SD-WAN dan DNA untuk membantu administrator: fitur arsitektur dan praktik

Stand yang dapat Anda sentuh di lab kami jika Anda mau.

SD-WAN dan SD-Access adalah dua pendekatan kepemilikan baru yang berbeda untuk jaringan. Di masa depan, mereka harus bergabung menjadi satu jaringan overlay, tetapi sejauh ini mereka hanya mendekati. Logikanya adalah ini: kami mengambil jaringan sampel tahun 1990-an dan menggulungnya dengan semua tambalan dan fitur yang diperlukan, tanpa menunggu sampai setelah 10 tahun lagi itu akan menjadi standar terbuka baru.

SD-WAN adalah patch SDN untuk jaringan korporat terdistribusi. Transportasi secara terpisah, kontrol secara terpisah, sehingga kontrol disederhanakan.

Plus - semua saluran komunikasi digunakan secara aktif termasuk cadangan. Ada perutean paket ke aplikasi: apa, melalui saluran mana dan dengan prioritas apa. Prosedur yang disederhanakan untuk penyebaran poin baru: alih-alih menggulir konfigurasi, hanya tentukan alamat server Tsiski di Internet besar, pusat data KROK atau pelanggan, tempat konfigurasi berasal hanya untuk jaringan Anda.

SD-Access (DNA) adalah otomatisasi manajemen jaringan area lokal: konfigurasi dari satu titik, penyihir, antarmuka yang nyaman. Bahkan, jaringan lain sedang dibangun dengan transportasi yang berbeda di tingkat protokol di atas Anda, dan pada batas perimeter kompatibilitas dengan jaringan lama dipastikan.

Kami akan menangani ini di bawah ini juga.

Sekarang ada beberapa demo di bangku tes di lab kami bagaimana tampilannya dan bekerja.

Mari kita mulai dengan SD-WAN. Fitur utama:

• Penyederhanaan penyebaran poin baru (ZTP) - diasumsikan bahwa Anda entah bagaimana memberi makan titik alamat server dengan pengaturan. Suatu titik mengetuknya, menerima konfigurasi, menggulungnya dan menyalakan panel kontrol Anda. Ini memberikan Penyediaan Zero-Touch Provisioning (ZTP). Untuk menggunakan perangkat terminal, insinyur jaringan tidak perlu pergi ke situs. Hal utama adalah menyalakan perangkat dengan benar dan menghubungkan semua kabel ke sana, maka peralatan itu sendiri akan terhubung ke sistem. Anda dapat mengunduh konfigurasi melalui kueri DNS di cloud vendor dari drive USB yang terhubung, atau Anda dapat membuka hyperlink dari laptop yang terhubung ke perangkat melalui Wi-Fi atau Ethernet.
• Penyederhanaan administrasi rutin jaringan - konfigurasi dari templat, kebijakan global yang dapat dikonfigurasi secara terpusat untuk setidaknya lima cabang, setidaknya untuk 5.000. Semuanya dari satu tempat. Bahwa tidak ada jalan panjang - opsi yang sangat nyaman untuk secara otomatis kembali ke konfigurasi sebelumnya.
• Manajemen lalu lintas tingkat aplikasi - memastikan kualitas dan pembaruan terus-menerus dari tanda tangan aplikasi. Kebijakan dikonfigurasikan dan digulung secara terpusat (tidak perlu menulis dan memperbarui peta rute untuk setiap router, seperti sebelumnya). Terlihat siapa, di mana dan apa yang mengirim.
• Segmentasi jaringan. VPN terisolasi independen di atas seluruh infrastruktur - masing-masing dengan peruteannya sendiri. Secara default, lalu lintas di antara mereka ditutup; Anda hanya dapat membuka akses ke jenis lalu lintas yang dapat dipahami dalam node jaringan yang dapat dimengerti, misalnya, melewatkan semuanya melalui firewall atau proxy yang besar.
• Visibilitas riwayat kinerja jaringan - cara kerja aplikasi dan saluran. Ini sangat berguna untuk menganalisis dan memperbaiki situasi bahkan sebelum keluhan tentang operasi aplikasi yang tidak stabil mulai datang dari pengguna.
• Visibilitas melalui saluran - apakah mereka sepadan dengan uangnya, apakah dua operator yang berbeda benar-benar mendatangi Anda di fasilitas, atau pada kenyataannya mereka pergi melalui jaringan yang sama dan menurun / jatuh pada saat yang sama.
• Visibilitas untuk aplikasi cloud dan mengarahkan lalu lintas melalui berbagai saluran berdasarkan itu (Cloud Onramp).
• Satu perangkat keras berisi router dan firewall (lebih tepatnya, NGFW). Lebih sedikit perangkat keras - lebih murah untuk menggunakan cabang baru.

Komponen dan Arsitektur Solusi SD-WAN

Perangkat akhir adalah router WAN yang merupakan perangkat keras dan virtual.

Orkestra adalah alat manajemen jaringan. Mereka dikonfigurasikan dengan parameter perangkat terminal, kebijakan perutean lalu lintas, dan fungsionalitas keamanan. Konfigurasi yang dihasilkan dikirim secara otomatis melalui jaringan kontrol ke node. Secara paralel, orkestra mendengarkan jaringan dan melakukan pemantauan - ketersediaan perangkat, port, saluran komunikasi, antarmuka pemuatan.

Alat analisis. Mereka membuat laporan berdasarkan data yang dikumpulkan dari perangkat terminal: sejarah kualitas saluran, aplikasi jaringan, ketersediaan node, dll.

Pengontrol bertanggung jawab untuk menerapkan kebijakan perutean lalu lintas ke jaringan. Analog terdekat mereka dalam jaringan tradisional dapat dianggap sebagai BGP Route Reflector. Kebijakan global yang diatur oleh administrator di orkestra menyebabkan pengendali mengubah komposisi tabel perutean mereka dan mengirim informasi terbaru ke perangkat terminal.

Apa yang diterima layanan TI dari SD-WAN:

1. Saluran cadangan selalu digunakan (bukan menganggur). Ternyata lebih murah, karena Anda bisa membiarkan dua saluran kurang tebal.
2. Secara otomatis mengalihkan lalu lintas aplikasi antar saluran.
3. Waktu administrator: Anda dapat mengembangkan jaringan secara global, dan tidak merangkak melalui setiap potongan besi dengan konfigurasi.
4. Kecepatan meningkatkan cabang baru. Dia jauh lebih tinggi.
5. Lebih sedikit downtime saat mengganti peralatan mati.
6. Konfigurasi ulang jaringan cepat untuk layanan baru.

Apa yang didapat bisnis dari SD-WAN:

1. Pekerjaan aplikasi bisnis yang dijamin pada jaringan terdistribusi, termasuk melalui saluran Internet terbuka. Ini tentang prediktabilitas bisnis.
2. Dukungan instan untuk aplikasi bisnis baru di seluruh jaringan terdistribusi, terlepas dari jumlah cabang. Ini tentang kecepatan bisnis.
3. Koneksi cabang yang cepat dan aman di lokasi terpencil dengan menggunakan teknologi koneksi apa pun (Internet ada di mana-mana, tetapi leased line dan VPN tidak). Ini tentang fleksibilitas bisnis dalam memilih lokasi.
4. Ini dapat berupa proyek dengan pengiriman dan commissioning, atau dapat berupa layanan
   dengan pembayaran bulanan dari perusahaan IT, penyedia layanan atau operator cloud. Kepada siapa pun itu nyaman.

Manfaat bisnis dari SD-WAN bisa sangat berbeda, misalnya, seorang pelanggan mengatakan kepada kami bahwa manajer puncak menerima permintaan untuk sambungan langsung dengan semua karyawan perusahaan multi-ribu dan kemampuan untuk mengirimkan konten.

Bagi kami itu adalah "operasi militer". Pada saat itu, kami sudah menyelesaikan masalah memodernisasi KSPD. Dan ketika kita memahami bahwa pada dasarnya kita perlu merenovasi peralatan, dan tumpukan teknologi telah maju, mengapa kita perlu merenovasi teknologi dan layanan yang sama, jika kita bisa melangkah lebih jauh.

SD-WAN dipasang secara lokal oleh kekuatan yang sama. Ini penting untuk cabang jarak jauh, di mana mungkin tidak ada admin normal. Kirim melalui surat, katakan: “Kabel 1, tancapkan ke kotak 1, kabel 2 - ke kotak 2, dan jangan campur aduk! Jangan salah, # @ $ @%! ” Dan jika mereka tidak mencampurnya, perangkat itu sendiri berkomunikasi dengan server pusat, mengambil dan menerapkan konfigurasi, dan kantor ini menjadi bagian dari jaringan aman perusahaan. Sangat menyenangkan ketika Anda tidak perlu melakukan perjalanan dan mudah untuk membenarkan anggaran.

Dan inilah tata letak dudukannya:



Beberapa contoh penyesuaian:


Kebijakan - aturan manajemen lalu lintas global. Pengeditan kebijakan.


Aktifkan kebijakan kontrol lalu lintas.


Pengaturan massal parameter perangkat dasar (alamat IP, kolam DHCP).

Screenshot Pemantauan Kinerja Aplikasi

Untuk aplikasi cloud.


Detail untuk Office365.


Untuk aplikasi di tempat. Sayangnya, di stand kami, kami tidak dapat menemukan aplikasi dengan kesalahan (tingkat Pemulihan FEC di mana-mana nol).


Selain itu - kinerja saluran transmisi data.

Perangkat keras apa yang didukung pada SD-WAN

1. Platform perangkat keras:

• Router Cisco vEdge (sebelumnya dikenal sebagai Viptela vEdge) menjalankan Viptela OS.
• Integrated Services Routers (ISR) dari seri 1.000 dan 4.000 yang menjalankan IOS XE SD-WAN.
• 1.000 Series Aggregation Services Router (ASR) yang menjalankan IOS XE SD-WAN.

2. Platform virtual:

• Router Layanan Cloud 1000v (CSR) yang menjalankan iOS XE SD-WAN.
• VEdge Cloud Router menjalankan Viptela OS.

Platform virtual dapat digunakan pada platform komputasi Cisco x86 seperti Enterprise Network Compute System (ENCS) dari 5.000 seri, Unified Computing System (UCS) dan Cloud Services Platform (CSP) dari seri 5.000. Platform virtual juga dapat berfungsi pada perangkat x86 apa pun. Menggunakan hypervisor seperti KVM atau VMware ESi.

Bagaimana perangkat baru bergulir

Daftar perangkat penyebaran berlisensi diunduh baik dari akun pintar di Cisco, atau diunduh oleh file CSV. Saya akan mencoba mendapatkan tangkapan layar lebih banyak lagi, sekarang kami tidak memiliki perangkat baru untuk ditempatkan.


Urutan langkah-langkah yang dilalui perangkat selama penyebaran.

Cara menggulung metode pengiriman perangkat / konfigurasi baru

Kami mendapatkan perangkat di Akun Cerdas.

Anda dapat mengunduh file CSV, atau mengunduh satu per satu:



Kami mengisi parameter perangkat:



Selanjutnya di vManage kami menyinkronkan data dengan Akun Cerdas. Perangkat muncul dalam daftar:



Di menu drop-down di seberang perangkat, klik Generate Bootstrap Configuration
dan dapatkan konfigurasi awal:



Konfigurasi ini harus diumpankan ke perangkat. Cara termudah adalah menghubungkan USB flash drive dengan file yang disimpan bernama ciscosd-wan.cfg ke perangkat. Saat boot, perangkat akan mencari file ini.



Setelah menerima konfigurasi awal, perangkat akan dapat mencapai orkestra dan mendapatkan konfigurasi penuh dari sana.

Kami melihat SD-Access (DNA)

SD-Access menyederhanakan konfigurasi port dan hak akses untuk menghubungkan pengguna. Ini dilakukan dengan menggunakan penyihir. Parameter port diatur dalam kaitannya dengan Administrator, Akuntansi, grup Printer, dan tidak ke subnet VLAN dan IP. Ini meminimalkan kesalahan manusia. Jika, misalnya, perusahaan memiliki banyak cabang di Rusia, dan kantor pusat kelebihan beban, maka SD-Access memungkinkan Anda untuk memecahkan lebih banyak masalah di lapangan. Misalnya, tugas Troubleshoot yang sama.

Untuk IS, penting bahwa SD-Access melibatkan pemisahan yang jelas antara pengguna dan perangkat menjadi kelompok-kelompok dan definisi kebijakan interaksi di antara mereka, otorisasi untuk setiap koneksi klien ke jaringan dan penyediaan "hak akses" di seluruh jaringan. Jika Anda mengikuti pendekatan ini, maka akan menjadi lebih mudah untuk dikelola.

Proses startup untuk kantor baru juga disederhanakan berkat agen Plug-and-Play di sakelar. Anda tidak perlu berlari di sepanjang persimpangan jalan dengan konsol, atau bahkan pergi ke objek.

Berikut ini beberapa contoh konfigurasi:



Status umum.


Insiden yang layak dilihat oleh administrator.


Rekomendasi otomatis apa yang harus diubah dalam konfigurasi.

Rencana Integrasi SD-WAN dengan SD-Access

Saya mendengar bahwa Tsiska memiliki rencana seperti itu - SD-WAN dan SD-Access. Ini harus secara signifikan mengurangi wasir ketika mengelola KSPD yang didistribusikan secara geografis dan lokal.

vManage (SD-WAN Orchestrator) dikendalikan melalui API dengan DNA Center (SD-Access Controller).



Kebijakan segmentasi mikro dan makro dipetakan sebagai berikut:



Pada tingkat paket, tampilannya seperti ini:

Siapa dan apa yang dipikirkan tentang ini

Kami telah bekerja dengan SD-WAN sejak 2016 di laboratorium terpisah tempat kami menguji berbagai solusi untuk kebutuhan ritel, bank, transportasi, dan industri.

Kami banyak berkomunikasi dengan pelanggan nyata.

Saya dapat mengatakan bahwa ritel sudah dengan percaya diri menguji SD-WAN, dan beberapa melakukannya dengan vendor (paling sering dengan Cisco), tetapi ada yang mencoba menyelesaikan masalah sendiri: mereka menulis versi perangkat lunak mereka sendiri, menurut fungsi yang mengingatkan pada SD-WAN.

Dengan satu atau lain cara, semua orang ingin datang ke manajemen terpusat dari seluruh kebun binatang peralatan. Ini adalah satu titik administrasi untuk instalasi non-standar dan standar untuk vendor yang berbeda dan teknologi yang berbeda. Penting untuk meminimalkan pekerjaan manual, karena, pertama, ini mengurangi risiko faktor manusia ketika menyiapkan peralatan, dan kedua, itu membebaskan sumber daya layanan TI untuk tugas-tugas lain. Biasanya, pemahaman tentang kebutuhan datang karena siklus pembaruan yang sangat lama di seluruh negeri. Dan, misalnya, jika ritel menjual alkohol, maka dia membutuhkan koneksi konstan untuk penjualan. Peningkatan atau sore yang sederhana secara langsung memengaruhi pendapatan.

Sekarang ritel jelas telah membentuk pemahaman tentang tugas apa yang akan digunakan SD-WAN untuk:

1. Penyebaran cepat (sering diperlukan pada LTE sebelum penyedia kabel tiba, seringkali perlu untuk titik baru yang akan diangkat oleh administrator GPC di kota, dan kemudian pusat hanya melihat dan mengkonfigurasi).
2. Manajemen terpusat, komunikasi untuk fasilitas luar negeri.
3. Pengurangan biaya telekomunikasi.
4. Berbagai layanan tambahan (fitur DPI memungkinkan pengiriman lalu lintas prioritas dari aplikasi penting seperti uang tunai).
5. Bekerja dengan saluran secara otomatis, bukan tangan.

Dan ada juga pemeriksaan kepatuhan - mereka semua berbicara banyak tentang hal itu, tetapi tidak ada yang menganggapnya sebagai masalah. Mempertahankan bahwa semuanya berfungsi dengan baik juga berfungsi dengan baik dalam paradigma ini. Banyak yang percaya bahwa seluruh pasar teknologi jaringan akan bergerak ke arah ini sama sekali.

Banks, IMHO, saat menguji SD-WAN bukan sebagai fitur teknologi baru. Mereka sedang menunggu akhir dukungan dari generasi peralatan sebelumnya dan baru kemudian mereka akan berubah. Bank umumnya memiliki suasana khusus mereka sendiri melalui saluran komunikasi, sehingga keadaan industri saat ini tidak terlalu mengganggu mereka. Masalahnya agak terletak pada pesawat lain.

Berbeda dengan pasar Rusia di Eropa, SD-WAN sedang diperkenalkan secara aktif. Mereka memiliki saluran komunikasi yang lebih mahal, dan karenanya perusahaan-perusahaan Eropa membawa tumpukan mereka ke unit-unit Rusia. Di Rusia, ada beberapa stabilitas, karena biaya saluran (bahkan ketika wilayah itu 25 kali lebih mahal daripada pusat) terlihat cukup normal dan tidak menimbulkan pertanyaan. Dari tahun ke tahun, anggaran diletakkan tanpa syarat di saluran komunikasi.

Berikut adalah contoh dari praktik dunia ketika perusahaan menghemat waktu dan uang karena SD-WAN di Tsiska.

Ada perusahaan seperti itu - Instrumen Nasional. Pada titik tertentu, mereka mulai menyadari bahwa jaringan komputer global, "diperoleh" dengan menggabungkan 88 situs di seluruh dunia, tidak efektif. Selain itu, perusahaan tidak memiliki bandwidth dan kinerja DHW. Tidak ada keseimbangan antara pertumbuhan berkelanjutan perusahaan dan anggaran TI yang terbatas.

SD-WAN membantu mengurangi biaya Instrumen Nasional MPLS sebesar 25% (menghemat $ 450.000 pada akhir 2018) dengan memperluas bandwidth sebesar 3.075%.

Mengikuti pengenalan SD-WAN, perusahaan menerima jaringan pintar yang ditentukan perangkat lunak dan manajemen kebijakan terpusat untuk secara otomatis mengoptimalkan lalu lintas dan kinerja aplikasi. Ini adalah kasus terperinci.

Ini adalah kasus yang benar - benar aneh untuk memindahkan S7 ke kantor lain, ketika pada awalnya semuanya mulai sulit, tetapi yang menarik, perlu untuk mengulang 1.500 port. Tapi kemudian ada yang tidak beres dan akibatnya, admin ternyata adalah yang terakhir sebelum batas waktu, yang dituangkan oleh semua penundaan yang tertumpuk.

Baca lebih lanjut dalam bahasa Inggris:

• American Banker: Fifth Third berinvestasi dalam peningkatan jaringan 5 tahun dengan SD-WAN .
• Membangun kesuksesan Cloud SD-WAN di Koch .
• Perjalanan SD-WAN McKesson ke Penghematan Biaya .
• SD-WAN Retail PoC & Segmentation: Gap Stores .
• Dan inilah studi global Cisco tentang tren jaringan di dunia.

Dalam bahasa Rusia:

• Di CNews .
• Bagaimana kami menerapkan SD-Access, dan mengapa itu diperlukan .
• Pabrik jaringan untuk pusat data Cisco ACI - untuk membantu administrator .
• Saluran stabil berdasarkan jaringan yang ditentukan perangkat lunak SD-WAN: kami memecahkan masalah pemilihan rute .
• Email saya, jika Anda memiliki pertanyaan atau ingin menguji tugas Anda di gerai kami, - mkazakov@croc.ru.