SD-WAN i DNA na pomoc administratorowi: cechy architektury i praktyka

Stojak, którego możesz dotknąć w naszym laboratorium, jeśli chcesz.

SD-WAN i SD-Access to dwa różne, nowe, autorskie podejścia do budowania sieci. W przyszłości powinny połączyć się w jedną sieć nakładkową, ale na razie są już blisko. Logika jest następująca: bierzemy sieć z lat 1990. XX wieku i instalujemy w niej wszystkie niezbędne poprawki i funkcje, nie czekając, aż za kolejne 10 lat stanie się ona nowym otwartym standardem.

SD-WAN to poprawka SDN do rozproszonych sieci korporacyjnych. Transport jest odrębny, kontrola jest osobna, więc kontrola jest uproszczona.

Plusy - aktywnie wykorzystywane są wszystkie kanały komunikacji, łącznie z kanałem zapasowym. Istnieje routing pakietów do aplikacji: czym, jakim kanałem i z jakim priorytetem. Uproszczona procedura wdrażania nowych punktów: zamiast wprowadzać konfigurację, wystarczy podać adres serwera Cisco w dużym Internecie, centrum danych CROC lub klienta, skąd zostaną pobrane konfiguracje specjalnie dla Twojej sieci.

SD-Access (DNA) to automatyzacja zarządzania siecią lokalną: konfiguracja z jednego punktu, kreatory, wygodne interfejsy. W rzeczywistości zbudowana jest inna sieć z innym transportem na poziomie protokołu niż Twoja, a na granicach obwodowych zapewniona jest kompatybilność ze starszymi sieciami.

Zajmiemy się tym również poniżej.

Teraz kilka demonstracji na stanowiskach testowych w naszym laboratorium, jak to wygląda i działa.

Zacznijmy od SD-WAN. Główne cechy:

• Uproszczenie rozmieszczania nowych punktów (ZTP) - zakłada się, że w jakiś sposób zasilasz punkt adresem serwera z ustawieniami. Punkt na niego puka, otrzymuje konfigurację, zwija ją i zostaje uwzględniony w Twoim panelu sterowania. Zapewnia to obsługę bezdotykową (ZTP). Aby wdrożyć punkt końcowy, inżynier sieci nie musi udawać się do lokalizacji. Najważniejsze jest prawidłowe włączenie urządzenia na miejscu i podłączenie do niego wszystkich kabli, wtedy sprzęt automatycznie połączy się z systemem. Możesz pobrać konfiguracje poprzez zapytania DNS w chmurze dostawcy z podłączonego dysku USB lub możesz otworzyć hiperłącze z laptopa podłączonego do urządzenia przez Wi-Fi lub Ethernet.
• Uproszczenie rutynowej administracji siecią – konfiguracja z szablonów, globalne polityki, centralnie skonfigurowane dla co najmniej pięciu oddziałów, co najmniej 5. Wszystko z jednego miejsca. Aby uniknąć długiej podróży, istnieje bardzo wygodna opcja automatycznego powrotu do poprzedniej konfiguracji.
• Zarządzanie ruchem na poziomie aplikacji — zapewnienie jakości i ciągłych aktualizacji sygnatur aplikacji. Polityki są konfigurowane i wdrażane centralnie (nie ma potrzeby pisania i aktualizowania map tras dla każdego routera, jak poprzednio). Możesz zobaczyć, kto, co, gdzie i co wysyła.
• Segmentacja sieci. Niezależne izolowane sieci VPN na całej infrastrukturze - każda z własnym routingiem. Domyślnie ruch między nimi jest zamknięty, dostęp można otworzyć tylko dla zrozumiałych typów ruchu w zrozumiałych węzłach sieci, na przykład przepuszczając wszystko przez dużą zaporę ogniową lub serwer proxy.
• Widoczność historii jakości sieci – jak działały aplikacje i kanały. Bardzo przydatne do analizowania i korygowania sytuacji jeszcze zanim użytkownicy zaczną otrzymywać skargi dotyczące niestabilnego działania aplikacji.
• Widoczność w różnych kanałach – czy są one warte swojej ceny, czy do Twojej witryny faktycznie przychodzi dwóch różnych operatorów, czy też faktycznie korzystają z tej samej sieci i jednocześnie ulegają degradacji/upadkowi.
• Widoczność dla aplikacji chmurowych i na jej podstawie sterowanie ruchem w określonych kanałach (Cloud Onramp).
• Jeden element sprzętu zawiera router i zaporę sieciową (dokładniej NGFW). Mniej sprzętu oznacza, że ​​taniej jest otworzyć nowy oddział.

Komponenty i architektura rozwiązań SD-WAN

Urządzeniami końcowymi są routery WAN, które mogą być sprzętowe lub wirtualne.

Orchestrators to narzędzie do zarządzania siecią. Są konfigurowane pod kątem parametrów urządzenia końcowego, zasad routingu ruchu i funkcji bezpieczeństwa. Powstałe konfiguracje są automatycznie wysyłane przez sieć sterującą do węzłów. Równolegle orkiestrator nasłuchuje sieci i monitoruje dostępność urządzeń, portów, kanałów komunikacyjnych i obciążenie interfejsu.

Narzędzia analityczne. Tworzą raporty na podstawie danych zebranych z urządzeń końcowych: historii jakości kanałów, aplikacji sieciowych, dostępności węzłów itp.

Kontrolery są odpowiedzialne za egzekwowanie zasad routingu ruchu w sieci. Ich najbliższy odpowiednik w tradycyjnych sieciach można uznać za BGP Route Reflector. Globalne zasady, które administrator konfiguruje w orkiestratorze, powodują, że kontrolery zmieniają skład swoich tablic routingu i wysyłają zaktualizowane informacje do urządzeń końcowych.

Co usługa IT zyskuje dzięki SD-WAN:

1. Kanał zapasowy jest stale używany (nie jest bezczynny). Okazuje się taniej, bo stać Cię na dwa mniej grube kanały.
2. Automatyczne przełączanie ruchu aplikacji pomiędzy kanałami.
3. Czas administratora: możesz rozwijać sieć globalnie, zamiast przeglądać każdy element sprzętu za pomocą konfiguracji.
4. Szybkość pozyskiwania nowych gałęzi. Ona jest dużo wyższa.
5. Mniej przestojów podczas wymiany martwego sprzętu.
6. Szybko rekonfiguruj sieć dla nowych usług.

Co firma zyskuje dzięki SD-WAN:

1. Gwarantowane działanie aplikacji biznesowych w sieci rozproszonej, w tym poprzez otwarte kanały internetowe. Chodzi o przewidywalność biznesową.
2. Natychmiastowe wsparcie dla nowych aplikacji biznesowych w całej rozproszonej sieci, niezależnie od liczby oddziałów. Chodzi o szybkość działania.
3. Szybkie i bezpieczne połączenie oddziałów w dowolnych odległych lokalizacjach przy użyciu dowolnych technologii łączeniowych (internet jest wszędzie, ale nie ma łączy dzierżawionych i VPN). Chodzi o elastyczność biznesową w wyborze lokalizacji.
4. Może to być projekt z dostawą i uruchomieniem lub może to być usługa
   przy miesięcznych płatnościach od firmy IT, operatora telekomunikacyjnego lub operatora chmury. Cokolwiek jest dla Ciebie wygodne.

Korzyści biznesowe SD-WAN mogą być zupełnie inne, przykładowo jeden z klientów powiedział nam, że menadżer wyższego szczebla otrzymał prośbę o bezpośrednią komunikację ze wszystkimi pracownikami wielotysięcznej firmy i możliwość dostarczania treści.

Dla nas była to „operacja wojskowa”. W tym momencie rozwiązaliśmy już problem modernizacji CSPD. A kiedy zrozumiemy, że w zasadzie musimy zaangażować się w renowację sprzętu, a stos technologiczny posunął się do przodu, to po co mielibyśmy angażować się w renowację tych samych technologii i usług, skoro możemy pójść o krok dalej.

SD-WAN jest instalowany na miejscu przez Enike. Jest to ważne w przypadku oddziałów zdalnych, w których zwyczajny administrator może po prostu nie istnieć. Wyślij pocztą i powiedz: „Podłącz kabel 1 do skrzynki 1, kabel 2 do skrzynki 2 i nie mieszaj! Nie daj się zwieść, #@$@%!” A jeśli tego nie pomylą, urządzenie samo komunikuje się z centralnym serwerem, pobiera i stosuje jego konfiguracje, a to biuro staje się częścią bezpiecznej sieci firmy. Miło, gdy nie trzeba podróżować i łatwo to uzasadnić w budżecie.

Oto schemat stojaka:

Kilka przykładów konfiguracji:

Polityka - globalne zasady zarządzania ruchem. Edycja polityki.

Aktywuj politykę kontroli ruchu.

Masowa konfiguracja podstawowych parametrów urządzeń (adresy IP, pule DHCP).

Zrzuty ekranu monitorowania wydajności aplikacji

Do aplikacji w chmurze.

Szczegóły dotyczące Office365.

Do zastosowań lokalnych. Niestety na naszym stoisku nie udało nam się znaleźć aplikacji z błędami (wszędzie współczynnik odzyskiwania FEC wynosi zero).

Dodatkowo - wydajność kanałów transmisji danych.

Jaki sprzęt jest obsługiwany w SD-WAN

1. Platformy sprzętowe:

• Routery Cisco vEdge (dawniej Viptela vEdge) z systemem operacyjnym Viptela OS.
• Routery usług zintegrowanych (ISR) serii 1 i 000 z systemem IOS XE SD-WAN.
• Router usług agregacji (ASR) z serii 1 z systemem IOS XE SD-WAN.

2. Platformy wirtualne:

• Router usług w chmurze (CSR) 1 V z systemem IOS XE SD-WAN.
• vEdge Cloud Router z systemem operacyjnym Viptela OS.

Platformy wirtualne można wdrażać na platformach obliczeniowych Cisco x86, takich jak Enterprise Network Compute System (ENCS) z serii 5, Unified Computing System (UCS) i Cloud Services Platform (CSP) z serii 000. Platformy wirtualne mogą również działać na dowolnym urządzeniu x5 za pomocą hypervisora, takiego jak KVM lub VMware ESi.

Jak działa nowe urządzenie

Lista licencjonowanych urządzeń do wdrożenia jest pobierana z inteligentnego konta Cisco lub przesyłana w postaci pliku CSV. Spróbuję później zrobić więcej zrzutów ekranu, w tej chwili nie mamy żadnych nowych urządzeń do wdrożenia.

Sekwencja kroków, przez które przechodzi urządzenie po wdrożeniu.

Jak wdrażana jest nowa metoda dostarczania urządzenia/konfiguracji

Dodajemy urządzenia do Smart Account.

Możesz pobrać plik CSV lub pojedynczo:

Podaj parametry urządzenia:

Następnie w vManage synchronizujemy dane z Kontem Smart. Urządzenie pojawi się na liście:

W menu rozwijanym naprzeciwko urządzenia kliknij opcję Generuj konfigurację Bootstrap
i uzyskaj początkową konfigurację:

Tę konfigurację należy wprowadzić do urządzenia. Najłatwiej jest podłączyć do urządzenia pendrive z zapisanym plikiem o nazwie ciscosd-wan.cfg. Podczas uruchamiania urządzenie będzie szukać tego pliku.

Po otrzymaniu wstępnej konfiguracji urządzenie będzie mogło dotrzeć do orkiestratora i otrzymać stamtąd pełną konfigurację.

Przyglądamy się SD-Access (DNA)

SD-Access ułatwia konfigurację portów i praw dostępu dla łączących się użytkowników. Odbywa się to za pomocą kreatorów. Parametry portu ustawia się w odniesieniu do grup „Administratorzy”, „Księgowość”, „Drukarki”, a nie do sieci VLAN i podsieci IP. Minimalizuje to błędy ludzkie. Jeśli na przykład firma ma wiele oddziałów w całej Rosji, ale centrala jest przeciążona, wówczas SD-Access pozwala rozwiązać więcej problemów lokalnie. Na przykład te same problemy dotyczące rozwiązywania problemów.

Dla bezpieczeństwa informacji ważne jest, aby SD-Access obejmował jasny podział użytkowników i urządzeń na grupy oraz określenie zasad interakcji między nimi, autoryzację dowolnego połączenia klienta z siecią oraz zapewnienie „praw dostępu” w całej sieci. Jeśli zastosujesz to podejście, administracja stanie się znacznie łatwiejsza.

Proces uruchamiania nowych biur jest również uproszczony dzięki agentom Plug-and-Play w przełącznikach. Nie ma potrzeby biegać po całym kraju z konsolą, a nawet w ogóle odwiedzać witrynę.

Oto przykłady konfiguracji:

Stan ogólny.

Incydenty, które administrator powinien sprawdzić.

Automatyczne rekomendacje dotyczące zmian w konfiguracjach.

Plan integracji SD-WAN z SD-Access

Słyszałem, że Cisco ma takie plany - SD-WAN i SD-Access. Powinno to znacznie zmniejszyć liczbę hemoroidów w przypadku leczenia rozproszonych geograficznie i lokalnych CSPD.

vManage (Orkiestrator SD-WAN) jest zarządzany poprzez API z DNA Center (kontroler SD-Access).

Polityki mikro- i makrosegmentacji są mapowane w następujący sposób:

Na poziomie pakietu wszystko wygląda tak:

Kto o tym myśli i co?

Nad SD-WAN pracujemy od 2016 roku w osobnym laboratorium, gdzie testujemy różne rozwiązania na potrzeby handlu detalicznego, banków, transportu i przemysłu.

Dużo komunikujemy się z prawdziwymi klientami.

Mogę powiedzieć, że handel detaliczny już śmiało testuje SD-WAN, a niektórzy robią to z dostawcami (najczęściej z Cisco), ale są też tacy, którzy próbują rozwiązać problem samodzielnie: piszą własną wersję oprogramowanie o funkcjonalności podobnej do SD-WAN.

Każdy w ten czy inny sposób chce osiągnąć scentralizowane zarządzanie całym sprzętem zoo. Jest to jeden punkt administracyjny dla instalacji niestandardowych i standardowych dla różnych dostawców i różnych technologii. Ważne jest, aby zminimalizować pracę ręczną, ponieważ po pierwsze zmniejsza to ryzyko czynnika ludzkiego przy ustawianiu sprzętu, a po drugie uwalnia zasoby służby IT do rozwiązywania innych zadań. Zwykle uznanie potrzeby wynika z bardzo długich cykli odnowy w całym kraju. I na przykład, jeśli sprzedawca detaliczny sprzedaje alkohol, potrzebuje ciągłej komunikacji w celu sprzedaży. Aktualizowanie lub przestoje w ciągu dnia bezpośrednio wpływają na przychody.

Teraz w handlu detalicznym jest jasne, jakie zadania IT będą wykorzystywać SD-WAN:

1. Szybkie wdrożenie (często potrzebne na LTE przed przyjazdem operatora telewizji kablowej, często konieczne jest podniesienie nowego punktu przez administratora w mieście poprzez GPC, a potem centrum już tylko wygląda i konfiguruje).
2. Scentralizowane zarządzanie, komunikacja dla obiektów obcych.
3. Obniżenie kosztów telekomunikacyjnych.
4. Różne usługi dodatkowe (funkcje DPI umożliwiają priorytetyzację dostarczania ruchu z ważnych aplikacji, takich jak kasy fiskalne).
5. Pracuj z kanałami automatycznie, a nie ręcznie.

Jest też kontrola zgodności – wszyscy dużo o tym mówią, ale nikt nie postrzega tego jako problemu. Utrzymywanie, że wszystko działa poprawnie, również działa dobrze w tym paradygmacie. Wielu uważa, że ​​cały rynek technologii sieciowych będzie podążał w tym kierunku.

Banki, IMHO, obecnie testują SD-WAN raczej jako nową funkcję technologiczną. Czekają na koniec wsparcia dla poprzednich generacji sprzętu i dopiero wtedy się zmienią. Banki na ogół mają swoją specyficzną atmosferę w kanałach komunikacji, więc obecny stan branży nie przeszkadza im zbytnio. Problemy leżą raczej na innych płaszczyznach.

W przeciwieństwie do rynku rosyjskiego, SD-WAN jest aktywnie wdrażany w Europie. Ich kanały komunikacji są droższe, dlatego europejskie firmy przenoszą swoje stosy do rosyjskich oddziałów. W Rosji panuje pewna stabilność, bo koszt kanałów (nawet jeśli region jest 25 razy droższy od centrum) wygląda całkiem normalnie i nie budzi wątpliwości. Z roku na rok ustalany jest bezwarunkowy budżet na kanały komunikacji.

Oto przykład ze światowej praktyki, kiedy firma zaoszczędziła czas i pieniądze, korzystając z SD-WAN w Cisco.

Jest taka firma – National Instruments. W pewnym momencie zaczęli rozumieć, że globalna sieć komputerowa, „uzyskana” przez połączenie 88 ośrodków na całym świecie, jest nieskuteczna. Ponadto spółce brakowało wydajności i wydajności dostaw ciepłej wody użytkowej. Brakowało równowagi pomiędzy ciągłym rozwojem firmy a ograniczonym budżetem IT.

Rozwiązanie SD-WAN pomogło firmie National Instruments obniżyć koszty MPLS o 25% (oszczędność 450 2018 USD na koniec 3 r.), zwiększając przepustowość o 075%.

W wyniku wdrożenia SD-WAN firma otrzymała inteligentną sieć definiowaną programowo oraz scentralizowane zarządzanie polityką w celu automatycznej optymalizacji ruchu i wydajności aplikacji. Właśnie tutaj - szczegółowa sprawa.

Tutaj absolutnie szalony przypadek przeniesienia S7 do innego biura, gdy na początku wszystko zaczęło się trudne, ale ciekawe - trzeba było przerobić 1,5 tys. portów. Ale potem coś poszło nie tak i w efekcie administratorzy okazali się ostatnimi przed terminem, na których spadają wszystkie skumulowane opóźnienia.

Przeczytaj więcej po angielsku:

• American Banker: Fifth Third inwestuje w 5-letnią modernizację sieci za pomocą SD-WAN .
• Budowanie sukcesu Cloud SD-WAN w firmie Koch.
• Droga SD-WAN firmy McKesson do oszczędności .
• SD-WAN Retail PoC i segmentacja: sklepy z lukami.
• a tutaj Globalne badanie Cisco o trendach sieciowych na świecie.

W języku rosyjskim:

• W CNews.
• Jak wdrożyliśmy SD-Access i dlaczego był on potrzebny.
• Sieć szkieletowa dla centrum danych Cisco ACI - dla ułatwienia administratorowi.
• Stabilny kanał oparty na programowo zdefiniowanych sieciach SD-WAN: rozwiązywanie problemów z wyborem trasy.
• Mój e-mail, jeśli masz pytania lub chciałbyś przetestować swoje zadania na naszym stoisku, - [email chroniony].

Źródło: www.habr.com