SD-WAN e DNA para ajudar o administrador: recursos de arquitetura e prática

Um suporte que você pode tocar em nosso laboratório, se quiser.

SD-WAN e SD-Access são duas novas abordagens proprietárias diferentes para redes. No futuro, eles devem se unir a uma rede de sobreposição, mas até agora estão apenas se aproximando. A lógica é a seguinte: pegamos uma rede da amostra dos anos 90 e aplicamos todos os patches e recursos necessários, sem esperar até depois de mais 10 anos que ela se tornará um novo padrão aberto.

SD-WAN é um patch SDN para redes corporativas distribuídas. Transporte separadamente, controle separadamente, para que o controle seja simplificado.

Vantagens - todos os canais de comunicação são usados ​​ativamente, incluindo reservas. Há um roteamento de pacotes para aplicativos: o quê, por qual canal e com qual prioridade. Um procedimento simplificado para a implantação de novos pontos: em vez de rolar a configuração, especifique apenas o endereço do servidor Tsiski na grande Internet, no data center KROK ou no cliente, de onde as configurações vêm apenas para a sua rede.

O SD-Access (DNA) é uma automação de gerenciamento de rede local: configuração a partir de um ponto, assistentes, interfaces convenientes. De fato, outra rede está sendo construída com um transporte diferente no nível do protocolo sobre o seu e, nos limites do perímetro, a compatibilidade com redes antigas é garantida.

Também trataremos disso abaixo.

Agora, existem algumas demos em bancadas de teste em nosso laboratório, como elas parecem e funcionam.

Vamos começar com o SD-WAN. Principais recursos:

• Simplificação da implantação de novos pontos (ZTP) - supõe-se que você de alguma forma alimente o ponto no endereço do servidor com as configurações. Um ponto bate nele, recebe uma configuração, rola e liga o painel de controle. Isso fornece ZTP (Zero-Touch Provisioning). Para implantar o dispositivo de terminal, o engenheiro de rede não precisa ir ao site. O principal é ligar corretamente o dispositivo no lugar e conectar todos os cabos, para que o próprio equipamento se conecte ao sistema. Você pode fazer o download de configurações através de consultas DNS na nuvem do fornecedor a partir de uma unidade USB conectada ou abrir um hiperlink de um laptop conectado ao dispositivo via Wi-Fi ou Ethernet.
• Simplificação da administração rotineira da rede - uma configuração a partir de modelos, políticas globais que podem ser configuradas centralmente para pelo menos cinco filiais, pelo menos para 5.000. Tudo em um único local. Que não havia longo caminho - uma opção muito conveniente para retornar automaticamente à configuração anterior.
• Gerenciamento de tráfego no nível do aplicativo - garantindo qualidade e atualização contínua das assinaturas do aplicativo. As políticas são configuradas e agregadas centralmente (não há necessidade de escrever e atualizar os mapas de rotas para cada roteador, como antes). É visível quem, onde e o que envia.
• Segmentação de rede. VPNs isoladas e independentes sobre toda a infraestrutura - cada uma com seu próprio roteamento. Por padrão, o tráfego entre eles é fechado; você só pode abrir o acesso a tipos de tráfego compreensíveis em nós de rede compreensíveis, por exemplo, passando tudo por um firewall ou proxy grande.
• Visibilidade do histórico de desempenho da rede - como aplicativos e canais funcionavam. É muito útil para analisar e corrigir a situação mesmo antes que as reclamações sobre a operação instável dos aplicativos comecem a surgir dos usuários.
• Visibilidade através dos canais - se eles valem o dinheiro, se duas operadoras diferentes realmente procuram você nas instalações ou, na verdade, elas passam pela mesma rede e degradam / caem ao mesmo tempo.
• Visibilidade para aplicativos em nuvem e direcionar o tráfego através de vários canais baseados nele (Cloud Onramp).
• Uma peça de hardware contém um roteador e um firewall (mais precisamente, NGFW). Menos hardware - mais barato para implantar uma nova filial.

Componentes e arquitetura de soluções SD-WAN

Os dispositivos finais são roteadores de WAN que são hardware e virtuais.

Os orquestradores são uma ferramenta de gerenciamento de rede. Eles são configurados com parâmetros de dispositivo de terminal, políticas de roteamento de tráfego e funcionalidade de segurança. As configurações resultantes são enviadas automaticamente pela rede de controle para os nós. Paralelamente, o orquestrador ouve a rede e monitora - a disponibilidade de dispositivos, portas, canais de comunicação, interfaces de carregamento.

Ferramentas de análise. Eles fazem relatórios com base nos dados coletados dos dispositivos terminais: o histórico da qualidade dos canais, aplicativos de rede, disponibilidade de nós, etc.

Os controladores são responsáveis ​​por aplicar políticas de roteamento de tráfego à rede. O seu análogo mais próximo em redes tradicionais pode ser considerado refletor de rota BGP. As políticas globais que o administrador configura no orquestrador fazem com que os controladores alterem a composição de suas tabelas de roteamento e enviem informações atualizadas aos dispositivos de terminal.

O que o serviço de TI recebe da SD-WAN:

1. O canal de backup é constantemente usado (não ocioso). Acontece mais barato, porque você pode permitir dois canais menos espessos.
2. Alterne automaticamente o tráfego de aplicativos entre os canais.
3. Tempo do administrador: você pode desenvolver globalmente uma rede e não rastrear cada peça de ferro com as configurações.
4. A velocidade de criar novos galhos. Ela é muito mais alta.
5. Menos tempo de inatividade ao substituir o equipamento morto.
6. Rápida reconfiguração de rede para novos serviços.

O que uma empresa obtém do SD-WAN:

1. Trabalho garantido de aplicativos de negócios em uma rede distribuída, inclusive através de canais abertos da Internet. Isso é sobre previsibilidade dos negócios.
2. Suporte instantâneo a novos aplicativos de negócios em toda a rede distribuída, independentemente do número de filiais. É sobre velocidade dos negócios.
3. Conexão rápida e segura de filiais em qualquer local remoto usando qualquer tecnologia de conexão (a Internet está em toda parte, mas as linhas alugadas e as VPNs não). Trata-se da flexibilidade da empresa na escolha de um local.
4. Pode ser um projeto com entrega e comissionamento, ou pode ser um serviço
   com pagamentos mensais de uma empresa de TI, provedor de serviços ou operador de nuvem. Para quem é conveniente.

Os benefícios comerciais do SD-WAN podem ser completamente diferentes, por exemplo, um cliente nos disse que um gerente de topo recebeu uma solicitação de linha direta com todos os funcionários de uma empresa com milhares de usuários e a capacidade de entregar conteúdo.

Para nós, foi uma "operação militar". Naquele momento, já estávamos resolvendo o problema de modernizar o KSPD. E quando entendemos que basicamente precisamos renovar equipamentos, e a pilha de tecnologias avançou, por que precisamos renovar as mesmas tecnologias e serviços, se podemos ir mais longe.

Uma SD-WAN é instalada localmente por forças de ataque. Isso é importante para ramificações remotas, onde pode simplesmente não haver um administrador normal. Envie por correio, diga: “Cabo 1, conecte na caixa 1, cabo 2 - na caixa 2 e não misture! Não se engane, # @ $ @%! ” E se eles não misturarem, o próprio dispositivo se comunica com o servidor central, pega e aplica suas configurações, e esse escritório se torna parte da rede segura da empresa. É bom quando você não precisa viajar e é fácil justificar o orçamento.

E aqui está o layout do estande:



Alguns exemplos de personalização:


Política - regras globais de gerenciamento de tráfego. Edição de política.


Ative uma política de controle de tráfego.


Configuração em massa de parâmetros básicos do dispositivo (endereços IP, conjuntos de DHCP).

Monitoramento de desempenho de aplicativos

Para aplicativos em nuvem.


Detalhes para o Office365.


Para aplicações no local. Infelizmente, no nosso estande, não conseguimos encontrar aplicativos com erros (a taxa de recuperação do FEC está em todo lugar em zero).


Além disso - desempenho dos canais de transmissão de dados.

Que hardware é suportado na SD-WAN

1. Plataformas de hardware:

• Roteadores Cisco vEdge (anteriormente conhecido como Viptela vEdge) executando o Viptela OS.
• ISRs (Integrated Services Routers) das séries 1.000 e 4.000 executando o IOS XE SD-WAN.
• Roteador de serviços de agregação da série 1.000 (ASR) executando o IOS XE SD-WAN.

2. Plataformas virtuais:

• Roteador de serviços em nuvem de 1.000v (CSR) executando o IOS XE SD-WAN.
• VEdge Cloud Router executando o Viptela OS.

As plataformas virtuais podem ser implantadas nas plataformas de computação Cisco x86, como o ENCS (Enterprise Network Compute System) da série 5.000, o Unified Computing System (UCS) e o Cloud Services Platform (CSP) da série 5.000. As plataformas virtuais também podem funcionar em qualquer dispositivo x86. Usando um hipervisor como KVM ou VMware ESi.

Como um novo dispositivo rola

A lista de dispositivos de implantação licenciados é baixada de uma conta inteligente na Cisco ou baixada por um arquivo CSV. Tentarei obter mais capturas de tela mais tarde, agora não temos novos dispositivos para implantação.


A sequência de etapas pelas quais um dispositivo passa durante a implantação.

Como rolar um novo método de entrega de dispositivo / configuração

Temos dispositivos na conta inteligente.

Você pode fazer o download do arquivo CSV ou um de cada vez:



Nós preenchemos os parâmetros do dispositivo:



Além disso, no vManage, sincronizamos os dados com a Conta inteligente. O dispositivo aparece na lista:



No menu suspenso do lado oposto ao dispositivo, clique em Gerar Configuração de Bootstrap
e obtenha a configuração inicial:



Essa configuração deve ser alimentada ao dispositivo. A maneira mais fácil é conectar uma unidade flash USB com um arquivo salvo chamado ciscosd-wan.cfg ao dispositivo. Na inicialização, o dispositivo pesquisará esse arquivo.



Após receber a configuração inicial, o dispositivo poderá acessar a orquestra e obter uma configuração completa a partir daí.

Nós olhamos para SD-Access (DNA)

O SD-Access simplifica a configuração de portas e direitos de acesso para conectar usuários. Isso é feito usando assistentes. Os parâmetros de porta são definidos em relação aos grupos Administradores, Contabilidade, Impressoras e não às VLANs e sub-redes IP. Isso minimiza o erro humano. Se, por exemplo, a empresa possui muitas filiais na Rússia e o escritório central está sobrecarregado, o SD-Access permite resolver mais problemas no local. Por exemplo, as mesmas tarefas de Solução de problemas.

Para o IS, é importante que o SD-Access envolva uma clara separação de usuários e dispositivos em grupos e a definição de políticas de interação entre eles, autorização para qualquer conexão de cliente com a rede e garantia de "direitos de acesso" em toda a rede. Se você seguir essa abordagem, fica muito mais fácil administrar.

O processo de inicialização de novos escritórios também é simplificado graças aos agentes Plug-and-Play nos comutadores. Você não precisa correr pela encruzilhada com o console ou até mesmo ir ao objeto.

Aqui estão alguns exemplos de configuração:



Status geral.


Incidentes que valem a pena serem vistos pelo administrador.


Recomendações automáticas sobre o que alterar nas configurações.

Plano de integração SD-WAN com acesso SD

Ouvi dizer que Tsiska tem esses planos - SD-WAN e SD-Access. Isso deve reduzir significativamente as hemorróidas ao gerenciar o KSPD local e geograficamente distribuído.

O vManage (SD-WAN Orchestrator) é controlado via API com o DNA Center (SD-Access Controller).



As políticas de micro e macro segmentação são mapeadas da seguinte maneira:



No nível do pacote, fica assim:

Quem e o que pensa sobre isso

Trabalhamos com a SD-WAN desde 2016 em um laboratório separado, onde testamos diferentes soluções para as necessidades de varejo, bancos, transporte e indústria.

Nós nos comunicamos muito com clientes reais.

Posso dizer que o varejo já está testando com confiança a SD-WAN, e alguns o fazem com fornecedores (na maioria das vezes com a Cisco), mas há aqueles que estão tentando resolver o problema por conta própria: eles escrevem sua própria versão do software, de acordo com uma funcionalidade remanescente do SD-WAN.

De uma forma ou de outra, todo mundo quer chegar a um gerenciamento centralizado de todo o zoológico de equipamentos. Este é um ponto de administração para instalações não padrão e padrão para diferentes fornecedores e tecnologias diferentes. É importante minimizar o trabalho manual, porque, em primeiro lugar, reduz o risco do fator humano ao configurar o equipamento e, em segundo lugar, libera recursos de serviços de TI para outras tarefas. Geralmente, o entendimento da necessidade ocorre devido a ciclos de atualização muito longos em todo o país. E, por exemplo, se o varejo vender álcool, ela precisará de uma conexão constante para as vendas. Uma atualização ou uma tarde simples afeta diretamente a receita.

Agora, o varejo claramente entendeu quais tarefas a TI usará para SD-WAN:

1. Implantação rápida (geralmente necessária no LTE antes da chegada do provedor de cabo, geralmente é necessário que o novo ponto seja levantado pelo administrador do GPC na cidade e, em seguida, o centro apenas olhou e configurou).
2. Gerenciamento centralizado, comunicação para instalações no exterior.
3. Redução de custos de telecomunicações.
4. Vários serviços adicionais (recursos de DPI tornam possível fornecer tráfego prioritário de aplicativos importantes, como dinheiro).
5. Trabalhe com canais automaticamente, não com as mãos.

E também há uma verificação de conformidade - todos eles falam muito sobre isso, mas ninguém percebe isso como um problema. Manter que tudo funciona corretamente também funciona bem nesse paradigma. Muitos acreditam que todo o mercado de tecnologia de rede se moverá nessa direção.

Bancos, IMHO, ao testar SD-WAN, em vez de um novo recurso tecnológico. Eles estão aguardando o fim do suporte das gerações anteriores de equipamentos e só então eles mudarão. Os bancos geralmente têm sua própria atmosfera especial através dos canais de comunicação, de modo que o estado atual da indústria não os incomoda muito. Os problemas preferem estar em outros planos.

Diferentemente do mercado russo na Europa, o SD-WAN está sendo introduzido ativamente. Eles têm canais de comunicação mais caros e, portanto, as empresas européias levam sua pilha para as unidades russas. Na Rússia, há alguma estabilidade, porque o custo dos canais (mesmo quando a região é 25 vezes mais cara que o centro) parece bastante normal e não levanta questões. De ano para ano, o orçamento é estabelecido incondicionalmente nos canais de comunicação.

Aqui está um exemplo da prática mundial em que uma empresa economizou tempo e dinheiro devido ao SD-WAN em Tsiska.

Existe uma empresa desse tipo - a National Instruments. A certa altura, eles começaram a perceber que a rede global de computadores, "obtida" combinando 88 sites em todo o mundo, era ineficaz. Além disso, a empresa não possuía o desempenho da largura de banda e da AQS. Não havia equilíbrio entre o crescimento contínuo da empresa e o orçamento limitado de TI.

A SD-WAN ajudou a reduzir os custos MPLS da National Instruments em 25% (economizando US $ 450.000 até o final de 2018), expandindo a largura de banda em 3.075%.

Após a introdução do SD-WAN, a empresa recebeu uma rede inteligente definida por software e gerenciamento centralizado de políticas para otimizar automaticamente o tráfego e o desempenho de aplicativos. Aqui está um caso detalhado.

Aqui está um caso completamente esquisito de mudar o S7 para outro escritório, quando no começo tudo começou difícil, mas, curiosamente, foi necessário refazer 1.500 portas. Mas então algo deu errado e, como resultado, os administradores acabaram sendo os últimos antes do prazo, para os quais todos os atrasos acumulados estão se espalhando.

Leia mais em inglês:

• Banqueiro americano: o quinto terço investe em atualização de rede de cinco anos com SD-WAN .
• Construindo o sucesso do Cloud SD-WAN em Koch .
• Viagem SD-WAN da McKesson para economia de custos .
• SD-WAN PoC de varejo e segmentação: Gap Stores .
• E aqui está o estudo global da Cisco sobre as tendências de rede no mundo.

Em russo:

• No CNews .
• Como implementamos o SD-Access e por que era necessário .
• Fábrica de rede para o data center Cisco ACI - para ajudar o administrador .
• Um canal estável baseado em redes definidas por software SD-WAN: resolvemos os problemas de seleção de rotas .
• Meu e-mail, se você tiver dúvidas ou quiser testar suas tarefas em nosso estande, - mkazakov@croc.ru.