SD-WAN 和 DNA 帮助管理员：架构特征和实践

如果您愿意，您可以在我们的实验室中触摸一个支架。

SD-WAN 和 SD-Access 是两种不同的新型专有网络构建方法。 未来，它们应该合并成一个覆盖网络，但目前它们才刚刚接近。 逻辑是这样的：我们采用 1990 世纪 10 年代的网络，并在其上推出所有必要的补丁和功能，而不是等待它在另一个 XNUMX 年内成为新的开放标准。

SD-WAN 是分布式企业网络的 SDN 补丁。 传输是分开的，控制是分开的，因此控制被简化。

优点 - 所有通信渠道都得到积极使用，包括备用渠道。 数据包路由到应用程序：什么、通过哪个通道以及以什么优先级。 部署新点的简化过程：无需推出配置，只需指定大互联网、CROC 数据中心或客户上的 Cisco 服务器的地址，专门针对您的网络的配置就是从其中获取的。

SD-Access (DNA) 是本地网络管理的自动化：单点配置、向导、便捷的界面。 事实上，另一个网络是在您的网络之上在协议级别上使用不同的传输构建的，并且在外围边界确保了与旧网络的兼容性。

我们也会在下面处理这个问题。

现在我们实验室的测试台上有一些演示，它的外观和工作原理。

让我们从 SD-WAN 开始。 主要特点：

• 简化新点 (ZTP) 的部署 - 假设您以某种方式向该点提供服务器地址和设置。 该点敲击它，接收配置，将其卷起并包含在您的控制面板中。 这确保了零接触配置（ZTP）。 要部署端点，网络工程师无需前往现场。 主要是在现场正确打开设备并将所有电缆连接到设备上，设备就会自动连接到系统。 您可以通过连接的 USB 驱动器在供应商的云中通过 DNS 查询下载配置，也可以从通过 Wi-Fi 或以太网连接到设备的笔记本电脑打开超链接。
• 简化日常网络管理 - 从模板、全局策略进行配置，为至少 5 个分支机构（至少 000 个）集中配置。一切都从一个地方完成。 为了避免长途旅行，有一个非常方便的选项可以自动返回到以前的配置。
• 应用程序级流量管理——确保质量和持续的应用程序签名更新。 策略是集中配置和推出的（无需像以前那样为每个路由器编写和更新路由映射）。 您可以查看谁发送了内容、发送地点和内容。
• 网络分段。 整个基础设施之上的独立隔离 VPN - 每个 VPN 都有自己的路由。 默认情况下，它们之间的流量是关闭的；您只能在可理解的网络节点中开放对可理解类型的流量的访问，例如，通过大型防火墙或代理传递所有内容。
• 网络质量历史记录的可见性 - 应用程序和通道的执行情况。 即使在用户开始收到有关应用程序运行不稳定的投诉之前，对于分析和纠正情况非常有用。
• 跨渠道的可见性 - 它们是否物有所值，是否有两个不同的运营商实际访问您的网站，或者它们是否实际上通过同一网络并同时降级/下降。
• 云应用程序的可见性并通过基于它的某些渠道引导流量（云入口）。
• 一个硬件包含一个路由器和一个防火墙（更准确地说，NGFW）。 硬件更少意味着开设新分支机构的成本更低。

SD-WAN 解决方案的组件和架构

终端设备是 WAN 路由器，可以是硬件或虚拟的。

Orchestrator 是一种网络管理工具。 它们配置有终端设备参数、流量路由策略和安全功能。 生成的配置通过控制网络自动发送到节点。 同时，编排器监听网络并监控设备、端口、通信通道和接口加载的可用性。

分析工具。 他们根据从终端设备收集的数据制作报告：通道质量的历史记录、网络应用程序、节点可用性等。

控制器负责将流量路由策略应用到网络。 它们在传统网络中最接近的类似物可以被认为是 BGP 路由反射器。 管理员在协调器中配置的全局策略会导致控制器更改其路由表的组成并将更新的信息发送到终端设备。

IT 服务从 SD-WAN 获得什么：

1. 备份通道一直在使用（不空闲）。 事实证明它更便宜，因为你可以买得起两个较薄的通道。
2. 通道之间应用程序流量的自动切换。
3. 管理员时间：您可以在全球范围内开发网络，而不是通过配置爬行每个硬件。
4. 新枝的生长速度。 她高得多。
5. 更换失效设备时减少停机时间。
6. 快速重新配置网络以适应新服务。

企业可以从 SD-WAN 获得什么：

1. 保证业务应用程序在分布式网络上的运行，包括通过开放的互联网通道。 这是关于业务的可预测性。
2. 无论分支机构数量多少，都可以即时支持整个分布式网络中的新业务应用程序。 这与业务速度有关。
3. 使用任何连接技术快速、安全地连接任何远程位置的分支机构（互联网无处不在，但租用线路和 VPN 却不然）。 这是关于选择地点的业务灵活性。
4. 这可以是一个交付和调试的项目，也可以是一项服务
   IT 公司、电信运营商或云运营商每月付款。 无论哪个对您来说方便。

SD-WAN 的业务优势可能完全不同，例如，一位客户告诉我们，一位高级经理收到了与一家拥有数千人的公司的所有员工建立直接联系以及提供内容的能力的请求。

对我们来说，这是一次“军事行动”。 那时，我们已经在解决CSPD现代化的问题。 而当我们明白，原则上我们需要搞设备的改造，技术栈已经前进了，如果能更进一步，为什么还要搞同样的技术和服务的改造呢？

SD-WAN 由 Enikey 现场安装。 这对于远程分支机构非常重要，因为那里可能根本没有普通管理员。 通过邮件发送，并说：“将电缆 1 插入盒子 1，将电缆 2 插入盒子 2，不要混淆！ 别混淆了，#@$@%！” 如果他们不混淆，设备本身会与中央服务器通信，获取并应用其配置，并且该办公室将成为公司安全网络的一部分。 当您不必旅行并且很容易证明您的预算合理时，这很好。

下图是展台示意图：

一些配置示例：

策略 - 管理流量的全局规则。 编辑策略。

激活流量控制策略。

基本设备参数（IP 地址、DHCP 池）的批量配置。

应用性能监控截图

对于云应用程序。

Office365 的详细信息。

对于本地应用程序。 不幸的是，我们无法在我们的展台上找到有错误的应用程序（FEC 恢复率到处都是零）。

另外 - 数据传输通道的性能。

SD-WAN 支持哪些硬件

1、硬件平台：

• 运行 Viptela 操作系统的 Cisco vEdge 路由器（以前称为 Viptela vEdge）。
• 运行 IOS XE SD-WAN 的 1 和 000 系列集成多业务路由器 (ISR)。
• 运行 IOS XE SD-WAN 的聚合服务路由器 (ASR) 1 系列。

2. 虚拟平台：

• 运行 IOS XE SD-WAN 的云服务路由器 (CSR) 1v。
• 运行 Viptela 操作系统的 vEdge 云路由器。

虚拟平台可以部署在Cisco x86计算平台上，例如企业网络计算系统（ENCS）5系列、统一计算系统（UCS）和云服务平台（CSP）000系列。虚拟平台也可以在任何x5设备上运行使用 KVM 或 VMware ESi 等虚拟机管理程序。

新设备如何推出

用于部署的许可设备列表可从思科智能帐户下载或以 CSV 文件形式上传。 稍后我会尝试获取更多屏幕截图，目前我们没有任何新设备可供部署。

设备部署时所经历的步骤顺序。

如何推出新的设备/配置交付方法

我们将设备添加到智能帐户。

您可以下载 CSV 文件，也可以一次下载一个：

填写设备参数：

接下来，在 vManage 中我们将数据与智能帐户同步。 该设备出现在列表中：

在设备对面的下拉菜单中，单击生成引导配置
并获取初始配置：

必须将此配置提供给设备。 最简单的方法是将保存有名为 ciscosd-wan.cfg 文件的闪存驱动器连接到设备。 启动时，设备将查找该文件。

收到初始配置后，设备将能够到达协调器并从那里接收完整的配置。

我们看看 SD-Access (DNA)

SD-Access 可以轻松配置连接用户的端口和访问权限。 这是使用向导完成的。 端口参数的设置与“管理员”、“会计”、“打印机”组相关，而不是与 VLAN 和 IP 子网相关。 这最大限度地减少了人为错误。 例如，如果一家公司在俄罗斯各地拥有许多分支机构，但中央办公室超载，那么 SD-Access 可以让您在本地解决更多问题。 例如，关于故障排除的相同问题。

对于信息安全而言，SD-Access 涉及将用户和设备明确划分为组、定义它们之间的交互策略、对任何客户端连接到网络的授权以及在整个网络中提供“访问权限”，这一点非常重要。 如果遵循这种方法，管理就会变得更加容易。

由于交换机中的即插即用代理，新办公室的启动过程也得到了简化。 无需带着控制台跑遍全国，甚至根本不需要去现场。

以下是配置示例：

一般状况。

管理员应审查的事件。

自动建议更改配置内容。

将 SD-WAN 与 SD-Access 集成的计划

我听说思科有这样的计划——SD-WAN和SD-Access。 在管理地理分布和当地的 CSPD 时，这应该会显着减少痔疮。

vManage（SD-WAN 协调器）通过 DNA Center（SD-Access 控制器）的 API 进行管理。

微观和宏观细分政策映射如下：

在包级别，一切看起来都是这样的：

谁会考虑这个以及什么？

自 2016 年以来，我们一直在一个单独的实验室研究 SD-WAN，测试满足零售、银行、运输和工业需求的不同解决方案。

我们与真实的客户进行了很多沟通。

我可以说，零售业已经在自信地测试 SD-WAN，有些人正在与供应商（最常见的是思科）一起这样做，但也有一些人试图自己解决问题：他们正在编写自己的版本功能与 SD-WAN 类似的软件。

每个人都以某种方式希望实现对整个设备动物园的集中管理。 这是针对不同供应商和不同技术的非标准安装和标准安装的管理点之一。 尽量减少手工工作非常重要，因为首先，它可以降低设置设备时人为因素的风险，其次，它可以释放 IT 服务的资源来解决其他问题。 通常，对需求的认识来自于全国范围内很长的更新周期。 例如，如果零售商销售酒类，那么它需要不断的销售沟通。 白天的更新或停机直接影响收入。

现在，零售业已经清楚地了解哪些 IT 任务将使用 SD-WAN：

1. 快速部署（通常需要在有线电视提供商到达之前进行 LTE，通常需要由城市管理员通过 GPC 提出新点，然后中心只需查看和配置）。
2. 集中管理，对外物通讯。
3. 降低电信成本。
4. 各种附加服务（DPI 功能可以优先考虑收银机等重要应用程序的流量传输）。
5. 自动而不是手动使用通道。

还有一个合规性检查——每个人都经常谈论它，但没有人认为它是一个问题。 保持一切正常运行在这个范例中也能正常工作。 许多人相信整个网络技术市场将朝着这个方向发展。

恕我直言，银行目前正在测试 SD-WAN，而不是作为一项新技术功能。 他们正在等待对前几代设备的支持结束，然后才会改变。 银行一般通过沟通渠道有自己特殊的氛围，所以目前的行业状况并不太困扰他们。 问题在于其他层面。

与俄罗斯市场不同，SD-WAN在欧洲正在积极实施。 他们的沟通渠道更加昂贵，因此欧洲公司将他们的堆栈带到俄罗斯部门。 在俄罗斯，有一定的稳定性，因为渠道成本（即使该地区比中心贵25倍）看起来很正常，不会引起问题。 每年都有无条件的沟通渠道预算。

这是一个来自世界实践的例子，一家公司使用 Cisco 上的 SD-WAN 节省了时间和金钱。

有这样一家公司——美国国家仪器公司。 在某个时刻，他们开始认识到，通过结合世界各地 88 个站点“获得”的全球计算机网络是无效的。 此外，该公司缺乏生活热水供应能力和性能。 公司的持续增长与有限的 IT 预算之间不存在平衡。

SD-WAN 帮助 National Instruments 将 MPLS 成本降低了 25%（截至 450 年底节省了 2018 美元），将带宽扩展了 3%。

实施 SD-WAN 后，该公司获得了智能软件定义网络和集中策略管理，以自动优化流量和应用程序性能。 这里 - 详细案例。

就在这里 将 S7 移动到另一个办公室的绝对疯狂的案例，一开始一切都很困难，但很有趣 - 有必要重做 1,5 个端口。 但后来出现了问题，结果是，管理员成为截止日期前的最后一个，所有累积的延误都落在了他们身上。

阅读更多英文内容：

• 美国银行家：Fifth Third 投资使用 SD-WAN 进行为期 5 年的网络升级 .
• 在 Koch 打造云 SD-WAN 成功.
• McKesson 的 SD-WAN 成本节约之旅 .
• SD-WAN 零售 PoC 和细分：Gap Stores.
• 但 思科全球研究 世界网络趋势。

在俄语中：

• 在C新闻上.
• 我们如何实施 SD-Access 以及为什么需要它.
• Cisco ACI 数据中心的网络结构 - 帮助管理员.
• 基于软件定义SD-WAN网络的稳定通道：解决路由选择问题.
• 我的电子邮件，如果您有任何疑问或想在我们的展位测试您的任务，- [电子邮件保护].

来源： habr.com