SD-WAN e DNA para ajudar o administrador: recursos e práticas de arquitetura

Um suporte que você pode tocar em nosso laboratório se quiser.

SD-WAN e SD-Access são duas novas abordagens proprietárias diferentes para a construção de redes. No futuro, eles deverão se fundir em uma rede sobreposta, mas por enquanto estão apenas chegando perto. A lógica é esta: pegamos uma rede da década de 1990 e implementamos nela todos os patches e recursos necessários, sem esperar que ela se torne um novo padrão aberto em mais 10 anos.

SD-WAN é um patch SDN para redes corporativas distribuídas. O transporte é separado, o controle é separado, então o controle é simplificado.

Prós - todos os canais de comunicação são usados ​​ativamente, inclusive o de backup. Há roteamento de pacotes para aplicações: o quê, por qual canal e com que prioridade. Um procedimento simplificado para implantação de novos pontos: em vez de lançar uma configuração, basta especificar o endereço do servidor Cisco na grande Internet, do data center CROC ou do cliente, de onde são retiradas as configurações específicas para sua rede.

SD-Access (DNA) é automação do gerenciamento de rede local: configuração de um ponto, assistentes, interfaces convenientes. Na verdade, outra rede é construída com um transporte diferente no nível do protocolo acima da sua, e a compatibilidade com redes mais antigas é garantida nos limites do perímetro.

Também trataremos disso abaixo.

Agora algumas demonstrações em bancadas de teste em nosso laboratório, como fica e funciona.

Vamos começar com SD-WAN. Principais características:

• Simplificação de implantação de novos pontos (ZTP) - presume-se que você de alguma forma alimente o ponto com o endereço do servidor com configurações. O ponto bate nele, recebe a configuração, enrola e é incluído no seu painel de controle. Isso garante o provisionamento Zero-Touch (ZTP). Para implantar um endpoint, um engenheiro de rede não precisa viajar até o local. O principal é ligar o aparelho corretamente no local e conectar todos os cabos a ele, então o equipamento se conectará automaticamente ao sistema. Você pode baixar configurações por meio de consultas DNS na nuvem do fornecedor a partir de uma unidade USB conectada ou pode abrir um hiperlink de um laptop conectado ao dispositivo via Wi-Fi ou Ethernet.
• Simplificação da administração rotineira de rede - configuração a partir de modelos, políticas globais, configuradas centralmente para pelo menos cinco filiais, pelo menos 5. Tudo em um só lugar. Para evitar uma longa viagem, existe uma opção muito conveniente de retornar automaticamente à configuração anterior.
• Gerenciamento de tráfego em nível de aplicativo – garantindo qualidade e atualizações contínuas de assinatura de aplicativo. As políticas são configuradas e implementadas centralmente (não há necessidade de escrever e atualizar mapas de rotas para cada roteador, como antes). Você pode ver quem está enviando o quê, para onde e o quê.
• Segmentação de rede. VPNs independentes e isoladas sobre toda a infraestrutura - cada uma com seu próprio roteamento. Por padrão, o tráfego entre eles é fechado; você pode abrir o acesso apenas para tipos de tráfego compreensíveis em nós de rede compreensíveis, por exemplo, passando tudo por um grande firewall ou proxy.
• Visibilidade do histórico de qualidade da rede – desempenho de aplicativos e canais. Muito útil para analisar e corrigir a situação antes mesmo dos usuários começarem a receber reclamações sobre o funcionamento instável dos aplicativos.
• Visibilidade entre canais - eles valem o dinheiro gasto, duas operadoras diferentes estão realmente acessando seu site ou estão realmente passando pela mesma rede e degradando/caindo ao mesmo tempo.
• Visibilidade para aplicações em nuvem e direcionamento de tráfego através de determinados canais baseados nela (Cloud Onramp).
• Uma peça de hardware contém um roteador e um firewall (mais precisamente, NGFW). Menos peças de hardware significa que é mais barato abrir uma nova filial.

Componentes e arquitetura de soluções SD-WAN

Os dispositivos finais são roteadores WAN, que podem ser de hardware ou virtuais.

Orquestradores são uma ferramenta de gerenciamento de rede. Eles são configurados com parâmetros de dispositivo final, políticas de roteamento de tráfego e funcionalidade de segurança. As configurações resultantes são enviadas automaticamente através da rede de controle para os nós. Paralelamente, o orquestrador escuta a rede e monitora a disponibilidade de dispositivos, portas, canais de comunicação e carregamento de interface.

Ferramentas analíticas. Eles fazem relatórios com base nos dados coletados dos dispositivos finais: histórico de qualidade dos canais, aplicações de rede, disponibilidade de nós, etc.

Os controladores são responsáveis ​​por aplicar políticas de roteamento de tráfego à rede. Seu análogo mais próximo em redes tradicionais pode ser considerado o BGP Route Reflector. As políticas globais que o administrador configura no orquestrador fazem com que os controladores alterem a composição de suas tabelas de roteamento e enviem informações atualizadas aos dispositivos finais.

O que o serviço de TI obtém do SD-WAN:

1. O canal de backup está constantemente em uso (não ocioso). Acontece mais barato porque você pode comprar dois canais menos grossos.
2. Comutação automática do tráfego de aplicativos entre canais.
3. Hora do administrador: você pode desenvolver a rede globalmente, em vez de rastrear cada peça de hardware com configurações.
4. Rapidez na captação de novas filiais. Ela é muito mais alta.
5. Menos tempo de inatividade ao substituir equipamentos mortos.
6. Reconfigure rapidamente a rede para novos serviços.

O que uma empresa obtém com SD-WAN:

1. Operação garantida de aplicações de negócios em uma rede distribuída, inclusive por meio de canais abertos de Internet. É uma questão de previsibilidade empresarial.
2. Suporte instantâneo para novos aplicativos de negócios em toda a rede distribuída, independentemente do número de filiais. É uma questão de velocidade nos negócios.
3. Conexão rápida e segura de filiais em qualquer local remoto usando qualquer tecnologia de conexão (a Internet está em toda parte, mas as linhas alugadas e VPN não). Trata-se de flexibilidade empresarial na escolha de um local.
4. Este poderia ser um projeto com entrega e comissionamento, ou poderia ser um serviço
   com pagamentos mensais de uma empresa de TI, operadora de telecomunicações ou operadora de nuvem. O que for mais conveniente para você.

Os benefícios comerciais do SD-WAN podem ser completamente diferentes, por exemplo, um cliente nos disse que um gerente sênior havia recebido uma solicitação de linha direta com todos os funcionários de uma empresa com vários milhares de pessoas e a capacidade de entregar conteúdo.

Para nós foi uma “operação militar”. Naquele momento já estávamos resolvendo o problema da modernização da CSPD. E quando entendemos que, em princípio, precisamos de nos empenhar na renovação de equipamentos, e a pilha de tecnologia avançou, porque deveríamos empenhar-nos na renovação das mesmas tecnologias e serviços se podemos dar um passo em frente.

SD-WAN é instalado no local pela Enikey. Isto é importante para filiais remotas, onde pode simplesmente não haver um administrador normal. Envie por correio, diga: “Conecte o cabo 1 na caixa 1, o cabo 2 na caixa 2 e não misture tudo! Não se confunda, #@$@%!” E se não se confundirem, o próprio dispositivo se comunica com o servidor central, pega e aplica suas configurações, e esse escritório passa a fazer parte da rede segura da empresa. É bom quando você não precisa viajar e é fácil justificar no seu orçamento.

Aqui está um diagrama do estande:

Alguns exemplos de configuração:

Política - regras globais para gerenciamento de tráfego. Editando uma política.

Ative a política de controle de tráfego.

Configuração em massa de parâmetros básicos de dispositivos (endereços IP, pools DHCP).

Capturas de tela do monitoramento de desempenho de aplicativos

Para aplicativos em nuvem.

Detalhes do Office365.

Para aplicativos locais. Infelizmente não conseguimos encontrar aplicações com erros em nosso estande (a taxa de recuperação FEC é zero em todos os lugares).

Adicionalmente - desempenho dos canais de transmissão de dados.

Qual hardware é compatível com SD-WAN

1. Plataformas de hardware:

• Roteadores Cisco vEdge (anteriormente Viptela vEdge) executando Viptela OS.
• Roteadores de serviços integrados (ISRs) séries 1 e 000 executando IOS XE SD-WAN.
• Aggregation Services Router (ASR) série 1 executando IOS XE SD-WAN.

2. Plataformas virtuais:

• Roteador de serviços em nuvem (CSR) 1v executando IOS XE SD-WAN.
• vEdge Cloud Router executando Viptela OS.

As plataformas virtuais podem ser implantadas em plataformas de computação Cisco x86, como Enterprise Network Compute System (ENCS) série 5, Unified Computing System (UCS) e Cloud Services Platform (CSP) série 000. As plataformas virtuais também podem ser executadas em qualquer dispositivo x5. usando um hipervisor como KVM ou VMware ESi.

Como um novo dispositivo funciona

A lista de dispositivos licenciados para implantação é baixada de uma conta inteligente da Cisco ou carregada como um arquivo CSV. Tentarei obter mais capturas de tela mais tarde, no momento não temos novos dispositivos para implantar.

A sequência de etapas pelas quais um dispositivo passa quando implantado.

Como um novo método de entrega de dispositivo/configuração é implementado

Adicionamos dispositivos à conta inteligente.

Você pode baixar um arquivo CSV ou um de cada vez:

Preencha os parâmetros do dispositivo:

A seguir, no vManage sincronizamos os dados com a Smart Account. O dispositivo aparece na lista:

No menu suspenso oposto ao dispositivo, clique em Gerar configuração de Bootstrap
e obtenha a configuração inicial:

Esta configuração deve ser alimentada no dispositivo. A maneira mais fácil é conectar uma unidade flash com um arquivo salvo chamado ciscosd-wan.cfg ao dispositivo. Ao inicializar, o dispositivo irá procurar este arquivo.

Recebida a configuração inicial, o dispositivo poderá chegar ao orquestrador e dele receber a configuração completa.

Nós olhamos para SD-Access (DNA)

O SD-Access facilita a configuração de portas e direitos de acesso para conectar usuários. Isso é feito usando assistentes. Os parâmetros de porta são definidos em relação aos grupos “Administradores”, “Contabilidade”, “Impressoras”, e não a VLANs e sub-redes IP. Isso minimiza erros humanos. Se, por exemplo, uma empresa tem muitas filiais em toda a Rússia, mas o escritório central está sobrecarregado, o SD-Access permite resolver mais problemas localmente. Por exemplo, os mesmos problemas relacionados à solução de problemas.

Para a segurança da informação, é importante que o SD-Access envolva uma divisão clara de utilizadores e dispositivos em grupos e a definição de políticas de interação entre eles, autorização para qualquer ligação de cliente à rede e fornecimento de “direitos de acesso” em toda a rede. Se você seguir essa abordagem, a administração se tornará muito mais fácil.

O processo de inicialização de novos escritórios também é simplificado graças aos agentes Plug-and-Play nos switches. Não há necessidade de percorrer o país com um console, nem mesmo de ir ao local.

Aqui estão exemplos de configuração:

Estado geral.

Incidentes que um administrador deve revisar.

Recomendações automáticas sobre o que alterar nas configurações.

Planeje a integração de SD-WAN com SD-Access

Ouvi dizer que a Cisco tem esses planos - SD-WAN e SD-Access. Isso deve reduzir significativamente as hemorróidas ao gerenciar CSPDs locais e distribuídos geograficamente.

vManage (orquestrador SD-WAN) é gerenciado via API do DNA Center (controlador SD-Access).

As políticas de micro e macrossegmentação são mapeadas da seguinte forma:

No nível do pacote, tudo fica assim:

Quem pensa sobre isso e o quê?

Trabalhamos em SD-WAN desde 2016 num laboratório separado, onde testamos diferentes soluções para as necessidades do retalho, bancos, transportes e indústria.

Nós nos comunicamos muito com clientes reais.

Posso dizer que o varejo já está testando SD-WAN com segurança, e alguns estão fazendo isso com fornecedores (na maioria das vezes com a Cisco), mas também há aqueles que estão tentando resolver o problema por conta própria: estão escrevendo sua própria versão do software com funcionalidade semelhante ao SD-WAN.

Todos, de uma forma ou de outra, desejam alcançar o gerenciamento centralizado de todo o zoológico de equipamentos. Este é um ponto de administração para instalações não padronizadas e padrão para diferentes fornecedores e diferentes tecnologias. É importante minimizar o trabalho manual porque, em primeiro lugar, reduz o risco do fator humano na montagem dos equipamentos e, em segundo lugar, liberta os recursos do serviço de TI para resolver outros problemas. Normalmente, o reconhecimento da necessidade vem de ciclos de renovação muito longos em todo o país. E, por exemplo, se um varejista vende bebidas alcoólicas, ele precisa de comunicação constante para as vendas. A atualização ou o tempo de inatividade durante o dia afetam diretamente a receita.

Agora, no varejo, há uma compreensão clara de quais tarefas de TI usarão SD-WAN:

1. Implantação rápida (muitas vezes necessária em LTE antes da chegada do provedor de cabo, muitas vezes é necessário que o novo ponto seja levantado pelo administrador na cidade via GPC, e então a central simplesmente olha e configura).
2. Gestão centralizada, comunicação para objetos estranhos.
3. Redução de custos de telecomunicações.
4. Vários serviços adicionais (recursos DPI permitem priorizar a entrega de tráfego de aplicações importantes, como caixas registradoras).
5. Trabalhe com canais automaticamente, não manualmente.

E há também uma verificação de conformidade - todo mundo fala muito sobre isso, mas ninguém percebe isso como um problema. Manter que tudo funciona corretamente também funciona bem neste paradigma. Muitos acreditam que todo o mercado de tecnologia de rede caminhará nessa direção.

Os bancos, IMHO, estão atualmente testando SD-WAN como um novo recurso tecnológico. Estão aguardando o fim do suporte às gerações anteriores de equipamentos e só então mudarão. Os bancos geralmente têm uma atmosfera especial através dos canais de comunicação, por isso o estado atual da indústria não os incomoda muito. Os problemas residem antes em outros planos.

Ao contrário do mercado russo, o SD-WAN está a ser implementado ativamente na Europa. Os seus canais de comunicação são mais caros e, portanto, as empresas europeias trazem a sua pilha para as divisões russas. Na Rússia há uma certa estabilidade, porque o custo dos canais (mesmo quando a região é 25 vezes mais cara que o centro) parece bastante normal e não levanta dúvidas. De ano para ano, existe um orçamento incondicional para canais de comunicação.

Aqui está um exemplo da prática mundial, quando uma empresa economizou tempo e dinheiro usando SD-WAN na Cisco.

Existe uma empresa assim - National Instruments. A certa altura, começaram a compreender que a rede global de computadores, “obtida” pela combinação de 88 sites ao redor do mundo, era ineficaz. Além disso, a empresa não tinha capacidade e desempenho no seu abastecimento de água quente sanitária. Não houve equilíbrio entre o crescimento contínuo da empresa e o orçamento limitado de TI.

SD-WAN ajudou a National Instruments a reduzir os custos de MPLS em 25% (economizando US$ 450 no final de 2018), expandindo a largura de banda em 3%.

Como resultado da implementação do SD-WAN, a empresa recebeu uma rede inteligente definida por software e gerenciamento centralizado de políticas para otimizar automaticamente o tráfego e o desempenho dos aplicativos. Bem aqui - caso detalhado.

Aqui um caso absolutamente maluco de mudar um S7 para outro escritório, quando no início tudo começou difícil, mas interessante - foi preciso refazer 1,5 mil portas. Mas então algo deu errado e, como resultado, os administradores acabaram sendo os últimos antes do prazo, sobre quem recaem todos os atrasos acumulados.

Leia mais em inglês:

• American Banker: Fifth Third investe em atualização de rede de 5 anos com SD-WAN .
• Construindo o sucesso do Cloud SD-WAN na Koch.
• A jornada SD-WAN da McKesson para economia de custos .
• PoC e segmentação de varejo SD-WAN: lojas lacunares.
• e aqui Estudo global da Cisco sobre as tendências de rede no mundo.

Em russo:

• No CNews.
• Como implementamos o SD-Access e por que ele foi necessário.
• malha de rede para o centro de dados Cisco ACI - para ajudar o administrador.
• Canal estável baseado em redes SD-WAN definidas por software: resolvendo problemas de seleção de rotas.
• Meu e-mail, caso você tenha alguma dúvida ou queira testar suas tarefas em nosso estande, - [email protegido].

Fonte: habr.com