SD-WAN 和 DNA 幫助管理員：架構特徵和實踐

如果您願意，您可以在我們的實驗室中觸摸一個支架。

SD-WAN 和 SD-Access 是兩種不同的新型專有網路建置方法。 未來，它們應該合併成一個覆蓋網絡，但目前它們才剛剛接近。 邏輯是這樣的：我們採用 1990 世紀 10 年代的網絡，並在其上推出所有必要的補丁和功能，而不是等待它在另一個 XNUMX 年內成為新的開放標準。

SD-WAN 是分散式企業網路的 SDN 補丁。 傳輸是分開的，控制是分開的，因此控制被簡化。

優點 - 所有通訊管道都積極使用，包括備用管道。 資料包路由到應用程式：什麼、通過哪個通道以及以什麼優先權。 部署新點的簡化過程：無需推出配置，只需指定大互聯網、CROC 資料中心或客戶上的 Cisco 伺服器的位址，專門針對您的網路的配置就是從其中取得的。

SD-Access (DNA) 是本地網路管理的自動化：單點配置、精靈、便利的介面。 事實上，另一個網路是在您的網路之上在協定層級上使用不同的傳輸建構的，並且在外圍邊界確保了與舊網路的兼容性。

我們也會在下面處理這個問題。

現在我們實驗室的測試台上有一些演示，它的外觀和工作原理。

讓我們從 SD-WAN 開始。 主要特點：

• 簡化新點 (ZTP) 的部署 - 假設您以某種方式向該點提供伺服器位址和設定。 該點敲擊它，接收配置，將其捲起並包含在您的控制面板中。 這確保了零接觸配置（ZTP）。 要部署端點，網路工程師無需前往現場。 主要是在現場正確打開設備並將所有電纜連接到設備上，設備就會自動連接到系統。 您可以透過連接的 USB 隨身碟在供應商的雲端中透過 DNS 請求下載配置，也可以從透過 Wi-Fi 或乙太網路連接到裝置的筆記型電腦開啟超連結。
• 簡化日常網路管理 - 從範本、全域策略進行配置，為至少 5 個分支機構（至少 000 個）集中配置。一切都從一個地方完成。 為了避免長途旅行，有一個非常方便的選項可以自動返回到先前的配置。
• 應用程式級流量管理－確保品質和持續的應用程式簽章更新。 策略是集中配置和推出的（無需像以前那樣為每個路由器編寫和更新路由映射）。 您可以查看誰發送了內容、發送地點和內容。
• 網路分段。 整個基礎設施之上的獨立隔離 VPN - 每個 VPN 都有自己的路由。 預設情況下，它們之間的流量是關閉的；您只能在可理解的網路節點中開放對可理解類型的流量的訪問，例如，透過大型防火牆或代理傳遞所有內容。
• 網路品質歷史記錄的可見性 - 應用程式和通道的執行情況。 即使在用戶開始收到有關應用程式運行不穩定的投訴之前，對於分析和糾正情況非常有用。
• 跨渠道的可見性 - 它們是否物有所值，是否有兩個不同的運營商實際訪問您的網站，或者它們是否實際上通過同一網絡並同時降級/下降。
• 雲端應用程式的可見性並透過基於它的某些管道引導流量（雲端入口）。
• 一個硬體包含一個路由器和一個防火牆（更準確地說，NGFW）。 硬體更少意味著開設新分公司的成本更低。

SD-WAN 解決方案的元件和架構

終端設備是 WAN 路由器，可以是硬體或虛擬的。

Orchestrator 是一種網路管理工具。 它們配置有終端設備參數、流量路由策略和安全功能。 產生的配置透過控製網路自動發送到節點。 同時，編排器監聽網路並監控設備、連接埠、通訊通道和介面載入的可用性。

分析工具。 他們根據從終端設備收集的數據製作報告：通道品質的歷史記錄、網路應用程式、節點可用性等。

控制器負責在網路上實施流量路由策略。 它們在傳統網路中最接近的類似物可以被認為是 BGP 路由反射器。 管理員在協調器中配置的全域策略會導致控制器更改其路由表的組成並將更新的資訊傳送到終端設備。

IT 服務從 SD-WAN 獲得什麼：

1. 備份通道一直在使用（不空閒）。 事實證明它更便宜，因為你可以負擔得起兩個較薄的通道。
2. 通道之間應用程式流量的自動切換。
3. 管理員時間：您可以在全球範圍內開發網絡，而不是透過配置爬行每個硬體。
4. 新枝的生長速度。 她高得多。
5. 更換失效設備時減少停機時間。
6. 快速重新配置網路以適應新服務。

企業可以從 SD-WAN 獲得什麼：

1. 確保業務應用程式在分散式網路上的運行，包括通過開放的互聯網通道。 這是關於業務的可預測性。
2. 無論分行數量多少，都可以即時支援整個分散式網路中的新業務應用程式。 這與業務速度有關。
3. 使用任何連接技術快速、安全地連接任何遠端位置的分行（網路無所不在，但租用線路和 VPN 卻不然）。 這是關於選擇地點的業務靈活性。
4. 這可以是一個交付和調試的項目，也可以是一項服務
   IT 公司、電信業者或雲端業者每月付款。 無論哪個對您來說方便。

SD-WAN 的業務優勢可能完全不同，例如，一位客戶告訴我們，一位高級經理收到了與一家擁有數千人的公司的所有員工建立直接聯繫以及提供內容的能力的請求。

對我們來說，這是一場「軍事行動」。 那時，我們已經在解決CSPD現代化的問題。 而當我們明白，原則上我們需要搞設備的改造，技術棧已經前進了，如果能更進一步，為什麼還要搞同樣的技術和服務的改造呢？

SD-WAN 由 Enikey 現場安裝。 這對於遠端分支機構非常重要，因為那裡可能根本沒有普通管理員。 透過郵件發送，並說：「將電纜 1 插入盒子 1，將電纜 2 插入盒子 2，不要混淆！ 別混淆了，#@$@%！” 如果他們不混淆，設備本身會與中央伺服器通信，獲取並應用其配置，並且該辦公室將成為公司安全網路的一部分。 當您不必旅行並且很容易證明您的預算合理時，這很好。

下圖是展台示意圖：

一些設定範例：

策略 - 管理流量的全域規則。 編輯策略。

啟動流量控制策略。

基本設備參數（IP 位址、DHCP 池）的批次設定。

應用效能監控截圖

對於雲端應用程式。

Office365 的詳細資料。

對於本機應用程式。 不幸的是，我們無法在我們的展位上找到有錯誤的應用程式（FEC 恢復率到處都是零）。

另外 - 資料傳輸通道的效能。

SD-WAN 支援哪些硬體

1、硬體平台：

• 執行 Viptela 作業系統的 Cisco vEdge 路由器（以前稱為 Viptela vEdge）。
• 運行 IOS XE SD-WAN 的 1 和 000 系列整合多業務路由器 (ISR)。
• 運行 IOS XE SD-WAN 的聚合服務路由器 (ASR) 1 系列。

2. 虛擬平台：

• 運行 IOS XE SD-WAN 的雲端服務路由器 (CSR) 1v。
• 執行 Viptela 作業系統的 vEdge 雲端路由器。

虛擬平台可以部署在Cisco x86運算平台上，例如企業網路運算系統（ENCS）5系列、統一運算系統（UCS）和雲端服務平台（CSP）000系列。虛擬平台也可以在任何x5設備上運行使用KVM或VMware ESi 等虛擬機器管理程式。

新設備如何推出

用於部署的授權設備清單可從思科智慧帳戶下載或以 CSV 檔案形式上傳。 稍後我會嘗試獲取更多螢幕截圖，目前我們沒有任何新設備可供部署。

設備部署時所經歷的步驟順序。

如何推出新的設備/配置交付方法

我們將設備新增至智慧帳戶。

您可以下載 CSV 文件，也可以一次下載一個：

填寫設備參數：

接下來，在 vManage 中我們將資料與智慧帳戶同步。 該設備出現在清單中：

在裝置對面的下拉式選單中，按一下產生引導配置
並取得初始配置：

必須將此配置提供給設備。 最簡單的方法是將保存有名為 ciscosd-wan.cfg 檔案的隨身碟連接到裝置。 啟動時，設備將查找該文件。

收到初始配置後，設備將能夠到達協調器並從那裡接收完整的配置。

我們來看看 SD-Access (DNA)

SD-Access 可以輕鬆設定連接使用者的連接埠和存取權限。 這是使用嚮導完成的。 連接埠參數的設定與「管理員」、「會計」、「印表機」群組相關，而不是與 VLAN 和 IP 子網路相關。 這最大限度地減少了人為錯誤。 例如，如果一家公司在俄羅斯各地擁有許多分支機構，但中央辦公室超載，那麼 SD-Access 可以讓您在本地解決更多問題。 例如，關於故障排除的相同問題。

對於資訊安全而言，SD-Access 涉及將使用者和裝置明確劃分為群組、定義它們之間的互動策略、對任何客戶端連接到網路的授權以及在整個網路中提供“存取權限”，這一點非常重要。 如果遵循這種方法，管理就會變得更容易。

由於交換機中的即插即用代理，新辦公室的啟動過程也得到了簡化。 無需帶著控制台跑遍全國，甚至根本不需要去現場。

以下是設定範例：

一般狀況。

管理員應審查的事件。

自動建議更改配置內容。

將 SD-WAN 與 SD-Access 整合的計劃

我聽說思科有這樣的計畫——SD-WAN和SD-Access。 在管理地理分佈和當地的 CSPD 時，這應該會顯著減少痔瘡。

vManage（SD-WAN 協調器）透過 DNA Center（SD-Access 控制器）的 API 進行管理。

微觀和宏觀細分政策映射如下：

在包級別，一切看起來都是這樣的：

誰會考慮這個以及什麼？

自 2016 年以來，我們一直在一個單獨的實驗室研究 SD-WAN，測試滿足零售、銀行、運輸和工業需求的不同解決方案。

我們與真實的客戶進行了許多溝通。

我可以說，零售業已經在自信地測試 SD-WAN，有些人正在與供應商（最常見的是思科）一起這樣做，但也有一些人試圖自己解決問題：他們正在編寫自己的版本功能與SD -WAN 類似的軟體。

每個人都以某種方式希望實現對整個設備動物園的集中管理。 這是針對不同供應商和不同技術的非標準安裝和標準安裝的管理點之一。 盡量減少手動工作非常重要，因為首先，它可以降低設置設備時人為因素的風險，其次，它可以釋放 IT 服務的資源來解決其他問題。 通常，對需求的認識來自於全國範圍內很長的更新周期。 例如，如果零售商銷售酒類，那麼它需要不斷的銷售溝通。 白天的更新或停機直接影響收入。

現在，零售業已經清楚了解哪些 IT 任務將使用 SD-WAN：

1. 快速部署（通常需要在有線電視供應商到達之前進行 LTE，通常需要由城市管理員透過 GPC 提出新點，然後中心只需查看和配置）。
2. 集中管理，對外物通訊。
3. 降低電信成本。
4. 各種附加服務（DPI 功能可以優先考慮收銀機等重要應用程式的流量傳輸）。
5. 自動而不是手動使用通道。

還有一個合規性檢查——每個人都經常談論它，但沒有人認為它是一個問題。 保持一切正常運作在這個範例中也能正常運作。 許多人相信整個網路技術市場將朝著這個方向發展。

恕我直言，銀行目前正在測試 SD-WAN，而不是作為一項新技術功能。 他們正在等待對前幾代設備的支援結束，然後才會改變。 銀行一般透過溝通管道有自己特殊的氛圍，所以目前的產業狀況並不太困擾他們。 問題在於其他層面。

與俄羅斯市場不同，SD-WAN在歐洲正在積極實施。 他們的溝通管道更加昂貴，因此歐洲公司將他們的堆疊帶到俄羅斯部門。 在俄羅斯，有一定的穩定性，因為通路成本（即使該地區比中心貴25倍）看起來很正常，不會造成問題。 每年都有無條件的溝通管道預算。

這是一個來自世界實踐的例子，一家公司使用 Cisco 上的 SD-WAN 節省了時間和金錢。

有這樣一家公司──美國國家儀器公司。 在某個時刻，他們開始認識到，透過結合世界各地 88 個站點「獲得」的全球電腦網路是無效的。 此外，該公司缺乏生活熱水供應能力和性能。 公司的持續成長與有限的 IT 預算之間不存在平衡。

SD-WAN 幫助 National Instruments 將 MPLS 成本降低了 25%（截至 450 年底節省了 2018 萬美元），將頻寬擴展了 3%。

實施 SD-WAN 後，該公司獲得了智慧軟體定義網路和集中策略管理，以自動優化流量和應用程式效能。 這裡 - 詳細案例。

就這兒 將 S7 移動到另一個辦公室的絕對瘋狂的案例，一開始一切都很困難，但很有趣 - 有必要重做 1,5 個端口。 但後來出現了問題，結果是，管理員成為截止日期前的最後一個，所有累積的延誤都落在了他們身上。

閱讀更多英文內容：

• 美國銀行家：Fifth Third 投資使用 SD-WAN 進行 5 年的網路升級 .
• 在 Koch 打造雲端 SD-WAN 成功.
• McKesson 的 SD-WAN 成本節約之旅 .
• SD-WAN 零售 PoC 和細分：Gap Stores.
• 但 思科全球研究 世界網路趨勢。

俄語：

• 在C新聞上.
• 我們如何實作 SD-Access 以及為什麼需要它.
• Cisco ACI 數據中心的網絡結構 - 幫助管理員.
• 基於軟體定義SD-WAN網路的穩定通道：解決路由選擇問題.
• 我的電子郵件，如果您有任何疑問或想在我們的展位測試您的任務，- [電子郵件保護].

來源： www.habr.com