SD-WAN a DNA na pomoc správcovi: funkcie architektúry a prax

Stojan, ktorého sa môžete dotknúť v našom laboratóriu, ak chcete.

SD-WAN a SD-Access sú dva rôzne nové proprietárne prístupy k budovaniu sietí. V budúcnosti by sa mali zlúčiť do jednej prekryvnej siete, no zatiaľ sa len približujú. Logika je takáto: berieme sieť z 1990. rokov a zavádzame do nej všetky potrebné záplaty a funkcie bez toho, aby sme čakali, kým sa o ďalších 10 rokov stane novým otvoreným štandardom.

SD-WAN je oprava SDN pre distribuované podnikové siete. Doprava je oddelená, ovládanie je oddelené, takže ovládanie je zjednodušené.

Plusy - aktívne sa využívajú všetky komunikačné kanály, vrátane záložného. Existuje smerovanie paketov do aplikácií: aké, cez ktorý kanál a s akou prioritou. Zjednodušený postup nasadenia nových bodov: namiesto zavádzania konfigurácie stačí zadať adresu servera Cisco na veľkom internete, dátového centra CROC alebo zákazníka, odkiaľ sa berú konfigurácie špeciálne pre vašu sieť.

SD-Access (DNA) je automatizácia správy lokálnej siete: konfigurácia z jedného bodu, sprievodcovia, pohodlné rozhrania. V skutočnosti je iná sieť postavená s iným prenosom na úrovni protokolu nad vašou a kompatibilita so staršími sieťami je zabezpečená na hraniciach obvodu.

Aj tomu sa budeme venovať nižšie.

Teraz niekoľko ukážok na testovacích laviciach v našom laboratóriu, ako to vyzerá a funguje.

Začnime s SD-WAN. Hlavné rysy:

• Zjednodušenie nasadenia nových bodov (ZŤP) - predpokladá sa, že bod nejakým spôsobom napájate s adresou servera s nastaveniami. Bod naň zaklope, prijme konfiguráciu, zroluje ju a je súčasťou vášho ovládacieho panela. To zaisťuje Zero-Touch Provisioning (ZTP). Na nasadenie koncového bodu nemusí sieťový inžinier cestovať na miesto. Hlavná vec je správne zapnúť zariadenie na mieste a pripojiť k nemu všetky káble, potom sa zariadenie automaticky pripojí k systému. Konfigurácie si môžete stiahnuť prostredníctvom dotazov DNS v cloude dodávateľa z pripojenej jednotky USB alebo môžete otvoriť hypertextový odkaz z prenosného počítača pripojeného k zariadeniu cez Wi-Fi alebo Ethernet.
• Zjednodušenie rutinnej správy siete – konfigurácia zo šablón, globálne politiky, centrálne nakonfigurované pre minimálne päť pobočiek, minimálne 5 000. Všetko z jedného miesta. Aby ste sa vyhli dlhej ceste, je tu veľmi pohodlná možnosť automatického návratu k predchádzajúcej konfigurácii.
• Riadenie prevádzky na úrovni aplikácií – zabezpečenie kvality a nepretržitej aktualizácie podpisov aplikácií. Politiky sa konfigurujú a zavádzajú centrálne (nie je potrebné písať a aktualizovať mapy trás pre každý smerovač, ako predtým). Vidíte, kto čo posiela, kam a čo.
• Segmentácia siete. Nezávislé izolované VPN nad celou infraštruktúrou – každá s vlastným smerovaním. V predvolenom nastavení je komunikácia medzi nimi uzavretá, prístup môžete otvoriť iba zrozumiteľným typom prevádzky v zrozumiteľných sieťových uzloch, napríklad prechádzaním cez veľký firewall alebo proxy.
• Viditeľnosť histórie kvality siete – ako aplikácie a kanály fungovali. Veľmi užitočné na analýzu a nápravu situácie ešte predtým, ako používatelia začnú dostávať sťažnosti na nestabilnú prevádzku aplikácií.
• Viditeľnosť naprieč kanálmi – stojí za to peniaze, či na vašu stránku skutočne prichádzajú dvaja rôzni operátori, alebo v skutočnosti prechádzajú tou istou sieťou a súčasne sa zhoršujú/klesajú.
• Viditeľnosť pre cloudové aplikácie a riadenie prevádzky cez určité kanály na jej základe (Cloud Onramp).
• Jeden kus hardvéru obsahuje router a firewall (presnejšie NGFW). Menej kusov hardvéru znamená, že otvorenie novej pobočky je lacnejšie.

Komponenty a architektúra SD-WAN riešení

Koncové zariadenia sú smerovače WAN, ktoré môžu byť hardvérové ​​alebo virtuálne.

Orchestratori sú nástrojom na správu siete. Sú nakonfigurované s parametrami koncového zariadenia, politikami smerovania prevádzky a funkcionalitou zabezpečenia. Výsledné konfigurácie sa automaticky odosielajú cez riadiacu sieť do uzlov. Paralelne orchestrátor počúva sieť a monitoruje dostupnosť zariadení, portov, komunikačných kanálov a zaťaženie rozhrania.

Analytické nástroje. Vytvárajú správy na základe údajov zozbieraných z koncových zariadení: história kvality kanálov, sieťové aplikácie, dostupnosť uzlov atď.

Radiče sú zodpovedné za uplatňovanie pravidiel smerovania prevádzky v sieti. Ich najbližší analóg v tradičných sieťach možno považovať za BGP Route Reflector. Globálne politiky, ktoré správca konfiguruje v orchestrátore, spôsobujú, že radiče menia zloženie svojich smerovacích tabuliek a odosielajú aktualizované informácie koncovým zariadeniam.

Čo IT služba získa z SD-WAN:

1. Záložný kanál sa neustále používa (nie je nečinný). Vyjde to lacnejšie, pretože si môžete dovoliť dva menej hrubé kanály.
2. Automatické prepínanie prevádzky aplikácií medzi kanálmi.
3. Čas správcu: sieť môžete rozvíjať globálne, namiesto toho, aby ste prechádzali každým hardvérom pomocou konfigurácií.
4. Rýchlosť pestovania nových konárov. Je oveľa vyššia.
5. Menej prestojov pri výmene mŕtveho zariadenia.
6. Rýchlo prekonfigurujte sieť pre nové služby.

Čo firma získa z SD-WAN:

1. Zaručená prevádzka podnikových aplikácií v distribuovanej sieti, a to aj prostredníctvom otvorených internetových kanálov. Ide o obchodnú predvídateľnosť.
2. Okamžitá podpora nových podnikových aplikácií v celej distribuovanej sieti bez ohľadu na počet pobočiek. Ide o rýchlosť podnikania.
3. Rýchle a bezpečné pripojenie pobočiek v ľubovoľných vzdialených lokalitách pomocou akýchkoľvek technológií pripojenia (internet je všade, ale prenajaté linky a VPN nie). Ide o flexibilitu podnikania pri výbere miesta.
4. Môže to byť projekt s dodávkou a uvedením do prevádzky, alebo to môže byť služba
   s mesačnými platbami od IT spoločnosti, telekomunikačného operátora alebo cloudového operátora. Čo je pre vás výhodné.

Obchodné výhody SD-WAN môžu byť úplne iné, napríklad jeden zákazník nám povedal, že top manažér dostal požiadavku na priamu linku so všetkými zamestnancami mnohotisícovej firmy a možnosť dodávať obsah.

Pre nás to bola „vojenská operácia“. V tom momente sme už riešili problém modernizácie CSPD. A keď pochopíme, že sa v zásade musíme zapojiť do renovácie zariadení a technologický zásobník sa posunul dopredu, prečo by sme sa mali zapájať do renovácie tých istých technológií a služieb, ak môžeme urobiť krok ďalej.

SD-WAN je nainštalovaný na mieste spoločnosťou Enikey. To je dôležité pre vzdialené pobočky, kde jednoducho nemusí byť normálny správca. Pošlite poštou a povedzte: „Zapojte kábel 1 do krabice 1, kábel 2 do krabice 2 a nemiešajte to! Nenechajte sa zmiasť, #@$@%!“ A ak si to nepomiešajú, samotné zariadenie komunikuje s centrálnym serverom, preberá a aplikuje svoje konfigurácie a táto kancelária sa stáva súčasťou zabezpečenej siete spoločnosti. Je pekné, keď nemusíte cestovať a je ľahké to odôvodniť vo svojom rozpočte.

Tu je schéma stojanu:

Niektoré príklady konfigurácie:

Politika—globálne pravidlá riadenia dopravy. Úprava politiky.

Aktivujte politiku riadenia premávky.

Hromadná konfigurácia základných parametrov zariadenia (IP adresy, DHCP pooly).

Snímky obrazovky monitorovania výkonu aplikácie

Pre cloudové aplikácie.

Podrobnosti pre Office365.

Pre on-prem aplikácie. Žiaľ, na našom stánku sa nám nepodarilo nájsť aplikácie s chybami (FEC Recovery rate je všade nulová).

Okrem toho - výkon kanálov prenosu údajov.

Aký hardvér je podporovaný na SD-WAN

1. Hardvérové ​​platformy:

• Smerovače Cisco vEdge (predtým Viptela vEdge) so systémom Viptela OS.
• Smerovače s integrovanými službami (ISR) radu 1 a 000 so systémom IOS XE SD-WAN.
• Aggregation Services Router (ASR) séria 1 so systémom IOS XE SD-WAN.

2. Virtuálne platformy:

• Cloud Services Router (CSR) 1v so systémom IOS XE SD-WAN.
• vEdge Cloud Router so systémom Viptela OS.

Virtuálne platformy je možné nasadiť na výpočtových platformách Cisco x86, ako sú Enterprise Network Compute System (ENCS) série 5, Unified Computing System (UCS) a Cloud Services Platform (CSP) série 000. Virtuálne platformy môžu bežať aj na akomkoľvek x5 zariadení. pomocou hypervízora, ako je KVM alebo VMware ESi.

Ako funguje nové zariadenie

Zoznam licencovaných zariadení na nasadenie sa stiahne buď z Cisco smart účtu, alebo sa nahrá ako súbor CSV. Neskôr sa pokúsim získať ďalšie snímky obrazovky, momentálne nemáme žiadne nové zariadenia na nasadenie.

Postupnosť krokov, ktorými zariadenie prechádza pri nasadení.

Ako sa zavádza nový spôsob doručovania zariadení/konfigurácií

Do inteligentného účtu pridávame zariadenia.

Môžete si stiahnuť súbor CSV alebo si môžete stiahnuť jeden po druhom:

Vyplňte parametre zariadenia:

Ďalej vo vManage synchronizujeme údaje s inteligentným účtom. Zariadenie sa zobrazí v zozname:

V rozbaľovacej ponuke oproti zariadeniu kliknite na Generate Bootstrap Configuration
a získajte počiatočnú konfiguráciu:

Táto konfigurácia musí byť odovzdaná do zariadenia. Najjednoduchším spôsobom je pripojiť k zariadeniu flash disk s uloženým súborom s názvom ciscosd-wan.cfg. Pri zavádzaní bude zariadenie hľadať tento súbor.

Po prijatí počiatočnej konfigurácie bude zariadenie schopné dosiahnuť orchestrátor a odtiaľ získať úplnú konfiguráciu.

Pozeráme sa na SD-Access (DNA)

SD-Access uľahčuje konfiguráciu portov a prístupových práv pre pripojenie používateľov. To sa vykonáva pomocou sprievodcov. Parametre portov sa nastavujú vo vzťahu k skupinám „Správcovia“, „Účtovníctvo“, „Tlačiarne“, a nie k sieťam VLAN a podsieňam IP. Tým sa minimalizujú ľudské chyby. Ak má napríklad spoločnosť veľa pobočiek po celom Rusku, ale centrála je preťažená, SD-Access vám umožní riešiť viac problémov lokálne. Napríklad rovnaké problémy týkajúce sa riešenia problémov.

Pre bezpečnosť informácií je dôležité, aby SD-Access zahŕňal jasné rozdelenie používateľov a zariadení do skupín a definovanie interakčných politík medzi nimi, autorizáciu akéhokoľvek pripojenia klienta k sieti a poskytovanie „prístupových práv“ v celej sieti. Ak budete postupovať podľa tohto prístupu, administratíva bude oveľa jednoduchšia.

Proces spúšťania nových kancelárií je tiež zjednodušený vďaka Plug-and-Play agentom v prepínačoch. Netreba behať krížom krážom s konzolou, či dokonca chodiť na stránku vôbec.

Tu sú príklady konfigurácie:

Všeobecný stav.

Incidenty, ktoré by mal skontrolovať správca.

Automatické odporúčania, čo zmeniť v konfiguráciách.

Plán na integráciu SD-WAN s SD-Access

Počul som, že Cisco má také plány - SD-WAN a SD-Access. To by malo výrazne znížiť hemoroidy pri liečbe geograficky distribuovaných a miestnych CSPD.

vManage (SD-WAN orchestrator) je riadený cez API z DNA Center (SD-Access controller).

Politiky mikro- a makrosegmentácie sú zmapované takto:

Na úrovni balíka všetko vyzerá takto:

Kto si o tom myslí a čo?

Na SD-WAN pracujeme od roku 2016 v samostatnom laboratóriu, kde testujeme rôzne riešenia pre potreby maloobchodu, bánk, dopravy a priemyslu.

Veľa komunikujeme so skutočnými zákazníkmi.

Môžem povedať, že maloobchod už s istotou testuje SD-WAN a niektorí to robia s dodávateľmi (najčastejšie so spoločnosťou Cisco), ale sú aj takí, ktorí sa snažia problém vyriešiť sami: píšu svoju vlastnú verziu softvér, ktorý má podobnú funkčnosť ako SD-WAN.

Každý, tak či onak, chce dosiahnuť centralizovanú správu vybavenia celej zoo. Toto je jeden bod administrácie pre neštandardné inštalácie a štandardné pre rôznych predajcov a rôzne technológie. Je dôležité minimalizovať manuálnu prácu, pretože po prvé znižuje riziko ľudského faktora pri nastavovaní zariadení a po druhé uvoľňuje zdroje IT služby na riešenie iných problémov. Rozpoznanie potreby zvyčajne pochádza z veľmi dlhých cyklov obnovy v celej krajine. A ak napríklad predajca predáva alkohol, tak potrebuje neustálu komunikáciu pre predaj. Aktualizácia alebo výpadok počas dňa priamo ovplyvňuje výnosy.

Teraz v maloobchode je jasné, aké úlohy IT budú používať SD-WAN:

1. Rýchle nasadenie (často potrebné na LTE ešte pred príchodom káblového providera, často je potrebné, aby nový bod zdvihol správca v meste cez GPC a potom sa centrum jednoducho pozrie a nakonfiguruje).
2. Centralizované riadenie, komunikácia pre cudzie predmety.
3. Zníženie nákladov na telekomunikácie.
4. Rôzne doplnkové služby (funkcie DPI umožňujú uprednostniť doručovanie návštevnosti z dôležitých aplikácií, ako sú registračné pokladnice).
5. Pracujte s kanálmi automaticky, nie manuálne.

A je tam aj kontrola dodržiavania – všetci o tom veľa hovoria, ale nikto to nevníma ako problém. Udržiavanie toho, že všetko funguje správne, funguje dobre aj v tejto paradigme. Mnohí veria, že celý trh sieťových technológií sa bude uberať týmto smerom.

Banky, IMHO, v súčasnosti testujú SD-WAN skôr ako novú technologickú funkciu. Čakajú na koniec podpory pre predchádzajúce generácie zariadení a až potom sa zmenia. Banky majú vo všeobecnosti svoju osobitú atmosféru prostredníctvom komunikačných kanálov, takže súčasný stav v odvetví ich veľmi netrápi. Problémy sú skôr v iných rovinách.

Na rozdiel od ruského trhu sa SD-WAN aktívne implementuje v Európe. Ich komunikačné kanály sú drahšie, a preto európske spoločnosti prinášajú svoje zásoby do ruských divízií. V Rusku existuje určitá stabilita, pretože náklady na kanály (aj keď je región 25-krát drahší ako centrum) vyzerajú celkom normálne a nevyvolávajú otázky. Z roka na rok existuje bezpodmienečný rozpočet na komunikačné kanály.

Tu je príklad zo svetovej praxe, keď firma ušetrila čas a peniaze pomocou SD-WAN na Cisco.

Existuje taká spoločnosť - National Instruments. V určitom bode začali chápať, že globálna počítačová sieť „získaná“ spojením 88 lokalít po celom svete je neúčinná. Okrem toho spoločnosti chýbali kapacity a výkon dodávky teplej úžitkovej vody. Medzi neustálym rastom spoločnosti a obmedzeným rozpočtom na IT nebola žiadna rovnováha.

SD-WAN pomohla spoločnosti National Instruments znížiť náklady na MPLS o 25 % (úspora 450 2018 USD na konci roka 3), čím sa rozšírila šírka pásma o 075 XNUMX %.

V dôsledku implementácie SD-WAN spoločnosť získala inteligentnú softvérovo definovanú sieť a centralizovanú správu politík na automatickú optimalizáciu prevádzky a výkonu aplikácií. Práve tu - podrobný prípad.

Práve tu absolútne šialený prípad presunu S7 do inej kancelárie, keď sa spočiatku všetko začalo ťažko, ale zaujímavo - bolo potrebné prerobiť 1,5 tisíc portov. Potom sa však niečo pokazilo a vo výsledku sa ukázalo, že admini boli poslední pred termínom, na ktorých padajú všetky nahromadené prieťahy.

Prečítajte si viac v angličtine:

• American Banker: Fifth Third investuje do 5-ročného upgradu siete pomocou SD-WAN .
• Budovanie úspechu cloudovej SD-WAN v Koch.
• McKessonova cesta SD-WAN k úsporám nákladov .
• SD-WAN Retail PoC & Segmentation: Gap Stores.
• a tu Globálna štúdia Cisco o sieťových trendoch vo svete.

V ruštine:

• Na CNews.
• Ako sme implementovali SD-Access a prečo to bolo potrebné.
• Sieťová štruktúra pre dátové centrum Cisco ACI - na pomoc správcovi.
• Stabilný kanál založený na softvérovo definovaných sieťach SD-WAN: riešenie problémov s výberom trasy.
• Môj e-mail, ak máte nejaké otázky alebo by ste chceli vyskúšať svoje úlohy v našom stánku, - [chránené e-mailom].

Zdroj: hab.com