- PVSM.RU - https://www.pvsm.ru -

SD-WAN и DNA в помощь админу: особенности архитектур и практика

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 1
Стенд, который можно пощупать у нас в лабе, если хочется.

SD-WAN и SD-Access — два разных новых проприетарных подхода к построению сетей. В будущем они должны слиться в одну оверлейную сеть, но пока только приближаются. Логика такая: берём сеть образца 1990-х и накатываем на неё все нужные патчи и фичи, не дожидаясь, пока это ещё лет через 10 станет новым открытым стандартом.

SD-WAN — это патч SDN к распределённым корпоративным сетям. Транспорт отдельно, контроль отдельно, поэтому контроль упрощается.

Плюсы — все каналы связи используются активно включая резервный. Есть маршрутизация пакетов до приложений: что, через какой канал и с каким приоритетом. Упрощённая процедура развёртывания новых точек: вместо накатывания конфига — только указания адреса сервера Циски в большом Интернете, ЦОДе КРОК или заказчика, откуда берутся конфиги именно для вашей сети.

SD-Access (DNA) — это автоматизация управления локальной сетью: конфигурация из одной точки, визарды, удобные интерфейсы. Фактически строится другая сеть с другим транспортом на уровне протоколов поверх вашей, и на границах периметра обеспечивается совместимость со старыми сетями.

С этим тоже разберёмся ниже.

Теперь немного демонстраций на тестовых стендах в нашей лабе, как это выглядит и работает.

Начнём с SD-WAN. Основные возможности:

  • Упрощение деплоймента новых точек (ZTP) — предполагается, что вы каким-то образом скармливаете точке адрес сервера с настройками. Точка стучит к нему, получает конфиг, накатывает его и включается в вашу панель управления. Таким образом обеспечивается Zero-Touch Provisioning (ZTP). Чтобы развернуть оконечное устройство, сетевому инженеру не нужно выезжать на площадку. Главное – на месте правильно включить устройство и подключить к нему все кабели, далее оборудование само подключится к системе. Загрузить конфиги можно через DNS-запросы в облаке вендора с подключённого USB-накопителя, а можно открыть гиперссылку с ноутбука, подключённого к устройству по Wi-Fi или Ethernet.
  • Упрощение рутинного администрирования сети — конфиг из шаблонов, глобальные политики, настраиваемые централизованно хоть на пять филиалов, хоть на 5 000. Всё из единого места. Чтобы не было долгой дороги — очень удобная опция автоматического возврата к предыдущему конфигу.
  • Управление трафиком на уровне приложений — обеспечение качества и постоянного обновления сигнатур приложений. Политики настраиваются и накатываются централизованно (не нужно писать и апдейтить роут-мапы для каждого маршрутизатора, как раньше). Видно, кто, куда и что шлёт.
  • Сегментация сети. Независимые изолированные VPN поверх всей инфраструктуры — каждая со своей маршрутизацией. По умолчанию трафик между ними закрыт, можно открывать доступы только понятным видам трафика в понятных узлах сети, например, пропуская всё через большой файрволл или прокси.
  • Видимость истории качества работы сети — как работали приложения и каналы. Очень полезно для анализа и исправления ситуации ещё до того, как от пользователей начнут поступать жалобы на нестабильную работу приложений.
  • Видимость по каналам — стоят ли они своих денег, реально ли на объекте к вам приходят два разных оператора, или они по факту проходят через одну и ту же сеть и деградируют/падают одновременно.
  • Видимость для облачных приложений и steering-трафика через те или иные каналы на его основе (Cloud Onramp).
  • Одна железка содержит в себе роутер и файрволл (точнее, NGFW). Меньше железок — дешевле развернуть новый филиал.

Компоненты и архитектура решений SD-WAN

Оконечные устройства — WAN-маршрутизаторы, которые бывают аппаратными и виртуальными.

Оркестраторы — средство управления сетью. На них настраиваются параметры оконечных устройств, политики маршрутизации трафика, функционал безопасности. Получаются конфиги, которые отправляются автоматически через сеть контроля на узлы. Параллельно оркестратор слушает сеть и делает мониторинг — доступность устройств, портов, каналов связи, загрузку интерфейсов.

Средства аналитики. Делают отчёты на основании данных, собираемых с оконечных устройств: историю качества работы каналов, сетевых приложений, доступности узлов и т. п.

Контроллеры отвечают за применение политик маршрутизации трафика на сеть. Ближайшим их аналогом в традиционных сетях можно считать BGP Route Reflector. Глобальные политики, которые администратор настраивает в оркестраторе, приводят к тому, что контроллеры меняют состав своих таблиц маршрутизации и рассылают обновлённую информацию на оконечные устройства.

Что получает ИТ-служба от SD-WAN:

  1. Резервный канал постоянно используется (не простаивает). Получается дешевле, поскольку можно позволить два менее толстых канала.
  2. Автоматическое переключение трафика приложений между каналами.
  3. Время администратора: можно глобально развивать сеть, а не ползать по каждой железке с конфигами.
  4. Скорость поднятия новых филиалов. Она значительно выше.
  5. Меньше простоев на время замены умершего оборудования.
  6. Быстрое переконфигурирование сети под новые сервисы.

Что получает бизнес от SD-WAN:

  1. Гарантированная работа бизнес-приложений на распределённой сети, в том числе через открытые интернет-каналы. Это про предсказуемость бизнеса.
  2. Мгновенная поддержка новых бизнес-приложений на всей распределённой сети вне зависимости от количества филиалов. Это про скорость бизнеса.
  3. Быстрое и безопасное подключение филиалов в любых удалённых локациях с использованием любых технологий подключения (Интернет есть везде, а выделенные линии и VPN — нет). Это про гибкость бизнеса в выборе локации.

Выгоды бизнеса от SD-WAN могут быть абсолютно разными, например, один заказчик нам сказал, что от топ-менеджера поступил запрос на проведение прямой линии со всеми сотрудниками многотысячной компании и возможностью доставлять контент.

Для нас это было «войсковой операцией». В тот момент мы уже решали задачу модернизации КСПД. А когда мы понимаем, что нам надо в принципе заниматься реновацией оборудования, а технологический стек ушёл вперёд, зачем нам заниматься реновацией тех же самых технологий и сервисов, если можно шагнуть дальше.

SD-WAN на месте устанавливается силами эникеев. Это важно для удалённых филиалов, где может просто не быть нормального админа. Отправляете почтой, говорите: «Кабель 1 воткните в коробку 1, кабель 2 — в коробку 2, и не перепутайте! Не перепутайте, #@$@%!». И если там не перепутают, то устройство само связывается с центральным сервером, забирает и применяет свои конфиги, и этот офис становится частью защищённой сети компании. Приятно, когда не надо ездить и легко обосновать в бюджете.

А вот схема стенда:

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 2

Немного примеров настройки:

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 3
Политика — глобальные правила управления трафиком. Редактирование политики.

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 4
Активация политики управления трафиком.

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 5
Массовая настройка основных параметров устройств (IP-адреса, пулы DHCP).

Скриншоты мониторинга перформанса приложений

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 6
Для облачных приложений.

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 7
Детально для Office365.

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 8
Для on-prem-приложений. К сожалению, на нашем стенде не удалось найти приложения с ошибками (FEC Recovery rate везде на нуле).

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 9
Дополнительно — перформанс каналов передачи данных.

Какие железки поддерживаются на SD-WAN

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 10

1. Аппаратные платформы:

  • Маршрутизаторы Cisco vEdge (прежнее название — Viptela vEdge), работающие под управлением ОС Viptela.
  • Маршрутизаторы Integrated Services Router (ISR) серий 1 000 и 4 000, работающие под управлением IOS XE SD- WAN.
  • Маршрутизатор Aggregation Services Router (ASR) серии 1 000, работающий под управлением IOS XE SD-WAN.

2. Виртуальные платформы:

  • Маршрутизатор Cloud Services Router (CSR) 1 000v, работающий под управлением IOS XE SD-WAN.
  • Маршрутизатор vEdge Cloud Router, работающий под управлением ОС Viptela.

Виртуальные платформы можно разворачивать на вычислительных платформах Cisco x86, например, Enterprise Network Compute System (ENCS) серии 5 000, Unified Computing System (UCS) и Cloud Services Platform (CSP) серии 5 000. Виртуальные платформы могут также работать на любом устройстве x86, использующем гипервизор, такой, как KVM или VMware ESi.

Как накатывается новое устройство

Список пролицензированных устройств для развёртывания скачивается либо со смарт-аккаунта в Cisco, либо загружается CSV-файлом. Больше скриншотов попробую достать позже, сейчас у нас нет новых устройств для развёртывания.

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 11
Последовательность шагов, через которые проходит устройство при развёртывании.

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 12

Как накатывается новое устройство/способ доставки конфига

Заводим устройства в Smart Account.

Можно загрузить CSV-файл, а можно по одному:

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 13

Заполняем параметры устройства:

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 14

Дальше в vManage синхронизируем данные со Smart Account. Устройство появляется в списке:

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 15

В выпадающем меню напротив устройства жмём Generate Bootstrap Configuration
и получаем начальный конфиг:

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 16

Этот конфиг необходимо скормить устройству. Самый простой способ — подключить к устройству флешку с сохранённым файлом с именем ciscosd-wan.cfg. При загрузке устройство будет искать этот файл.

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 17

Получив начальный конфиг, устройство сможет достучаться до оркестратора и получить оттуда полноценную конфигурацию.

Смотрим на SD-Access (DNA)

SD-Access упрощает настройку портов и прав доступа для подключения пользователей. Это делается с помощью визардов. Параметры портов задаются в привязке к группам «Администраторы», «Бухгалтерия», «Принтеры», а не к VLAN и IP-подсетям. Это минимизирует ошибки, связанные с человеческим фактором. Если, например, у компании много филиалов по России, а центральный офис при этом перегружен, то SD-Access позволяет решать больше задач именно на местах. Например, те же задачи по траблшутингу.

Для ИБ важно, что SD-Access предполагает чёткое разделение пользователей и устройств на группы и определение политик взаимодействия между ними, авторизацию при любом клиентском подключении к сети и обеспечение «прав доступа» по всей сети. Если следовать такому подходу, то администрировать становится гораздо проще.

Процесс запуска для новых офисов тоже упрощён благодаря Plug-and-Play-агентам в коммутаторах. Бегать по кроссовым с консолью, а то и вообще выезжать на объект не нужно.

Вот примеры настройки:

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 18

Общий статус.

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 19
Инциденты, которые стоит просмотреть администратору.

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 20
Автоматические рекомендации, что поменять в конфигах.

План по интеграции SD-WAN с SD-Access

Слышал, что есть такие планы у Циски — SD-WAN и SD-Access. Это должно заметно поубавить геморроя при управлении территориально распределёнными и локальными КСПД.

vManage (оркестратор SD-WAN) управляется через API с DNA Center (контроллера SD-Access).

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 21

Политики микро- и макросегментации мапятся следующим образом:

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 22

На уровне пакетов всё выглядит вот так:

SD-WAN и DNA в помощь админу: особенности архитектур и практика - 23

Кто и что по этому поводу думает

Мы занимаемся SD-WAN с 2016 года в отдельной лаборатории, где тестируем разные варианты решений под нужды розницы, банков, транспорта и промышленности.

Очень много общаемся с реальными заказчиками.

Могу сказать, что розница уже уверенно тестирует SD-WAN, причём некоторые это делают с вендорами (чаще всего — с Cisco), но есть и те, кто пытается решить вопрос самостоятельно: пишут свою версию софта, по функционалу напоминающего SD-WAN.

Все так или иначе хотят прийти к централизованному управлению всего зоопарка оборудования. Это одна точка администрирования для нестандартных инсталляций и стандартных для разных вендоров и разных технологий. Важно минимизировать ручную работу, потому что это, во-первых, сокращает риск человеческого фактора при настройке оборудования, во-вторых, высвобождает ресурсы ИТ-службы на решение других задач. Обычно понимание необходимости приходит из-за очень долгих циклов обновления по всей стране. А, например, если розница торгует алкоголем, то ей нужна постоянная связь для продаж. Обновление или простой днём прямо сказывается на выручке.

Сейчас в рознице точно сформировано понимание, для каких задач ИТ будет использовать SD-WAN:

  1. Быстрое развёртывание (часто нужно на LTE до прихода кабельного провайдера, часто нужно, чтобы новая точка поднималась админом в городе по ГПХ, а потом центр просто смотрел и конфигурировал).
  2. Централизованное управление, связь для заграничных объектов.
  3. Сокращение стоимости телекома.
  4. Разные допсервисы (DPI-фичи дают возможность приоритетно доставлять трафик от важных приложений типа кассового).
  5. Работа с каналами автоматически, а не руками.

И есть ещё проверка на комплаенс — много все про неё говорят, но никто не воспринимает как проблему. Поддержание того, что всё работает корректно тоже в этой парадигме нормально работает. Многие считают, что в эту сторону будет двигаться вообще весь рынок сетевых технологий.

Банки, имхо, пока тестируют SD-WAN скорее как новую технологическую фичу. Ждут окончания поддержки предыдущих поколений оборудования и только тогда будут меняться. У банков вообще своя особая атмосфера по каналам связи, поэтому текущее состояние отрасли их не очень напрягает. Проблемы скорее лежат в других плоскостях.

В отличие от российского рынка в Европе SD-WAN внедряется активно. У них дороже каналы связи, и поэтому европейские компании приносят свой стек в российские подразделения. В России же есть некая стабильность, потому что стоимость каналов (даже когда регион дороже центра в 25 раз) вполне нормально смотрится и не вызывает вопросов. Из года в год на каналы связи закладывают безоговорочно бюджет.

Вот пример из мировой практики, когда компания за счёт SD-WAN на Циске сэкономила время и деньги.

Есть такая компания — National Instruments. В определённый момент они стали понимать, что глобальная вычислительная сеть, «полученная» по результатам объединения 88 площадок по всему миру, была неэффективная. Помимо этого, компании не хватало пропускной способности и производительности ГВС. Не было баланса между непрерывным ростом компании и ограниченным ИТ-бюджетом.

SD-WAN помог сократить National Instruments расходы на MPLS на 25 % (экономия 450 тыс. долл. по итогам 2018 г.), расширив полосу пропускания на 3 075 %.

По итогам внедрения SD-WAN компания получила умную программно-определяемую сеть и централизованное управление политиками, чтобы автоматически оптимизировать трафик и производительность приложений. Вот здесь [1] — детальный кейс.

Вот тут [2] совершенно чумовой кейс переезда S7 в другой офис, когда сначала всё началось тяжело, но интересно — нужно было переделать 1,5 тысячи портов. А вот потом кое-что пошло не так и в итоге админы оказались теми последними перед дедлайном, на кого сыпятся все накопившиеся задержки.

Почитать больше на английском:

На русском:

Автор: Максим Казаков

Источник [12]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/set/340250

Ссылки в тексте:

[1] Вот здесь: https://www.cisco.com/c/dam/en_us/services/it-case-studies/ni-case-study.pdf

[2] Вот тут: https://spbit.ru/news/n176590/

[3] American Banker: Fifth Third invests in 5-year network upgrade with SD-WAN : https://www.americanbanker.com/news/fifth-third-investing-112-million-on-five-year-network-upgrade

[4] Building Cloud SD-WAN success at Koch: https://gestaltit.com/tech-talks/viptela/viptela-sd-wan/tom/building-cloud-sd-wan-success-with-koch

[5] McKesson’s SD-WAN Journey to Cost Savings : http://gestaltit.com/tech-talks/viptela/viptela-sd-wan/tom/mckessons-sd-wan-journey-to-cost-savings/

[6] SD-WAN Retail PoC & Segmentation: Gap Stores: https://www.sd-wan-experts.com/blog/poc-sd-wan-mind-the-gap/

[7] глобальное исследование Cisco: https://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/digital-network-architecture/global-nw-trends-survey.pdf

[8] На CNews: https://safe.cnews.ru/articles/2019-11-06_razbor_rynka_sdwan_kakie_sushchestvuyut

[9] Как мы внедряли SD-Access, и зачем это понадобилось: https://habr.com/ru/company/croc/blog/457738/

[10] Сетевая фабрика для ЦОДа Cisco ACI — в помощь админу: https://habr.com/ru/company/croc/blog/455882/

[11] Устойчивый канал на базе программно-определяемых сетей SD-WAN: решаем проблемы выбора маршрутов: https://habr.com/ru/company/croc/blog/336210/

[12] Источник: https://habr.com/ru/post/480620/?utm_source=habrahabr&utm_medium=rss&utm_campaign=480620