SD-WAN at DNA upang tulungan ang administrator: mga tampok at kasanayan sa arkitektura

Isang paninindigan na maaari mong hawakan sa aming lab kung gusto mo.

Ang SD-WAN at SD-Access ay dalawang magkaibang bagong pagmamay-ari na diskarte sa pagbuo ng mga network. Sa hinaharap, dapat silang magsanib sa isang overlay na network, ngunit sa ngayon ay papalapit na sila. Ang lohika ay ito: kumuha kami ng isang network mula noong 1990s at inilalabas ang lahat ng kinakailangang patch at feature dito, nang hindi naghihintay na maging bagong bukas na pamantayan ito sa isa pang 10 taon.

Ang SD-WAN ay isang SDN patch sa mga distributed enterprise network. Ang transportasyon ay hiwalay, ang kontrol ay hiwalay, kaya ang kontrol ay pinasimple.

Mga kalamangan - lahat ng mga channel ng komunikasyon ay aktibong ginagamit, kabilang ang backup. Mayroong pagruruta ng mga packet sa mga aplikasyon: ano, sa pamamagitan ng aling channel at kung anong priyoridad. Isang pinasimpleng pamamaraan para sa pag-deploy ng mga bagong punto: sa halip na maglunsad ng config, tukuyin lamang ang address ng Cisco server sa malaking Internet, ang CROC data center o ang customer, kung saan kinuha ang mga config partikular para sa iyong network.

Ang SD-Access (DNA) ay automation ng lokal na pamamahala ng network: configuration mula sa isang punto, mga wizard, mga maginhawang interface. Sa katunayan, ang isa pang network ay binuo gamit ang ibang transportasyon sa antas ng protocol sa itaas ng sa iyo, at ang pagiging tugma sa mas lumang mga network ay sinisiguro sa mga hangganan ng perimeter.

Haharapin din natin ito sa ibaba.

Ngayon ang ilang mga demonstrasyon sa mga test bench sa aming lab, kung paano ito hitsura at gumagana.

Magsimula tayo sa SD-WAN. Pangunahing tampok:

• Pagpapasimple ng pag-deploy ng mga bagong puntos (ZTP) - ipinapalagay na kahit papaano ay pinapakain mo ang punto ng address ng server na may mga setting. Ang punto ay kumatok dito, natatanggap ang config, i-roll up ito at kasama sa iyong control panel. Tinitiyak nito ang Zero-Touch Provisioning (ZTP). Upang mag-deploy ng endpoint, hindi kailangang maglakbay ang isang network engineer sa site. Ang pangunahing bagay ay upang i-on nang tama ang aparato sa site at ikonekta ang lahat ng mga cable dito, pagkatapos ay awtomatikong kumonekta ang kagamitan sa system. Maaari kang mag-download ng mga config sa pamamagitan ng mga kahilingan sa DNS sa cloud ng vendor mula sa isang konektadong USB drive, o maaari kang magbukas ng hyperlink mula sa isang laptop na nakakonekta sa device sa pamamagitan ng Wi-Fi o Ethernet.
• Pagpapasimple ng nakagawiang pangangasiwa ng network - config mula sa mga template, mga pandaigdigang patakaran, na sentral na na-configure para sa hindi bababa sa limang sangay, hindi bababa sa 5. Lahat mula sa isang lugar. Upang maiwasan ang isang mahabang paglalakbay, mayroong isang napaka-maginhawang opsyon upang awtomatikong bumalik sa nakaraang config.
• Pamamahala ng trapiko sa antas ng aplikasyon—pagtitiyak ng kalidad at tuluy-tuloy na pag-update ng lagda ng aplikasyon. Ang mga patakaran ay na-configure at inilunsad sa gitna (hindi na kailangang magsulat at mag-update ng mga mapa ng ruta para sa bawat router, tulad ng dati). Makikita mo kung sino ang nagpapadala ng ano, saan at ano.
• Pagse-segment ng network. Mga independiyenteng nakahiwalay na VPN sa itaas ng buong imprastraktura - bawat isa ay may sariling pagruruta. Bilang default, ang trapiko sa pagitan ng mga ito ay sarado; maaari mo lamang buksan ang access sa mga nauunawaang uri ng trapiko sa mga nauunawaang node ng network, halimbawa, pagpasa sa lahat sa pamamagitan ng malaking firewall o proxy.
• Visibility ng kasaysayan ng kalidad ng network - kung paano gumanap ang mga application at channel. Napaka-kapaki-pakinabang para sa pagsusuri at pagwawasto ng sitwasyon kahit na bago magsimulang makatanggap ang mga user ng mga reklamo tungkol sa hindi matatag na operasyon ng mga application.
• Visibility sa mga channel - sulit ba ang pera nila, dalawang magkaibang operator ang aktwal na pumupunta sa iyong site, o talagang dumadaan sila sa parehong network at nanghihina/nahuhulog sa parehong oras.
• Visibility para sa mga cloud application at pagpipiloto ng trapiko sa pamamagitan ng ilang partikular na channel batay dito (Cloud Onramp).
• Ang isang piraso ng hardware ay naglalaman ng isang router at isang firewall (mas tiyak, NGFW). Ang mas kaunting piraso ng hardware ay nangangahulugan na mas mura ang magbukas ng bagong sangay.

Mga bahagi at arkitektura ng mga solusyon sa SD-WAN

Ang mga end device ay mga WAN router, na maaaring hardware o virtual.

Ang mga orkestra ay isang tool sa pamamahala ng network. Naka-configure ang mga ito sa mga parameter ng end device, mga patakaran sa pagruruta ng trapiko, at functionality ng seguridad. Ang mga resultang config ay awtomatikong ipinapadala sa pamamagitan ng control network sa mga node. Kasabay nito, nakikinig ang orkestra sa network at sinusubaybayan ang pagkakaroon ng mga device, port, channel ng komunikasyon, at pag-load ng interface.

Mga tool sa Analytics. Gumagawa sila ng mga ulat batay sa data na nakolekta mula sa mga end device: kasaysayan ng kalidad ng mga channel, network application, availability ng node, atbp.

Responsable ang mga controller sa paglalapat ng mga patakaran sa pagruruta ng trapiko sa network. Ang kanilang pinakamalapit na analogue sa mga tradisyunal na network ay maaaring ituring na BGP Route Reflector. Ang mga pandaigdigang patakaran na kino-configure ng administrator sa orchestrator ay nagdudulot sa mga controller na baguhin ang komposisyon ng kanilang mga routing table at magpadala ng na-update na impormasyon sa mga end device.

Ano ang nakukuha ng serbisyo ng IT mula sa SD-WAN:

1. Ang backup na channel ay patuloy na ginagamit (hindi idle). Ito ay lumalabas na mas mura dahil maaari mong bayaran ang dalawang hindi gaanong makapal na channel.
2. Awtomatikong paglipat ng trapiko ng application sa pagitan ng mga channel.
3. Oras ng administrator: maaari mong bumuo ng network sa buong mundo, sa halip na mag-crawl sa bawat piraso ng hardware na may mga config.
4. Bilis ng pagpapalaki ng mga bagong sanga. Mas matangkad siya.
5. Mas kaunting downtime habang pinapalitan ang mga patay na kagamitan.
6. Mabilis na muling i-configure ang network para sa mga bagong serbisyo.

Ano ang nakukuha ng isang negosyo mula sa SD-WAN:

1. Garantisadong pagpapatakbo ng mga application ng negosyo sa isang distributed network, kabilang ang sa pamamagitan ng bukas na mga channel sa Internet. Ito ay tungkol sa predictability ng negosyo.
2. Instant na suporta para sa mga bagong application ng negosyo sa buong ibinahagi na network, anuman ang bilang ng mga sangay. Ito ay tungkol sa bilis ng negosyo.
3. Mabilis at secure na koneksyon ng mga sangay sa anumang malalayong lokasyon gamit ang anumang mga teknolohiya ng koneksyon (ang Internet ay nasa lahat ng dako, ngunit ang mga naupahang linya at VPN ay wala). Ito ay tungkol sa flexibility ng negosyo sa pagpili ng lokasyon.
4. Ito ay maaaring isang proyekto na may paghahatid at pagkomisyon, o maaari itong isang serbisyo
   na may buwanang pagbabayad mula sa isang kumpanya ng IT, operator ng telecom o cloud operator. Alin man ang maginhawa para sa iyo.

Ang mga benepisyo sa negosyo ng SD-WAN ay maaaring ganap na naiiba, halimbawa, isang customer ang nagsabi sa amin na ang isang nangungunang tagapamahala ay nakatanggap ng isang kahilingan para sa isang direktang linya sa lahat ng mga empleyado ng isang multi-thousand na kumpanya at ang kakayahang maghatid ng nilalaman.

Para sa amin ito ay isang "operasyon militar." Sa sandaling iyon, nilulutas na natin ang problema ng modernisasyon ng CSPD. At kapag naiintindihan namin na kami, sa prinsipyo, ay kailangang makisali sa pagkukumpuni ng kagamitan, at ang salansan ng teknolohiya ay sumulong, bakit kami dapat makisali sa pagsasaayos ng parehong mga teknolohiya at serbisyo kung maaari kaming gumawa ng isang hakbang pa.

Ang SD-WAN ay naka-install sa site ni Enikey. Mahalaga ito para sa mga malalayong sangay, kung saan maaaring walang normal na tagapangasiwa. Ipadala sa pamamagitan ng koreo, sabihin: “Isaksak ang cable 1 sa box 1, cable 2 sa box 2, at huwag ihalo ito! Huwag malito, #@$@%!” At kung hindi nila ito paghaluin, ang device mismo ay nakikipag-ugnayan sa central server, kukunin at inilalapat ang mga config nito, at ang opisinang ito ay nagiging bahagi ng secure na network ng kumpanya. Masarap kapag hindi mo kailangang bumiyahe at madaling i-justify sa iyong badyet.

Narito ang isang diagram ng stand:

Ilang halimbawa ng configuration:

Patakaran—mga pandaigdigang tuntunin sa pamamahala ng trapiko. Pag-edit ng isang patakaran.

I-activate ang patakaran sa pagkontrol ng trapiko.

Mass configuration ng mga pangunahing parameter ng device (mga IP address, DHCP pool).

Mga screenshot ng pagsubaybay sa pagganap ng application

Para sa mga cloud application.

Mga detalye para sa Office365.

Para sa mga on-prem na aplikasyon. Sa kasamaang palad, hindi kami nakahanap ng mga application na may mga error sa aming stand (ang rate ng Pagbawi ng FEC ay zero sa lahat ng dako).

Bukod pa rito - pagganap ng mga channel ng paghahatid ng data.

Anong hardware ang sinusuportahan sa SD-WAN

1. Mga platform ng hardware:

• Mga Cisco vEdge router (dating Viptela vEdge) na nagpapatakbo ng Viptela OS.
• 1 at 000 series na Integrated Services Router (ISRs) na tumatakbo sa IOS XE SD-WAN.
• Aggregation Services Router (ASR) 1 series na tumatakbo sa IOS XE SD-WAN.

2. Mga virtual na platform:

• Cloud Services Router (CSR) 1v na tumatakbo sa IOS XE SD-WAN.
• vEdge Cloud Router na nagpapatakbo ng Viptela OS.

Maaaring i-deploy ang mga virtual na platform sa mga Cisco x86 computing platform, tulad ng Enterprise Network Compute System (ENCS) 5 series, Unified Computing System (UCS), at Cloud Services Platform (CSP) 000 series. Maaari ding tumakbo ang mga virtual platform sa anumang x5 device gamit ang isang hypervisor gaya ng KVM o VMware ESi.

Paano gumagana ang isang bagong device

Ang listahan ng mga lisensyadong device para sa deployment ay dina-download mula sa isang Cisco smart account o na-upload bilang isang CSV file. Susubukan kong makakuha ng higit pang mga screenshot sa ibang pagkakataon, sa ngayon ay wala kaming anumang mga bagong device na i-deploy.

Ang pagkakasunud-sunod ng mga hakbang na pinagdadaanan ng isang device kapag na-deploy.

Paano inilunsad ang isang bagong paraan ng paghahatid ng device/config

Nagdaragdag kami ng mga device sa Smart Account.

Maaari kang mag-download ng CSV file, o maaari kang mag-download nang paisa-isa:

Punan ang mga parameter ng device:

Susunod, sa vManage, sini-synchronize namin ang data sa Smart Account. Lumilitaw ang device sa listahan:

Sa drop-down na menu sa tapat ng device, i-click ang Bumuo ng Bootstrap Configuration
at kunin ang paunang config:

Dapat i-feed ang config na ito sa device. Ang pinakamadaling paraan ay ang pagkonekta ng flash drive na may naka-save na file na pinangalanang ciscosd-wan.cfg sa device. Kapag nagbo-boot, hahanapin ng device ang file na ito.

Ang pagkakaroon ng natanggap ang paunang configuration, ang aparato ay maaaring maabot ang orkestra at makatanggap ng isang buong configuration mula doon.

Tinitingnan namin ang SD-Access (DNA)

Pinapadali ng SD-Access ang pag-configure ng mga port at mga karapatan sa pag-access para sa pagkonekta ng mga user. Ginagawa ito gamit ang mga wizard. Ang mga parameter ng port ay itinakda kaugnay sa mga pangkat na "Administrator", "Accounting", "Mga Printer", at hindi sa mga VLAN at IP subnet. Pinaliit nito ang mga pagkakamali ng tao. Kung, halimbawa, ang isang kumpanya ay may maraming sangay sa buong Russia, ngunit ang sentral na opisina ay na-overload, kung gayon ang SD-Access ay nagbibigay-daan sa iyo upang malutas ang higit pang mga problema sa lokal. Halimbawa, ang parehong mga problema tungkol sa pag-troubleshoot.

Para sa seguridad ng impormasyon, mahalaga na ang SD-Access ay may kasamang malinaw na dibisyon ng mga user at device sa mga grupo at ang kahulugan ng mga patakaran sa pakikipag-ugnayan sa pagitan nila, pahintulot para sa anumang koneksyon ng kliyente sa network, at pagbibigay ng "mga karapatan sa pag-access" sa buong network. Kung susundin mo ang pamamaraang ito, magiging mas madali ang pangangasiwa.

Ang proseso ng pagsisimula para sa mga bagong opisina ay pinasimple din salamat sa mga ahente ng Plug-and-Play sa mga switch. Hindi na kailangang tumakbo sa cross-country gamit ang isang console, o kahit na pumunta sa site sa lahat.

Narito ang mga halimbawa ng configuration:

Pangkalahatang katayuan.

Mga insidente na dapat suriin ng isang administrator.

Mga awtomatikong rekomendasyon sa kung ano ang babaguhin sa mga config.

Magplano para sa pagsasama ng SD-WAN sa SD-Access

Narinig ko na may ganitong mga plano ang Cisco - SD-WAN at SD-Access. Ito ay dapat na makabuluhang bawasan ang almoranas kapag pinamamahalaan ang heograpikal na ipinamamahagi at mga lokal na CSPD.

Ang vManage (SD-WAN orchestrator) ay pinamamahalaan sa pamamagitan ng API mula sa DNA Center (SD-Access controller).

Ang mga patakaran sa micro- at macro-segmentation ay namamapa gaya ng sumusunod:

Sa antas ng pakete, ang lahat ay ganito:

Sino ang nag-iisip tungkol dito at ano?

Nagtatrabaho kami sa SD-WAN mula noong 2016 sa isang hiwalay na laboratoryo, kung saan sinubukan namin ang iba't ibang solusyon para sa mga pangangailangan ng retail, bangko, transportasyon at industriya.

Marami kaming nakikipag-usap sa mga tunay na customer.

Masasabi kong kumpiyansa nang sinusubok ng retail ang SD-WAN, at ginagawa ito ng ilan sa mga vendor (madalas sa Cisco), ngunit mayroon ding mga sumusubok na lutasin ang isyu nang mag-isa: nagsusulat sila ng sarili nilang bersyon ng software na katulad ng paggana sa SD-WAN.

Ang bawat isa, sa isang paraan o iba pa, ay nais na makamit ang sentralisadong pamamahala ng buong zoo ng kagamitan. Ito ay isang punto ng pangangasiwa para sa hindi karaniwang mga pag-install at mga karaniwang para sa iba't ibang mga vendor at iba't ibang mga teknolohiya. Mahalagang mabawasan ang manu-manong trabaho dahil, una, binabawasan nito ang panganib ng kadahilanan ng tao kapag nagse-set up ng kagamitan, at pangalawa, pinapalaya nito ang mga mapagkukunan ng serbisyong IT upang malutas ang iba pang mga problema. Karaniwan, ang pagkilala sa pangangailangan ay nagmumula sa napakahabang mga siklo ng pag-renew sa buong bansa. At, halimbawa, kung nagbebenta ng alak ang isang retailer, kailangan nito ng patuloy na komunikasyon para sa mga benta. Direktang nakakaapekto sa kita ang pag-update o downtime sa araw.

Ngayon sa tingian ay may malinaw na pag-unawa sa kung anong mga gawain sa IT ang gagamit ng SD-WAN:

1. Mabilis na pag-deploy (madalas na kailangan sa LTE bago dumating ang cable provider, kadalasan ay kinakailangan para sa bagong punto na itataas ng administrator sa lungsod sa pamamagitan ng GPC, at pagkatapos ay ang center ay tumitingin at nagko-configure lamang).
2. Sentralisadong pamamahala, komunikasyon para sa mga dayuhang bagay.
3. Pagbawas ng mga gastos sa telecom.
4. Iba't ibang mga karagdagang serbisyo (Ang mga tampok ng DPI ay ginagawang posible na unahin ang paghahatid ng trapiko mula sa mahahalagang aplikasyon tulad ng mga cash register).
5. Awtomatikong magtrabaho sa mga channel, hindi manu-mano.

At mayroon ding compliance check - lahat ng tao ay madalas na nag-uusap tungkol dito, ngunit walang sinuman ang nakakakita nito bilang isang problema. Ang pagpapanatiling gumagana nang tama ang lahat ay gumagana rin nang maayos sa paradigm na ito. Maraming naniniwala na ang buong merkado ng teknolohiya ng network ay lilipat sa direksyong ito.

Ang mga bangko, IMHO, ay kasalukuyang sumusubok sa SD-WAN sa halip bilang isang bagong teknolohikal na tampok. Naghihintay sila para sa pagtatapos ng suporta para sa mga nakaraang henerasyon ng kagamitan at saka lamang sila magbabago. Ang mga bangko sa pangkalahatan ay may sariling espesyal na kapaligiran sa pamamagitan ng mga channel ng komunikasyon, kaya ang kasalukuyang estado ng industriya ay hindi masyadong nakakaabala sa kanila. Ang mga problema sa halip ay nasa ibang mga eroplano.

Hindi tulad ng merkado ng Russia, ang SD-WAN ay aktibong ipinatupad sa Europa. Ang kanilang mga channel ng komunikasyon ay mas mahal, at samakatuwid ang mga kumpanyang European ay nagdadala ng kanilang stack sa mga dibisyon ng Russia. Sa Russia, mayroong isang tiyak na katatagan, dahil ang gastos ng mga channel (kahit na ang rehiyon ay 25 beses na mas mahal kaysa sa sentro) ay mukhang normal at hindi nagtataas ng mga tanong. Taun-taon, mayroong walang kondisyong badyet para sa mga channel ng komunikasyon.

Narito ang isang halimbawa mula sa pagsasanay sa mundo, kapag ang isang kumpanya ay nakatipid ng oras at pera gamit ang SD-WAN sa Cisco.

Mayroong ganoong kumpanya - National Instruments. Sa isang tiyak na punto, nagsimula silang maunawaan na ang pandaigdigang network ng computer, "nakuha" sa pamamagitan ng pagsasama-sama ng 88 na mga site sa buong mundo, ay hindi epektibo. Bilang karagdagan, ang kumpanya ay kulang sa kapasidad at pagganap ng domestic hot water supply nito. Walang balanse sa pagitan ng patuloy na paglago ng kumpanya at limitadong badyet sa IT.

Tinulungan ng SD-WAN ang National Instruments na bawasan ang mga gastos sa MPLS ng 25% (nakakatipid ng $450 sa pagtatapos ng 2018), na pinalawak ang bandwidth ng 3%.

Bilang resulta ng pagpapatupad ng SD-WAN, nakatanggap ang kumpanya ng isang matalinong network na tinukoy ng software at sentralisadong pamamahala ng patakaran upang awtomatikong i-optimize ang trapiko at pagganap ng application. Dito - detalyadong kaso.

Dito rito isang ganap na nakatutuwang kaso ng paglipat ng isang S7 sa isa pang opisina, nang sa una ang lahat ay nagsimula nang mahirap, ngunit kawili-wili - kinakailangan na gawing muli ang 1,5 libong mga port. Ngunit may nangyaring mali at bilang isang resulta, ang mga admin ay naging huli bago ang deadline, kung saan ang lahat ng naipon na pagkaantala ay nahuhulog.

Magbasa pa sa Ingles:

• American Banker: Namumuhunan ang Fifth Third sa 5-taong pag-upgrade ng network gamit ang SD-WAN .
• Pagbuo ng tagumpay ng Cloud SD-WAN sa Koch.
• Ang Paglalakbay sa SD-WAN ni McKesson sa Pagtitipid sa Gastos .
• SD-WAN Retail PoC & Segmentation: Mga Tindahan ng Gap.
• Pero Pandaigdigang pag-aaral ng Cisco sa mga trend ng network sa mundo.

Sa Russian:

• Sa CNews.
• Paano namin ipinatupad ang SD-Access at kung bakit ito kailangan.
• Network fabric para sa Cisco ACI data center - upang matulungan ang administrator.
• Matatag na channel batay sa software-defined SD-WAN network: paglutas ng mga problema sa pagpili ng ruta.
• Ang aking email, kung mayroon kang mga katanungan o nais mong subukan ang iyong mga gawain sa aming stand, - [protektado ng email].

Pinagmulan: www.habr.com