Стенд, який можна помацати у нас у лабі, якщо хочеться.
SD-WAN і SD-Access — два різні нові пропрієтарні підходи до побудови мереж. У майбутньому вони мають злитися в одну оверлейну мережу, але поки що тільки наближаються. Логіка така: беремо мережу зразка 1990-х і накочуємо на неї всі потрібні патчі та фічі, не чекаючи, поки це ще через 10 років стане новим відкритим стандартом.
SD-WAN – це патч SDN до розподілених корпоративних мереж. Транспорт окремо, контроль окремо, тому контроль спрощується.
Плюси - всі канали зв'язку використовуються активно, включаючи резервний. Є маршрутизація пакетів до додатків: що через який канал і з яким пріоритетом. Спрощена процедура розгортання нових точок: замість накатування конфіга — лише вказівки адреси сервера Циски у великому Інтернеті, ЦОД КРОК або замовника, звідки беруться конфіги саме для вашої мережі.
SD-Access (DNA) - це автоматизація управління локальною мережею: конфігурація з однієї точки, візарди, зручні інтерфейси. Фактично будується інша мережа з іншим транспортом на рівні протоколів поверх вашої, і на межах периметра забезпечується сумісність із старими мережами.
Із цим теж розберемося нижче.
Тепер трохи демонстрацій на тестових стендах у нашій лабі, як це виглядає та працює.
Почнемо із SD-WAN. Основні можливості:
- Спрощення деплойменту нових точок (ZTP) - передбачається, що ви якимось чином згодовує точці адресу сервера з налаштуваннями. Крапка стукає до нього, отримує конфіг, накочує його і вмикається у вашу панель управління. Таким чином забезпечується Zero-Touch Provisioning (ZTP). Щоб розгорнути кінцевий пристрій, мережному інженеру не потрібно виїжджати на майданчик. Головне – на місці правильно включити пристрій та підключити до нього всі кабелі, далі обладнання саме підключиться до системи. Завантажити конфіги можна через DNS-запити у хмарі вендора з підключеного USB-накопичувача, а можна відкрити гіперпосилання з ноутбука, підключеного до пристрою Wi-Fi або Ethernet.
- Спрощення рутинного адміністрування мережі - конфіг із шаблонів, глобальні політики, що налаштовуються централізовано хоч на п'ять філій, хоч на 5 000. Все з єдиного місця. Щоб не було довгої дороги, дуже зручна опція автоматичного повернення до попереднього конфігу.
- Управління трафіком на рівні додатків – забезпечення якості та постійного оновлення сигнатур додатків. Політики налаштовуються та накочуються централізовано (не потрібно писати та апдейтувати роут-мапи для кожного маршрутизатора, як раніше). Видно, хто, куди і що шле.
- Сегментація мережі. Незалежні ізольовані VPN поверх усієї інфраструктури – кожна зі своєю маршрутизацією. За замовчуванням трафік між ними закритий, можна відкривати доступи лише зрозумілим видам трафіку у зрозумілих вузлах мережі, наприклад, пропускаючи все через великий файрвол або проксі.
- Видимість історії якості роботи мережі - як працювали програми та канали. Дуже корисно для аналізу та виправлення ситуації ще до того, як від користувачів почнуть надходити скарги на нестабільну роботу програм.
- Видимість по каналах — чи стоять вони своїх грошей, чи реально на об'єкті до вас приходять два різні оператори, або вони за фактом проходять через ту саму мережу і деградують/падають одночасно.
- Видимість для хмарних програм та steering-трафіку через ті чи інші канали на його основі (Cloud Onramp).
- Одна залізка містить у собі роутер та файрволл (точніше, NGFW). Менше залізок — дешевше розгорнути нову філію.
Компоненти та архітектура рішень SD-WAN
Кінцеві пристрої – WAN-маршрутизатори, які бувають апаратними та віртуальними.
Оркестратори – засіб управління мережею. Там налаштовуються параметри кінцевих пристроїв, політики маршрутизації трафіку, функціонал безпеки. Виходять конфіги, які автоматично надсилаються через мережу контролю на вузли. Паралельно оркестратор слухає мережу і робить моніторинг доступність пристроїв, портів, каналів зв'язку, завантаження інтерфейсів.
Кошти аналітики. Роблять звіти на підставі даних, що збираються з кінцевих пристроїв: історію якості роботи каналів, мережевих програм, доступності вузлів і т.п.
Контролери відповідають застосування політик маршрутизації трафіку на мережу. Найближчим їх аналогом у традиційних мережах можна вважати BGP Route Reflector. Глобальні політики, які адміністратор налаштовує в оркестраторі, призводять до того, що контролери змінюють склад своїх таблиць маршрутизації та розсилають оновлену інформацію на кінцеві пристрої.
Що отримує ІТ-служба від SD-WAN:
- Резервний канал постійно використовується (не простоює). Виходить дешевше, оскільки можна дозволити два менш товсті канали.
- Автоматичне перемикання трафіку додатків між каналами.
- Час адміністратора: можна глобально розвивати мережу, а не повзати кожною залізкою з конфігами.
- Швидкість підняття нових філій. Вона значно вища.
- Менше простоїв на час заміни померлого обладнання.
- Швидке переконфігурування мережі під нові послуги.
Що отримує бізнес від SD-WAN:
- Гарантована робота бізнес-додатків на розподіленій мережі, у тому числі через відкриті інтернет-канали. Це про передбачуваність бізнесу.
- Миттєва підтримка нових бізнес-додатків по всій розподіленій мережі незалежно від кількості філій. Це про швидкість бізнесу.
- Швидке та безпечне підключення філій у будь-яких віддалених локаціях з використанням будь-яких технологій підключення (Інтернет є скрізь, а виділені лінії та VPN – ні). Це про гнучкість бізнесу у виборі локації.
- Це може бути проект з постачанням та пусконалагодженням, а може бути послугою
із щомісячними платежами від ІТ-компанії, оператора зв'язку або хмарного оператора. Кому як зручно.
Вигоди бізнесу від SD-WAN можуть бути абсолютно різними, наприклад один замовник нам сказав, що від топ-менеджера надійшов запит на проведення прямої лінії з усіма співробітниками багатотисячної компанії і можливістю доставляти контент.
Для нас це було «військовою операцією». На той час ми вже вирішували завдання модернізації КСПД. А коли ми розуміємо, що нам треба в принципі займатися реновацією обладнання, а технологічний стек пішов уперед, навіщо нам займатися реновацією тих самих технологій і сервісів, якщо можна зробити крок далі.
SD-WAN на місці встановлюється силами енікеїв. Це важливо для віддалених філій, де просто не може бути нормального адміна. Відправляєте поштою, кажіть: «Кабель 1 вставте в коробку 1, кабель 2 - в коробку 2, і не переплутайте! Не переплутайте, #@$@%!». І якщо там не переплутають, пристрій сам зв'язується з центральним сервером, забирає і застосовує свої конфіги, і цей офіс стає частиною захищеної мережі компанії. Приємно, коли не треба їздити та легко обґрунтувати у бюджеті.
А ось схема стенду:
Небагато прикладів налаштування:
Політика – глобальні правила управління трафіком. Редагування політики.
Активація політики керування трафіком.
Масове налаштування основних параметрів пристроїв (IP-адреси, пули DHCP).
Скріншоти моніторингу перформансу додатків
Для хмарних програм.
Детально для Office365.
Для on-prem-додатків. На жаль, на нашому стенді не вдалося знайти програми з помилками (FEC Recovery rate скрізь на нулі).
Додатково перформанс каналів передачі даних.
Які залізяки підтримуються на SD-WAN
1. Апаратні платформи:
- Маршрутизатори Cisco vEdge (колишня назва Viptela vEdge), що працюють під управлінням ОС Viptela.
- Маршрутизатори Integrated Services Router (ISR) серій 1 та 000, що працюють під управлінням IOS XE SD-WAN.
- Маршрутизатор Aggregation Services Router (ASR) серії 1, що працює під управлінням IOS XE SD-WAN.
2. Віртуальні платформи:
- Маршрутизатор Cloud Services Router (CSR) 1v, що працює під керуванням IOS XE SD-WAN.
- Маршрутизатор vEdge Cloud Router, який працює під управлінням ОС Viptela.
Віртуальні платформи можна розгортати на обчислювальних платформах Cisco x86, наприклад, Enterprise Network Compute System (ENCS) серії 5, Unified Computing System (UCS) та Cloud Services Platform (CSP) серії 000. Віртуальні платформи можуть також працювати на будь-якому пристрої x5, використовує гіпервізор, такий як KVM або VMware ESi.
Як накочується новий пристрій
Список проліцензованих пристроїв для розгортання завантажується або зі смарт-акаунта в Cisco, або завантажується файлом CSV. Більше скріншотів спробую дістати пізніше, зараз у нас немає нових пристроїв для розгортання.
Послідовність кроків, через які проходить пристрій під час розгортання.
Як накочується новий пристрій/спосіб доставки конфігу
Заводимо пристрої у Smart Account.
Можна завантажити файл CSV, а можна по одному:
Заповнюємо параметри пристрою:
Далі в vManage синхронізуємо дані зі Smart Account. Пристрій з'являється у списку:
У меню, що випадає, навпроти пристрою тиснемо Generate Bootstrap Configuration
і отримуємо початковий конфіг:
Цей конфіг необхідно згодувати пристрою. Найпростіший спосіб – підключити до пристрою флешку із збереженим файлом з ім'ям ciscosd-wan.cfg. При завантаженні пристрій шукатиме цей файл.
Отримавши початковий конфіг, пристрій зможе достукатися до оркестратора і отримати повноцінну конфігурацію.
Дивимося на SD-Access (DNA)
SD-Access спрощує налаштування портів та прав доступу для підключення користувачів. Це робиться за допомогою візардів. Параметри портів задаються у прив'язці до груп Адміністратори, Бухгалтерія, Принтери, а не до VLAN та IP-підмереж. Це мінімізує помилки, пов'язані із людським фактором. Якщо, наприклад, компанія має багато філій по Росії, а центральний офіс при цьому перевантажений, то SD-Access дозволяє вирішувати більше завдань саме на місцях. Наприклад, ті ж завдання з траблшутингу.
Для ІБ важливо, що SD-Access передбачає чіткий поділ користувачів та пристроїв на групи та визначення політик взаємодії між ними, авторизацію за будь-якого клієнтського підключення до мережі та забезпечення «прав доступу» по всій мережі. Якщо наслідувати такий підхід, то адмініструвати стає набагато простіше.
Процес запуску для нових офісів також спрощений завдяки Plug-and-Play-агентам у комутаторах. Бігати кросовими з консоллю, а то й взагалі виїжджати на об'єкт не потрібно.
Ось приклади налаштування:
Загальний статус.
Інциденти, які варто переглянути адміністратору.
Автоматичні поради, що міняти в конфігах.
План з інтеграції SD-WAN з SD-Access
Чув, що такі плани у Циски — SD-WAN і SD-Access. Це має помітно зменшити геморою при управлінні територіально розподіленими та локальними КСПД.
vManage (оркестратор SD-WAN) управляється через API з DNA Center (контролера SD-Access).
Політики мікро- і макросегментації мапяться таким чином:
На рівні пакетів все виглядає так:
Хто і що з цього приводу думає
Ми займаємося SD-WAN з 2016 року в окремій лабораторії, де тестуємо різні варіанти рішень під потреби роздрібної торгівлі, банків, транспорту та промисловості.
Дуже багато спілкуємося із реальними замовниками.
Можу сказати, що роздріб уже впевнено тестує SD-WAN, причому деякі це роблять з вендорами (найчастіше - з Cisco), але є й ті, хто намагається вирішити питання самостійно: пишуть свою версію софту, що нагадує функція SD-WAN.
Усі так чи інакше хочуть дійти централізованого управління всього зоопарку обладнання. Це одна точка адміністрування для нестандартних інсталяцій та стандартних для різних вендорів та різних технологій. Важливо мінімізувати ручну роботу, тому що це, по-перше, скорочує ризик людського фактора при настроюванні обладнання, по-друге, вивільняє ресурси ІТ-служби на вирішення інших завдань. Зазвичай розуміння необхідності приходить через дуже довгі цикли оновлення по всій країні. А, наприклад, якщо роздріб торгує алкоголем, то їй потрібний постійний зв'язок для продажу. Оновлення або простий день прямо позначається на виручці.
Зараз у роздробі точно сформовано розуміння, для яких завдань ІТ використовуватиме SD-WAN:
- Швидке розгортання (часто потрібно на LTE до приходу кабельного провайдера, часто потрібно, щоб нова точка піднімалася адміном у місті ГПХ, а потім центр просто дивився і конфігурував).
- Централізоване керування, зв'язок для закордонних об'єктів.
- Скорочення вартості телекому.
- Різні додаткові послуги (DPI-фічі дають можливість пріоритетно доставляти трафік від важливих додатків типу касового).
- Робота з каналами автоматично, а чи не руками.
І є ще перевірка на комплаєнс — багато про неї говорять, але ніхто не сприймає як проблему. Підтримка того, що все працює коректно, теж у цій парадигмі нормально працює. Багато хто вважає, що в цей бік рухатиметься взагалі весь ринок мережевих технологій.
Банки, імхо, поки що тестують SD-WAN швидше як нову технологічну фічу. Чекають на закінчення підтримки попередніх поколінь обладнання і тільки тоді змінюватимуться. У банків взагалі своя особлива атмосфера каналами зв'язку, тому поточний стан галузі їх не дуже напружує. Проблеми, швидше, лежать в інших площинах.
На відміну від російського ринку в Європі, SD-WAN впроваджується активно. У них дорожчі канали зв'язку, і тому європейські компанії приносять свій стек до російських підрозділів. У Росії ж є певна стабільність, тому що вартість каналів (навіть коли регіон дорожчий за центр у 25 разів) цілком нормально виглядає і не викликає питань. Рік у рік на канали зв'язку закладають беззастережно бюджет.
Ось приклад зі світової практики, коли компанія за рахунок SD-WAN на Циску заощадила час та гроші.
Є така компанія – National Instruments. У певний момент вони почали розуміти, що глобальна обчислювальна мережа, отримана за результатами об'єднання 88 майданчиків у всьому світі, була неефективною. Крім цього, компанії не вистачало пропускної спроможності та продуктивності ГВП. Не було балансу між безперервним зростанням компанії та обмеженим ІТ-бюджетом.
SD-WAN допоміг скоротити National Instruments витрати на MPLS на 25% (економія 450 тис. дол. за підсумками 2018 р.), розширивши смугу пропускання на 3%.
За підсумками впровадження SD-WAN компанія отримала розумну програмно-визначену мережу та централізоване управління політиками, щоб автоматично оптимізувати трафік та продуктивність додатків. - Детальний кейс.
Чумовий кейс переїзду S7 в інший офіс, коли спочатку все почалося важко, але цікаво - потрібно було переробити 1,5 тисяч портів. А ось потім дещо пішло не так і в результаті адміни виявилися тими останніми перед дедлайном, на кого сипляться всі затримки, що накопичилися.
Читати більше англійською:
- .
- .
- .
- .
- А от з мережевих трендів у світі.
Російською:
- .
- .
- .
- .
- Моя пошта, якщо є питання чи хочеться протестувати свої завдання на нашому стенді, [захищено електронною поштою].
Джерело: habr.com