dette nedenfor.

Nå noen demonstrasjoner på testbenker i laboratoriet vårt, hvordan det ser ut og fungerer.

La oss starte med SD-WAN. Hovedtrekkene:

• Forenkling av distribusjon av nye punkter (ZTP) - det antas at du på en eller annen måte mater punktet med serveradressen med innstillinger. Punktet banker på det, mottar konfigurasjonen, ruller den opp og er inkludert i kontrollpanelet ditt. Dette sikrer Zero-Touch Provisioning (ZTP). For å distribuere et endepunkt, trenger ikke en nettverksingeniør å reise til stedet. Det viktigste er å slå på enheten riktig på stedet og koble alle kablene til den, så kobles utstyret automatisk til systemet. Du kan laste ned konfigurasjoner gjennom DNS-spørringer i leverandørens sky fra en tilkoblet USB-stasjon, eller du kan åpne en hyperkobling fra en bærbar datamaskin koblet til enheten via Wi-Fi eller Ethernet.
• Forenkling av rutinemessig nettverksadministrasjon - konfigurasjon fra maler, globale policyer, sentralt konfigurert for minst fem grener, minst 5 000. Alt fra ett sted. For å unngå en lang reise, er det et veldig praktisk alternativ for automatisk å gå tilbake til forrige konfigurasjon.
• Trafikkstyring på applikasjonsnivå – sikrer kvalitet og kontinuerlig oppdatering av applikasjonssignaturer. Retningslinjer konfigureres og rulles ut sentralt (det er ikke nødvendig å skrive og oppdatere rutekart for hver ruter, som før). Du kan se hvem som sender hva, hvor og hva.
• Nettverkssegmentering. Uavhengige isolerte VPN-er på toppen av hele infrastrukturen - hver med sin egen ruting. Som standard er trafikken mellom dem stengt; du kan bare åpne tilgang til forståelige typer trafikk i forståelige nettverksnoder, for eksempel ved å sende alt gjennom en stor brannmur eller proxy.
• Synlighet av nettverkskvalitetshistorikken - hvordan applikasjoner og kanaler presterte. Veldig nyttig for å analysere og korrigere situasjonen selv før brukere begynner å motta klager om ustabil drift av applikasjoner.
• Synlighet på tvers av kanaler – er de verdt pengene, er det to forskjellige operatører som faktisk kommer til nettstedet ditt, eller går de faktisk gjennom det samme nettverket og forringer/faller samtidig.
• Synlighet for skyapplikasjoner og styring av trafikk gjennom visse kanaler basert på den (Cloud Onramp).
• Ett stykke maskinvare inneholder en ruter og en brannmur (nærmere bestemt NGFW). Færre deler av maskinvare betyr at det er billigere å åpne en ny filial.

Komponenter og arkitektur av SD-WAN-løsninger

Sluttenheter er WAN-rutere, som kan være maskinvare eller virtuelle.

Orchestrators er et nettverksadministrasjonsverktøy. De er konfigurert med endeenhetsparametere, trafikkrutingspolicyer og sikkerhetsfunksjonalitet. De resulterende konfigurasjonene sendes automatisk gjennom kontrollnettverket til nodene. Parallelt lytter orkestratoren til nettverket og overvåker tilgjengeligheten til enheter, porter, kommunikasjonskanaler og grensesnittlasting.

Analyseverktøy. De lager rapporter basert på data samlet inn fra sluttenheter: historie om kvaliteten på kanaler, nettverksapplikasjoner, nodetilgjengelighet osv.

Kontrollere er ansvarlige for å bruke retningslinjer for trafikkruting på nettverket. Deres nærmeste analog i tradisjonelle nettverk kan betraktes som BGP Route Reflector. Globale retningslinjer som administratoren konfigurerer i orkestratoren får kontrollerene til å endre sammensetningen av rutetabellene og sende oppdatert informasjon til sluttenheter.

Hva får IT-tjenesten fra SD-WAN:

1. Backup-kanalen er konstant i bruk (ikke inaktiv). Det viser seg billigere fordi du har råd til to mindre tykke kanaler.
2. Automatisk veksling av applikasjonstrafikk mellom kanaler.
3. Administratortid: du kan utvikle nettverket globalt, i stedet for å krype gjennom hver maskinvare med konfigurasjoner.
4. Hastighet for å heve nye grener. Hun er mye høyere.
5. Mindre nedetid ved utskifting av dødt utstyr.
6. Konfigurer nettverket raskt på nytt for nye tjenester.

Hva får en bedrift fra SD-WAN:

1. Garantert drift av forretningsapplikasjoner på et distribuert nettverk, inkludert gjennom åpne internettkanaler. Det handler om forretningsforutsigbarhet.
2. Umiddelbar støtte for nye forretningsapplikasjoner på tvers av hele det distribuerte nettverket, uavhengig av antall filialer. Det handler om forretningshastighet.
3. Rask og sikker tilkobling av filialer på alle eksterne steder ved hjelp av hvilken som helst tilkoblingsteknologi (Internett er overalt, men leide linjer og VPN er ikke det). Dette handler om forretningsfleksibilitet ved valg av lokasjon.
4. Dette kan være et prosjekt med levering og igangkjøring, eller det kan være en tjeneste
   med månedlige betalinger fra IT-selskap, teleoperatør eller skyoperatør. Det som er praktisk for deg.

Forretningsmessige fordeler med SD-WAN kan være helt annerledes, for eksempel fortalte en kunde oss at en toppleder hadde mottatt en forespørsel om en direktelinje med alle ansatte i et multi-tusen selskap og muligheten til å levere innhold.

For oss var det en «militær operasjon». I det øyeblikket løste vi allerede problemet med å modernisere CSPD. Og når vi forstår at vi i prinsippet må engasjere oss i renovering av utstyr, og teknologistabelen har gått fremover, hvorfor skal vi engasjere oss i renovering av de samme teknologiene og tjenestene hvis vi kan ta et skritt videre.

SD-WAN er installert på stedet av Enikey. Dette er viktig for eksterne filialer, der det kanskje rett og slett ikke er en vanlig administrator. Send via post, si: "Koble kabel 1 til boks 1, kabel 2 til boks 2, og ikke bland det sammen! Ikke bli forvirret, #@$@%!" Og hvis de ikke blander det sammen, kommuniserer selve enheten med den sentrale serveren, plukker opp og bruker konfigurasjonene, og dette kontoret blir en del av selskapets sikre nettverk. Det er fint når du ikke trenger å reise, og det er lett å rettferdiggjøre i budsjettet.

Her er et diagram over stativet:

Noen konfigurasjonseksempler:

Policy – ​​globale regler for håndtering av trafikk. Redigere en policy.

Aktiver trafikkkontrollpolicy.

Massekonfigurasjon av grunnleggende enhetsparametere (IP-adresser, DHCP-pooler).

Skjermbilder av overvåking av applikasjonsytelse

For skyapplikasjoner.

Detaljer for Office365.

For on-prem-applikasjoner. Dessverre klarte vi ikke å finne applikasjoner med feil på standen vår (FEC Recovery rate er null overalt).

I tillegg - ytelse av dataoverføringskanaler.

Hvilken maskinvare støttes på SD-WAN

1. Maskinvareplattformer:

• Cisco vEdge-rutere (tidligere Viptela vEdge) som kjører Viptela OS.
• 1- og 000-serien Integrated Services Routers (ISR) som kjører IOS XE SD-WAN.
• Aggregation Services Router (ASR) 1-serien som kjører IOS XE SD-WAN.

2. Virtuelle plattformer:

• Cloud Services Router (CSR) 1v som kjører IOS XE SD-WAN.
• vEdge Cloud Router som kjører Viptela OS.

Virtuelle plattformer kan distribueres på Cisco x86-databehandlingsplattformer, for eksempel Enterprise Network Compute System (ENCS) 5-serien, Unified Computing System (UCS) og Cloud Services Platform (CSP) 000-serien. Virtuelle plattformer kan også kjøre på alle x5-enheter som støtter bruk av en hypervisor som KVM eller VMware ESi.

Hvordan en ny enhet ruller på

Listen over lisensierte enheter for distribusjon lastes ned enten fra en Cisco smart-konto eller lastet opp som en CSV-fil. Jeg skal prøve å få flere skjermbilder senere, akkurat nå har vi ingen nye enheter å distribuere.

Sekvensen av trinnene en enhet går gjennom når den distribueres.

Hvordan en ny leveringsmetode for enhet/konfigurasjon rulles ut

Vi legger til enheter til Smart Account.

Du kan laste ned en CSV-fil, eller du kan laste ned en om gangen:

Fyll inn enhetsparametrene:

Deretter synkroniserer vi dataene i vManage med smartkontoen. Enheten vises i listen:

I rullegardinmenyen på motsatt side av enheten klikker du på Generer oppstartskonfigurasjon
og få den første konfigurasjonen:

Denne konfigurasjonen må mates til enheten. Den enkleste måten er å koble en flash-stasjon med en lagret fil kalt ciscosd-wan.cfg til enheten. Ved oppstart vil enheten se etter denne filen.

Etter å ha mottatt den første konfigurasjonen, vil enheten kunne nå orkestratoren og motta en full konfigurasjon derfra.

Vi ser på SD-tilgang (DNA)

SD-Access gjør det enkelt å konfigurere porter og tilgangsrettigheter for å koble til brukere. Dette gjøres ved hjelp av veivisere. Portparametere settes i forhold til gruppene "Administratorer", "Regnskap", "Skrivere", og ikke til VLAN og IP-undernett. Dette minimerer menneskelige feil. Hvis for eksempel et selskap har mange filialer over hele Russland, men sentralkontoret er overbelastet, lar SD-Access deg løse flere problemer lokalt. For eksempel de samme problemene angående feilsøking.

For informasjonssikkerhet er det viktig at SD-Access innebærer en klar inndeling av brukere og enheter i grupper og definisjon av interaksjonspolicyer mellom dem, autorisasjon for enhver klienttilkobling til nettverket, og levering av "tilgangsrettigheter" i hele nettverket. Hvis du følger denne tilnærmingen, blir administrasjonen mye enklere.

Oppstartsprosessen for nye kontorer er også forenklet takket være Plug-and-Play-agenter i switchene. Det er ikke nødvendig å løpe rundt i terrenget med en konsoll, eller til og med gå til siden i det hele tatt.

Her er konfigurasjonseksempler:

Generell status.

Hendelser som en administrator bør gjennomgå.

Automatiske anbefalinger om hva som skal endres i konfigurasjoner.

Plan for integrering av SD-WAN med SD-Access

Jeg hørte at Cisco har slike planer - SD-WAN og SD-Access. Dette bør redusere hemorroider betydelig ved håndtering av geografisk distribuerte og lokale CSPD-er.

vManage (SD-WAN orkestrator) administreres via API fra DNA Center (SD-Access-kontroller).

Mikro- og makrosegmenteringspolicyer er kartlagt som følger:

På pakkenivå ser alt slik ut:

Hvem tenker på dette og hva?

Vi har jobbet med SD-WAN siden 2016 i et eget laboratorium, hvor vi tester ulike løsninger for behovene til detaljhandel, bank, transport og industri.

Vi kommuniserer mye med ekte kunder.

Jeg kan si at detaljhandelen allerede trygt tester SD-WAN, og noen gjør dette med leverandører (oftest med Cisco), men det er også de som prøver å løse problemet på egen hånd: de skriver sin egen versjon av programvare som i funksjonalitet ligner SD-WAN.

Alle, på en eller annen måte, ønsker å oppnå sentralisert styring av hele dyreparken av utstyr. Dette er ett administrasjonspunkt for ikke-standardinstallasjoner og standard for forskjellige leverandører og forskjellige teknologier. Det er viktig å minimere manuelt arbeid fordi det for det første reduserer risikoen for den menneskelige faktoren ved oppsett av utstyr, og for det andre frigjør det ressursene til IT-tjenesten for å løse andre problemer. Vanligvis kommer erkjennelsen av behovet fra svært lange fornyelsessykluser over hele landet. Og for eksempel, hvis en forhandler selger alkohol, trenger den konstant kommunikasjon for salg. Oppdatering eller nedetid i løpet av dagen påvirker inntektene direkte.

Nå i detaljhandelen er det en klar forståelse av hvilke IT-oppgaver som vil bruke SD-WAN:

1. Rask distribusjon (ofte nødvendig på LTE før kabelleverandøren kommer, ofte er det nødvendig at det nye punktet tas opp av administratoren i byen via GPC, og så ser og konfigurerer senteret ganske enkelt).
2. Sentralisert styring, kommunikasjon for fremmedlegemer.
3. Redusere telekomkostnader.
4. Ulike tilleggstjenester (DPI-funksjoner gjør det mulig å prioritere levering av trafikk fra viktige applikasjoner som kassaapparater).
5. Arbeid med kanaler automatisk, ikke manuelt.

Og det er også en samsvarssjekk – alle snakker mye om det, men ingen oppfatter det som et problem. Å opprettholde at alt fungerer som det skal fungerer også fint i dette paradigmet. Mange tror at hele nettverksteknologimarkedet vil bevege seg i denne retningen.

Banker, IMHO, tester for tiden SD-WAN snarere som en ny teknologisk funksjon. De venter på slutten av støtten for tidligere generasjoner utstyr, og først da vil de endre seg. Banker har generelt sin egen spesielle atmosfære gjennom kommunikasjonskanaler, så den nåværende tilstanden i bransjen plager dem ikke særlig mye. Problemene ligger heller på andre plan.

I motsetning til det russiske markedet, implementeres SD-WAN aktivt i Europa. Kommunikasjonskanalene deres er dyrere, og derfor tar europeiske selskaper med seg stabelen til russiske divisjoner. I Russland er det en viss stabilitet, fordi kostnaden for kanaler (selv når regionen er 25 ganger dyrere enn sentrum) ser ganske normal ut og reiser ikke spørsmål. Fra år til år er det et ubetinget budsjett for kommunikasjonskanaler.

Her er et eksempel fra verdens praksis, da et selskap sparte tid og penger ved å bruke SD-WAN på Cisco.

Det er et slikt selskap - National Instruments. På et visst tidspunkt begynte de å forstå at det globale datanettverket, "oppnådd" ved å kombinere 88 nettsteder rundt om i verden, var ineffektivt. I tillegg manglet selskapet kapasiteten og ytelsen til varmtvannsforsyningen til husholdningsbruk. Det var ingen balanse mellom selskapets kontinuerlige vekst og begrensede IT-budsjett.

SD-WAN hjalp National Instruments med å redusere MPLS-kostnadene med 25 % (sparte $450 2018 på slutten av 3), og utvidet båndbredden med 075 XNUMX %.

Som et resultat av implementeringen av SD-WAN mottok selskapet et smart programvaredefinert nettverk og sentralisert policyadministrasjon for automatisk å optimalisere trafikk og applikasjonsytelse. Her - detaljert sak.

Akkurat her et helt sprøtt tilfelle av å flytte en S7 til et annet kontor, da først alt startet vanskelig, men interessant - det var nødvendig å gjøre om 1,5 tusen porter. Men så gikk noe galt, og som et resultat viste det seg at administratorene var de siste før fristen, som alle de akkumulerte forsinkelsene faller på.

Les mer på engelsk:

• American Banker: Fifth Third investerer i 5-års nettverksoppgradering med SD-WAN .
• Bygge sky SD-WAN suksess hos Koch.
• McKessons SD-WAN-reise til kostnadsbesparelser .
• SD-WAN Retail PoC & Segmentering: Gap Stores.
• Men Cisco global studie om nettverkstrender i verden.

På russisk:

• På CNews.
• Hvordan vi implementerte SD-Access og hvorfor det var nødvendig.
• Nettverksstoff for Cisco ACI-datasenteret - for å hjelpe administratoren.
• Stabil kanal basert på programvaredefinerte SD-WAN-nettverk: løser problemer med rutevalg.
• Min e-post, hvis du har spørsmål eller ønsker å teste oppgavene dine på standen vår, - [e-postbeskyttet].

Kilde: www.habr.com