SD-WAN y DNA para ayudar al administrador: características de arquitecturas y práctica

Un soporte que puede tocar en nuestro laboratorio si lo desea.

SD-WAN y SD-Access son dos nuevos enfoques propietarios diferentes para la creación de redes. En el futuro, deberían fusionarse en una red superpuesta, pero hasta ahora solo se están acercando. La lógica es la siguiente: tomamos una red de la muestra de la década de 1990 y aplicamos todos los parches y características necesarios, sin esperar hasta después de otros 10 años, se convertirá en un nuevo estándar abierto.

SD-WAN es un parche SDN para redes corporativas distribuidas. Transporte por separado, controle por separado, por lo que el control se simplifica.

Ventajas: todos los canales de comunicación se utilizan activamente, incluida la reserva. Hay un enrutamiento de paquetes a las aplicaciones: qué, a través de qué canal y con qué prioridad. Un procedimiento simplificado para el despliegue de nuevos puntos: en lugar de desplegar la configuración, solo especifique la dirección del servidor Tsiski en la gran Internet, el centro de datos KROK o el cliente, de donde provienen las configuraciones solo para su red.

SD-Access (DNA) es una automatización de gestión de red de área local: configuración desde un punto, asistentes, interfaces convenientes. De hecho, se está construyendo otra red con un transporte diferente a nivel de protocolo sobre el suyo, y en los límites del perímetro se garantiza la compatibilidad con las redes antiguas.

Nos ocuparemos de esto a continuación también.

Ahora hay algunas demostraciones en bancos de pruebas en nuestro laboratorio de cómo se ve y funciona.

Comencemos con la SD-WAN. Características clave:

• Simplificación del despliegue de nuevos puntos (ZTP): se supone que de alguna manera se alimenta el punto de la dirección del servidor con la configuración. Un punto lo golpea, recibe una configuración, lo rueda y enciende su panel de control. Esto proporciona aprovisionamiento Zero-Touch (ZTP). Para desplegar el dispositivo terminal, el ingeniero de red no necesita ir al sitio. Lo principal es encender correctamente el dispositivo en su lugar y conectarle todos los cables, luego el equipo se conectará al sistema. Puede descargar configuraciones a través de consultas DNS en la nube del proveedor desde una unidad USB conectada, o puede abrir un hipervínculo desde una computadora portátil conectada al dispositivo a través de Wi-Fi o Ethernet.
• Simplificación de la administración rutinaria de la red: una configuración a partir de plantillas, políticas globales que se pueden configurar de forma centralizada para al menos cinco sucursales, al menos para 5.000. Todo desde un solo lugar. Que no había mucho camino, una opción muy conveniente para volver automáticamente a la configuración anterior.
• Gestión del tráfico a nivel de aplicación: garantiza la calidad y la actualización continua de las firmas de la aplicación. Las políticas se configuran y se enrollan centralmente (no es necesario escribir y actualizar los mapas de ruta para cada enrutador, como antes). Es visible quién, dónde y qué envía.
• Segmentación de red. VPN independientes e independientes en la parte superior de toda la infraestructura, cada una con su propio enrutamiento. De manera predeterminada, el tráfico entre ellos está cerrado; solo puede abrir el acceso a tipos de tráfico comprensibles en nodos de red comprensibles, por ejemplo, pasando todo a través de un gran firewall o proxy.
• Visibilidad del historial de rendimiento de la red: cómo funcionaban las aplicaciones y los canales. Es muy útil para analizar y corregir la situación incluso antes de que los usuarios comiencen a recibir quejas sobre el funcionamiento inestable de las aplicaciones.
• Visibilidad a través de los canales: si valen la pena, si dos operadores diferentes realmente acuden a usted en la instalación o si de hecho pasan por la misma red y se degradan / caen al mismo tiempo.
• Visibilidad para aplicaciones en la nube y dirigir el tráfico a través de varios canales basados ​​en él (Cloud Onramp).
• Una pieza de hardware contiene un enrutador y un firewall (más precisamente, NGFW). Menos hardware: más barato para implementar una nueva sucursal.

Componentes y arquitectura de soluciones SD-WAN

Los dispositivos finales son enrutadores WAN que son hardware y virtuales.

Los orquestadores son una herramienta de gestión de red. Están configurados con parámetros del dispositivo terminal, políticas de enrutamiento de tráfico y funcionalidad de seguridad. Las configuraciones resultantes se envían automáticamente a través de la red de control a los nodos. Paralelamente, el orquestador escucha la red y supervisa: la disponibilidad de dispositivos, puertos, canales de comunicación, interfaces de carga.

Herramientas analíticas. Realizan informes basados ​​en datos recopilados de dispositivos terminales: el historial de la calidad de los canales, las aplicaciones de red, la disponibilidad de nodos, etc.

Los controladores son responsables de aplicar políticas de enrutamiento de tráfico a la red. Su análogo más cercano en las redes tradicionales puede considerarse BGP Route Reflector. Las políticas globales que el administrador configura en el orquestador hacen que los controladores cambien la composición de sus tablas de enrutamiento y envíen información actualizada a los dispositivos terminales.

Lo que recibe el servicio de TI de la SD-WAN:

1. El canal de respaldo se usa constantemente (no está inactivo). Resulta más barato, porque puede permitir dos canales menos gruesos.
2. Cambia automáticamente el tráfico de aplicaciones entre canales.
3. Tiempo de administrador: puede desarrollar globalmente una red y no rastrear cada pieza de hierro con configuraciones.
4. La velocidad de levantar nuevas sucursales. Ella es mucho más alta.
5. Menos tiempo de inactividad al reemplazar equipos muertos.
6. Reconfiguración rápida de la red para nuevos servicios.

¿Qué obtiene una empresa de SD-WAN:

1. Trabajo garantizado de aplicaciones empresariales en una red distribuida, incluso a través de canales de Internet abiertos. Se trata de la previsibilidad empresarial.
2. Soporte instantáneo para nuevas aplicaciones comerciales en toda la red distribuida, independientemente de la cantidad de sucursales. Se trata de la velocidad del negocio.
3. Conexión rápida y segura de sucursales en cualquier ubicación remota utilizando cualquier tecnología de conexión (Internet está en todas partes, pero las líneas arrendadas y las VPN no lo están). Se trata de la flexibilidad de la empresa para elegir una ubicación.
4. Puede ser un proyecto con entrega y puesta en marcha, o puede ser un servicio
   con pagos mensuales de una empresa de TI, proveedor de servicios u operador de la nube. A quien le convenga.

Los beneficios comerciales de SD-WAN pueden ser completamente diferentes, por ejemplo, un cliente nos dijo que un gerente superior recibió una solicitud de una línea directa con todos los empleados de una empresa multimillonaria y la capacidad de entregar contenido.

Para nosotros fue una "operación militar". En ese momento, ya estábamos resolviendo el problema de modernizar el KSPD. Y cuando comprendemos que básicamente necesitamos renovar el equipo, y la pila de tecnología se ha adelantado, ¿por qué necesitamos renovar las mismas tecnologías y servicios, si podemos ir más allá?

Una SD-WAN es instalada localmente por las fuerzas de enikey. Esto es importante para las sucursales remotas, donde simplemente no puede haber un administrador normal. Envíe por correo, diga: “Cable 1, enchufe en la caja 1, cable 2 - en la caja 2, ¡y no se mezcle! ¡No te confundas, # @ $ @%! ” Y si no lo mezclan, el dispositivo se comunica con el servidor central, recoge y aplica sus configuraciones, y esta oficina se convierte en parte de la red segura de la compañía. Es agradable cuando no necesita viajar y es fácil justificar el presupuesto.

Y aquí está el diseño del stand:



Algunos ejemplos de personalización:


Política: reglas de gestión del tráfico global. Edición de políticas.


Activar una política de control de tráfico.


Configuración masiva de parámetros básicos del dispositivo (direcciones IP, agrupaciones DHCP).

Capturas de pantalla del monitoreo del rendimiento de la aplicación

Para aplicaciones en la nube.


Detalles para Office365.


Para aplicaciones locales. Desafortunadamente, en nuestro stand no pudimos encontrar aplicaciones con errores (la tasa de recuperación de FEC está en todas partes en cero).


Además - rendimiento de los canales de transmisión de datos.

Qué hardware es compatible con SD-WAN

1. Plataformas de hardware:

• Cisco vEdge Routers (anteriormente conocido como Viptela vEdge) que ejecutan Viptela OS.
• Enrutadores de servicios integrados (ISR) de las series 1,000 y 4,000 que ejecutan IOS XE SD-WAN.
• Router de servicios de agregación de la serie 1,000 (ASR) con IOS XE SD-WAN.

2. Plataformas virtuales:

• Enrutador de servicios en la nube (CSR) de 1,000 v que ejecuta IOS XE SD-WAN.
• VEdge Cloud Router con sistema operativo Viptela.

Las plataformas virtuales se pueden implementar en las plataformas informáticas Cisco x86, como el Sistema de Computación en Red Empresarial (ENCS) de la serie 5,000, el Sistema de Computación Unificada (UCS) y la Plataforma de Servicios en la Nube (CSP) de la serie 5,000. Las plataformas virtuales también pueden funcionar en cualquier dispositivo x86, Usar un hipervisor como KVM o VMware ESi.

Cómo funciona un nuevo dispositivo

La lista de dispositivos de implementación con licencia se descarga desde una cuenta inteligente en Cisco o se descarga mediante un archivo CSV. Intentaré obtener más capturas de pantalla más tarde, ahora no tenemos nuevos dispositivos para la implementación.


La secuencia de pasos que sigue un dispositivo durante la implementación.

Cómo rodar un nuevo dispositivo / método de entrega de configuración

Obtenemos dispositivos en la cuenta inteligente.

Puede descargar el archivo CSV, o puede descargar uno a la vez:



Completamos los parámetros del dispositivo:



Además en vManage sincronizamos datos con Smart Account. El dispositivo aparece en la lista:



En el menú desplegable opuesto al dispositivo, haga clic en Generar configuración de Bootstrap
y obtener la configuración inicial:



Esta configuración debe ser alimentada al dispositivo. La forma más fácil es conectar una unidad flash USB con un archivo guardado llamado ciscosd-wan.cfg al dispositivo. En el arranque, el dispositivo buscará este archivo.



Una vez recibida la configuración inicial, el dispositivo podrá llegar a la orquesta y obtener una configuración completa desde allí.

Nos fijamos en SD-Access (ADN)

SD-Access simplifica la configuración de puertos y derechos de acceso para conectar usuarios. Esto se hace usando asistentes. Los parámetros de puerto se establecen en relación con los grupos Administradores, Contabilidad, Impresoras y no con VLAN y subredes IP. Esto minimiza el error humano. Si, por ejemplo, la compañía tiene muchas sucursales en Rusia y la oficina central está sobrecargada, SD-Access le permite resolver más problemas en el terreno. Por ejemplo, las mismas tareas de solución de problemas.

Para IS, es importante que SD-Access implique una separación clara de usuarios y dispositivos en grupos y la definición de políticas de interacción entre ellos, la autorización para cualquier conexión de cliente a la red y la provisión de "derechos de acceso" en toda la red. Si sigue este enfoque, se volverá mucho más fácil de administrar.

El proceso de inicio para nuevas oficinas también se simplifica gracias a los agentes Plug-and-Play en los conmutadores. No necesita correr a lo largo de la encrucijada con la consola, o incluso ir al objeto.

Aquí hay algunos ejemplos de configuración:



Estado general


Incidentes que vale la pena mirar por el administrador.


Recomendaciones automáticas de qué cambiar en las configuraciones.

Plan de integración SD-WAN con acceso SD

Escuché que Tsiska tiene tales planes: SD-WAN y SD-Access. Esto debería reducir significativamente las hemorroides cuando se maneja KSPD local y geográficamente distribuido.

vManage (SD-WAN Orchestrator) se controla mediante API con DNA Center (SD-Access Controller).



Las políticas de micro y macro segmentación se asignan de la siguiente manera:



A nivel de paquete, se ve así:

¿Quién y qué piensa de esto?

Hemos estado trabajando con SD-WAN desde 2016 en un laboratorio separado donde probamos diferentes soluciones para las necesidades de minoristas, bancos, transporte e industria.

Nos comunicamos mucho con clientes reales.

Puedo decir que el comercio minorista ya está probando con confianza SD-WAN, y algunos lo hacen con proveedores (con mayor frecuencia con Cisco), pero hay quienes están tratando de resolver el problema por su cuenta: escriben su propia versión del software, de acuerdo con una funcionalidad que recuerda a SD-WAN.

De una forma u otra, todos quieren llegar a una gestión centralizada de todo el zoológico de equipos. Este es un punto de administración para instalaciones no estándar y estándar para diferentes proveedores y diferentes tecnologías. Es importante minimizar el trabajo manual porque, en primer lugar, reduce el riesgo del factor humano al configurar el equipo y, en segundo lugar, libera recursos de servicios de TI para otras tareas. Por lo general, la comprensión de la necesidad se debe a los ciclos de actualización muy largos en todo el país. Y, por ejemplo, si el comercio minorista vende alcohol, entonces necesita una conexión constante para las ventas. Una actualización o una simple tarde afecta directamente los ingresos.

Ahora, el comercio minorista ha comprendido claramente qué tareas utilizará SD-WAN para:

1. Despliegue rápido (a menudo necesario en LTE antes de que llegara el proveedor de cable, a menudo es necesario que el administrador de GPC en la ciudad plantee el nuevo punto en la ciudad, y luego el centro simplemente miró y configuró).
2. Gestión centralizada, comunicación para instalaciones en el extranjero.
3. Reducción de costos de telecomunicaciones.
4. Varios servicios adicionales (las funciones DPI permiten entregar tráfico prioritario desde aplicaciones importantes como el efectivo).
5. Trabaja con canales automáticamente, no con manos.

Y también hay una verificación de cumplimiento: todos hablan mucho al respecto, pero nadie lo percibe como un problema. Mantener que todo funciona correctamente también funciona bien en este paradigma. Muchos creen que todo el mercado de tecnología de red se moverá en esta dirección por completo.

Banks, en mi humilde opinión, mientras prueba SD-WAN más bien como una nueva característica tecnológica. Están esperando el fin del soporte de las generaciones anteriores de equipos y solo entonces cambiarán. Los bancos generalmente tienen su propia atmósfera especial a través de los canales de comunicación, por lo que el estado actual de la industria no les molesta mucho. Los problemas yacen en otros planos.

A diferencia del mercado ruso en Europa, SD-WAN se está introduciendo activamente. Tienen canales de comunicación más caros y, por lo tanto, las empresas europeas llevan su stack a las unidades rusas. En Rusia, hay cierta estabilidad, porque el costo de los canales (incluso cuando la región es 25 veces más cara que el centro) parece bastante normal y no plantea dudas. De año en año, el presupuesto se establece incondicionalmente en los canales de comunicación.

Aquí hay un ejemplo de la práctica mundial cuando una empresa ahorró tiempo y dinero debido a SD-WAN en Tsiska.

Existe tal empresa: National Instruments. En cierto momento, comenzaron a darse cuenta de que la red informática mundial, "obtenida" mediante la combinación de 88 sitios en todo el mundo, era ineficaz. Además, la compañía carecía de ancho de banda y rendimiento de ACS. No hubo equilibrio entre el crecimiento continuo de la empresa y el limitado presupuesto de TI.

SD-WAN ayudó a reducir los costos de National Instruments MPLS en un 25% (ahorrando $ 450,000 para fines de 2018) al expandir el ancho de banda en un 3,075%.

Tras la introducción de SD-WAN, la compañía recibió una red inteligente definida por software y una gestión centralizada de políticas para optimizar automáticamente el tráfico y el rendimiento de las aplicaciones. Aquí hay un caso detallado.

Aquí hay un caso completamente extraño de trasladar el S7 a otra oficina, cuando al principio todo comenzó duro, pero curiosamente, fue necesario rehacer 1,500 puertos. Pero entonces algo salió mal y, como resultado, los administradores resultaron ser los últimos antes de la fecha límite, a quienes están llegando todos los retrasos acumulados.

Leer más en inglés:

• American Banker: Fifth Third invierte en una actualización de red de 5 años con SD-WAN .
• Construyendo el éxito de Cloud SD-WAN en Koch .
• El viaje SD-WAN de McKesson al ahorro de costos .
• SD-WAN Retail PoC & Segmentation: Gap Stores .
• Y aquí está el estudio global de Cisco sobre las tendencias de red en el mundo.

En ruso:

• En CNews .
• Cómo implementamos SD-Access y por qué era necesario .
• Fábrica de red para el centro de datos Cisco ACI: para ayudar al administrador .
• Un canal estable basado en redes definidas por software SD-WAN: resolvemos los problemas de selección de ruta .
• Mi correo, si tiene preguntas o quiere probar sus tareas en nuestro stand, mkazakov@croc.ru.