SD-WAN dhe ADN për të ndihmuar administratorin: veçoritë dhe praktika e arkitekturës

Një stendë që mund ta prekni në laboratorin tonë nëse dëshironi.

SD-WAN dhe SD-Access janë dy qasje të ndryshme dhe të reja, pronësore ndaj rrjetëzimit. Në të ardhmen, ato duhet të bashkohen në një rrjet të vetëm mbivendosës, por sapo kanë filluar ta bëjnë këtë. Logjika është kjo: merrni një rrjet nga vitet 1990 dhe lançojeni atë me të gjitha patch-et dhe veçoritë e nevojshme, pa pritur që të bëhet një standard i ri i hapur pas 10 vitesh të tjera.

SD-WAN është një patch SDN për rrjetet e shpërndara të ndërmarrjeve. Transporti është i ndarë dhe kontrolli është i ndarë, duke e bërë kontrollin më të lehtë.

Përparësitë: Të gjitha kanalet e komunikimit përdoren në mënyrë aktive, përfshirë atë rezervë. Ekziston një rrugëzim paketash drejt aplikacioneve: çfarë, përmes cilit kanal dhe me çfarë përparësie. Një procedurë e thjeshtuar e vendosjes për pikat e reja të aksesit: në vend që të shpërndani një konfigurim, duhet vetëm të specifikoni adresën e serverit Cisco në internetin më të gjerë, në qendrën e të dhënave të CROC ose në vendndodhjen e klientit, ku merren skedarët e konfigurimit për rrjetin tuaj.

SD-Access (DNA) automatizon menaxhimin e rrjetit lokal: konfigurim me një pikë të vetme, magjistarë dhe ndërfaqe miqësore për përdoruesit. Në thelb, ai ndërton një rrjet të ri me transport të nivelit të protokollit të ndryshëm mbi rrjetin tuaj ekzistues, duke siguruar përputhshmëri me rrjetet e trashëguara në kufijtë e perimetrit.

Edhe me këtë do të merremi më poshtë.

Tani ja disa demonstrime në stolat e testimit në laboratorin tonë për të treguar se si duket dhe funksionon.

Le të fillojmë me SD-WAN. Karakteristikat kryesore:

• Thjeshtimi i vendosjes së pikave të reja të aksesit (ZTP) përfshin furnizimin e pikës së aksesit me një adresë serveri me cilësimet e konfigurimit. Pika e aksesit e kontakton atë, merr konfigurimin, e vendos atë dhe aktivizohet në panelin tuaj të kontrollit. Kjo aktivizon Zero-Touch Provisioning (ZTP). Një inxhinier rrjeti nuk ka nevojë të udhëtojë në vend për të vendosur pikën fundore. Gjëja kryesore është që ta ndizni siç duhet pajisjen dhe të lidhni të gjitha kabllot me të në vend; më pas pajisjet do të lidhen automatikisht me sistemin. Konfigurimet mund të ngarkohen nëpërmjet pyetjeve DNS në cloud-in e shitësit nga një disk USB i lidhur, ose mund të hapni një hiperlidhje nga një laptop i lidhur me pajisjen nëpërmjet Wi-Fi ose Ethernet.
• Thjeshtimi i administrimit rutinë të rrjetit - konfigurimi nga shabllonet, politikat globale, i konfiguruar në mënyrë qendrore për nga pesë degë deri në 5,000. Gjithçka nga një vendndodhje e vetme. Për të shmangur vonesat e gjata, një opsion shumë i përshtatshëm për t'u rikthyer automatikisht në konfigurimin e mëparshëm.
• Menaxhimi i trafikut në nivel aplikacioni siguron cilësi dhe përditësime të vazhdueshme të nënshkrimit të aplikacionit. Politikat konfigurohen dhe vendosen në mënyrë qendrore (nuk ka nevojë të shkruani dhe përditësoni hartat e itinerarit për secilin router, si më parë). Mund të shihni se kush po dërgon çfarë, ku dhe çfarë.
• Segmentimi i rrjetit. VPN-të e pavarura dhe të izoluara vendosen në të gjithë infrastrukturën, secila me rrugëzimin e vet. Si parazgjedhje, trafiku midis tyre është i bllokuar; qasja mund të hapet vetëm për lloje specifike të trafikut në nyje specifike të rrjetit, për shembull, duke kaluar gjithçka përmes një firewall-i të madh ose një proxy-je.
• Dukshmëria e historikut të performancës së rrjetit - si kanë performuar aplikacionet dhe kanalet. Kjo është jashtëzakonisht e dobishme për analizimin dhe adresimin e problemeve përpara se përdoruesit të fillojnë të ankohen për paqëndrueshmërinë e aplikacioneve.
• Dukshmëria nëpër kanale—a ia vlejnë paratë? A po hyjnë në të vërtetë dy operatorë të ndryshëm në faqen tuaj, apo po kalojnë në të njëjtin rrjet dhe po degradojnë/bjerin njëkohësisht?
• Dukshmëria për aplikacionet cloud dhe drejtimi i trafikut përmes kanaleve të caktuara bazuar në të (Cloud Onramp).
• Një pjesë e vetme e harduerit përmban një router dhe një firewall (më saktë, një NGFW). Më pak pjesë hardueri do të thotë se është më e lirë të vendosësh një degë të re.

Komponentët dhe Arkitektura e Zgjidhjes SD-WAN

Pajisjet fundore janë ruterët WAN, të cilët mund të jenë harduerikë ose virtualë.

Orkestruesit janë një mjet menaxhimi rrjeti. Ata konfigurojnë parametrat e pajisjeve fundore, politikat e drejtimit të trafikut dhe veçoritë e sigurisë. Konfigurimet gjenerohen dhe dërgohen automatikisht te nyjet nëpërmjet rrjetit të kontrollit. Në të njëjtën kohë, orkestruesi dëgjon rrjetin dhe monitoron disponueshmërinë e pajisjeve, porteve, kanaleve të komunikimit dhe ngarkesën e ndërfaqes.

Mjete analitike. Ato gjenerojnë raporte bazuar në të dhënat e mbledhura nga pikat fundore: historiku i performancës së kanalit, aplikacionet e rrjetit, disponueshmëria e nyjeve, etj.

Kontrolluesit janë përgjegjës për zbatimin e politikave të drejtimit të trafikut brenda rrjetit. Ekuivalenti i tyre më i afërt në rrjetet tradicionale është një Reflektor i Rrugës BGP. Politikat globale të konfiguruara nga administratori në orkestrues bëjnë që kontrolluesit të modifikojnë tabelat e tyre të drejtimit dhe të shpërndajnë informacionin e përditësuar në pikat fundore.

Çfarë përfiton departamenti i IT-së nga SD-WAN:

1. Kanali rezervë është vazhdimisht në përdorim (jo në gjendje boshe). Është më i lirë sepse mund të përdoren dy kanale më të holla.
2. Ndërrimi automatik i trafikut të aplikacionit midis kanaleve.
3. Koha e administratorit: mund ta zhvilloni rrjetin globalisht, në vend që të shfletoni çdo pjesë të harduerit me konfigurime.
4. Shpejtësia e zgjerimit të degëve të reja është dukshëm më e lartë.
5. Më pak kohë ndërprerjeje gjatë zëvendësimit të pajisjeve të dështuara.
6. Rikonfigurim i shpejtë i rrjetit për shërbime të reja.

Çfarë do të thotë SD-WAN për bizneset?

1. Funksionim i garantuar i aplikacioneve të biznesit në një rrjet të shpërndarë, duke përfshirë edhe kanalet e hapura të internetit. Kjo ka të bëjë me parashikueshmërinë e biznesit.
2. Mbështetje e menjëhershme për aplikacione të reja biznesi në të gjithë rrjetin e shpërndarë, pavarësisht nga numri i degëve. Kjo ka të bëjë me shpejtësinë e biznesit.
3. Lidhje e shpejtë dhe e sigurt e degëve në çdo vendndodhje të largët duke përdorur çdo teknologji lidhjeje (interneti është i disponueshëm kudo, por linjat e dedikuara dhe VPN-të nuk janë). Kjo do të thotë që bizneset kanë fleksibilitetin për të zgjedhur vendndodhjen e tyre.
4. Ky mund të jetë një projekt me dorëzim dhe vënie në punë, ose mund të jetë një shërbim
   Me pagesa mujore nga një kompani IT-je, operator telekomunikacioni ose ofrues cloud-i. Çfarëdo që është më e përshtatshme për ju.

Përfitimet e biznesit nga SD-WAN mund të ndryshojnë shumë. Për shembull, një klient na tha se një menaxher i lartë kërkoi një linjë të drejtpërdrejtë me të gjithë punonjësit e kompanisë, e cila punëson mijëra, dhe mundësinë për të ofruar përmbajtje.

Për ne, ishte një "operacion ushtarak". Në atë pikë, ne tashmë po merreshim me çështjen e modernizimit të KSPD-së. Por kur e kuptojmë se në thelb duhet të rinovojmë pajisjet dhe se teknologjia ka përparuar, pse të shqetësohemi për rinovimin e të njëjtave teknologji dhe shërbime kur mund ta çojmë më tej?

SD-WAN instalohet në vend nga kompanitë e IT-së. Kjo është e rëndësishme për degët e largëta, ku një administrator kompetent mund të mos jetë i disponueshëm. Ju e dërgoni me postë dhe thoni: "Lidhni kabllon 1 në kutinë 1, kabllon 2 në kutinë 2 dhe mos i ngatërroni! Mos i ngatërroni, o #@$@%!" Nëse nuk e bëjnë këtë, pajisja automatikisht kontakton serverin qendror, merr dhe zbaton konfigurimet e tij, dhe ajo zyrë bëhet pjesë e rrjetit të sigurt të kompanisë. Është mirë kur nuk keni nevojë të udhëtoni dhe është e lehtë ta justifikoni në buxhetin tuaj.

Ja një diagramë e stendës:

Disa shembuj të konfigurimit:

Politika — rregullat globale të menaxhimit të trafikut. Redaktimi i politikës.

Aktivizimi i politikës së menaxhimit të trafikut.

Konfigurim masiv i parametrave bazë të pajisjes (adresat IP, grupet DHCP).

Pamje të ekranit të monitorimit të performancës së aplikacionit

Për aplikacionet në cloud.

Detajet për Office365.

Për aplikacione lokale. Fatkeqësisht, nuk mundëm të gjenim asnjë aplikacion me gabime në konfigurimin tonë të testimit (shkalla e Rimëkëmbjes FEC ishte zero gjatë gjithë kohës).

Për më tepër, performanca e kanaleve të transmetimit të të dhënave.

Çfarë hardueri mbështetet në SD-WAN?

1. Platformat e pajisjeve:

• Routerat Cisco vEdge (më parë Viptela vEdge) që përdorin sistemin operativ Viptela.
• Router i Shërbimeve të Integruara (ISR) Router-at e serive 1000 dhe 4000 që përdorin IOS XE SD-WAN.
• Routeri i Shërbimeve të Agregimit (ASR) i Serisë 1000 që përdor IOS XE SD-WAN.

2. Platformat virtuale:

• Router i Shërbimeve Cloud (CSR) 1000v që përdor IOS XE SD-WAN.
• Routeri vEdge Cloud që përdor sistemin operativ Viptela.

Platformat virtuale mund të vendosen në platformat e informatikës Cisco x86, të tilla si Enterprise Network Compute System (ENCS) Seria 5000, Unified Computing System (UCS) dhe Cloud Services Platform (CSP) Seria 5000. Platformat virtuale mund të funksionojnë gjithashtu në çdo pajisje x86 që përdor një hipervizor, të tilla si KVM ose VMware ESi.

Si të instaloni një pajisje të re

Lista e pajisjeve të licencuara për vendosje shkarkohet ose nga një llogari inteligjente Cisco ose ngarkohet si skedar CSV. Do të përpiqem të marr më shumë pamje të ekranit më vonë; nuk kemi pajisje të reja për të vendosur tani.

Sekuenca e hapave që kalon një pajisje kur vendoset.

Si të vendosni një metodë të re shpërndarjeje të pajisjes/konfigurimit

Ne regjistrojmë pajisjet në Llogarinë Smart.

Mund të ngarkoni një skedar CSV, ose një nga një:

Plotësoni parametrat e pajisjes:

Më pas, në vManage, sinkronizoni të dhënat me Llogarinë Smart. Pajisja shfaqet në listë:

Në menynë zbritëse pranë pajisjes, klikoni Gjeneroni Konfigurimin e Bootstrap
dhe marrim konfigurimin fillestar:

Ky skedar konfigurimi duhet t'i dërgohet pajisjes. Mënyra më e lehtë është të lidhni një flash drive që përmban një skedar të ruajtur me emrin ciscosd-wan.cfg me pajisjen. Pajisja do ta kërkojë këtë skedar gjatë nisjes.

Pasi të ketë marrë konfigurimin fillestar, pajisja do të jetë në gjendje të hyjë në orkestrator dhe të marrë një konfigurim të plotë prej andej.

Le të shohim SD-Access (ADN)

SD-Access thjeshton konfigurimin e portave dhe të drejtave të aksesit për lidhjet e përdoruesve. Kjo bëhet duke përdorur asistentët. Parametrat e portave konfigurohen bazuar në grupet Administratorë, Kontabilitet dhe Printerë, në vend të VLAN-ve dhe nënrrjeteve IP. Kjo minimizon gabimin njerëzor. Për shembull, nëse një kompani ka shumë degë në të gjithë Rusinë dhe zyra qendrore është e mbingarkuar, SD-Access lejon detyra më të lokalizuara, të tilla si zgjidhja e problemeve.

I rëndësishëm për sigurinë e informacionit, SD-Access nënkupton ndarje të qartë të përdoruesve dhe pajisjeve në grupe dhe përcaktimin e politikave të ndërveprimit midis tyre, autorizimin për çdo lidhje të klientit me rrjetin dhe zbatimin e të drejtave të aksesit në të gjithë rrjetin. Respektimi i kësaj qasje e bën administrimin shumë më të lehtë.

Procesi i konfigurimit për zyrat e reja është thjeshtuar gjithashtu falë agjentëve plug-and-play në switch-e. Nuk ka nevojë të anashkaloni lidhjet e kryqëzuara me një konsolë, apo edhe të vizitoni faqen e internetit.

Ja disa shembuj të konfigurimit:

Gjendja e përgjithshme.

Incidente që duhet të shqyrtohen nga administratori.

Rekomandime automatike se çfarë duhet ndryshuar në konfigurime.

Plani i Integrimit SD-WAN me SD-Access

Dëgjova që Cisco ka plane për SD-WAN dhe SD-Access. Kjo duhet ta zvogëlojë ndjeshëm mundimin e menaxhimit të qendrave të të dhënave të shpërndara gjeografikisht dhe lokale.

vManage (orkestruesi SD-WAN) menaxhohet nëpërmjet API-t nga DNA Center (kontrolluesi SD-Access).

Politikat e mikro- dhe makro-segmentimit janë hartëzuar si më poshtë:

Në nivelin e paketës, duket kështu:

Kush mendon çfarë për këtë?

Ne kemi punuar në SD-WAN që nga viti 2016 në një laborator të dedikuar, ku testojmë zgjidhje të ndryshme për shitjen me pakicë, bankat, transportin dhe industrinë.

Ne komunikojmë shumë me klientë të vërtetë.

Mund të them se shitësit me pakicë tashmë po e testojnë me besim SD-WAN, dhe disa po e bëjnë këtë me shitësit (më shpesh me Cisco), por ka edhe nga ata që po përpiqen ta zgjidhin vetë problemin: ata po shkruajnë versionin e tyre të softuerit që i ngjan SD-WAN në funksionalitet.

Të gjithë, në një mënyrë ose në një tjetër, duan të centralizojnë menaxhimin e të gjithë kopshtit të tyre zoologjik të pajisjeve. Kjo do të thotë një pikë e vetme administrimi si për instalimet e personalizuara ashtu edhe për ato standarde midis shitësve dhe teknologjive të ndryshme. Minimizimi i punës manuale është i rëndësishëm sepse, së pari, zvogëlon rrezikun e gabimit njerëzor gjatë konfigurimit të pajisjeve dhe, së dyti, liron burimet e IT-së për detyra të tjera. Nevoja për këtë zakonisht njihet për shkak të cikleve shumë të gjata të përditësimit në të gjithë vendin. Për shembull, nëse shisni alkool me pakicë, keni nevojë për lidhje të vazhdueshme për shitje. Përditësimet ose ndërprerjet gjatë ditës ndikojnë drejtpërdrejt në të ardhura.

Shitësit me pakicë tani kanë një kuptim të qartë të detyrave të IT-së për të cilat do të përdorin SD-WAN:

1. Vendosje e shpejtë (shpesh e nevojshme për LTE përpara se të mbërrijë një ofrues kabllor, shpesh një pikë e re aksesi duhet të konfigurohet nga një administrator në qytet sipas një kontrate të së drejtës civile, dhe më pas qendra thjesht e monitoron dhe konfiguron atë).
2. Kontroll i centralizuar, komunikim për objektet e huaja.
3. Ulja e kostos së telekomunikacionit.
4. Shërbime të ndryshme shtesë (karakteristikat DPI lejojnë shpërndarjen prioritare të trafikut nga aplikacione të rëndësishme siç është arka).
5. Punoni me kanale automatikisht, jo manualisht.

Dhe pastaj është testimi i përputhshmërisë - për të flitet shumë, por askush nuk e sheh si problem. Sigurimi që gjithçka funksionon siç duhet gjithashtu funksionon mirë brenda kësaj paradigme. Shumë besojnë se i gjithë tregu i teknologjisë së rrjetit do të lëvizë në këtë drejtim.

Sipas mendimit tim, bankat aktualisht po e testojnë SD-WAN më shumë si një veçori të re teknologjike. Ato po presin që të mbarojë mbështetja për gjeneratat e mëparshme të pajisjeve dhe vetëm atëherë do të bëjnë ndryshime. Bankat në përgjithësi kanë qasjen e tyre unike ndaj kanaleve të komunikimit, kështu që gjendja aktuale e industrisë nuk i shqetëson shumë. Problemet ka të ngjarë të qëndrojnë diku tjetër.

Ndryshe nga tregu rus, SD-WAN po zbatohet në mënyrë aktive në Evropë. Kanalet e tyre të komunikimit janë më të shtrenjta, kështu që kompanitë evropiane po sjellin paketën e tyre në degët e tyre ruse. Në Rusi, ka njëfarë stabiliteti, pasi kostoja e kanaleve (edhe kur rajoni është 25 herë më i shtrenjtë se rajoni qendror) është mjaft e arsyeshme dhe nuk ngre dyshime. Vit pas viti, kanalet e komunikimit buxhetohen pa diskutim.

Ja një shembull nga praktika globale ku një kompani kurseu kohë dhe para duke përdorur SD-WAN në Cisco.

Ekziston një kompani e quajtur National Instruments. Në një moment të caktuar, ata kuptuan se rrjeti global kompjuterik që kishin krijuar duke lidhur 88 vende në të gjithë botën ishte joefektiv. Për më tepër, kompanisë i mungonte bandwidth dhe performanca e WAN. Nuk kishte ekuilibër midis rritjes së vazhdueshme të kompanisë dhe buxhetit të saj të kufizuar të IT-së.

SD-WAN ndihmoi National Instruments të ulte kostot e MPLS me 25% (kursime prej 450,000 dollarësh në vitin 2018) ndërsa rriti gjerësinë e brezit me 3,075%.

Duke zbatuar SD-WAN, kompania fitoi një rrjet inteligjent të përcaktuar nga softueri dhe menaxhim të centralizuar të politikave për të optimizuar automatikisht trafikun dhe performancën e aplikacioneve. Pikërisht këtu — rast i detajuar.

Pikërisht këtu Një rast vërtet i mahnitshëm i zhvendosjes së S7 në një zyrë të re. Gjithçka filloi e vështirë, por interesante—1,5 porte duheshin ribërë. Por më pas diçka shkoi keq dhe administratorët përfunduan të fundit para afatit, duke u përballur me të gjitha vonesat e akumuluara.

Lexo më shumë në anglisht:

• American Banker: Fifth Third investon në përmirësimin 5-vjeçar të rrjetit me SD-WAN .
• Ndërtimi i suksesit të Cloud SD-WAN në Koch.
• Udhëtimi SD-WAN i McKesson drejt kursimit të kostove .
• SD-WAN Retail PoC & Segmentimi: Gap Stores.
• Por Kërkime globale të Cisco-s sipas trendeve të rrjeteve në botë.

Në rusisht:

• Në CNews.
• Si e implementuam SD-Access dhe pse ishte e nevojshme.
• Pëlhurë rrjeti për qendrën e të dhënave Cisco ACI - për të ndihmuar administratorin.
• Një kanal elastik i bazuar në SD-WAN: Zgjidhja e problemeve të përzgjedhjes së rrugës.
• Nëse keni ndonjë pyetje ose dëshironi të testoni detyrat tuaja në stendën tonë, emaili im është mkazakov@croc.ru.

Burimi: www.habr.com