SD-WAN și ADN pentru a ajuta administratorul: caracteristici de arhitectură și practică

Un stand pe care îl puteți atinge în laboratorul nostru dacă doriți.

SD-WAN și SD-Access sunt două abordări proprii diferite pentru construirea de rețele. În viitor, ar trebui să fuzioneze într-o singură rețea de suprapunere, dar deocamdată se apropie. Logica este aceasta: luăm o rețea din anii 1990 și lansăm toate patch-urile și funcțiile necesare pe ea, fără a aștepta ca aceasta să devină un nou standard deschis în alți 10 ani.

SD-WAN este o corecție SDN pentru rețelele întreprinderilor distribuite. Transportul este separat, controlul este separat, deci controlul este simplificat.

Pro - toate canalele de comunicare sunt utilizate în mod activ, inclusiv cel de rezervă. Există rutarea pachetelor către aplicații: ce, prin ce canal și cu ce prioritate. O procedură simplificată pentru implementarea de noi puncte: în loc să lansați o configurație, trebuie doar să specificați adresa serverului Cisco pe internetul mare, centrul de date CROC sau clientul, de unde sunt preluate configurațiile specifice pentru rețeaua dvs.

SD-Access (DNA) este automatizarea managementului rețelei locale: configurare dintr-un singur punct, vrăjitori, interfețe convenabile. De fapt, o altă rețea este construită cu un transport diferit la nivel de protocol peste al tău, iar compatibilitatea cu rețelele mai vechi este asigurată la limitele perimetrului.

Ne vom ocupa și de asta mai jos.

Acum câteva demonstrații pe bancurile de testare din laboratorul nostru, cum arată și cum funcționează.

Să începem cu SD-WAN. Caracteristici principale:

• Simplificarea implementării de noi puncte (ZTP) - se presupune că alimentați cumva punctul cu adresa serverului cu setări. Punctul bate pe el, primește configurația, o rulează și este inclus în panoul de control. Acest lucru asigură Zero-Touch Provisioning (ZTP). Pentru a implementa un punct final, un inginer de rețea nu trebuie să se deplaseze la site. Principalul lucru este să porniți corect dispozitivul la fața locului și să conectați toate cablurile la acesta, apoi echipamentul se va conecta automat la sistem. Puteți descărca configurații prin interogări DNS în cloud-ul furnizorului de pe o unitate USB conectată sau puteți deschide un hyperlink de la un laptop conectat la dispozitiv prin Wi-Fi sau Ethernet.
• Simplificarea administrării de rutină a rețelei - configurație din șabloane, politici globale, configurate central pentru cel puțin cinci filiale, cel puțin 5. Totul dintr-un singur loc. Pentru a evita o călătorie lungă, există o opțiune foarte convenabilă de a reveni automat la configurația anterioară.
• Gestionarea traficului la nivel de aplicație - asigurând calitate și actualizări continue ale semnăturilor aplicației. Politicile sunt configurate și implementate central (nu este nevoie să scrieți și să actualizați hărți de rute pentru fiecare router, ca înainte). Puteți vedea cine trimite ce, unde și ce.
• Segmentarea rețelei. VPN-uri independente izolate deasupra întregii infrastructuri - fiecare cu propria sa rutare. În mod implicit, traficul dintre ele este închis; puteți deschide accesul numai la tipuri de trafic ușor de înțeles în noduri de rețea ușor de înțeles, de exemplu, trecând totul printr-un firewall sau un proxy mare.
• Vizibilitatea istoricului calității rețelei - cum au funcționat aplicațiile și canalele. Foarte util pentru analiza și corectarea situației chiar înainte ca utilizatorii să înceapă să primească reclamații cu privire la funcționarea instabilă a aplicațiilor.
• Vizibilitate pe canale - merită banii, sunt doi operatori diferiți care vin efectiv pe site-ul dvs. sau trec de fapt prin aceeași rețea și se degradează/cad în același timp.
• Vizibilitatea pentru aplicațiile cloud și direcționarea traficului prin anumite canale pe baza acesteia (Cloud Onramp).
• O bucată de hardware conține un router și un firewall (mai precis, NGFW). Mai puține piese hardware înseamnă că este mai ieftin să deschideți o nouă filială.

Componentele și arhitectura soluțiilor SD-WAN

Dispozitivele finale sunt routere WAN, care pot fi hardware sau virtuale.

Orchestratorii sunt un instrument de management al rețelei. Acestea sunt configurate cu parametrii dispozitivului final, politicile de rutare a traficului și funcționalitatea de securitate. Configurațiile rezultate sunt trimise automat prin rețeaua de control către noduri. În paralel, orchestratorul ascultă rețeaua și monitorizează disponibilitatea dispozitivelor, porturilor, canalelor de comunicație și încărcarea interfeței.

Instrumente de analiză. Ei realizează rapoarte pe baza datelor colectate de pe dispozitivele finale: istoricul calității canalelor, aplicațiile de rețea, disponibilitatea nodurilor etc.

Controlorii sunt responsabili pentru aplicarea politicilor de rutare a traficului în rețea. Cel mai apropiat analog al lor în rețelele tradiționale poate fi considerat BGP Route Reflector. Politicile globale pe care administratorul le configurează în orchestrator determină controlorii să schimbe compoziția tabelelor de rutare și să trimită informații actualizate către dispozitivele finale.

Ce primește serviciul IT de la SD-WAN:

1. Canalul de rezervă este în mod constant în uz (nu inactiv). Se dovedește mai ieftin pentru că îți poți permite două canale mai puțin groase.
2. Comutarea automată a traficului aplicației între canale.
3. Timp de administrator: puteți dezvolta rețeaua la nivel global, în loc să vă accesați cu crawlere fiecare componentă hardware cu configurații.
4. Viteza de a ridica noi ramuri. Ea este mult mai înaltă.
5. Mai puțin timp de nefuncționare în timp ce înlocuiți echipamentul mort.
6. Reconfigurați rapid rețeaua pentru servicii noi.

Ce obține o afacere de la SD-WAN:

1. Funcționare garantată a aplicațiilor de afaceri într-o rețea distribuită, inclusiv prin canale deschise de internet. Este vorba despre predictibilitatea afacerii.
2. Suport instantaneu pentru noi aplicații de afaceri în întreaga rețea distribuită, indiferent de numărul de filiale. Este vorba despre viteza afacerii.
3. Conectarea rapidă și sigură a filialelor din orice locație la distanță folosind orice tehnologie de conectare (Internetul este peste tot, dar liniile închiriate și VPN nu sunt). Este vorba despre flexibilitatea afacerii în alegerea unei locații.
4. Acesta ar putea fi un proiect cu livrare și punere în funcțiune sau poate fi un serviciu
   cu plăți lunare de la o companie IT, operator de telecomunicații sau operator cloud. Oricare este convenabil pentru tine.

Beneficiile de afaceri ale SD-WAN pot fi complet diferite, de exemplu, un client ne-a spus că un manager de top a primit o solicitare pentru o linie directă cu toți angajații unei companii cu mai multe mii și capacitatea de a livra conținut.

Pentru noi a fost o „operație militară”. În acel moment, rezolvăm deja problema modernizării CSPD. Și când înțelegem că, în principiu, trebuie să ne angajăm în renovarea echipamentelor, iar tehnologia a avansat, de ce ar trebui să ne angajăm în renovarea acelorași tehnologii și servicii dacă putem face un pas mai departe.

SD-WAN este instalat la fața locului de către Enikey. Acest lucru este important pentru sucursalele aflate la distanță, unde pur și simplu nu există un administrator normal. Trimiteți prin poștă, spuneți: „Conectați cablul 1 în cutia 1, cablul 2 în cutia 2 și nu îl amestecați! Nu vă încurcați, #@$@%!” Și dacă nu se amestecă, dispozitivul în sine comunică cu serverul central, preia și aplică configurațiile sale, iar acest birou devine parte a rețelei securizate a companiei. Este frumos când nu trebuie să călătorești și este ușor de justificat în buget.

Iată o diagramă a standului:

Câteva exemple de configurare:

Politică - reguli globale pentru gestionarea traficului. Editarea unei politici.

Activați politica de control al traficului.

Configurarea în masă a parametrilor de bază ale dispozitivului (adrese IP, pool-uri DHCP).

Capturi de ecran ale monitorizării performanței aplicațiilor

Pentru aplicații cloud.

Detalii pentru Office365.

Pentru aplicații on-prem. Din păcate, nu am putut găsi aplicații cu erori la standul nostru (rata de recuperare FEC este zero peste tot).

În plus - performanța canalelor de transmisie a datelor.

Ce hardware este acceptat pe SD-WAN

1. Platforme hardware:

• Routere Cisco vEdge (fost Viptela vEdge) care rulează Viptela OS.
• Routere de servicii integrate (ISR) din seria 1 și 000 care rulează IOS XE SD-WAN.
• Agregation Services Router (ASR) seria 1 care rulează IOS XE SD-WAN.

2. Platforme virtuale:

• Cloud Services Router (CSR) 1v care rulează IOS XE SD-WAN.
• vEdge Cloud Router care rulează Viptela OS.

Platformele virtuale pot fi implementate pe platformele de calcul Cisco x86, cum ar fi seria Enterprise Network Compute System (ENCS) 5, Unified Computing System (UCS) și Cloud Services Platform (CSP) seria 000. Platformele virtuale pot rula și pe orice dispozitiv x5 folosind un hypervisor precum KVM sau VMware ESi.

Cum rulează un dispozitiv nou

Lista dispozitivelor licențiate pentru implementare este descărcată fie dintr-un cont Cisco smart, fie încărcată ca fișier CSV. Voi încerca să obțin mai multe capturi de ecran mai târziu, chiar acum nu avem dispozitive noi de implementat.

Secvența de pași prin care trece un dispozitiv atunci când este implementat.

Cum este lansată o nouă metodă de livrare a dispozitivului/configurației

Adăugăm dispozitive la Smart Account.

Puteți descărca un fișier CSV sau puteți descărca unul odată:

Completați parametrii dispozitivului:

Apoi, în vManage sincronizăm datele cu Smart Account. Dispozitivul apare în listă:

În meniul drop-down de lângă dispozitiv, faceți clic pe Generare Bootstrap Configuration
și obțineți configurația inițială:

Această configurație trebuie să fie transmisă dispozitivului. Cel mai simplu mod este să conectați la dispozitiv o unitate flash cu un fișier salvat numit ciscosd-wan.cfg. La pornire, dispozitivul va căuta acest fișier.

După ce a primit configurația inițială, dispozitivul va putea ajunge la orchestrator și va primi o configurație completă de acolo.

Ne uităm la SD-Access (ADN)

SD-Access facilitează configurarea porturilor și a drepturilor de acces pentru conectarea utilizatorilor. Acest lucru se face folosind vrăjitori. Parametrii portului sunt setați în raport cu grupurile „Administratori”, „Contabilitate”, „Imprimante” și nu cu VLAN-urile și subrețelele IP. Acest lucru minimizează erorile umane. Dacă, de exemplu, o companie are multe sucursale în toată Rusia, dar biroul central este supraîncărcat, atunci SD-Access vă permite să rezolvați mai multe probleme la nivel local. De exemplu, aceleași probleme în ceea ce privește depanarea.

Pentru securitatea informațiilor, este important ca SD-Access să implice o împărțire clară a utilizatorilor și dispozitivelor în grupuri și definirea politicilor de interacțiune între aceștia, autorizarea oricărei conexiuni client la rețea și furnizarea de „drepturi de acces” în întreaga rețea. Dacă urmați această abordare, administrarea devine mult mai ușoară.

Procesul de pornire pentru noile birouri este, de asemenea, simplificat datorită agenților Plug-and-Play din comutatoare. Nu este nevoie să alergați peste tot cu o consolă sau chiar să mergeți la site.

Iată exemple de configurare:

Stare generală.

Incidente pe care un administrator ar trebui să le examineze.

Recomandări automate despre ce trebuie schimbat în configurații.

Planificați integrarea SD-WAN cu SD-Access

Am auzit că Cisco are astfel de planuri - SD-WAN și SD-Access. Acest lucru ar trebui să reducă semnificativ hemoroizii atunci când se gestionează CSPD locale și distribuite geografic.

vManage (orchestrator SD-WAN) este gestionat prin API de la DNA Center (controler SD-Access).

Politicile de micro și macro-segmentare sunt mapate după cum urmează:

La nivel de pachet, totul arată astfel:

Cine se gândește la asta și ce?

Lucrăm la SD-WAN din 2016 într-un laborator separat, unde testăm diferite soluții pentru nevoile retailului, băncilor, transporturilor și industriei.

Comunicăm foarte mult cu clienți reali.

Pot spune că comerțul cu amănuntul testează deja cu încredere SD-WAN, iar unii fac asta cu furnizori (cel mai adesea cu Cisco), dar există și cei care încearcă să rezolve singuri problema: își scriu propria versiune de software care este similar ca funcționalitate cu SD-WAN.

Toată lumea, într-un fel sau altul, își dorește să realizeze o gestionare centralizată a întregii grădini zoologice de echipamente. Acesta este un punct de administrare pentru instalațiile non-standard și cele standard pentru diferiți furnizori și diferite tehnologii. Este important să se minimizeze munca manuală pentru că, în primul rând, reduce riscul factorului uman la instalarea echipamentelor, iar în al doilea rând, eliberează resursele serviciului IT pentru a rezolva alte probleme. În mod obișnuit, recunoașterea necesității provine din cicluri de reînnoire foarte lungi în întreaga țară. Și, de exemplu, dacă un retailer vinde alcool, atunci are nevoie de comunicare constantă pentru vânzări. Actualizarea sau timpul de întrerupere în timpul zilei afectează direct veniturile.

Acum, în retail, există o înțelegere clară a sarcinilor IT care vor folosi SD-WAN:

1. Implementare rapidă (adesea necesară pe LTE înainte de sosirea furnizorului de cablu, adesea este necesar ca noul punct să fie ridicat de administrator în oraș prin GPC, iar apoi centrul pur și simplu caută și configurează).
2. Management centralizat, comunicare pentru obiecte străine.
3. Reducerea costurilor de telecomunicații.
4. Diverse servicii suplimentare (funcțiile DPI fac posibilă prioritizarea livrării de trafic din aplicații importante, cum ar fi casele de marcat).
5. Lucrați cu canalele automat, nu manual.

Și există și o verificare a conformității - toată lumea vorbește mult despre asta, dar nimeni nu o percepe ca pe o problemă. Menținerea faptului că totul funcționează corect, de asemenea, funcționează bine în această paradigmă. Mulți cred că întreaga piață a tehnologiei de rețea se va mișca în această direcție.

Băncile, IMHO, testează în prezent SD-WAN mai degrabă ca o nouă caracteristică tehnologică. Ei așteaptă sfârșitul suportului pentru generațiile anterioare de echipamente și abia atunci se vor schimba. Băncile au în general o atmosferă aparte prin canalele de comunicare, așa că starea actuală a industriei nu le deranjează foarte tare. Problemele se află mai degrabă pe alte planuri.

Spre deosebire de piața rusă, SD-WAN este implementat activ în Europa. Canalele lor de comunicare sunt mai scumpe și, prin urmare, companiile europene își aduc stack-ul în diviziile ruse. În Rusia, există o anumită stabilitate, deoarece costul canalelor (chiar și atunci când regiunea este de 25 de ori mai scumpă decât centrul) pare destul de normal și nu ridică întrebări. De la an la an, există un buget necondiționat pentru canalele de comunicare.

Iată un exemplu din practica mondială, când o companie a economisit timp și bani folosind SD-WAN pe Cisco.

Există o astfel de companie - National Instruments. La un moment dat, au început să înțeleagă că rețeaua globală de calculatoare, „obținută” prin combinarea a 88 de site-uri din întreaga lume, era ineficientă. În plus, compania nu avea capacitatea și performanța furnizării de apă caldă menajeră. Nu a existat un echilibru între creșterea continuă a companiei și bugetul IT limitat.

SD-WAN a ajutat National Instruments să reducă costurile MPLS cu 25% (economisind 450 USD la sfârșitul anului 2018), extinzând lățimea de bandă cu 3%.

Ca urmare a implementării SD-WAN, compania a primit o rețea inteligentă definită de software și un management centralizat al politicii pentru a optimiza automat traficul și performanța aplicațiilor. Chiar aici - caz detaliat.

Chiar aici un caz absolut nebun de mutare a unui S7 într-un alt birou, când la început totul a început dificil, dar interesant - a fost necesar să se refacă 1,5 mii de porturi. Dar apoi ceva a mers prost și drept urmare, administratorii s-au dovedit a fi ultimii înainte de termen, asupra cărora cad toate întârzierile acumulate.

Citiți mai multe în engleză:

• American Banker: Fifth Third investește în modernizarea rețelei de 5 ani cu SD-WAN .
• Construirea succesului Cloud SD-WAN la Koch.
• Călătoria SD-WAN a lui McKesson către economii de costuri .
• SD-WAN Retail PoC & Segmentare: Gap Stores.
• si aici Studiu global Cisco despre tendințele rețelelor din lume.

În rusă:

• Pe CNews.
• Cum am implementat SD-Access și de ce a fost necesar.
• Fabrică de rețea pentru centrul de date Cisco ACI - pentru a ajuta administratorul.
• Canal stabil bazat pe rețele SD-WAN definite de software: rezolvarea problemelor de selecție a rutei.
• E-mailul meu, dacă aveți întrebări sau doriți să vă testați sarcinile la standul nostru, - [e-mail protejat].

Sursa: www.habr.com