SD-WAN in DNA za pomoč skrbniku: značilnosti arhitekture in praksa

Stojalo, ki se ga lahko dotaknete v našem laboratoriju, če želite.

SD-WAN in SD-Access sta dva različna nova lastniška pristopa k izgradnji omrežij. V prihodnje naj bi se združili v eno prekrivno mrežo, a za zdaj se le približujejo. Logika je naslednja: vzamemo omrežje iz devetdesetih let prejšnjega stoletja in vanj uvedemo vse potrebne popravke in funkcije, ne da bi čakali, da postane nov odprti standard čez naslednjih 1990 let.

SD-WAN je popravek SDN za porazdeljena omrežja podjetij. Transport je ločen, nadzor je ločen, zato je nadzor poenostavljen.

Prednosti - vsi komunikacijski kanali se aktivno uporabljajo, vključno z rezervnim. Obstaja usmerjanje paketov do aplikacij: kaj, prek katerega kanala in s kakšno prioriteto. Poenostavljen postopek uvajanja novih točk: namesto namestitve konfiguracije samo določite naslov Ciscovega strežnika na velikem internetu, podatkovnega centra CROC ali naročnika, od koder se vzamejo konfiguracije posebej za vaše omrežje.

SD-Access (DNA) je avtomatizacija upravljanja lokalnega omrežja: konfiguracija z ene točke, čarovniki, priročni vmesniki. Pravzaprav je drugo omrežje zgrajeno z drugačnim transportom na ravni protokola poleg vašega, združljivost s starejšimi omrežji pa je zagotovljena na mejah oboda.

Tudi to bomo obravnavali v nadaljevanju.

Zdaj pa nekaj predstavitev na preskusnih mizah v našem laboratoriju, kako izgleda in deluje.

Začnimo s SD-WAN. Glavne značilnosti:

• Poenostavitev uvajanja novih točk (ZTP) - predpostavlja se, da točko nekako napajate z naslovom strežnika z nastavitvami. Točka potrka nanjo, prejme konfiguracijo, jo navije in je vključena v vašo nadzorno ploščo. To zagotavlja Zero-Touch Provisioning (ZTP). Za uvedbo končne točke omrežnemu inženirju ni treba potovati na lokacijo. Glavna stvar je, da pravilno vklopite napravo na mestu in nanjo priključite vse kable, nato pa se bo oprema samodejno povezala s sistemom. Konfiguracije lahko prenesete prek poizvedb DNS v oblaku prodajalca s povezanega pogona USB ali pa odprete hiperpovezavo iz prenosnika, povezanega z napravo prek Wi-Fi ali Ethernet.
• Poenostavitev rutinske administracije omrežja - konfiguracija iz predlog, globalne politike, centralno konfigurirana za vsaj pet poslovalnic, najmanj 5. Vse z enega mesta. Da bi se izognili dolgemu potovanju, obstaja zelo priročna možnost za samodejno vrnitev na prejšnjo konfiguracijo.
• Upravljanje prometa na ravni aplikacije—zagotavljanje kakovostnih in stalnih posodobitev podpisov aplikacij. Politike so konfigurirane in uvedene centralno (ni treba pisati in posodabljati zemljevidov poti za vsak usmerjevalnik, kot prej). Vidite lahko, kdo kaj pošilja, kam in kaj.
• Segmentacija omrežja. Neodvisni izolirani VPN-ji na vrhu celotne infrastrukture - vsak s svojim usmerjanjem. Promet med njimi je privzeto zaprt; dostop lahko odprete samo do razumljivih vrst prometa v razumljivih omrežnih vozliščih, na primer tako, da vse prenesete skozi velik požarni zid ali proxy.
• Vidnost zgodovine kakovosti omrežja – delovanje aplikacij in kanalov. Zelo uporabno za analizo in popravljanje stanja, še preden uporabniki začnejo prejemati pritožbe o nestabilnem delovanju aplikacij.
• Vidnost med kanali – ali so vredni svojega denarja, ali na vaše spletno mesto dejansko prihajata dva različna operaterja ali dejansko gredo skozi isto omrežje in se poslabšajo/padejo hkrati.
• Vidnost za oblačne aplikacije in vodenje prometa po določenih kanalih na podlagi tega (Cloud Onramp).
• En kos strojne opreme vsebuje usmerjevalnik in požarni zid (natančneje NGFW). Manj kosov strojne opreme pomeni, da je ceneje odpreti novo podružnico.

Komponente in arhitektura rešitev SD-WAN

Končne naprave so WAN usmerjevalniki, ki so lahko strojni ali virtualni.

Orkestratorji so orodje za upravljanje omrežja. Konfigurirani so s parametri končne naprave, pravilniki o usmerjanju prometa in varnostnimi funkcijami. Konfiguracije, ki iz tega izhajajo, se samodejno pošljejo vozliščem prek nadzornega omrežja. Vzporedno orkestrator posluša omrežje in spremlja razpoložljivost naprav, vrat, komunikacijskih kanalov in nalaganje vmesnika.

Orodja za analitiko. Izdelujejo poročila na podlagi podatkov, zbranih s končnih naprav: zgodovina kakovosti kanalov, omrežne aplikacije, razpoložljivost vozlišč itd.

Krmilniki so odgovorni za uporabo politik usmerjanja prometa v omrežju. Njihov najbližji analog v tradicionalnih omrežjih se lahko šteje za BGP Route Reflector. Globalni pravilniki, ki jih skrbnik konfigurira v orkestratorju, povzročijo, da krmilniki spremenijo sestavo svojih usmerjevalnih tabel in pošljejo posodobljene informacije končnim napravam.

Kaj storitev IT dobi od SD-WAN:

1. Rezervni kanal je stalno v uporabi (ni v mirovanju). Izpade ceneje, ker si lahko privoščiš dva manj debela kanala.
2. Samodejno preklapljanje aplikacijskega prometa med kanali.
3. Čas skrbnika: omrežje lahko razvijete globalno, namesto da se plazite po vsakem kosu strojne opreme s konfiguracijami.
4. Hitrost vzgajanja novih vej. Je veliko višja.
5. Manj izpadov med zamenjavo odslužene opreme.
6. Hitro znova konfigurirajte omrežje za nove storitve.

Kaj dobi podjetje od SD-WAN:

1. Zagotovljeno delovanje poslovnih aplikacij v porazdeljenem omrežju, tudi prek odprtih internetnih kanalov. Gre za predvidljivost poslovanja.
2. Takojšnja podpora za nove poslovne aplikacije v celotnem porazdeljenem omrežju, ne glede na število poslovalnic. Gre za poslovno hitrost.
3. Hitro in varno povezovanje poslovalnic na vseh oddaljenih lokacijah s pomočjo poljubnih povezovalnih tehnologij (internet je povsod, zakupljene linije in VPN pa ne). Tu gre za poslovno fleksibilnost pri izbiri lokacije.
4. To je lahko projekt z dobavo in zagonom ali pa storitev
   z mesečnimi plačili IT podjetja, telekomunikacijskega operaterja ali operaterja v oblaku. Karkoli vam ustreza.

Poslovne koristi SD-WAN so lahko povsem različne, ena stranka nam je na primer povedala, da je najvišji vodja prejel zahtevo za neposredno linijo z vsemi zaposlenimi večtisočglavega podjetja in možnost dostave vsebine.

Za nas je bila to »vojaška operacija«. V tistem trenutku smo že reševali problem posodobitve CSPD. In ko razumemo, da se moramo načeloma ukvarjati s prenovo opreme in je tehnološki sklop šel naprej, zakaj bi se ukvarjali s prenovo istih tehnologij in storitev, če lahko naredimo korak naprej.

SD-WAN na mestu namesti Enikey. To je pomembno za oddaljene podružnice, kjer morda preprosto ni običajnega skrbnika. Pošljite po pošti in recite: »Priključite kabel 1 v škatlo 1, kabel 2 v škatlo 2 in ne mešajte! Ne dajte se zmesti, #@$@%!« In če tega ne pomešajo, naprava sama komunicira z osrednjim strežnikom, pobere in uporabi svoje konfiguracije in ta pisarna postane del varnega omrežja podjetja. Lepo je, ko vam ni treba potovati in je to enostavno upravičiti v proračunu.

Tukaj je diagram stojala:

Nekaj ​​primerov konfiguracije:

Politika - globalna pravila za upravljanje prometa. Urejanje pravilnika.

Aktivirajte politiko nadzora prometa.

Masovna konfiguracija osnovnih parametrov naprave (IP naslovi, DHCP bazeni).

Posnetki zaslona spremljanja delovanja aplikacije

Za aplikacije v oblaku.

Podrobnosti za Office365.

Za lokalne aplikacije. Na žalost nismo mogli najti aplikacij z napakami na naši stojnici (FEC Recovery rate je povsod nič).

Dodatno - zmogljivost kanalov za prenos podatkov.

Katera strojna oprema je podprta na SD-WAN

1. Platforme strojne opreme:

• Usmerjevalniki Cisco vEdge (prej Viptela vEdge), ki uporabljajo Viptela OS.
• Usmerjevalniki integriranih storitev serije 1 in 000 (ISR), ki uporabljajo IOS XE SD-WAN.
• Usmerjevalnik storitev združevanja (ASR) serije 1 z operacijskim sistemom IOS XE SD-WAN.

2. Virtualne platforme:

• Usmerjevalnik storitev v oblaku (CSR) 1v z operacijskim sistemom IOS XE SD-WAN.
• vEdge Cloud Router z operacijskim sistemom Viptela.

Virtualne platforme je mogoče namestiti na računalniških platformah Cisco x86, kot so Enterprise Network Compute System (ENCS) serije 5, Unified Computing System (UCS) in Cloud Services Platform (CSP) serije 000. Virtualne platforme lahko delujejo tudi na kateri koli napravi x5 z uporabo hipervizorja, kot je KVM ali VMware ESi.

Kako deluje nova naprava

Seznam licenčnih naprav za uvedbo se prenese iz pametnega računa Cisco ali naloži kot datoteka CSV. Pozneje bom poskušal pridobiti več posnetkov zaslona, ​​trenutno nimamo novih naprav za uvajanje.

Zaporedje korakov, skozi katere gre naprava, ko je uvedena.

Kako se uvede nov način dostave naprave/konfiguracije

Naprave dodajamo v pametni račun.

Lahko prenesete datoteko CSV ali eno za drugo:

Izpolnite parametre naprave:

Nato v vManage sinhroniziramo podatke s pametnim računom. Naprava se prikaže na seznamu:

V spustnem meniju nasproti naprave kliknite Generate Bootstrap Configuration
in dobite začetno konfiguracijo:

To konfiguracijo je treba vnesti v napravo. Najlažji način je, da na napravo povežete bliskovni pogon s shranjeno datoteko z imenom ciscosd-wan.cfg. Ob zagonu bo naprava iskala to datoteko.

Po prejemu začetne konfiguracije bo naprava lahko dosegla orkestrator in od tam prejela celotno konfiguracijo.

Pogledamo SD-Access (DNK)

SD-Access omogoča preprosto konfiguriranje vrat in pravic dostopa za povezovalne uporabnike. To se naredi s pomočjo čarovnikov. Parametri vrat so nastavljeni glede na skupine »Administrators«, »Accounting«, »Printers« in ne glede na omrežja VLAN in podomrežja IP. To zmanjšuje človeške napake. Če ima na primer podjetje veliko podružnic po Rusiji, vendar je centralna pisarna preobremenjena, vam SD-Access omogoča lokalno reševanje več težav. Na primer, iste težave pri odpravljanju težav.

Za informacijsko varnost je pomembno, da SD-Access vključuje jasno razdelitev uporabnikov in naprav v skupine ter opredelitev politik interakcije med njimi, avtorizacijo za morebitno povezavo odjemalca v omrežje in zagotavljanje »pravic dostopa« v celotnem omrežju. Če sledite temu pristopu, postane upravljanje veliko lažje.

Postopek zagona za nove pisarne je prav tako poenostavljen zahvaljujoč agentom Plug-and-Play v stikalih. Ni vam treba teči po smučišču s konzolo ali sploh iti na stran.

Tukaj so primeri konfiguracije:

Splošno stanje.

Dogodki, ki jih mora skrbnik pregledati.

Samodejna priporočila o tem, kaj spremeniti v konfiguracijah.

Načrt za integracijo SD-WAN s SD-Access

Slišal sem, da ima Cisco takšne načrte - SD-WAN in SD-Access. To bi moralo znatno zmanjšati hemoroide pri upravljanju geografsko porazdeljenih in lokalnih CSPD.

vManage (orkestrator SD-WAN) se upravlja prek API-ja iz centra DNA (krmilnik SD-Access).

Politike mikro- in makrosegmentacije so preslikane na naslednji način:

Na ravni paketa je vse videti takole:

Kdo si o tem misli in kaj?

SD-WAN delamo od leta 2016 v ločenem laboratoriju, kjer testiramo različne rešitve za potrebe maloprodaje, bank, transporta in industrije.

Veliko komuniciramo z resničnimi strankami.

Lahko rečem, da trgovina na drobno že samozavestno testira SD-WAN, nekateri to počnejo s prodajalci (najpogosteje s Ciscom), obstajajo pa tudi takšni, ki poskušajo težavo rešiti sami: pišejo svojo različico programsko opremo, ki je po funkcionalnosti podobna SD-WAN.

Vsak si tako ali drugače želi doseči centralizirano upravljanje celotne opreme živalskega vrta. To je ena točka administracije za nestandardne namestitve in standardne za različne prodajalce in različne tehnologije. Pomembno je čim bolj zmanjšati ročno delo, ker po eni strani zmanjša tveganje človeškega faktorja pri postavljanju opreme, po drugi strani pa sprosti vire IT službe za reševanje drugih nalog. Običajno priznanje potrebe izvira iz zelo dolgih ciklov obnavljanja po vsej državi. In na primer, če trgovec na drobno prodaja alkohol, potem potrebuje stalno komunikacijo za prodajo. Posodabljanje ali nedelovanje čez dan neposredno vpliva na prihodke.

Zdaj v maloprodaji obstaja jasno razumevanje, katere IT naloge bodo uporabljale SD-WAN:

1. Hitra uvedba (pogosto potrebna na LTE, preden pride kabelski ponudnik, pogosto je potrebno, da novo točko dvigne skrbnik v mestu prek GPC, nato pa center preprosto pogleda in konfigurira).
2. Centralizirano upravljanje, komunikacija za tuje predmete.
3. Zmanjšanje telekomunikacijskih stroškov.
4. Različne dodatne storitve (Funkcije DPI omogočajo prednostno določanje dostave prometa iz pomembnih aplikacij, kot so blagajne).
5. Delajte s kanali samodejno, ne ročno.

In tu je tudi preverjanje skladnosti – o tem vsi veliko govorijo, a nihče tega ne dojema kot problem. V tej paradigmi dobro deluje tudi vzdrževanje, da vse deluje pravilno. Mnogi menijo, da se bo ves trg omrežne tehnologije premikal v to smer.

Banke, IMHO, trenutno preizkušajo SD-WAN kot novo tehnološko funkcijo. Čakajo na konec podpore za prejšnje generacije opreme in šele nato se bodo menjali. Banke imajo na splošno svoje posebno vzdušje prek komunikacijskih kanalov, zato jih trenutno stanje v panogi ne moti preveč. Težave so bolj na drugih ravneh.

Za razliko od ruskega trga se SD-WAN aktivno uvaja v Evropi. Njihovi komunikacijski kanali so dražji, zato evropska podjetja prenašajo svoj kup v ruske oddelke. V Rusiji obstaja določena stabilnost, saj so stroški kanalov (tudi če je regija 25-krat dražja od centra) videti povsem običajni in ne vzbujajo vprašanj. Iz leta v leto je nepogojen proračun za komunikacijske kanale.

Tukaj je primer iz svetovne prakse, ko je podjetje prihranilo čas in denar z uporabo SD-WAN na Ciscu.

Obstaja takšno podjetje - National Instruments. Na določeni točki so začeli razumeti, da je globalno računalniško omrežje, "dobljeno" z združevanjem 88 lokacij po vsem svetu, neučinkovito. Poleg tega je podjetju primanjkovalo zmogljivosti in učinkovitosti oskrbe s sanitarno toplo vodo. Ni bilo ravnotežja med nenehno rastjo podjetja in omejenim proračunom za IT.

SD-WAN je podjetju National Instruments pomagal zmanjšati stroške MPLS za 25 % (prihranek 450 $ ob koncu leta 2018) in razširiti pasovno širino za 3 %.

Kot rezultat implementacije SD-WAN je podjetje prejelo pametno programsko definirano omrežje in centralizirano upravljanje politik za samodejno optimizacijo prometa in delovanja aplikacij. Tukaj - podroben primer.

Tukaj popolnoma nor primer selitve S7 v drugo pisarno, ko se je sprva vse začelo težko, a zanimivo - bilo je treba ponoviti 1,5 tisoč vrat. Potem pa je šlo nekaj narobe in posledično so se admini izkazali kot zadnji pred rokom, na katere padejo vse nakopičene zamude.

Preberite več v angleščini:

• American Banker: Fifth Third vlaga v 5-letno nadgradnjo omrežja s SD-WAN .
• Gradnja uspeha Cloud SD-WAN pri Kochu.
• McKessonova pot SD-WAN do prihrankov .
• SD-WAN Retail PoC in segmentacija: Gap Stores.
• Vendar Ciscova globalna študija o omrežnih trendih v svetu.

V ruščini:

• Na CNews.
• Kako smo implementirali SD-Access in zakaj je bil potreben.
• Omrežna struktura za podatkovni center Cisco ACI - v pomoč skrbniku.
• Stabilen kanal, ki temelji na programsko definiranih omrežjih SD-WAN: reševanje težav z izbiro poti.
• Moj e-poštni naslov, če imate kakršna koli vprašanja ali želite preizkusiti svoje naloge na naši stojnici, - [e-pošta zaščitena].

Vir: www.habr.com