Administratorga yordam berish uchun SD-WAN va DNK: arxitektura xususiyatlari va amaliyoti

Agar xohlasangiz, bizning laboratoriyamizda teginishingiz mumkin bo'lgan stend.

SD-WAN va SD-Access tarmoqlarni qurishda ikki xil yangi xususiy yondashuvdir. Kelajakda ular bitta ustki tarmoqqa birlashishi kerak, ammo hozircha ular yaqinlashmoqda. Mantiq shunday: biz 1990-yillardagi tarmoqni olamiz va yana 10 yil ichida yangi ochiq standartga aylanishini kutmasdan, unga barcha kerakli yamalar va xususiyatlarni chiqaramiz.

SD-WAN - bu taqsimlangan korporativ tarmoqlar uchun SDN patch. Transport alohida, nazorat alohida, shuning uchun nazorat soddalashtirilgan.

Taroziga soling - barcha aloqa kanallari faol ishlatiladi, shu jumladan zaxira. Paketlarni ilovalarga yo'naltirish mavjud: nima, qaysi kanal orqali va qanday ustuvorlik bilan. Yangi nuqtalarni o'rnatishning soddalashtirilgan tartibi: konfiguratsiyani o'rnatish o'rniga katta Internetdagi Cisco serverining manzilini, CROC ma'lumot markazi yoki sizning tarmog'ingiz uchun maxsus konfiguratsiyalar olingan mijozni ko'rsating.

SD-Access (DNK) - bu mahalliy tarmoq boshqaruvini avtomatlashtirish: bir nuqtadan konfiguratsiya, sehrgarlar, qulay interfeyslar. Haqiqatan ham, sizning tepangizda protokol darajasida boshqa transport bilan boshqa tarmoq qurilgan va perimetr chegaralarida eski tarmoqlar bilan muvofiqligi ta'minlangan.

Bu bilan quyida ham shug‘ullanamiz.

Endi laboratoriyamizdagi sinov skameykalarida ba'zi namoyishlar, uning ko'rinishi va ishlashi.

SD-WAN bilan boshlaylik. Asosiy xususiyatlar:

• Yangi nuqtalarni joylashtirishni soddalashtirish (ZTP) - siz qandaydir tarzda server manzilini sozlamalar bilan ta'minlaysiz deb taxmin qilinadi. Nuqta uni taqillatadi, konfiguratsiyani oladi, uni aylantiradi va boshqaruv panelingizga kiritiladi. Bu Zero-Touch Provisioning (ZTP) ni ta'minlaydi. Oxirgi nuqtani joylashtirish uchun tarmoq muhandisi saytga borishi shart emas. Asosiysi, qurilmani saytda to'g'ri yoqish va unga barcha kabellarni ulash, keyin uskuna avtomatik ravishda tizimga ulanadi. Siz sotuvchining bulutidagi DNS so'rovlari orqali konfiguratsiyalarni ulangan USB diskidan yuklab olishingiz yoki Wi-Fi yoki Ethernet orqali qurilmaga ulangan noutbukdan giperhavolani ochishingiz mumkin.
• Muntazam tarmoq boshqaruvini soddalashtirish - shablonlardan konfiguratsiyalar, global siyosatlar, markazlashtirilgan holda kamida beshta filial uchun, kamida 5. Hammasi bir joydan. Uzoq safardan qochish uchun oldingi konfiguratsiyaga avtomatik ravishda qaytish uchun juda qulay variant mavjud.
• Ilova darajasidagi trafikni boshqarish - sifatli va uzluksiz ilovalar imzo yangilanishini ta'minlash. Siyosatlar markazlashtirilgan tarzda sozlanadi va tarqatiladi (avvalgidek har bir router uchun marshrut xaritalarini yozish va yangilashning hojati yoʻq). Kim nimani, qayerga va nimani yuborayotganini ko'rishingiz mumkin.
• Tarmoq segmentatsiyasi. Butun infratuzilma ustidagi mustaqil izolyatsiyalangan VPN-lar - har biri o'z marshrutiga ega. Odatiy bo'lib, ular orasidagi trafik yopiq, siz tushunarli tarmoq tugunlarida faqat tushunarli trafik turlariga kirishni ochishingiz mumkin, masalan, hamma narsani katta xavfsizlik devori yoki proksi-server orqali o'tkazish.
• Tarmoq sifati tarixining ko'rinishi - ilovalar va kanallar qanday ishlashi. Foydalanuvchilar ilovalarning beqaror ishlashi haqida shikoyatlar olishni boshlashdan oldin ham vaziyatni tahlil qilish va tuzatish uchun juda foydali.
• Kanallar bo'ylab ko'rish - ular pulga arziydimi, ikki xil operator saytingizga keladimi yoki ular bir xil tarmoqdan o'tadimi va bir vaqtning o'zida yomonlashadi/tushadi.
• Bulutli ilovalar uchun ko'rinish va unga asoslangan ma'lum kanallar orqali trafikni boshqarish (Cloud Onramp).
• Uskunaning bir qismi marshrutizator va xavfsizlik devorini (aniqrog'i, NGFW) o'z ichiga oladi. Uskunaning kamroq bo'lagi yangi filialni ochishning arzonligini anglatadi.

SD-WAN yechimlarining komponentlari va arxitekturasi

Yakuniy qurilmalar WAN routerlari bo'lib, ular apparat yoki virtual bo'lishi mumkin.

Orkestrlar tarmoqni boshqarish vositasidir. Ular oxirgi qurilma parametrlari, trafikni yo'naltirish siyosati va xavfsizlik funksiyalari bilan sozlangan. Olingan konfiguratsiyalar avtomatik ravishda boshqaruv tarmog'i orqali tugunlarga yuboriladi. Parallel ravishda, orkestr tarmoqni tinglaydi va qurilmalar, portlar, aloqa kanallari va interfeys yuklanishining mavjudligini nazorat qiladi.

Analitik vositalar. Ular oxirgi qurilmalardan to'plangan ma'lumotlarga asoslangan hisobotlarni tuzadilar: kanallar sifati tarixi, tarmoq ilovalari, tugunlarning mavjudligi va boshqalar.

Nazoratchilar tarmoqqa trafikni yo'naltirish siyosatini qo'llash uchun javobgardir. An'anaviy tarmoqlarda ularning eng yaqin analogi BGP Route Reflector hisoblanishi mumkin. Administrator orkestratorda sozlagan global siyosatlar kontrollerlarga marshrutlash jadvallari tarkibini oʻzgartirishga va yangilangan maʼlumotlarni oxirgi qurilmalarga yuborishiga sabab boʻladi.

IT xizmati SD-WAN-dan nimani oladi:

1. Zaxira kanali doimiy ravishda ishlatiladi (bo'sh emas). Bu arzonroq bo'lib chiqadi, chunki siz ikkita kamroq qalin kanalni sotib olishingiz mumkin.
2. Kanallar orasidagi dastur trafigini avtomatik almashtirish.
3. Administrator vaqti: siz konfiguratsiyalar bilan har bir uskuna boʻlagini koʻrib chiqish oʻrniga, tarmoqni global miqyosda rivojlantirishingiz mumkin.
4. Yangi filiallarni ko'tarish tezligi. Uning bo‘yi ancha baland.
5. O'lik uskunani almashtirishda kamroq ishlamay qolish.
6. Yangi xizmatlar uchun tarmoqni tezda qayta sozlang.

SD-WAN-dan biznes nima oladi:

1. Taqsimlangan tarmoqda, shu jumladan ochiq Internet kanallari orqali biznes ilovalarining kafolatlangan ishlashi. Bu biznesni bashorat qilish haqida.
2. Filiallar sonidan qat'i nazar, butun taqsimlangan tarmoq bo'ylab yangi biznes ilovalarini tezkor qo'llab-quvvatlash. Bu biznes tezligi haqida.
3. Har qanday ulanish texnologiyalaridan foydalangan holda har qanday uzoq joylarda filiallarning tez va xavfsiz ulanishi (Internet hamma joyda, lekin ijaraga olingan liniyalar va VPN emas). Bu joy tanlashda biznesning moslashuvchanligi haqida.
4. Bu yetkazib berish va ishga tushirish bilan bog'liq loyiha yoki xizmat bo'lishi mumkin
   IT kompaniyasi, aloqa operatori yoki bulut operatoridan oylik to'lovlar bilan. Qaysi biri sizga qulay bo'lsa.

SD-WAN ning biznes afzalliklari butunlay boshqacha bo'lishi mumkin, masalan, bir mijoz bizga top-menejer ko'p minglik kompaniyaning barcha xodimlari bilan to'g'ridan-to'g'ri aloqa va kontentni yetkazib berish imkoniyati haqida so'rov olganini aytdi.

Biz uchun bu "harbiy operatsiya" edi. O'sha paytda biz CSPDni modernizatsiya qilish muammosini hal qilyapmiz. Va biz, printsipial jihatdan, uskunalarni yangilash bilan shug'ullanishimiz kerakligini tushunganimizda va texnologiya to'plami oldinga siljigan bo'lsa, nima uchun biz oldinga qadam tashlashimiz mumkin bo'lsa, xuddi shu texnologiyalar va xizmatlarni yangilash bilan shug'ullanishimiz kerak.

SD-WAN Enikey tomonidan saytga o'rnatilgan. Bu oddiy administrator bo'lmasligi mumkin bo'lgan masofaviy filiallar uchun muhimdir. Pochta orqali yuboring, ayting: "1-kabelni 1-qutga, 2-kabelni 2-qutiga ulang va aralashtirmang! Adashib qolmang, #@$@%!” Va agar ular aralashmasa, qurilma o'zi markaziy server bilan bog'lanadi, uning konfiguratsiyasini oladi va qo'llaydi va bu ofis kompaniyaning xavfsiz tarmog'ining bir qismiga aylanadi. Sayohat qilishning hojati yo'q bo'lganda juda yoqimli va byudjetni oqlash oson.

Mana stendning diagrammasi:

Ba'zi konfiguratsiya misollari:

Siyosat - trafikni boshqarishning global qoidalari. Siyosatni tahrirlash.

Trafikni boshqarish siyosatini faollashtiring.

Asosiy qurilma parametrlarining ommaviy konfiguratsiyasi (IP manzillar, DHCP hovuzlari).

Ilova ishlashi monitoringi skrinshotlari

Bulutli ilovalar uchun.

Office365 uchun tafsilotlar.

Mahalliy ilovalar uchun. Afsuski, biz stendimizda xatosi bo'lgan ilovalarni topa olmadik (FEC Recovery tezligi hamma joyda nolga teng).

Qo'shimcha ravishda - ma'lumotlarni uzatish kanallarining ishlashi.

SD-WAN-da qanday apparat qo'llab-quvvatlanadi

1. Uskuna platformalari:

• Viptela OS bilan ishlaydigan Cisco vEdge routerlari (avvalgi Viptela vEdge).
• IOS XE SD-WAN tizimida ishlaydigan 1 va 000 seriyali Integrated Services Routers (ISRs).
• Aggregation Services Router (ASR) 1 seriyali IOS XE SD-WAN bilan ishlaydi.

2. Virtual platformalar:

• Cloud Services Router (CSR) 1v IOS XE SD-WAN bilan ishlaydi.
• vEdge Cloud Router Viptela operatsion tizimida ishlaydi.

Virtual platformalar Cisco x86 hisoblash platformalarida, masalan, Enterprise Network Compute System (ENCS) 5 seriyali, Unified Computing System (UCS) va Cloud Services Platform (CSP) 000 seriyalarida joylashtirilishi mumkin. Virtual platformalar har qanday x5 qurilmasida ham ishlashi mumkin. KVM yoki VMware ESi kabi gipervizordan foydalanish.

Yangi qurilma qanday ishlaydi

Joylashtirish uchun litsenziyalangan qurilmalar roʻyxati Cisco smart hisobidan yuklab olinadi yoki CSV fayli sifatida yuklanadi. Keyinroq ko‘proq skrinshot olishga harakat qilaman, hozir bizda o‘rnatish uchun yangi qurilmalar yo‘q.

Qurilma o'rnatilganda o'tadigan bosqichlar ketma-ketligi.

Yangi qurilma/konfiguratsiyani yetkazib berish usuli qanday ishlab chiqariladi

Smart Accountga qurilmalar qo'shamiz.

Siz CSV faylini yuklab olishingiz yoki bir vaqtning o'zida bittadan yuklab olishingiz mumkin:

Qurilma parametrlarini to'ldiring:

Keyinchalik, vManage-da biz ma'lumotlarni Smart hisob bilan sinxronlashtiramiz. Qurilma ro'yxatda paydo bo'ladi:

Qurilmaning qarshisidagi ochiladigan menyuda Bootstrap konfiguratsiyasini yaratish-ni bosing
va dastlabki konfiguratsiyani oling:

Ushbu konfiguratsiya qurilmaga berilishi kerak. Eng oson yo'li ciscosd-wan.cfg nomli saqlangan faylga ega flesh-diskni qurilmaga ulashdir. Yuklash paytida qurilma ushbu faylni qidiradi.

Dastlabki konfiguratsiyani olgandan so'ng, qurilma orkestrga etib borishi va u erdan to'liq konfiguratsiyani olishi mumkin.

Biz SD-Access (DNK) ga qaraymiz.

SD-Access foydalanuvchilarni ulash uchun portlar va kirish huquqlarini sozlashni osonlashtiradi. Bu sehrgarlar yordamida amalga oshiriladi. Port parametrlari VLAN va IP quyi tarmoqlariga emas, balki "Administratorlar", "Buxgalteriya", "Printerlar" guruhlariga nisbatan o'rnatiladi. Bu inson xatolarini kamaytiradi. Agar, masalan, kompaniyaning Rossiya bo'ylab ko'plab filiallari bo'lsa, lekin markaziy ofis haddan tashqari yuklangan bo'lsa, u holda SD-Access mahalliy darajada ko'proq muammolarni hal qilish imkonini beradi. Masalan, muammolarni bartaraf etish bilan bog'liq bir xil muammolar.

Axborot xavfsizligi uchun SD-Access foydalanuvchilarni va qurilmalarni guruhlarga aniq taqsimlashni va ular o'rtasidagi o'zaro munosabatlar siyosatini belgilashni, tarmoqqa har qanday mijoz ulanishi uchun avtorizatsiyani va butun tarmoq bo'ylab "kirish huquqlarini" ta'minlashni o'z ichiga olishi muhimdir. Agar siz ushbu yondashuvga amal qilsangiz, boshqaruv ancha osonlashadi.

Yangi ofislarni ishga tushirish jarayoni kalitlardagi Plug-and-Play agentlari tufayli ham soddalashtirilgan. Konsol bilan mamlakat bo'ylab yugurish yoki umuman saytga borishning hojati yo'q.

Mana konfiguratsiya misollari:

Umumiy holat.

Administrator ko'rib chiqishi kerak bo'lgan voqealar.

Konfiguratsiyalarda nimani o'zgartirish bo'yicha avtomatik tavsiyalar.

SD-WAN-ni SD-Access bilan integratsiyalash rejasi

Cisco-ning shunday rejalari borligini eshitdim - SD-WAN va SD-Access. Bu geografik jihatdan tarqalgan va mahalliy CSPDlarni boshqarishda hemoroidlarni sezilarli darajada kamaytirishi kerak.

vManage (SD-WAN orchestrator) DNK Center (SD-Access kontrolleri) dan API orqali boshqariladi.

Mikro va makro-segmentatsiya siyosati quyidagicha ko'rsatilgan:

Paket darajasida hamma narsa quyidagicha ko'rinadi:

Bu haqda kim o'ylaydi va nima?

Biz SD-WAN ustida 2016 yildan beri alohida laboratoriyada ishlayapmiz, u yerda chakana savdo, banklar, transport va sanoat ehtiyojlari uchun turli yechimlarni sinab ko‘ramiz.

Biz haqiqiy mijozlar bilan ko'p muloqot qilamiz.

Aytishim mumkinki, chakana savdo allaqachon SD-WAN-ni ishonchli sinovdan o'tkazmoqda va ba'zilari buni sotuvchilar bilan qilmoqdalar (ko'pincha Cisco bilan), ammo masalani o'zlari hal qilmoqchi bo'lganlar ham bor: ular o'zlarining versiyalarini yozishmoqda. funktsional jihatdan SD-WAN ga o'xshash dasturiy ta'minot.

Har bir inson, qandaydir tarzda, butun hayvonot bog'ini markazlashtirilgan boshqarishga erishmoqchi. Bu nostandart o'rnatish va turli sotuvchilar va turli texnologiyalar uchun standart bo'lganlarni boshqarishning bir nuqtasi. Qo'l mehnatini minimallashtirish muhim, chunki birinchidan, uskunani o'rnatishda inson omili xavfini kamaytiradi, ikkinchidan, boshqa muammolarni hal qilish uchun AT xizmatining resurslarini bo'shatadi. Odatda, ehtiyojning tan olinishi butun mamlakat bo'ylab juda uzoq yangilanish davrlaridan kelib chiqadi. Va, masalan, chakana sotuvchi spirtli ichimliklarni sotsa, u holda sotish uchun doimiy aloqaga muhtoj. Kun davomida yangilanish yoki ishlamay qolish to'g'ridan-to'g'ri daromadga ta'sir qiladi.

Endi chakana savdoda SD-WAN-dan qanday IT vazifalari qo'llanilishi haqida aniq tushuncha mavjud:

1. Tez o'rnatish (ko'pincha kabel provayderi kelishidan oldin LTE-da kerak bo'ladi, ko'pincha shahardagi ma'mur tomonidan yangi nuqtani GPC orqali ko'tarish kerak bo'ladi, keyin markaz shunchaki ko'rinadi va sozlanadi).
2. Markazlashtirilgan boshqaruv, begona ob'ektlar uchun aloqa.
3. Telekommunikatsiya xarajatlarini kamaytirish.
4. Har xil qo'shimcha xizmatlar (DPI xususiyatlari kassa apparatlari kabi muhim ilovalardan trafikni yetkazib berishga ustuvorlik berish imkonini beradi).
5. Kanallar bilan qo'lda emas, balki avtomatik ishlang.

Muvofiqlikni tekshirish ham bor - hamma bu haqda ko'p gapiradi, lekin hech kim buni muammo sifatida qabul qilmaydi. Bu paradigmada hamma narsa to'g'ri ishlashini ta'minlash ham yaxshi ishlaydi. Ko'pchilik butun tarmoq texnologiyalari bozori shu yo'nalishda harakat qilishiga ishonadi.

Banklar, IMHO, hozirda SD-WAN-ni yangi texnologik xususiyat sifatida sinab ko'rmoqda. Ular oldingi avlod uskunalarini qo'llab-quvvatlashning tugashini kutishmoqda va shundan keyingina ular o'zgaradi. Banklar, odatda, aloqa kanallari orqali o'zlarining maxsus atmosferasiga ega, shuning uchun sanoatning hozirgi holati ularni juda bezovta qilmaydi. Muammolar ko'proq boshqa samolyotlarda yotadi.

Rossiya bozoridan farqli o'laroq, SD-WAN Evropada faol ravishda amalga oshirilmoqda. Ularning aloqa kanallari qimmatroq, shuning uchun Evropa kompaniyalari o'z steklarini Rossiya bo'linmalariga olib kelishadi. Rossiyada ma'lum bir barqarorlik mavjud, chunki kanallarning narxi (hatto mintaqa markazdan 25 barobar qimmatroq bo'lsa ham) juda oddiy ko'rinadi va savollar tug'dirmaydi. Yildan yilga aloqa kanallari uchun so'zsiz byudjet mavjud.

Bu erda kompaniya Cisco’da SD-WAN yordamida vaqt va pulni tejagan jahon amaliyotidan misol keltiramiz.

Bunday kompaniya bor - National Instruments. Muayyan nuqtada ular butun dunyo bo'ylab 88 ta saytni birlashtirish orqali "qo'lga kiritilgan" global kompyuter tarmog'i samarasiz ekanligini tushuna boshladilar. Bundan tashqari, kompaniya maishiy issiq suv ta'minotining quvvati va ishlashiga ega emas edi. Kompaniyaning doimiy o'sishi va cheklangan IT byudjeti o'rtasida muvozanat yo'q edi.

SD-WAN National Instruments-ga MPLS xarajatlarini 25% ga kamaytirishga yordam berdi (450-yil oxirida 2018 3 AQSh dollarini tejash), tarmoqli kengligini 075% ga kengaytirish.

SD-WANni amalga oshirish natijasida kompaniya trafik va ilovalarning ishlashini avtomatik ravishda optimallashtirish uchun aqlli dasturiy ta'minot bilan belgilangan tarmoq va markazlashtirilgan siyosat boshqaruvini oldi. Bu erda - batafsil ish.

Bu erda S7-ni boshqa ofisga ko'chirishning mutlaqo aqldan ozgan holati, boshida hamma narsa qiyin, ammo qiziqarli boshlanganida - 1,5 ming portni qayta tiklash kerak edi. Ammo keyin nimadir noto'g'ri ketdi va natijada ma'murlar belgilangan muddatdan oldin oxirgi bo'lib chiqdi, ularda barcha to'plangan kechikishlar tushadi.

Batafsil ingliz tilida:

• Amerikalik bankir: Beshinchi uchinchisi SD-WAN bilan 5 yillik tarmoqni yangilashga sarmoya kiritadi .
• Kochda bulutli SD-WAN muvaffaqiyatini yaratish.
• Makkessonning SD-WAN sayohati xarajatlarni tejashga .
• SD-WAN Chakana savdo poC va segmentatsiyasi: Gap do'konlari.
• Ammo Cisco global tadqiqoti dunyodagi tarmoq tendentsiyalari haqida.

Rus tilida:

• CNews telekanalida.
• SD-Access-ni qanday amalga oshirdik va u nima uchun kerak edi.
• Cisco ACI ma'lumotlar markazi uchun tarmoq mato - administratorga yordam berish uchun.
• Dasturiy ta'minot bilan belgilangan SD-WAN tarmoqlariga asoslangan barqaror kanal: marshrutni tanlash muammolarini hal qilish.
• Mening elektron pochtam, agar sizda savollar bo'lsa yoki bizning stendimizda o'z vazifalaringizni sinab ko'rmoqchi bo'lsangiz, - [elektron pochta bilan himoyalangan].

Manba: www.habr.com