SD-WAN和DNA帮助管理员：体系结构和实践功能

如果需要，您可以在我们的实验室中触摸该支架。

SD-WAN和SD-Access是两种不同的联网新专有方法。 将来，它们应该合并为一个覆盖网络，但是到目前为止，它们只是在接近。 逻辑是这样的：我们将1990年代的样本作为网络，并在其上滚动所有必要的补丁和功能，而不必等到10年后它将成为新的开放标准。

SD-WAN是用于分布式公司网络的SDN补丁。 分开运输，分开控制，因此简化了控制。

优点-所有通讯渠道（包括备用站）都被积极使用。 数据包路由到应用程序：什么，通过哪个通道以及具有什么优先级。 部署新点的简化过程：无需滚动配置，而仅指定大型Internet，KROK数据中心或客户上Tsiski服务器的地址，这些配置仅来自于您的网络。

SD-Access（DNA）是一种局域网管理自动化：一站式配置，向导，便捷的界面。 实际上，在您的协议级别上，正在以不同的传输方式构建另一个网络，并且在边界范围内确保了与旧网络的兼容性。

我们还将在下面处理此问题。

现在，在我们实验室的测试台上有一些演示，它的外观和工作方式。

让我们从SD-WAN开始。 主要特点：

• 简化新点的部署（ZTP）-假定您以某种方式将新设置提供给服务器地址。 敲一个点，接收一个配置，滚动它，然后打开控制面板。 这提供了零接触配置（ZTP）。 要部署终端设备，网络工程师无需访问站点。 最主要的是正确打开设备并连接所有电缆，然后设备本身将连接到系统。 您可以通过已连接的USB驱动器通过供应商的云中的DNS查询下载配置，也可以通过通过Wi-Fi或以太网连接到该设备的笔记本电脑打开超链接。
• 简化网络的日常管理-通过模板进行配置，全局策略可以集中配置为至少五个分支机构（至少5,000个），一切都在一个地方。 那没有漫长的路要走-自动返回到先前配置的非常方便的选项。
• 应用程序级别的流量管理-确保应用程序签名的质量和持续更新。 集中配置和汇总策略（与以前一样，无需为每个路由器编写和更新路由映射）。 可以看到发送者，地点和内容。
• 网络细分。 整个基础架构之上的独立隔离VPN-每个都有自己的路由。 默认情况下，它们之间的流量是关闭的；您只能在清晰的网络节点中打开访问权限以清除流量类型，例如，将所有内容都通过大型防火墙或代理进行传递。
• 网络性能历史记录的可见性-应用程序和渠道的工作方式。 即使在用户开始抱怨应用程序运行不稳定之前，它对于分析和纠正这种情况也非常有用。
• 通过渠道的可见性-他们是否物有所值，是否两个不同的运营商实际上是来找您的，还是实际上他们通过同一网络并同时降级/掉线。
• 云应用程序的可见性，并基于该应用程序通过各种渠道引导流量（Cloud Onramp）。
• 一个硬件包含一个路由器和一个防火墙（更确切地说是NGFW）。 更少的硬件-部署新分支机构更便宜。

SD-WAN解决方案的组件和架构

终端设备是硬件和虚拟的WAN路由器。

编排器是一种网络管理工具。 它们配置有终端设备参数，流量路由策略和安全功能。 生成的配置通过控制网络自动发送到节点。 并行地，协调器侦听网络并进行监视-设备，端口，通信通道，加载接口的可用性。

分析工具。 他们基于从终端设备收集的数据进行报告：通道质量的历史记录，网络应用程序，节点的可用性等。

控制器负责将流量路由策略应用于网络。 它们在传统网络中最接近的类似物可以被认为是BGP路由反射器。 管理员在协调器中设置的全局策略使控制器更改其路由表的组成并将更新的信息发送到终端设备。

IT服务从SD-WAN接收的内容：

1. 备用通道一直处于使用状态（不是空闲）。 事实证明，该方法更便宜，因为您可以允许两个厚度较小的通道。
2. 在通道之间自动切换应用程序流量。
3. 管理员时间：您可以在全球范围内开发网络，而不必通过配置来爬网。
4. 建立新分支的速度。 她更高。
5. 更换旧设备时减少停机时间。
6. 快速网络重新配置以提供新服务。

企业从SD-WAN得到什么：

1. 在分布式网络上（包括通过开放Internet通道）保证业务应用程序的工作。 这是关于业务可预测性的。
2. 即时为整个分布式网络中的新业务应用程序提供支持，无论分支机构的数量如何。 这与业务速度有关。
3. 使用任何连接技术（任何地方都可以使用Internet，但没有专线和VPN）可以在任何远程位置快速安全地连接分支机构。 这与企业选择地点的灵活性有关。
4. 它可以是带有交付和调试的项目，也可以是服务
   由IT公司，服务提供商或云运营商每月支付。 给谁方便。

SD-WAN带来的业务收益可能完全不同，例如，一位客户告诉我们，一位高层管理人员收到了与数千家公司所有员工建立直接电话联系的请求，并要求其提供内容。

对我们来说，这是一次“军事行动”。 那时，我们已经在解决KSPD现代化的问题。 当我们了解到我们基本上需要翻新设备并且技术堆栈已经取得成功时，如果可以继续下去，为什么我们需要翻新相同的技术和服务。

SD-WAN由enikey部队在本地安装。 这对于远程分支机构很重要，因为远程分支机构可能根本没有普通管理员。 通过邮件发送，说：“电缆1，插入盒1，电缆2-插入盒2，请勿混淆！ 不要误会，＃@ $ @％！” 如果他们不混淆，设备本身将与中央服务器进行通信，获取并应用其配置，并且该办公室将成为公司安全网络的一部分。 不需要旅行时很好，而且预算合理也很容易。

这是展位的布局：



定制的一些示例：


策略-全球流量管理规则。 策略编辑。


激活流量控制策略。


基本设备参数（IP地址，DHCP池）的大规模设置。

应用程序性能监视屏幕截图

对于云应用程序。


Office365的详细信息。


对于本地应用程序。 不幸的是，在我们的立场上，我们找不到有错误的应用程序（FEC恢复率到处都是零）。


另外-数据传输通道的性能。

SD-WAN支持什么硬件

1.硬件平台：

• 运行Viptela操作系统的Cisco vEdge路由器（以前称为Viptela vEdge）。
• 运行IOS XE SD-WAN的1,000和4,000系列的集成服务路由器（ISR）。
• 运行IOS XE SD-WAN的1,000系列聚合服务路由器（ASR）。

2.虚拟平台：

• 运行IOS XE SD-WAN的1,000v云服务路由器（CSR）。
• 运行Viptela操作系统的VEdge云路由器。

虚拟平台可以部署在Cisco x86计算平台上，例如5,000系列的企业网络计算系统（ENCS），统一计算系统（UCS）和5,000系列的云服务平台（CSP）。虚拟平台还可以在任何x86设备上运行，使用系统管理程序，例如KVM或VMware ESi。

新设备如何滚动

许可的部署设备列表可以从Cisco的智能帐户下载，也可以通过CSV文件下载。 稍后，我将尝试获取更多屏幕截图，因为我们没有用于部署的新设备。


设备在部署过程中执行的步骤顺序。

如何推出新设备/配置交付方法

我们在智能帐户中获取设备。

您可以下载CSV文件，也可以一次下载一个：



我们填写设备参数：



在vManage中，我们还将数据与智能帐户同步。 设备出现在列表中：



在设备对面的下拉菜单中，单击“生成引导程序配置”。
并获取初始配置：



此配置必须提供给设备。 最简单的方法是将USB闪存驱动器和名为ciscosd-wan.cfg的已保存文件连接到设备。 在启动时，设备将搜索该文件。



收到初始配置后，设备将能够到达管弦乐队并从那里获得完整的配置。

我们看一下SD-Access（DNA）

SD-Access简化了连接用户的端口和访问权限的配置。 这是使用向导完成的。 端口参数是相对于Administrators，Accounting，Printers组而不是VLAN和IP子网设置的。 这将人为错误降到最低。 例如，如果公司在俄罗斯有许多分支机构，而总公司超载，那么SD-Access可以让您解决更多的实际问题。 例如，疑难解答的相同任务。

对于IS来说，重要的是SD-Access涉及将用户和设备清楚地分成组，并定义它们之间的交互策略，授权与网络的任何客户端连接以及在整个网络中提供“访问权限”。 如果您采用这种方法，则将变得更加容易管理。

借助交换机中的即插即用代理，还简化了新办公室的启动过程。 您无需与控制台一起走在十字路口，甚至不必走动。

以下是一些配置示例：



一般状态。


值得管理员注意的事件。


自动建议更改配置。

具有SD-Access的SD-WAN集成计划

我听说Tsiska有这样的计划-SD-WAN和SD-Access。 在管理地理分布的和本地的KSPD时，这将大大减少痔疮。

vManage（SD-WAN Orchestrator）通过具有DNA Center（SD-Access Controller）的API进行控制。



微观和宏观细分策略的映射如下：



在程序包级别，它看起来像这样：

谁和对此有何想法

自2016年以来，我们一直在一个单独的实验室中与SD-WAN合作，在该实验室中，我们针对零售，银行，运输和工业的需求测试不同的解决方案。

我们与真实的客户交流很多。

我可以说零售业已经开始放心地测试SD-WAN，并且其中一些已经与供应商（大多数情况下是与Cisco一起）进行测试，但是有些人试图自己解决问题：根据让人联想到SD-WAN的功能，他们编写了自己的软件版本。

每个人都希望以一种方式来对整个设备动物园进行集中管理。 这是非标准安装以及不同供应商和不同技术的标准的一个管理点。 最小化手动工作很重要，因为首先，它降低了设置设备时人为因素的风险，其次，它释放了IT服务资源来执行其他任务。 通常，由于在全国范围内更新周期很长，因此才了解需求。 而且，例如，如果零售商出售酒精，那么她需要持续的销售联系。 升级或简单的下午会直接影响收入。

现在，零售业已经清楚地了解了IT将使用SD-WAN执行以下任务：

1. 快速部署（通常在LTE之前需要LTE，在电缆供应商到达之前，城市中的GPC管理员通常需要提出新的建议，然后再由中心进行查找和配置）。
2. 集中管理，与海外设施进行沟通。
3. 降低电信成本。
4. 各种附加服务（DPI功能使从重要应用程序（如现金）传递优先流量成为可能。
5. 自动处理频道，而不是手动。

还有一个合规性检查-他们都谈论很多，但是没有人认为这是一个问题。 保持一切正常工作在此范例中也可以正常工作。 许多人认为整个网络技术市场将完全朝这个方向发展。

银行，恕我直言，同时测试SD-WAN而不是一项新技术功能。 他们正在等待上一代设备的支持终止，然后他们才会改变。 银行通常通过沟通渠道拥有自己的特殊氛围，因此，当前的行业状况并不会给他们带来太大的麻烦。 问题在于其他方面。

与欧洲的俄罗斯市场不同，正在积极引入SD-WAN。 它们具有更昂贵的通信渠道，因此欧洲公司将其堆栈带到了俄罗斯部门。 在俄罗斯，存在一定的稳定性，因为渠道成本（即使该地区的价格是中部地区的25倍）也很正常，不会引起任何疑问。 每年，预算无条件地放在沟通渠道上。

这是世界惯例的一个例子，当时公司通过Tsiska上的SD-WAN节省了时间和金钱。

有这样的公司-National Instruments。 在某个时候，他们开始意识到，通过组合全球88个站点来“获得”的全球计算机网络是无效的。 此外，该公司缺乏带宽和DHW性能。 公司的持续增长与有限的IT预算之间没有平衡。

SD-WAN通过将带宽扩展3075％，帮助将National Instruments MPLS成本降低了25％（到2018年底节省了45万美元）。

引入SD-WAN之后，该公司获得了一个智能的软件定义网络和集中化的策略管理，可以自动优化流量和应用程序性能。 这是一个详细的案例。

这是一个将S7转移到另一个办公室的完全奇怪的情况，起初一切都很艰难，但有趣的是，有必要重做1,500个端口。 但是后来出了点问题，结果，管理员成了最后期限之前的最后一个，所有累积的延迟都涌向了那里。

阅读更多英文：

• 美国银行家：第五名投资了5年，通过SD-WAN进行网络升级 。
• 在Koch上成功建立Cloud SD-WAN 。
• McKesson的SD-WAN节省成本之旅 。
• SD-WAN零售PoC和细分：空白商店 。
• 这是思科对全球网络趋势的全球研究 。

俄语：

• 论CNews 。
• 我们如何实现SD-Access，以及为什么需要它 。
• Cisco ACI数据中心的网络工厂-帮助管理员 。
• 基于软件定义网络SD-WAN的稳定通道：我们解决了路由选择问题 。
• 如果您有任何疑问或想在我们的展位上测试您的任务，请发送我的邮件-mkazakov@croc.ru。