Yöneticiye yardımcı olacak SD-WAN ve DNA: mimari özellikler ve uygulama

İsterseniz laboratuvarımızda dokunabileceğiniz bir stand.

SD-WAN ve SD-Access, ağ oluşturmaya yönelik iki farklı yeni özel yaklaşımdır. Gelecekte bunların tek bir yer paylaşımlı ağda birleşmeleri gerekiyor, ancak şimdilik daha da yaklaşıyorlar. Mantık şu: 1990'lı yıllardan kalma bir ağı alıp, 10 yıl içinde yeni bir açık standart haline gelmesini beklemeden, gerekli tüm yamaları ve özellikleri onun üzerine yayıyoruz.

SD-WAN, dağıtılmış kurumsal ağlara yönelik bir SDN yamasıdır. Taşıma ayrıdır, kontrol ayrıdır, dolayısıyla kontrol basitleştirilmiştir.

Artıları - Yedek kanal da dahil olmak üzere tüm iletişim kanalları aktif olarak kullanılıyor. Paketlerin uygulamalara yönlendirilmesi vardır: ne, hangi kanal üzerinden ve hangi öncelik ile. Yeni noktaların dağıtımı için basitleştirilmiş bir prosedür: bir yapılandırmayı kullanıma sunmak yerine, büyük İnternet'teki Cisco sunucusunun, CROC veri merkezinin veya ağınıza özel yapılandırmaların alındığı müşterinin adresini belirtmeniz yeterlidir.

SD Erişimi (DNA), yerel ağ yönetiminin otomasyonudur: tek noktadan yapılandırma, sihirbazlar, kullanışlı arayüzler. Hatta sizinkinin üstüne protokol düzeyinde farklı bir aktarımla başka bir ağ kuruluyor ve çevre sınırlarında eski ağlarla uyumluluk sağlanıyor.

Bunu da aşağıda ele alacağız.

Şimdi laboratuvarımızdaki test tezgahlarında nasıl göründüğüne ve çalıştığına dair bazı gösterimler.

SD-WAN ile başlayalım. Ana Özellikler:

• Yeni noktaların (ZTP) dağıtımının basitleştirilmesi - noktayı bir şekilde sunucu adresiyle ayarlarla beslediğiniz varsayılır. Nokta onu çalar, yapılandırmayı alır, toplar ve kontrol panelinize dahil edilir. Bu, Sıfır Dokunuşla Sağlama (ZTP) sağlar. Bir uç noktayı dağıtmak için bir ağ mühendisinin siteye gitmesine gerek yoktur. Önemli olan, cihazı sahada doğru bir şekilde açmak ve tüm kabloları ona bağlamaktır, ardından ekipman otomatik olarak sisteme bağlanacaktır. Yapılandırmaları, bağlı bir USB sürücüsünden satıcının bulutundaki DNS sorguları aracılığıyla indirebilir veya Wi-Fi veya Ethernet aracılığıyla cihaza bağlı bir dizüstü bilgisayardan bir köprü açabilirsiniz.
• Rutin ağ yönetiminin basitleştirilmesi - şablonlardan yapılandırma, genel politikalar, en az beş, en az 5 şube için merkezi olarak yapılandırılmış. Her şey tek bir yerden. Uzun bir yolculuktan kaçınmak için, önceki yapılandırmaya otomatik olarak dönmeye yönelik çok kullanışlı bir seçenek vardır.
• Uygulama düzeyinde trafik yönetimi—kaliteli ve sürekli uygulama imzası güncellemelerinin sağlanması. Politikalar merkezi olarak yapılandırılır ve kullanıma sunulur (daha önce olduğu gibi her yönlendirici için rota haritaları yazmaya ve güncellemeye gerek yoktur). Kimin neyi, nereye ve ne gönderdiğini görebilirsiniz.
• Ağ segmentasyonu. Tüm altyapının üzerinde bağımsız, izole edilmiş VPN'ler; her birinin kendi yönlendirmesi vardır. Varsayılan olarak, aralarındaki trafik kapalıdır; örneğin her şeyi büyük bir güvenlik duvarı veya proxy üzerinden geçirmek gibi, yalnızca anlaşılabilir ağ düğümlerindeki anlaşılabilir trafik türlerine erişimi açabilirsiniz.
• Ağ kalitesi geçmişinin görünürlüğü - uygulamaların ve kanalların nasıl performans gösterdiği. Kullanıcılar, uygulamaların dengesiz çalışmasıyla ilgili şikayetler almaya başlamadan önce bile durumu analiz etmek ve düzeltmek için çok faydalıdır.
• Kanallar arası görünürlük - paraya değer mi, sitenize iki farklı operatör mü geliyor, yoksa aslında aynı ağdan mı geçiyorlar ve aynı anda bozuluyor/düşüyorlar mı?
• Bulut uygulamaları için görünürlük ve buna bağlı olarak trafiğin belirli kanallar üzerinden yönlendirilmesi (Cloud Onramp).
• Tek parça donanım bir yönlendirici ve bir güvenlik duvarı (daha doğrusu NGFW) içerir. Daha az donanım parçası, yeni bir şube açmanın daha ucuz olduğu anlamına gelir.

SD-WAN çözümlerinin bileşenleri ve mimarisi

Son cihazlar, donanım veya sanal olabilen WAN yönlendiricileridir.

Orkestratörler bir ağ yönetim aracıdır. Uç cihaz parametreleri, trafik yönlendirme politikaları ve güvenlik işlevleriyle yapılandırılırlar. Ortaya çıkan yapılandırmalar, kontrol ağı aracılığıyla düğümlere otomatik olarak gönderilir. Buna paralel olarak orkestratör ağı dinler ve cihazların, bağlantı noktalarının, iletişim kanallarının kullanılabilirliğini ve arayüz yüklemesini izler.

Analiz araçları. Uç cihazlardan toplanan verilere dayanarak raporlar hazırlarlar: kanalların kalite geçmişi, ağ uygulamaları, düğüm kullanılabilirliği vb.

Denetleyiciler, trafik yönlendirme ilkelerinin ağa uygulanmasından sorumludur. Geleneksel ağlardaki en yakın analogları BGP Rota Reflektörü olarak kabul edilebilir. Yöneticinin orkestratörde yapılandırdığı genel politikalar, denetleyicilerin yönlendirme tablolarının kompozisyonunu değiştirmesine ve güncellenmiş bilgileri uç cihazlara göndermesine neden olur.

BT hizmeti SD-WAN'dan neler elde eder:

1. Yedekleme kanalı sürekli kullanımdadır (boşta değildir). Daha ucuz çıkıyor çünkü daha az kalın iki kanalı karşılayabiliyorsunuz.
2. Uygulama trafiğinin kanallar arasında otomatik olarak değiştirilmesi.
3. Yönetici zamanı: Her bir donanım parçasını yapılandırmalarla taramak yerine ağı küresel olarak geliştirebilirsiniz.
4. Yeni şube açma hızı. O çok daha uzun.
5. Ölü ekipmanı değiştirirken daha az arıza süresi.
6. Ağı yeni hizmetler için hızla yeniden yapılandırın.

Bir işletme SD-WAN'dan neler elde eder:

1. Açık İnternet kanalları da dahil olmak üzere iş uygulamalarının dağıtılmış bir ağ üzerinde garantili çalışması. Bu iş öngörülebilirliği ile ilgilidir.
2. Şube sayısından bağımsız olarak tüm dağıtılmış ağ genelinde yeni iş uygulamaları için anında destek. Bu iş hızıyla alakalı.
3. Herhangi bir bağlantı teknolojisini kullanarak herhangi bir uzak konumdaki şubelerin hızlı ve güvenli bağlantısı (İnternet her yerdedir, ancak kiralık hatlar ve VPN yoktur). Bu, iş yerinin seçiminde esneklikle ilgilidir.
4. Bu, teslimat ve devreye alma ile ilgili bir proje olabilir veya bir hizmet olabilir.
   bir BT şirketinden, telekom operatöründen veya bulut operatöründen aylık ödemelerle. Hangisi sizin için uygunsa.

SD-WAN'ın ticari faydaları tamamen farklı olabilir; örneğin bir müşteri bize, üst düzey bir yöneticinin, binlerce şirketin tüm çalışanlarıyla doğrudan bir hat ve içerik sunma yeteneği için bir talep aldığını söyledi.

Bizim için bu bir “askeri operasyon”du. O anda CSPD'yi modernleştirme sorununu zaten çözüyorduk. Prensip olarak ekipmanların yenilenmesiyle uğraşmamız gerektiğini ve teknoloji yığınının ilerlediğini anladığımızda, bir adım daha ileri gidebileceksek neden aynı teknolojilerin ve hizmetlerin yenilenmesiyle meşgul olalım?

SD-WAN, Enikey tarafından tesise kurulur. Bu, normal bir yöneticinin bulunmadığı uzak şubeler için önemlidir. Postayla gönderin, şunu söyleyin: “Kablo 1'i kutu 1'e, kablo 2'yi kutu 2'ye takın ve karıştırmayın! Kafanız karışmasın, #@$@%!” Ve eğer karıştırmazlarsa, cihazın kendisi merkezi sunucuyla iletişim kurar, yapılandırmalarını alıp uygular ve bu ofis, şirketin güvenli ağının bir parçası haline gelir. Seyahat etmek zorunda olmamanız güzel ve bütçenizi haklı çıkarmak kolaydır.

İşte standın bir diyagramı:

Bazı yapılandırma örnekleri:

Politika - trafiği yönetmek için genel kurallar. Bir politikayı düzenleme.

Trafik kontrol ilkesini etkinleştirin.

Temel cihaz parametrelerinin toplu konfigürasyonu (IP adresleri, DHCP havuzları).

Uygulama performansı izlemenin ekran görüntüleri

Bulut uygulamaları için.

Office365 için ayrıntılar.

Şirket içi uygulamalar için. Maalesef standımızda hatalı uygulamalar bulamadık (FEC Kurtarma oranı her yerde sıfırdır).

Ek olarak - veri iletim kanallarının performansı.

SD-WAN'da hangi donanımlar desteklenir?

1. Donanım platformları:

• Viptela OS çalıştıran Cisco vEdge yönlendiricileri (eski adıyla Viptela vEdge).
• IOS XE SD-WAN çalıştıran 1 ve 000 serisi Tümleşik Hizmet Yönlendiricileri (ISR'ler).
• IOS XE SD-WAN çalıştıran Toplama Hizmetleri Yönlendiricisi (ASR) 1 serisi.

2. Sanal platformlar:

• IOS XE SD-WAN çalıştıran Bulut Hizmetleri Yönlendiricisi (CSR) 1v.
• Viptela OS çalıştıran vEdge Cloud Router.

Sanal platformlar, Kurumsal Ağ Bilgi İşlem Sistemi (ENCS) 86 serisi, Birleşik Bilgi İşlem Sistemi (UCS) ve Bulut Hizmetleri Platformu (CSP) 5 serisi gibi Cisco x000 bilgi işlem platformlarına dağıtılabilir. Sanal platformlar ayrıca herhangi bir x5 cihazında da çalışabilir KVM veya VMware ESi gibi bir hipervizör kullanarak.

Yeni bir cihaz nasıl devreye giriyor?

Dağıtım için lisanslı cihazların listesi bir Cisco akıllı hesabından indirilir veya CSV dosyası olarak yüklenir. Daha sonra daha fazla ekran görüntüsü almaya çalışacağım; şu anda dağıtılacak yeni cihazımız yok.

Bir cihazın konuşlandırıldığında geçtiği adımların sırası.

Yeni bir cihaz/yapılandırma dağıtım yöntemi nasıl kullanıma sunuluyor?

Cihazları Akıllı Hesaba ekliyoruz.

Bir CSV dosyası indirebilir veya tek tek indirebilirsiniz:

Cihaz parametrelerini doldurun:

Daha sonra vManage'de verileri Akıllı Hesap ile senkronize ediyoruz. Cihaz listede görünür:

Cihazın karşısındaki açılır menüde Önyükleme Yapılandırması Oluştur'a tıklayın.
ve ilk yapılandırmayı alın:

Bu yapılandırmanın cihaza beslenmesi gerekir. En kolay yol, ciscosd-wan.cfg adlı kayıtlı dosyayı içeren bir flash sürücüyü cihaza bağlamaktır. Önyükleme sırasında cihaz bu dosyayı arayacaktır.

İlk konfigürasyonu alan cihaz, orkestratöre ulaşabilecek ve oradan tam konfigürasyonu alabilecektir.

SD Erişimine (DNA) bakıyoruz

SD Erişimi, bağlanan kullanıcılar için bağlantı noktalarını ve erişim haklarını yapılandırmayı kolaylaştırır. Bu sihirbazlar kullanılarak yapılır. Bağlantı noktası parametreleri VLAN'lara ve IP alt ağlarına göre değil, "Yöneticiler", "Muhasebe", "Yazıcılar" gruplarına göre ayarlanır. Bu, insan hatalarını en aza indirir. Örneğin, bir şirketin Rusya genelinde çok sayıda şubesi varsa ancak merkez ofisi aşırı yüklenmişse, SD Erişimi daha fazla sorunu yerel olarak çözmenize olanak tanır. Örneğin sorun gidermeyle ilgili aynı sorunlar.

Bilgi güvenliği açısından SD Erişiminin, kullanıcıların ve cihazların gruplara net bir şekilde bölünmesini ve bunlar arasındaki etkileşim politikalarının tanımlanmasını, ağa yapılan herhangi bir istemci bağlantısı için yetkilendirmeyi ve ağ genelinde "erişim haklarının" sağlanmasını içermesi önemlidir. Bu yaklaşımı izlerseniz yönetim çok daha kolay hale gelir.

Anahtarlardaki Tak ve Çalıştır aracıları sayesinde yeni ofislerin başlatma süreci de basitleştirilmiştir. Bir konsolla ülke çapında koşmanıza, hatta siteye gitmenize bile gerek yok.

Yapılandırma örnekleri şunlardır:

Genel durum.

Bir yöneticinin incelemesi gereken olaylar.

Yapılandırmalarda nelerin değiştirileceğine ilişkin otomatik öneriler.

SD-WAN'ı SD Erişimi ile entegre etme planı

Cisco'nun böyle planları olduğunu duydum - SD-WAN ve SD-Erişim. Bu, coğrafi olarak dağıtılmış ve yerel CSPD'leri yönetirken hemoroidleri önemli ölçüde azaltacaktır.

vManage (SD-WAN orkestratörü), DNA Center'dan (SD-Erişim denetleyicisi) API aracılığıyla yönetilir.

Mikro ve makro segmentasyon politikaları aşağıdaki gibi eşlenir:

Paket düzeyinde her şey şöyle görünür:

Bunu kim düşünüyor ve ne?

2016 yılından bu yana ayrı bir laboratuvarda SD-WAN üzerinde çalışıyoruz; burada perakende, banka, ulaşım ve endüstrinin ihtiyaçlarına yönelik farklı çözümleri test ediyoruz.

Gerçek müşterilerle çok fazla iletişim kuruyoruz.

Perakendenin zaten SD-WAN'ı güvenle test ettiğini söyleyebilirim ve bazıları bunu satıcılarla (çoğunlukla Cisco ile) yapıyor, ancak sorunu kendi başlarına çözmeye çalışanlar da var: kendi versiyonlarını yazıyorlar işlevsellik açısından SD-WAN'a benzer bir yazılım.

Herkes, öyle ya da böyle, hayvanat bahçesinin tüm ekipmanlarının merkezi yönetimini sağlamak istiyor. Bu, standart dışı kurulumlar ve farklı satıcılar ve farklı teknolojiler için standart kurulumlar için bir yönetim noktasıdır. Manüel çalışmayı en aza indirmek önemlidir çünkü öncelikle ekipmanı ayarlarken insan faktörü riskini azaltır ve ikinci olarak BT hizmetinin kaynaklarını diğer sorunları çözmek için serbest bırakır. Tipik olarak, ihtiyacın tanınması ülke genelinde çok uzun yenileme döngülerinden kaynaklanır. Örneğin, bir perakendeci alkol satıyorsa satış için sürekli iletişime ihtiyacı vardır. Gün içindeki güncelleme veya kesinti, geliri doğrudan etkiler.

Artık perakendede hangi BT görevlerinin SD-WAN kullanacağına dair net bir anlayış var:

1. Hızlı dağıtım (genellikle kablo sağlayıcı gelmeden önce LTE'de ihtiyaç duyulur, genellikle yeni noktanın şehirdeki yönetici tarafından GPC aracılığıyla yükseltilmesi gerekir ve ardından merkez basitçe bakar ve yapılandırır).
2. Merkezi yönetim, yabancı nesneler için iletişim.
3. Telekom maliyetlerinin azaltılması.
4. Çeşitli ek hizmetler (DPI özellikleri, yazar kasalar gibi önemli uygulamalardan gelen trafiğin dağıtımına öncelik verilmesini mümkün kılar).
5. Kanallarla manuel olarak değil, otomatik olarak çalışın.

Ayrıca bir uyumluluk kontrolü de var; herkes bundan çok bahsediyor ama kimse bunu bir sorun olarak algılamıyor. Her şeyin doğru çalışmasını sağlamak da bu paradigmada gayet iyi çalışıyor. Birçoğu tüm ağ teknolojisi pazarının bu yönde hareket edeceğine inanıyor.

Bankalar IMHO şu anda SD-WAN'ı yeni bir teknolojik özellik olarak test ediyor. Önceki nesil ekipmanlara verilen desteğin sona ermesini bekliyorlar ve ancak o zaman değişecekler. Bankalar genellikle iletişim kanalları aracılığıyla kendilerine özel bir atmosfere sahip oldukları için sektörün mevcut durumu onları pek rahatsız etmiyor. Sorunlar daha çok diğer düzlemlerde yatıyor.

Rusya pazarının aksine, SD-WAN Avrupa'da aktif olarak uygulanıyor. İletişim kanalları daha pahalı ve bu nedenle Avrupalı ​​​​şirketler yığınlarını Rus bölümlerine getiriyor. Rusya'da belli bir istikrar var, çünkü kanalların maliyeti (bölge merkezden 25 kat daha pahalı olsa bile) oldukça normal görünüyor ve soru işareti yaratmıyor. Yıldan yıla iletişim kanallarına koşulsuz bir bütçe ayrılmaktadır.

İşte bir şirketin Cisco'da SD-WAN kullanarak zamandan ve paradan tasarruf ettiği dünya çapındaki uygulamalardan bir örnek.

Böyle bir şirket var - National Instruments. Bir noktada dünya çapında 88 sitenin birleştirilmesiyle "elde edilen" küresel bilgisayar ağının etkisiz olduğunu anlamaya başladılar. Ayrıca şirket, evsel sıcak su temini konusunda kapasite ve performanstan yoksundu. Şirketin sürekli büyümesi ile sınırlı BT bütçesi arasında bir denge yoktu.

SD-WAN, National Instruments'ın MPLS maliyetlerini %25 oranında azaltmasına (450 sonunda 2018 $ tasarruf) ve bant genişliğini %3 oranında artırmasına yardımcı oldu.

SD-WAN'ın uygulanmasının bir sonucu olarak şirket, trafiği ve uygulama performansını otomatik olarak optimize etmek için akıllı, yazılım tanımlı bir ağ ve merkezi politika yönetimine kavuştu. Burada - ayrıntılı durum.

Burada İlk başta her şey zor ama ilginç başladığında, S7'yi başka bir ofise taşımanın kesinlikle çılgınca bir durumu - 1,5 bin bağlantı noktasını yeniden yapmak gerekiyordu. Ancak sonra bir şeyler ters gitti ve sonuç olarak, son teslim tarihine kadar birikmiş tüm gecikmelerin sorumlu olduğu son kişiler yöneticiler oldu.

Daha fazlasını İngilizce olarak okuyun:

• American Banker: Fifth Third, SD-WAN ile 5 yıllık ağ yükseltmesine yatırım yapıyor .
• Koch'ta Cloud SD-WAN başarısını artırma.
• McKesson'un Maliyet Tasarrufuna Yönelik SD-WAN Yolculuğu .
• SD-WAN Perakende PoC ve Segmentasyon: Gap Mağazaları.
• ve burada Cisco küresel araştırması Dünyadaki ağ trendleri hakkında.

Rusçada:

• CNews'te.
• SD Erişimini nasıl uyguladık ve buna neden ihtiyaç duyuldu?.
• Yöneticiye yardımcı olmak için Cisco ACI veri merkezi için ağ yapısı.
• Yazılım tanımlı SD-WAN ağlarına dayalı kararlı kanal: rota seçimi sorunlarını çözme.
• Herhangi bir sorunuz varsa veya standımızda görevlerinizi test etmek istiyorsanız e-posta adresim, - [e-posta korumalı].

Kaynak: habr.com