SD-WAN och DNA för att hjälpa administratören: arkitekturfunktioner och praktik

Ett stativ som du kan röra i vårt labb om du vill.

SD-WAN och SD-Access är två olika nya proprietära metoder för att bygga nätverk. I framtiden bör de slås samman till ett överlagringsnätverk, men för nu närmar de sig bara. Logiken är denna: vi tar ett nätverk från 1990-talet och rullar ut alla nödvändiga patchar och funktioner på det, utan att vänta på att det ska bli en ny öppen standard om ytterligare 10 år.

SD-WAN är en SDN-patch till distribuerade företagsnätverk. Transport är separat, kontroll är separat, så kontroll förenklas.

Fördelar - alla kommunikationskanaler används aktivt, inklusive backupen. Det finns routing av paket till applikationer: vad, genom vilken kanal och med vilken prioritet. En förenklad procedur för att distribuera nya punkter: istället för att rulla ut en konfiguration, ange bara adressen till Cisco-servern på det stora Internet, CROC-datacentret eller kunden, varifrån konfigurationerna specifikt för ditt nätverk hämtas.

SD-Access (DNA) är automatisering av lokal nätverkshantering: konfiguration från en punkt, guider, bekväma gränssnitt. Faktum är att ett annat nätverk byggs med en annan transport på protokollnivå utöver ditt, och kompatibilitet med äldre nätverk säkerställs vid omkretsgränserna.

Vi kommer också att behandla detta nedan.

Nu några demonstrationer på testbänkar i vårt labb, hur det ser ut och fungerar.

Låt oss börja med SD-WAN. Huvuddrag:

• Förenkling av distribution av nya punkter (ZTP) - det antas att du på något sätt matar punkten med serveradressen med inställningar. Punkten knackar på den, tar emot konfigurationen, rullar upp den och ingår i din kontrollpanel. Detta säkerställer Zero-Touch Provisioning (ZTP). För att distribuera en slutpunkt behöver en nätverksingenjör inte resa till platsen. Det viktigaste är att slå på enheten korrekt på plats och ansluta alla kablar till den, då ansluts utrustningen automatiskt till systemet. Du kan ladda ner konfigurationer via DNS-frågor i leverantörens moln från en ansluten USB-enhet, eller så kan du öppna en hyperlänk från en bärbar dator som är ansluten till enheten via Wi-Fi eller Ethernet.
• Förenkling av rutinmässig nätverksadministration - konfiguration från mallar, globala policyer, centralt konfigurerad för minst fem grenar, minst 5 000. Allt från ett ställe. För att undvika en lång resa finns det ett mycket bekvämt alternativ för att automatiskt återgå till föregående konfiguration.
• Trafikhantering på applikationsnivå – säkerställer kvalitet och kontinuerliga uppdateringar av applikationssignaturer. Policyer konfigureras och rullas ut centralt (det finns inget behov av att skriva och uppdatera ruttkartor för varje router, som tidigare). Du kan se vem som skickar vad, vart och vad.
• Nätverkssegmentering. Oberoende isolerade VPN ovanpå hela infrastrukturen - var och en med sin egen routing. Som standard är trafiken mellan dem stängd; du kan endast öppna åtkomst till förståeliga typer av trafik i förståeliga nätverksnoder, till exempel att passera allt genom en stor brandvägg eller proxy.
• Synlighet av nätverkets kvalitetshistorik - hur applikationer och kanaler presterade. Mycket användbart för att analysera och korrigera situationen redan innan användare börjar få klagomål om instabil drift av applikationer.
• Synlighet över kanaler – är de värda pengarna, är det två olika operatörer som faktiskt kommer till din sida, eller går de faktiskt igenom samma nätverk och förnedrar/faller samtidigt.
• Synlighet för molnapplikationer och styrning av trafik genom vissa kanaler baserat på det (Cloud Onramp).
• En maskinvara innehåller en router och en brandvägg (närmare bestämt NGFW). Färre delar av hårdvara betyder att det är billigare att öppna en ny filial.

Komponenter och arkitektur för SD-WAN-lösningar

Slutenheter är WAN-routrar, som kan vara hårdvara eller virtuella.

Orchestrators är ett nätverkshanteringsverktyg. De är konfigurerade med slutenhetsparametrar, trafikdirigeringspolicyer och säkerhetsfunktioner. De resulterande konfigurationerna skickas automatiskt genom kontrollnätverket till noderna. Parallellt lyssnar orkestratorn på nätverket och övervakar tillgängligheten för enheter, portar, kommunikationskanaler och gränssnittsladdning.

Analysverktyg. De gör rapporter baserade på data som samlats in från slutenheter: historik över kvaliteten på kanaler, nätverksapplikationer, nodtillgänglighet, etc.

Kontrollanter är ansvariga för att tillämpa policyer för trafikdirigering på nätverket. Deras närmaste analog i traditionella nätverk kan betraktas som BGP Route Reflector. Globala policyer som administratören konfigurerar i orkestratorn gör att styrenheter ändrar sammansättningen av sina routingtabeller och skickar uppdaterad information till slutenheter.

Vad får IT-tjänsten från SD-WAN:

1. Backupkanalen används ständigt (inte ledig). Det blir billigare eftersom du har råd med två mindre tjocka kanaler.
2. Automatisk växling av applikationstrafik mellan kanaler.
3. Administratörstid: du kan utveckla nätverket globalt, snarare än att krypa igenom varje hårdvara med konfigurationer.
4. Snabbhet att höja nya grenar. Hon är mycket längre.
5. Mindre stilleståndstid vid byte av död utrustning.
6. Konfigurera om nätverket snabbt för nya tjänster.

Vad får ett företag från SD-WAN:

1. Garanterad drift av affärsapplikationer på ett distribuerat nätverk, inklusive genom öppna internetkanaler. Det handlar om affärsförutsägbarhet.
2. Omedelbar support för nya affärsapplikationer över hela det distribuerade nätverket, oavsett antalet filialer. Det handlar om affärshastighet.
3. Snabb och säker anslutning av filialer på alla avlägsna platser med vilken anslutningsteknik som helst (Internet finns överallt, men hyrda linjer och VPN är det inte). Det här handlar om affärsflexibilitet vid val av plats.
4. Det kan vara ett projekt med leverans och driftsättning, eller det kan vara en tjänst
   med månadsbetalningar från ett IT-företag, teleoperatör eller molnoperatör. Vilket som är bekvämt för dig.

Affärsfördelarna med SD-WAN kan vara helt olika, till exempel berättade en kund att en toppchef hade fått en förfrågan om en direktlinje med alla anställda i ett mångtusenföretag och möjlighet att leverera innehåll.

För oss var det en "militär operation". I det ögonblicket löste vi redan problemet med att modernisera CSPD. Och när vi förstår att vi i princip behöver ägna oss åt renovering av utrustning, och teknikstapeln har gått framåt, varför ska vi ägna oss åt renovering av samma teknologier och tjänster om vi kan ta ett steg längre.

SD-WAN installeras på plats av Enikey. Detta är viktigt för avlägsna filialer, där det kanske helt enkelt inte finns en normal administratör. Skicka med post, säg: "Sätt i kabel 1 i box 1, kabel 2 till box 2, och blanda inte ihop det! Bli inte förvirrad, #@$@%!" Och om de inte blandar ihop det, kommunicerar själva enheten med den centrala servern, hämtar och tillämpar dess konfigurationer, och det här kontoret blir en del av företagets säkra nätverk. Det är trevligt när du inte behöver resa och det är lätt att motivera i din budget.

Här är ett diagram över stativet:

Några konfigurationsexempel:

Policy - globala regler för att hantera trafik. Redigera en policy.

Aktivera trafikkontrollpolicy.

Masskonfiguration av grundläggande enhetsparametrar (IP-adresser, DHCP-pooler).

Skärmdumpar av övervakning av applikationsprestanda

För molnapplikationer.

Detaljer för Office365.

För applikationer på plats. Tyvärr kunde vi inte hitta applikationer med fel i vår monter (FEC Recovery rate är noll överallt).

Dessutom - prestanda för dataöverföringskanaler.

Vilken hårdvara stöds på SD-WAN

1. Maskinvaruplattformar:

• Cisco vEdge-routrar (tidigare Viptela vEdge) som kör Viptela OS.
• 1- och 000-serien Integrated Services Routers (ISR) som kör IOS XE SD-WAN.
• Aggregation Services Router (ASR) 1-serien som kör IOS XE SD-WAN.

2. Virtuella plattformar:

• Cloud Services Router (CSR) 1v som kör IOS XE SD-WAN.
• vEdge Cloud Router som kör Viptela OS.

Virtuella plattformar kan distribueras på Cisco x86-datorplattformar, som Enterprise Network Compute System (ENCS) 5-serien, Unified Computing System (UCS) och Cloud Services Platform (CSP) 000-serien. Virtuella plattformar kan också köras på alla x5-enheter med hjälp av en hypervisor som KVM eller VMware ESi.

Hur en ny enhet rullar på

Listan över licensierade enheter för distribution laddas ned antingen från ett Cisco smart-konto eller laddas upp som en CSV-fil. Jag ska försöka få fler skärmdumpar senare, just nu har vi inga nya enheter att distribuera.

Sekvensen av steg en enhet går igenom när den distribueras.

Hur en ny leveransmetod för enhet/konfiguration rullas ut

Vi lägger till enheter till Smart Account.

Du kan ladda ner en CSV-fil eller ladda ner en i taget:

Fyll i enhetsparametrarna:

Därefter synkroniserar vi data med Smart Account i vManage. Enheten visas i listan:

I rullgardinsmenyn mittemot enheten klickar du på Generate Bootstrap Configuration
och hämta den initiala konfigurationen:

Denna konfiguration måste matas till enheten. Det enklaste sättet är att ansluta en flashenhet med en sparad fil som heter ciscosd-wan.cfg till enheten. Vid uppstart kommer enheten att leta efter den här filen.

Efter att ha mottagit den initiala konfigurationen kommer enheten att kunna nå orkestratorn och ta emot en fullständig konfiguration därifrån.

Vi tittar på SD-Access (DNA)

SD-Access gör det enkelt att konfigurera portar och åtkomsträttigheter för att ansluta användare. Detta görs med hjälp av guider. Portparametrar är inställda i relation till grupperna "Administratörer", "Kontoin", "Skrivare", och inte till VLAN och IP-undernät. Detta minimerar mänskliga fel. Om till exempel ett företag har många filialer över hela Ryssland, men centralkontoret är överbelastat, så låter SD-Access dig lösa fler problem lokalt. Till exempel samma problem gällande felsökning.

För informationssäkerhet är det viktigt att SD-Access innebär en tydlig uppdelning av användare och enheter i grupper och definition av interaktionspolicyer dem emellan, auktorisering för eventuell klientanslutning till nätverket och tillhandahållande av "åtkomsträttigheter" i hela nätverket. Om du följer detta tillvägagångssätt blir administrationen mycket lättare.

Uppstartsprocessen för nya kontor förenklas också tack vare Plug-and-Play-agenter i switcharna. Det finns ingen anledning att springa runt i terrängen med en konsol, eller ens gå till sajten alls.

Här är konfigurationsexempel:

Allmän status.

Incidenter som en administratör bör granska.

Automatiska rekommendationer om vad som ska ändras i konfigurationer.

Planera för att integrera SD-WAN med SD-Access

Jag hörde att Cisco har sådana planer - SD-WAN och SD-Access. Detta bör avsevärt minska hemorrojder vid hantering av geografiskt distribuerade och lokala CSPD.

vManage (SD-WAN orkestrator) hanteras via API från DNA Center (SD-Access controller).

Mikro- och makrosegmenteringspolicyer kartläggs enligt följande:

På paketnivå ser allt ut så här:

Vem tänker på detta och vad?

Vi har arbetat med SD-WAN sedan 2016 i ett separat laboratorium, där vi testar olika lösningar för detaljhandelns, bankernas, transporternas och industrins behov.

Vi kommunicerar mycket med riktiga kunder.

Jag kan säga att detaljhandeln redan med säkerhet testar SD-WAN, och vissa gör detta med leverantörer (oftast med Cisco), men det finns också de som försöker lösa problemet på egen hand: de skriver sin egen version av programvara som liknar SD-WAN i funktionalitet.

Alla, på ett eller annat sätt, vill uppnå centraliserad förvaltning av hela djurparkens utrustning. Detta är en administrationspunkt för icke-standardiserade installationer och standardinstallationer för olika leverantörer och olika teknologier. Det är viktigt att minimera manuellt arbete eftersom det dels minskar risken för den mänskliga faktorn när man sätter upp utrustning, dels frigör det IT-tjänstens resurser för att lösa andra problem. Vanligtvis kommer ett erkännande av behovet från mycket långa förnyelsecykler över hela landet. Och, till exempel, om en återförsäljare säljer alkohol, behöver den ständig kommunikation för försäljning. Uppdatering eller stillestånd under dagen påverkar direkt intäkterna.

Nu inom detaljhandeln finns det en tydlig förståelse för vilka IT-uppgifter som kommer att använda SD-WAN:

1. Snabb implementering (behövs ofta på LTE innan kabelleverantören kommer, ofta är det nödvändigt att den nya punkten tas upp av administratören i staden via GPC, och sedan tittar och konfigurerar centret helt enkelt).
2. Centraliserad hantering, kommunikation för främmande föremål.
3. Minska telekomkostnader.
4. Olika tilläggstjänster (DPI-funktioner gör det möjligt att prioritera leverans av trafik från viktiga applikationer som kassaregister).
5. Arbeta med kanaler automatiskt, inte manuellt.

Och det finns också en efterlevnadskontroll – alla pratar mycket om det, men ingen uppfattar det som ett problem. Att upprätthålla att allt fungerar korrekt fungerar också bra i detta paradigm. Många tror att hela nätverksteknikmarknaden kommer att röra sig i denna riktning.

Banker, IMHO, testar för närvarande SD-WAN snarare som en ny teknisk funktion. De väntar på slutet av stödet för tidigare generationer av utrustning och först då kommer de att förändras. Banker har i allmänhet sin egen speciella atmosfär genom kommunikationskanaler, så branschens nuvarande tillstånd stör dem inte särskilt mycket. Problemen ligger snarare på andra plan.

Till skillnad från den ryska marknaden implementeras SD-WAN aktivt i Europa. Deras kommunikationskanaler är dyrare, och därför tar europeiska företag sin stack till ryska divisioner. I Ryssland finns det en viss stabilitet, eftersom kostnaden för kanaler (även när regionen är 25 gånger dyrare än centrum) ser ganska normal ut och väcker inga frågor. Från år till år finns en förutsättningslös budget för kommunikationskanaler.

Här är ett exempel från världspraxis, när ett företag sparade tid och pengar med SD-WAN på Cisco.

Det finns ett sådant företag - National Instruments. Vid en viss tidpunkt började de förstå att det globala datornätverket, "erhållet" genom att kombinera 88 platser runt om i världen, var ineffektivt. Dessutom saknade företaget kapacitet och prestanda för sin varmvattenförsörjning. Det fanns ingen balans mellan företagets kontinuerliga tillväxt och begränsade IT-budget.

SD-WAN hjälpte National Instruments att minska MPLS-kostnaderna med 25 % (vilket sparade 450 2018 USD i slutet av 3), vilket utökade bandbredden med 075 XNUMX %.

Som ett resultat av implementeringen av SD-WAN fick företaget ett smart mjukvarudefinierat nätverk och centraliserad policyhantering för att automatiskt optimera trafik och applikationsprestanda. Här - detaljerat fall.

Precis här ett helt galet fall av att flytta en S7 till ett annat kontor, när allt först började svårt, men intressant - det var nödvändigt att göra om 1,5 tusen portar. Men sedan gick något fel och som ett resultat visade det sig att administratörerna var de sista innan deadline, som alla ackumulerade förseningar faller på.

Läs mer på engelska:

• American Banker: Fifth Third investerar i 5-årig nätverksuppgradering med SD-WAN .
• Att bygga moln SD-WAN framgång hos Koch.
• McKessons SD-WAN-resa till kostnadsbesparingar .
• SD-WAN Retail PoC & Segmentering: Gap Stores.
• Men Cisco global studie om nätverkstrender i världen.

På ryska:

• På CNews.
• Hur vi implementerade SD-Access och varför det behövdes.
• Nätverkstyg för Cisco ACI datacenter - för att hjälpa administratören.
• Stabil kanal baserad på mjukvarudefinierade SD-WAN-nätverk: löser problem med vägval.
• Min e-post, om du har frågor eller vill testa dina uppgifter i vår monter, - [e-postskyddad].

Källa: will.com