SD-WAN et DNA pour aider l'administrateur: caractéristiques des architectures et de la pratique

Un stand que vous pouvez toucher dans notre laboratoire si vous le souhaitez.

SD-WAN et SD-Access sont deux nouvelles approches propriétaires différentes de la mise en réseau. À l'avenir, ils devraient fusionner en un seul réseau de superposition, mais jusqu'à présent, ils approchent. La logique est la suivante: nous prenons un réseau de l'échantillon des années 1990 et y roulons tous les correctifs et fonctionnalités nécessaires, sans attendre qu'après 10 ans, il devienne un nouveau standard ouvert.

SD-WAN est un patch SDN pour les réseaux d'entreprise distribués. Transportez séparément, contrôlez séparément, donc le contrôle est simplifié.

Avantages - tous les canaux de communication sont utilisés activement, y compris la réserve. Il y a un routage des paquets vers les applications: quoi, par quel canal et avec quelle priorité. Une procédure simplifiée pour le déploiement de nouveaux points: au lieu de rouler la configuration, ne spécifiez que l'adresse du serveur Tsiski sur le grand Internet, le centre de données KROK ou le client, d'où proviennent les configurations uniquement pour votre réseau.

SD-Access (DNA) est une automatisation de la gestion des réseaux locaux: configuration à partir d'un seul point, assistants, interfaces pratiques. En fait, un autre réseau est en cours de construction avec un transport différent au niveau du protocole au-dessus du vôtre, et aux limites du périmètre, la compatibilité avec les anciens réseaux est assurée.

Nous en traiterons également ci-dessous.

Maintenant, il y a quelques démos sur des bancs d'essai dans notre laboratoire à quoi cela ressemble et fonctionne.

Commençons par le SD-WAN. Caractéristiques clés:

• Simplification du déploiement de nouveaux points (ZTP) - il est supposé que vous alimentez en quelque sorte le point l'adresse du serveur avec les paramètres. Un point frappe dessus, reçoit une config, la fait rouler et allume votre panneau de contrôle. Cela fournit le Zero-Touch Provisioning (ZTP). Pour déployer le terminal, l'ingénieur réseau n'a pas besoin d'aller sur le site. L'essentiel est d'allumer correctement l'appareil en place et d'y connecter tous les câbles, puis l'équipement lui-même se connectera au système. Vous pouvez télécharger des configurations via des requêtes DNS dans le cloud du fournisseur à partir d'un lecteur USB connecté, ou vous pouvez ouvrir un lien hypertexte à partir d'un ordinateur portable connecté à l'appareil via Wi-Fi ou Ethernet.
• Simplification de l'administration de routine du réseau - une configuration à partir de modèles, des politiques globales qui peuvent être configurées de manière centralisée pour au moins cinq succursales, au moins pour 5000. Tout à partir d'un seul endroit. Qu'il n'y avait pas de long chemin - une option très pratique pour revenir automatiquement à la configuration précédente.
• Gestion du trafic au niveau de l'application - garantissant la qualité et la mise à jour continue des signatures d'application. Les politiques sont configurées et regroupées de manière centralisée (il n'est pas nécessaire d'écrire et de mettre à jour les cartes de route pour chaque routeur, comme auparavant). On voit qui, où et quoi envoie.
• Segmentation du réseau. Des VPN isolés indépendants au-dessus de toute l'infrastructure - chacun avec son propre routage. Par défaut, le trafic entre eux est fermé; vous ne pouvez ouvrir l'accès à des types de trafic compréhensibles que dans des nœuds de réseau compréhensibles, par exemple, en passant tout via un grand pare-feu ou un proxy.
• Visibilité de l'historique des performances du réseau - fonctionnement des applications et des canaux. Il est très utile pour analyser et corriger la situation avant même que des plaintes concernant le fonctionnement instable des applications ne commencent à émaner des utilisateurs.
• Visibilité à travers les canaux - qu'ils en valent la peine, que deux opérateurs différents viennent réellement chez vous dans l'installation, ou qu'ils passent en fait par le même réseau et se dégradent / tombent en même temps.
• Visibilité des applications cloud et pilotage du trafic via différents canaux basés sur celle-ci (Cloud Onramp).
• Un matériel contient un routeur et un pare-feu (plus précisément, NGFW). Moins de matériel - moins cher pour déployer une nouvelle branche.

Composants et architecture des solutions SD-WAN

Les terminaux sont des routeurs WAN matériels et virtuels.

Les orchestrateurs sont un outil de gestion de réseau. Ils sont configurés avec des paramètres de terminal, des politiques de routage du trafic et des fonctionnalités de sécurité. Les configurations résultantes sont envoyées automatiquement via le réseau de contrôle aux nœuds. En parallèle, l'orchestrateur écoute le réseau et surveille - la disponibilité des périphériques, des ports, des canaux de communication, des interfaces de chargement.

Outils d'analyse. Ils réalisent des rapports à partir des données collectées auprès des terminaux: historique de la qualité des canaux, applications réseau, disponibilité des nœuds, etc.

Les contrôleurs sont chargés d'appliquer les politiques de routage du trafic au réseau. Leur analogue le plus proche dans les réseaux traditionnels peut être considéré comme BGP Route Reflector. Les stratégies globales que l'administrateur configure dans l'orchestrateur obligent les contrôleurs à modifier la composition de leurs tables de routage et à envoyer des informations mises à jour aux terminaux.

Ce que le service informatique reçoit du SD-WAN:

1. Le canal de sauvegarde est constamment utilisé (pas inactif). Cela s'avère moins cher, car vous pouvez autoriser deux canaux moins épais.
2. Basculez automatiquement le trafic des applications entre les canaux.
3. Temps administrateur: vous pouvez globalement développer un réseau, et ne pas parcourir chaque morceau de fer avec des configurations.
4. La vitesse de lever de nouvelles branches. Elle est beaucoup plus élevée.
5. Moins de temps d'arrêt lors du remplacement de l'équipement mort.
6. Reconfiguration rapide du réseau pour de nouveaux services.

Qu'est-ce qu'une entreprise obtient du SD-WAN:

1. Travail garanti des applications métier sur un réseau distribué, y compris via des canaux Internet ouverts. Il s'agit de la prévisibilité de l'entreprise.
2. Prise en charge instantanée des nouvelles applications métier sur l'ensemble du réseau distribué, quel que soit le nombre de succursales. C'est une question de vitesse commerciale.
3. Connexion rapide et sécurisée des succursales dans tous les sites distants en utilisant n'importe quelle technologie de connexion (Internet est partout, mais les lignes louées et les VPN ne le sont pas). Il s'agit de la flexibilité de l'entreprise dans le choix d'un emplacement.
4. Il peut s'agir d'un projet avec livraison et mise en service, ou d'un service
   avec des paiements mensuels d'une entreprise informatique, d'un fournisseur de services ou d'un opérateur cloud. À qui cela convient.

Les avantages commerciaux du SD-WAN peuvent être complètement différents, par exemple, un client nous a dit qu'un cadre supérieur avait reçu une demande de ligne directe avec tous les employés d'une entreprise de plusieurs milliers et la capacité de fournir du contenu.

Pour nous, c'était une «opération militaire». À ce moment, nous résolvions déjà le problème de la modernisation du KSPD. Et lorsque nous comprenons que nous avons essentiellement besoin de rénover l'équipement et que la pile technologique est allée de l'avant, pourquoi devons-nous rénover les mêmes technologies et services, si nous pouvons aller plus loin.

Un SD-WAN est installé localement par les forces enikey. Ceci est important pour les succursales distantes, où il se peut qu'il n'y ait tout simplement pas d'administrateur normal. Envoyez par la poste, dites: «Câble 1, branchez-le dans la boîte 1, câble 2 - dans la boîte 2, et ne confondez pas! Ne vous y trompez pas, # @ $ @%! " Et s'ils ne le mélangent pas, l'appareil lui-même communique avec le serveur central, prend et applique ses configurations, et ce bureau fait partie du réseau sécurisé de l'entreprise. C'est bien quand on n'a pas besoin de voyager et c'est facile de justifier le budget.

Et voici l'agencement du stand:



Quelques exemples de personnalisation:


Politique - règles globales de gestion du trafic. Modification des politiques.


Activez une politique de contrôle du trafic.


Configuration en masse des paramètres de base de l'appareil (adresses IP, pools DHCP).

Captures d'écran de surveillance des performances des applications

Pour les applications cloud.


Détails pour Office365.


Pour les applications sur site. Malheureusement, sur notre stand, nous n'avons pas pu trouver d'applications présentant des erreurs (le taux de récupération FEC est partout nul).


En outre - performances des canaux de transmission de données.

Quel matériel est pris en charge sur SD-WAN

1. Plateformes matérielles:

• Routeurs Cisco vEdge (anciennement connus sous le nom de Viptela vEdge) exécutant Viptela OS.
• Routeurs à services intégrés (ISR) des séries 1 000 et 4 000 exécutant IOS XE SD-WAN.
• Routeur de services d'agrégation (ASR) 1000 Series exécutant IOS XE SD-WAN.

2. Plateformes virtuelles:

• Router de services cloud (CSR) 1000 V exécutant IOS XE SD-WAN.
• VEdge Cloud Router exécutant Viptela OS.

Les plates-formes virtuelles peuvent être déployées sur des plates-formes informatiques Cisco x86 telles que le système de calcul de réseau d'entreprise (ENCS) de la série 5 000, le système informatique unifié (UCS) et la plate-forme de services cloud (CSP) de la série 5 000. Les plates-formes virtuelles peuvent également fonctionner sur n'importe quel périphérique x86. Utilisation d'un hyperviseur tel que KVM ou VMware ESi.

Comment un nouvel appareil roule

La liste des périphériques de déploiement sous licence est téléchargée à partir d'un compte intelligent dans Cisco ou téléchargée par un fichier CSV. J'essaierai d'obtenir plus de captures d'écran plus tard, maintenant nous n'avons plus de nouveaux appareils à déployer.


La séquence d'étapes qu'un périphérique traverse pendant le déploiement.

Comment faire rouler un nouveau périphérique / méthode de livraison de configuration

Nous obtenons des appareils dans le compte intelligent.

Vous pouvez télécharger le fichier CSV, ou vous pouvez en télécharger un à la fois:



Nous remplissons les paramètres de l'appareil:



Plus loin dans vManage, nous synchronisons les données avec Smart Account. L'appareil apparaît dans la liste:



Dans le menu déroulant en face de l'appareil, cliquez sur Générer la configuration d'amorçage
et obtenez la configuration initiale:



Cette configuration doit être envoyée à l'appareil. Le moyen le plus simple consiste à connecter une clé USB avec un fichier enregistré nommé ciscosd-wan.cfg à l'appareil. Au démarrage, l'appareil recherchera ce fichier.



Après avoir reçu la configuration initiale, l'appareil pourra atteindre l'orchestre et en obtenir une configuration complète.

Nous regardons SD-Access (DNA)

SD-Access simplifie la configuration des ports et des droits d'accès pour connecter les utilisateurs. Cela se fait à l'aide des assistants. Les paramètres de port sont définis par rapport aux groupes Administrateurs, Comptabilité, Imprimantes et non aux VLAN et sous-réseaux IP. Cela minimise l'erreur humaine. Si, par exemple, l'entreprise possède de nombreuses succursales en Russie et que le bureau central est surchargé, alors SD-Access vous permet de résoudre plus de problèmes sur le terrain. Par exemple, les mêmes tâches de dépannage.

Pour IS, il est important que SD-Access implique une séparation claire des utilisateurs et des appareils en groupes et la définition de politiques d'interaction entre eux, l'autorisation de toute connexion client au réseau et la fourniture de "droits d'accès" sur tout le réseau. Si vous suivez cette approche, il devient alors beaucoup plus facile à administrer.

Le processus de démarrage des nouveaux bureaux est également simplifié grâce aux agents Plug-and-Play dans les commutateurs. Vous n'avez pas besoin de courir à la croisée des chemins avec la console, ni même d'aller à l'objet.

Voici quelques exemples de configuration:



Statut général.


Les incidents méritent d'être examinés par l'administrateur.


Recommandations automatiques que changer dans les configurations.

Plan d'intégration SD-WAN avec SD-Access

J'ai entendu dire que Tsiska avait de tels plans - SD-WAN et SD-Access. Cela devrait réduire considérablement les hémorroïdes lors de la gestion des KSPD géographiquement distribués et locaux.

vManage (SD-WAN Orchestrator) est contrôlé via l'API avec DNA Center (SD-Access Controller).



Les stratégies de micro et macro segmentation sont mappées comme suit:



Au niveau du package, cela ressemble à ceci:

Qui et quoi en pensent

Nous travaillons avec SD-WAN depuis 2016 dans un laboratoire séparé où nous testons différentes solutions pour les besoins du commerce de détail, des banques, des transports et de l'industrie.

Nous communiquons beaucoup avec de vrais clients.

Je peux dire que la vente au détail teste déjà en toute confiance le SD-WAN, et certains le font avec des fournisseurs (le plus souvent avec Cisco), mais il y a ceux qui essaient de résoudre le problème par eux-mêmes: ils écrivent leur propre version du logiciel, selon une fonctionnalité qui rappelle SD-WAN.

D'une manière ou d'une autre, tout le monde veut en venir à une gestion centralisée de l'ensemble du parc zoologique. Il s'agit d'un point d'administration pour les installations non standard et standard pour différents fournisseurs et différentes technologies. Il est important de minimiser le travail manuel, car, d'une part, il réduit le risque du facteur humain lors de la configuration de l'équipement, et d'autre part, il libère des ressources de service informatique pour d'autres tâches. Habituellement, la compréhension du besoin vient des cycles de mise à jour très longs à travers le pays. Et, par exemple, si le commerce de détail vend de l'alcool, alors elle a besoin d'une connexion constante pour les ventes. Une mise à niveau ou un simple après-midi affecte directement les revenus.

Le commerce de détail a désormais clairement compris les tâches que le service informatique utilisera pour le SD-WAN:

1. Déploiement rapide (souvent nécessaire sur LTE avant l'arrivée du câblo-opérateur, il est souvent nécessaire que le nouveau point soit soulevé par l'administrateur GPC de la ville, puis le centre vient de chercher et de configurer).
2. Gestion centralisée, communication pour les installations à l'étranger.
3. Réduction des coûts de télécommunications.
4. Divers services supplémentaires (les fonctionnalités DPI permettent de fournir un trafic prioritaire à partir d'applications importantes telles que l'argent liquide).
5. Travaillez avec les canaux automatiquement, pas avec les mains.

Et il y a aussi un contrôle de conformité - ils en parlent tous beaucoup, mais personne ne le perçoit comme un problème. Maintenir que tout fonctionne correctement fonctionne également très bien dans ce paradigme. Beaucoup pensent que l'ensemble du marché des technologies de réseau évoluera dans cette direction.

Banques, à mon humble avis, tout en testant le SD-WAN plutôt comme une nouvelle fonctionnalité technologique. Ils attendent la fin du support des générations précédentes d'équipements et alors seulement ils changeront. Les banques ont généralement leur propre atmosphère particulière par le biais des canaux de communication, de sorte que l'état actuel de l'industrie ne les dérange pas beaucoup. Les problèmes résident plutôt dans d'autres plans.

Contrairement au marché russe en Europe, le SD-WAN est activement introduit. Ils ont des canaux de communication plus chers, et donc les entreprises européennes apportent leur pile aux unités russes. En Russie, il y a une certaine stabilité, car le coût des chaînes (même lorsque la région est 25 fois plus chère que le centre) semble tout à fait normal et ne pose pas de question. D'année en année, le budget est placé sans condition sur les canaux de communication.

Voici un exemple tiré de la pratique mondiale lorsqu'une entreprise a économisé du temps et de l'argent grâce au SD-WAN sur Tsiska.

Il existe une telle société - National Instruments. À un certain moment, ils ont commencé à réaliser que le réseau informatique mondial, "obtenu" en combinant 88 sites à travers le monde, était inefficace. De plus, la société manquait de bande passante et de performances ECS. Il n'y avait pas d'équilibre entre la croissance continue de l'entreprise et le budget informatique limité.

Le SD-WAN a permis de réduire les coûts MPLS de National Instruments de 25% (économisant 450 000 $ d'ici la fin de 2018) en augmentant la bande passante de 3 075%.

Suite à l'introduction du SD-WAN, la société a reçu un réseau intelligent défini par logiciel et une gestion centralisée des politiques pour optimiser automatiquement le trafic et les performances des applications. Voici un cas détaillé.

Voici un cas complètement bizarre de déplacer le S7 vers un autre bureau, quand tout a commencé durement, mais il est intéressant de noter qu'il a fallu refaire 1 500 ports. Mais ensuite, quelque chose a mal tourné et, en conséquence, les administrateurs se sont avérés être les derniers avant la date limite, à qui tous les retards accumulés se déversent.

En savoir plus en anglais:

• American Banker: Fifth Third investit dans une mise à niveau du réseau de 5 ans avec SD-WAN .
• Construire le succès du SD-WAN Cloud chez Koch .
• Le parcours SD-WAN de McKesson vers des économies de coûts .
• SD-WAN Retail PoC & Segmentation: Gap Stores .
• Et voici l'étude mondiale de Cisco sur les tendances des réseaux dans le monde.

En russe:

• Sur CNews .
• Comment nous avons implémenté SD-Access et pourquoi c'était nécessaire .
• Usine de réseau pour le centre de données Cisco ACI - pour aider l'administrateur .
• Un canal stable basé sur des réseaux SD-WAN définis par logiciel: nous résolvons les problèmes de sélection d'itinéraire .
• Mon courrier, si vous avez des questions ou souhaitez tester vos tâches sur notre stand, - mkazakov@croc.ru.