SD-WAN và DNA để trợ giúp quản trị viên: các tính năng và thực tiễn kiến ​​trúc

Một giá đỡ mà bạn có thể chạm vào trong phòng thí nghiệm của chúng tôi nếu muốn.

SD-WAN và SD-Access là hai phương pháp tiếp cận độc quyền mới khác nhau để xây dựng mạng. Trong tương lai, họ sẽ hợp nhất thành một mạng lớp phủ, nhưng hiện tại họ chỉ mới tiến gần đến mức đó. Logic là thế này: chúng tôi lấy một mạng từ những năm 1990 và tung ra tất cả các bản vá và tính năng cần thiết trên đó mà không cần đợi nó trở thành một tiêu chuẩn mở mới sau 10 năm nữa.

SD-WAN là bản vá SDN cho mạng doanh nghiệp phân tán. Việc vận chuyển là riêng biệt, việc điều khiển là riêng biệt nên việc điều khiển được đơn giản hóa.

Ưu điểm - tất cả các kênh liên lạc đều được sử dụng tích cực, bao gồm cả kênh dự phòng. Có định tuyến các gói đến các ứng dụng: cái gì, qua kênh nào và với mức độ ưu tiên nào. Quy trình đơn giản hóa để triển khai các điểm mới: thay vì triển khai cấu hình, chỉ cần chỉ định địa chỉ của máy chủ Cisco trên Internet lớn, trung tâm dữ liệu CROC hoặc khách hàng, nơi lấy cấu hình dành riêng cho mạng của bạn.

SD-Access (DNA) là giải pháp tự động hóa quản lý mạng cục bộ: cấu hình từ một điểm, trình hướng dẫn, giao diện thuận tiện. Trên thực tế, một mạng khác được xây dựng với một mạng truyền tải khác ở cấp độ giao thức cao hơn mạng của bạn và khả năng tương thích với các mạng cũ hơn được đảm bảo ở ranh giới chu vi.

Chúng tôi cũng sẽ giải quyết vấn đề này dưới đây.

Bây giờ là một số minh họa trên băng ghế thử nghiệm trong phòng thí nghiệm của chúng tôi, xem nó trông như thế nào và hoạt động như thế nào.

Hãy bắt đầu với SD-WAN. Những đặc điểm chính:

• Đơn giản hóa việc triển khai các điểm mới (ZTP) - giả định rằng bằng cách nào đó bạn cung cấp điểm bằng địa chỉ máy chủ bằng cài đặt. Điểm gõ vào nó, nhận cấu hình, cuộn nó lại và được đưa vào bảng điều khiển của bạn. Điều này đảm bảo Cung cấp không chạm (ZTP). Để triển khai điểm cuối, kỹ sư mạng không cần phải đến hiện trường. Điều chính là bật thiết bị chính xác tại chỗ và kết nối tất cả các dây cáp với thiết bị, sau đó thiết bị sẽ tự động kết nối với hệ thống. Bạn có thể tải xuống cấu hình thông qua truy vấn DNS trong đám mây của nhà cung cấp từ ổ USB được kết nối hoặc bạn có thể mở siêu liên kết từ máy tính xách tay được kết nối với thiết bị qua Wi-Fi hoặc Ethernet.
• Đơn giản hóa việc quản trị mạng thông thường - cấu hình từ các mẫu, chính sách toàn cầu, được cấu hình tập trung cho ít nhất năm chi nhánh, ít nhất 5. Mọi thứ từ một nơi. Để tránh một hành trình dài, có một tùy chọn rất thuận tiện là tự động quay lại cấu hình trước đó.
• Quản lý lưu lượng cấp ứng dụng—đảm bảo chất lượng và cập nhật chữ ký ứng dụng liên tục. Các chính sách được cấu hình và triển khai tập trung (không cần phải viết và cập nhật bản đồ lộ trình cho từng bộ định tuyến như trước đây). Bạn có thể xem ai đang gửi cái gì, ở đâu và cái gì.
• Phân đoạn mạng. Các VPN riêng biệt độc lập trên toàn bộ cơ sở hạ tầng - mỗi VPN có định tuyến riêng. Theo mặc định, lưu lượng truy cập giữa chúng bị đóng; bạn chỉ có thể mở quyền truy cập vào các loại lưu lượng có thể hiểu được trong các nút mạng dễ hiểu, chẳng hạn như chuyển mọi thứ qua tường lửa hoặc proxy lớn.
• Khả năng hiển thị lịch sử chất lượng mạng - cách các ứng dụng và kênh hoạt động. Rất hữu ích để phân tích và khắc phục tình trạng ngay cả trước khi người dùng bắt đầu nhận được khiếu nại về hoạt động không ổn định của ứng dụng.
• Khả năng hiển thị trên các kênh - chúng có đáng tiền không, có phải hai nhà khai thác khác nhau thực sự truy cập trang web của bạn hay họ thực sự đang truy cập cùng một mạng và xuống cấp/xuống cấp cùng một lúc.
• Khả năng hiển thị các ứng dụng đám mây và điều hướng lưu lượng truy cập qua các kênh nhất định dựa trên nó (Cloud Onramp).
• Một phần cứng chứa bộ định tuyến và tường lửa (chính xác hơn là NGFW). Ít phần cứng hơn có nghĩa là việc mở chi nhánh mới sẽ rẻ hơn.

Các thành phần và kiến ​​trúc của giải pháp SD-WAN

Thiết bị cuối là bộ định tuyến WAN, có thể là phần cứng hoặc ảo.

Orchestrator là một công cụ quản lý mạng. Chúng được cấu hình với các thông số thiết bị cuối, chính sách định tuyến lưu lượng và chức năng bảo mật. Các cấu hình kết quả được gửi tự động qua mạng điều khiển tới các nút. Song song, bộ điều phối lắng nghe mạng và giám sát tính khả dụng của thiết bị, cổng, kênh liên lạc và tải giao diện.

Công cụ phân tích. Họ lập báo cáo dựa trên dữ liệu được thu thập từ thiết bị cuối: lịch sử chất lượng của các kênh, ứng dụng mạng, tính khả dụng của nút, v.v.

Bộ điều khiển chịu trách nhiệm áp dụng các chính sách định tuyến lưu lượng vào mạng. Điểm tương tự gần nhất của chúng trong các mạng truyền thống có thể được coi là BGP Route Reflector. Chính sách chung mà quản trị viên định cấu hình trong bộ điều phối khiến bộ điều khiển thay đổi thành phần của bảng định tuyến và gửi thông tin cập nhật đến thiết bị cuối.

Dịch vụ CNTT nhận được gì từ SD-WAN:

1. Kênh dự phòng được sử dụng liên tục (không nhàn rỗi). Hóa ra rẻ hơn vì bạn có đủ khả năng chi trả cho hai kênh ít dày hơn.
2. Tự động chuyển đổi lưu lượng ứng dụng giữa các kênh.
3. Thời gian của quản trị viên: bạn có thể phát triển mạng trên toàn cầu thay vì phải thu thập thông tin qua từng phần cứng bằng cấu hình.
4. Tốc độ nuôi cành mới. Cô ấy cao hơn nhiều.
5. Ít thời gian ngừng hoạt động hơn trong khi thay thế thiết bị chết.
6. Nhanh chóng cấu hình lại mạng cho các dịch vụ mới.

Doanh nghiệp nhận được gì từ SD-WAN:

1. Đảm bảo hoạt động của các ứng dụng kinh doanh trên mạng phân tán, bao gồm cả thông qua các kênh Internet mở. Đó là về khả năng dự đoán kinh doanh.
2. Hỗ trợ tức thì cho các ứng dụng kinh doanh mới trên toàn bộ mạng phân tán, bất kể số lượng chi nhánh. Đó là về tốc độ kinh doanh.
3. Kết nối nhanh chóng và an toàn của các chi nhánh ở bất kỳ địa điểm xa nào bằng bất kỳ công nghệ kết nối nào (Internet có ở khắp mọi nơi, nhưng đường dây thuê riêng và VPN thì không). Đây là về sự linh hoạt của doanh nghiệp trong việc lựa chọn địa điểm.
4. Đây có thể là một dự án có giai đoạn bàn giao và vận hành thử, hoặc có thể là một dịch vụ
   với các khoản thanh toán hàng tháng từ một công ty CNTT, nhà khai thác viễn thông hoặc nhà khai thác đám mây. Bất cứ điều gì thuận tiện cho bạn.

Lợi ích kinh doanh của SD-WAN có thể hoàn toàn khác nhau, chẳng hạn như một khách hàng nói với chúng tôi rằng người quản lý cấp cao đã nhận được yêu cầu kết nối trực tiếp với tất cả nhân viên của một công ty có hàng nghìn người và khả năng cung cấp nội dung.

Đối với chúng tôi đó là một “hoạt động quân sự”. Vào thời điểm đó, chúng tôi đã giải quyết được vấn đề hiện đại hóa CSPD. Và khi chúng tôi hiểu rằng về nguyên tắc, chúng tôi cần tham gia vào việc cải tiến thiết bị và nền tảng công nghệ đã tiến lên phía trước, tại sao chúng tôi phải tham gia vào việc cải tiến các công nghệ và dịch vụ tương tự nếu chúng tôi có thể tiến thêm một bước nữa.

SD-WAN được Enikey cài đặt tại chỗ. Điều này rất quan trọng đối với các chi nhánh ở xa, nơi có thể không có quản trị viên bình thường. Gửi qua đường bưu điện, nói: “Cắm cáp 1 vào hộp 1, cáp 2 vào hộp 2, không được lộn xộn! Đừng nhầm lẫn, #@$@%!” Và nếu họ không trộn lẫn, thiết bị sẽ tự liên lạc với máy chủ trung tâm, chọn và áp dụng các cấu hình của nó, và văn phòng này sẽ trở thành một phần của mạng bảo mật của công ty. Thật tuyệt khi bạn không phải đi du lịch và bạn có thể dễ dàng cân đối ngân sách của mình.

Đây là sơ đồ của quầy:

Một số ví dụ cấu hình:

Chính sách - quy tắc toàn cầu để quản lý lưu lượng truy cập. Chỉnh sửa một chính sách

Kích hoạt chính sách kiểm soát giao thông.

Cấu hình hàng loạt các thông số thiết bị cơ bản (địa chỉ IP, nhóm DHCP).

Ảnh chụp màn hình giám sát hiệu suất ứng dụng

Đối với các ứng dụng đám mây.

Thông tin chi tiết về Office365.

Đối với các ứng dụng tại chỗ. Thật không may, chúng tôi không thể tìm thấy các ứng dụng có lỗi tại quầy của chúng tôi (Tỷ lệ khôi phục FEC bằng XNUMX ở mọi nơi).

Ngoài ra - hiệu suất của các kênh truyền dữ liệu.

Phần cứng nào được hỗ trợ trên SD-WAN

1. Nền tảng phần cứng:

• Bộ định tuyến Cisco vEdge (trước đây là Viptela vEdge) chạy hệ điều hành Viptela.
• Bộ định tuyến dịch vụ tích hợp (ISR) dòng 1 và 000 chạy iOS XE SD-WAN.
• Bộ định tuyến dịch vụ tổng hợp (ASR) 1 series chạy iOS XE SD-WAN.

2. Nền tảng ảo:

• Bộ định tuyến dịch vụ đám mây (CSR) 1v chạy iOS XE SD-WAN.
• Bộ định tuyến đám mây vEdge chạy hệ điều hành Viptela.

Nền tảng ảo có thể được triển khai trên các nền tảng điện toán Cisco x86, chẳng hạn như dòng Hệ thống điện toán mạng doanh nghiệp (ENCS) 5, Hệ thống điện toán hợp nhất (UCS) và Nền tảng dịch vụ đám mây (CSP) dòng 000. Nền tảng ảo cũng có thể chạy trên mọi thiết bị x5 sử dụng bộ ảo hóa như KVM hoặc VMware ESi.

Cách một thiết bị mới hoạt động

Danh sách các thiết bị được cấp phép triển khai được tải xuống từ tài khoản thông minh của Cisco hoặc được tải lên dưới dạng tệp CSV. Tôi sẽ cố gắng lấy thêm ảnh chụp màn hình sau, hiện tại chúng tôi không có thiết bị mới nào để triển khai.

Trình tự các bước mà thiết bị phải trải qua khi triển khai.

Cách triển khai phương thức phân phối thiết bị/cấu hình mới

Chúng tôi thêm thiết bị vào Tài khoản thông minh.

Bạn có thể tải xuống tệp CSV hoặc tải xuống từng tệp một:

Điền thông số thiết bị:

Tiếp theo, trong vQuản lý chúng tôi đồng bộ hóa dữ liệu với Tài khoản thông minh. Thiết bị xuất hiện trong danh sách:

Trong menu thả xuống đối diện thiết bị, nhấp vào Tạo cấu hình Bootstrap
và lấy cấu hình ban đầu:

Cấu hình này phải được đưa vào thiết bị. Cách dễ nhất là kết nối ổ đĩa flash với tệp đã lưu có tên ciscosd-wan.cfg với thiết bị. Khi khởi động máy sẽ tìm file này.

Sau khi nhận được cấu hình ban đầu, thiết bị sẽ có thể tiếp cận bộ điều phối và nhận cấu hình đầy đủ từ đó.

Chúng tôi xem xét SD-Access (DNA)

SD-Access giúp dễ dàng định cấu hình cổng và quyền truy cập để kết nối người dùng. Điều này được thực hiện bằng cách sử dụng trình hướng dẫn. Các tham số cổng được đặt liên quan đến các nhóm “Quản trị viên”, “Kế toán”, “Máy in” chứ không liên quan đến Vlan và mạng con IP. Điều này giảm thiểu lỗi của con người. Ví dụ: nếu một công ty có nhiều chi nhánh trên khắp Nga nhưng văn phòng trung tâm quá tải thì SD-Access cho phép bạn giải quyết nhiều vấn đề hơn tại địa phương. Ví dụ: các vấn đề tương tự liên quan đến việc khắc phục sự cố.

Để bảo mật thông tin, điều quan trọng là SD-Access liên quan đến việc phân chia rõ ràng người dùng và thiết bị thành các nhóm và xác định chính sách tương tác giữa chúng, ủy quyền cho mọi kết nối máy khách với mạng và cung cấp “quyền truy cập” trên toàn mạng. Nếu bạn làm theo cách tiếp cận này, việc quản lý sẽ trở nên dễ dàng hơn nhiều.

Quá trình khởi động cho các văn phòng mới cũng được đơn giản hóa nhờ các tác nhân Plug-and-Play trong các thiết bị chuyển mạch. Không cần phải chạy khắp đất nước với bảng điều khiển hoặc thậm chí truy cập trang web.

Dưới đây là ví dụ về cấu hình:

Tình trạng chung.

Các sự cố mà quản trị viên nên xem xét.

Đề xuất tự động về những gì cần thay đổi trong cấu hình.

Kế hoạch tích hợp SD-WAN với SD-Access

Tôi nghe nói Cisco có các kế hoạch như vậy - SD-WAN và SD-Access. Điều này sẽ làm giảm đáng kể bệnh trĩ khi quản lý các CSPD địa phương và phân bố theo địa lý.

vQuản lý (bộ điều phối SD-WAN) được quản lý thông qua API từ Trung tâm DNA (Bộ điều khiển truy cập SD).

Các chính sách phân đoạn vi mô và vĩ mô được ánh xạ như sau:

Ở cấp độ gói, mọi thứ trông như thế này:

Ai nghĩ về điều này và những gì?

Chúng tôi đã nghiên cứu SD-WAN từ năm 2016 trong một phòng thí nghiệm riêng biệt, nơi chúng tôi thử nghiệm các giải pháp khác nhau cho nhu cầu của ngành bán lẻ, ngân hàng, vận tải và công nghiệp.

Chúng tôi giao tiếp rất nhiều với khách hàng thực sự.

Tôi có thể nói rằng ngành bán lẻ đã tự tin thử nghiệm SD-WAN và một số đang thực hiện việc này với các nhà cung cấp (thường là với Cisco), nhưng cũng có những người đang cố gắng tự mình giải quyết vấn đề: họ đang viết phiên bản của riêng họ phần mềm có chức năng tương tự như SD-WAN.

Mọi người, bằng cách này hay cách khác, đều muốn đạt được sự quản lý tập trung đối với toàn bộ kho thiết bị. Đây là một điểm quản trị dành cho các cài đặt không chuẩn và cài đặt tiêu chuẩn cho các nhà cung cấp khác nhau và các công nghệ khác nhau. Điều quan trọng là giảm thiểu công việc thủ công bởi vì, thứ nhất, nó làm giảm rủi ro về yếu tố con người khi lắp đặt thiết bị, thứ hai là giải phóng tài nguyên của dịch vụ CNTT để giải quyết các vấn đề khác. Thông thường, việc nhận biết nhu cầu xuất phát từ chu kỳ đổi mới rất dài trên khắp đất nước. Và, ví dụ, nếu một nhà bán lẻ bán rượu, thì họ cần liên lạc thường xuyên để bán hàng. Cập nhật hoặc ngừng hoạt động trong ngày ảnh hưởng trực tiếp đến doanh thu.

Giờ đây, ngành bán lẻ đã hiểu rõ những nhiệm vụ CNTT nào sẽ sử dụng SD-WAN:

1. Triển khai nhanh chóng (thường cần trên LTE trước khi nhà cung cấp cáp đến, thường thì điểm mới phải được quản trị viên trong thành phố nêu ra thông qua GPC, sau đó trung tâm chỉ cần xem và cấu hình).
2. Quản lý tập trung, liên lạc đối tượng nước ngoài.
3. Giảm chi phí viễn thông.
4. Nhiều dịch vụ bổ sung khác nhau (các tính năng của DVI giúp ưu tiên phân phối lưu lượng truy cập từ các ứng dụng quan trọng như máy tính tiền).
5. Làm việc với các kênh một cách tự động, không phải thủ công.

Và còn có một cuộc kiểm tra tuân thủ - mọi người đều nói về nó rất nhiều, nhưng không ai coi đó là một vấn đề. Duy trì rằng mọi thứ hoạt động chính xác cũng hoạt động tốt trong mô hình này. Nhiều người tin rằng toàn bộ thị trường công nghệ mạng sẽ đi theo hướng này.

Các ngân hàng, IMHO, hiện đang thử nghiệm SD-WAN như một tính năng công nghệ mới. Họ đang chờ đợi sự kết thúc hỗ trợ cho các thế hệ thiết bị trước đó và chỉ khi đó họ mới thay đổi. Các ngân hàng nhìn chung đều có bầu không khí đặc biệt của riêng mình thông qua các kênh truyền thông nên tình trạng hiện tại của ngành không khiến họ bận tâm lắm. Vấn đề nằm ở những mặt phẳng khác.

Không giống như thị trường Nga, SD-WAN đang được triển khai tích cực ở châu Âu. Các kênh liên lạc của họ đắt hơn, và do đó các công ty châu Âu mang sản phẩm của họ đến các bộ phận của Nga. Ở Nga, có sự ổn định nhất định, vì chi phí của các kênh (ngay cả khi khu vực đắt hơn trung tâm 25 lần) trông khá bình thường và không gây thắc mắc. Từ năm này qua năm khác, luôn có một ngân sách vô điều kiện dành cho các kênh truyền thông.

Đây là một ví dụ từ thực tiễn thế giới, khi một công ty tiết kiệm thời gian và tiền bạc khi sử dụng SD-WAN trên Cisco.

Có một công ty như vậy - National Instruments. Đến một thời điểm nhất định, họ bắt đầu hiểu rằng mạng máy tính toàn cầu “có được” bằng cách kết hợp 88 địa điểm trên khắp thế giới là không hiệu quả. Ngoài ra, công ty còn thiếu năng lực và hiệu suất cung cấp nước nóng sinh hoạt. Không có sự cân bằng giữa sự tăng trưởng liên tục của công ty và ngân sách CNTT hạn chế.

SD-WAN đã giúp National Instruments giảm 25% chi phí MPLS (tiết kiệm 450 USD vào cuối năm 2018), mở rộng băng thông lên 3%.

Nhờ triển khai SD-WAN, công ty đã nhận được một mạng thông minh được xác định bằng phần mềm và quản lý chính sách tập trung để tự động tối ưu hóa hiệu suất ứng dụng và lưu lượng. Nơi đây - trường hợp chi tiết.

Đây một trường hợp hoàn toàn điên rồ khi chuyển S7 sang văn phòng khác, khi lúc đầu mọi thứ bắt đầu khó khăn, nhưng thú vị - cần phải làm lại 1,5 nghìn cổng. Nhưng sau đó đã xảy ra sự cố và kết quả là các quản trị viên hóa ra lại là những người cuối cùng trước thời hạn, người chịu trách nhiệm cho tất cả sự chậm trễ tích lũy.

Đọc thêm bằng tiếng Anh:

• American Banker: Fifth Third đầu tư nâng cấp mạng 5 năm với SD-WAN .
• Xây dựng thành công Cloud SD-WAN tại Koch.
• Hành trình tiết kiệm chi phí SD-WAN của McKesson .
• Phân khúc và PoC bán lẻ SD-WAN: Cửa hàng Gap.
• Nhưng Nghiên cứu toàn cầu của Cisco về xu hướng mạng trên thế giới.

Ở Nga:

• Trên CNews.
• Cách chúng tôi triển khai SD-Access và lý do cần thiết.
• Kết cấu mạng cho trung tâm dữ liệu ACI của Cisco - để trợ giúp quản trị viên.
• Kênh ổn định dựa trên mạng SD-WAN được xác định bằng phần mềm: giải quyết vấn đề chọn tuyến đường.
• Email của tôi, nếu bạn có bất kỳ câu hỏi nào hoặc muốn thử nghiệm nhiệm vụ của mình tại gian hàng của chúng tôi, - [email được bảo vệ].

Nguồn: www.habr.com