- PVSM.RU - https://www.pvsm.ru -
Стенд, который можно пощупать у нас в лабе, если хочется.
SD-WAN и SD-Access — два разных новых проприетарных подхода к построению сетей. В будущем они должны слиться в одну оверлейную сеть, но пока только приближаются. Логика такая: берём сеть образца 1990-х и накатываем на неё все нужные патчи и фичи, не дожидаясь, пока это ещё лет через 10 станет новым открытым стандартом.
SD-WAN — это патч SDN к распределённым корпоративным сетям. Транспорт отдельно, контроль отдельно, поэтому контроль упрощается.
Плюсы — все каналы связи используются активно включая резервный. Есть маршрутизация пакетов до приложений: что, через какой канал и с каким приоритетом. Упрощённая процедура развёртывания новых точек: вместо накатывания конфига — только указания адреса сервера Циски в большом Интернете, ЦОДе КРОК или заказчика, откуда берутся конфиги именно для вашей сети.
SD-Access (DNA) — это автоматизация управления локальной сетью: конфигурация из одной точки, визарды, удобные интерфейсы. Фактически строится другая сеть с другим транспортом на уровне протоколов поверх вашей, и на границах периметра обеспечивается совместимость со старыми сетями.
С этим тоже разберёмся ниже.
Теперь немного демонстраций на тестовых стендах в нашей лабе, как это выглядит и работает.
Оконечные устройства — WAN-маршрутизаторы, которые бывают аппаратными и виртуальными.
Оркестраторы — средство управления сетью. На них настраиваются параметры оконечных устройств, политики маршрутизации трафика, функционал безопасности. Получаются конфиги, которые отправляются автоматически через сеть контроля на узлы. Параллельно оркестратор слушает сеть и делает мониторинг — доступность устройств, портов, каналов связи, загрузку интерфейсов.
Средства аналитики. Делают отчёты на основании данных, собираемых с оконечных устройств: историю качества работы каналов, сетевых приложений, доступности узлов и т. п.
Контроллеры отвечают за применение политик маршрутизации трафика на сеть. Ближайшим их аналогом в традиционных сетях можно считать BGP Route Reflector. Глобальные политики, которые администратор настраивает в оркестраторе, приводят к тому, что контроллеры меняют состав своих таблиц маршрутизации и рассылают обновлённую информацию на оконечные устройства.
Выгоды бизнеса от SD-WAN могут быть абсолютно разными, например, один заказчик нам сказал, что от топ-менеджера поступил запрос на проведение прямой линии со всеми сотрудниками многотысячной компании и возможностью доставлять контент.
Для нас это было «войсковой операцией». В тот момент мы уже решали задачу модернизации КСПД. А когда мы понимаем, что нам надо в принципе заниматься реновацией оборудования, а технологический стек ушёл вперёд, зачем нам заниматься реновацией тех же самых технологий и сервисов, если можно шагнуть дальше.
SD-WAN на месте устанавливается силами эникеев. Это важно для удалённых филиалов, где может просто не быть нормального админа. Отправляете почтой, говорите: «Кабель 1 воткните в коробку 1, кабель 2 — в коробку 2, и не перепутайте! Не перепутайте, #@$@%!». И если там не перепутают, то устройство само связывается с центральным сервером, забирает и применяет свои конфиги, и этот офис становится частью защищённой сети компании. Приятно, когда не надо ездить и легко обосновать в бюджете.
А вот схема стенда:
Немного примеров настройки:
Политика — глобальные правила управления трафиком. Редактирование политики.
Активация политики управления трафиком.
Массовая настройка основных параметров устройств (IP-адреса, пулы DHCP).
Для облачных приложений.
Детально для Office365.
Для on-prem-приложений. К сожалению, на нашем стенде не удалось найти приложения с ошибками (FEC Recovery rate везде на нуле).
Дополнительно — перформанс каналов передачи данных.
1. Аппаратные платформы:
2. Виртуальные платформы:
Виртуальные платформы можно разворачивать на вычислительных платформах Cisco x86, например, Enterprise Network Compute System (ENCS) серии 5 000, Unified Computing System (UCS) и Cloud Services Platform (CSP) серии 5 000. Виртуальные платформы могут также работать на любом устройстве x86, использующем гипервизор, такой, как KVM или VMware ESi.
Список пролицензированных устройств для развёртывания скачивается либо со смарт-аккаунта в Cisco, либо загружается CSV-файлом. Больше скриншотов попробую достать позже, сейчас у нас нет новых устройств для развёртывания.
Последовательность шагов, через которые проходит устройство при развёртывании.
Заводим устройства в Smart Account.
Можно загрузить CSV-файл, а можно по одному:
Заполняем параметры устройства:
Дальше в vManage синхронизируем данные со Smart Account. Устройство появляется в списке:
В выпадающем меню напротив устройства жмём Generate Bootstrap Configuration
и получаем начальный конфиг:
Этот конфиг необходимо скормить устройству. Самый простой способ — подключить к устройству флешку с сохранённым файлом с именем ciscosd-wan.cfg. При загрузке устройство будет искать этот файл.
Получив начальный конфиг, устройство сможет достучаться до оркестратора и получить оттуда полноценную конфигурацию.
SD-Access упрощает настройку портов и прав доступа для подключения пользователей. Это делается с помощью визардов. Параметры портов задаются в привязке к группам «Администраторы», «Бухгалтерия», «Принтеры», а не к VLAN и IP-подсетям. Это минимизирует ошибки, связанные с человеческим фактором. Если, например, у компании много филиалов по России, а центральный офис при этом перегружен, то SD-Access позволяет решать больше задач именно на местах. Например, те же задачи по траблшутингу.
Для ИБ важно, что SD-Access предполагает чёткое разделение пользователей и устройств на группы и определение политик взаимодействия между ними, авторизацию при любом клиентском подключении к сети и обеспечение «прав доступа» по всей сети. Если следовать такому подходу, то администрировать становится гораздо проще.
Процесс запуска для новых офисов тоже упрощён благодаря Plug-and-Play-агентам в коммутаторах. Бегать по кроссовым с консолью, а то и вообще выезжать на объект не нужно.
Вот примеры настройки:
Общий статус.
Инциденты, которые стоит просмотреть администратору.
Автоматические рекомендации, что поменять в конфигах.
Слышал, что есть такие планы у Циски — SD-WAN и SD-Access. Это должно заметно поубавить геморроя при управлении территориально распределёнными и локальными КСПД.
vManage (оркестратор SD-WAN) управляется через API с DNA Center (контроллера SD-Access).
Политики микро- и макросегментации мапятся следующим образом:
На уровне пакетов всё выглядит вот так:
Мы занимаемся SD-WAN с 2016 года в отдельной лаборатории, где тестируем разные варианты решений под нужды розницы, банков, транспорта и промышленности.
Очень много общаемся с реальными заказчиками.
Могу сказать, что розница уже уверенно тестирует SD-WAN, причём некоторые это делают с вендорами (чаще всего — с Cisco), но есть и те, кто пытается решить вопрос самостоятельно: пишут свою версию софта, по функционалу напоминающего SD-WAN.
Все так или иначе хотят прийти к централизованному управлению всего зоопарка оборудования. Это одна точка администрирования для нестандартных инсталляций и стандартных для разных вендоров и разных технологий. Важно минимизировать ручную работу, потому что это, во-первых, сокращает риск человеческого фактора при настройке оборудования, во-вторых, высвобождает ресурсы ИТ-службы на решение других задач. Обычно понимание необходимости приходит из-за очень долгих циклов обновления по всей стране. А, например, если розница торгует алкоголем, то ей нужна постоянная связь для продаж. Обновление или простой днём прямо сказывается на выручке.
Сейчас в рознице точно сформировано понимание, для каких задач ИТ будет использовать SD-WAN:
И есть ещё проверка на комплаенс — много все про неё говорят, но никто не воспринимает как проблему. Поддержание того, что всё работает корректно тоже в этой парадигме нормально работает. Многие считают, что в эту сторону будет двигаться вообще весь рынок сетевых технологий.
Банки, имхо, пока тестируют SD-WAN скорее как новую технологическую фичу. Ждут окончания поддержки предыдущих поколений оборудования и только тогда будут меняться. У банков вообще своя особая атмосфера по каналам связи, поэтому текущее состояние отрасли их не очень напрягает. Проблемы скорее лежат в других плоскостях.
В отличие от российского рынка в Европе SD-WAN внедряется активно. У них дороже каналы связи, и поэтому европейские компании приносят свой стек в российские подразделения. В России же есть некая стабильность, потому что стоимость каналов (даже когда регион дороже центра в 25 раз) вполне нормально смотрится и не вызывает вопросов. Из года в год на каналы связи закладывают безоговорочно бюджет.
Вот пример из мировой практики, когда компания за счёт SD-WAN на Циске сэкономила время и деньги.
Есть такая компания — National Instruments. В определённый момент они стали понимать, что глобальная вычислительная сеть, «полученная» по результатам объединения 88 площадок по всему миру, была неэффективная. Помимо этого, компании не хватало пропускной способности и производительности ГВС. Не было баланса между непрерывным ростом компании и ограниченным ИТ-бюджетом.
SD-WAN помог сократить National Instruments расходы на MPLS на 25 % (экономия 450 тыс. долл. по итогам 2018 г.), расширив полосу пропускания на 3 075 %.
По итогам внедрения SD-WAN компания получила умную программно-определяемую сеть и централизованное управление политиками, чтобы автоматически оптимизировать трафик и производительность приложений. Вот здесь [1] — детальный кейс.
Вот тут [2] совершенно чумовой кейс переезда S7 в другой офис, когда сначала всё началось тяжело, но интересно — нужно было переделать 1,5 тысячи портов. А вот потом кое-что пошло не так и в итоге админы оказались теми последними перед дедлайном, на кого сыпятся все накопившиеся задержки.
Автор: Максим Казаков
Источник [12]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/set/340250
Ссылки в тексте:
[1] Вот здесь: https://www.cisco.com/c/dam/en_us/services/it-case-studies/ni-case-study.pdf
[2] Вот тут: https://spbit.ru/news/n176590/
[3] American Banker: Fifth Third invests in 5-year network upgrade with SD-WAN : https://www.americanbanker.com/news/fifth-third-investing-112-million-on-five-year-network-upgrade
[4] Building Cloud SD-WAN success at Koch: https://gestaltit.com/tech-talks/viptela/viptela-sd-wan/tom/building-cloud-sd-wan-success-with-koch
[5] McKesson’s SD-WAN Journey to Cost Savings : http://gestaltit.com/tech-talks/viptela/viptela-sd-wan/tom/mckessons-sd-wan-journey-to-cost-savings/
[6] SD-WAN Retail PoC & Segmentation: Gap Stores: https://www.sd-wan-experts.com/blog/poc-sd-wan-mind-the-gap/
[7] глобальное исследование Cisco: https://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/digital-network-architecture/global-nw-trends-survey.pdf
[8] На CNews: https://safe.cnews.ru/articles/2019-11-06_razbor_rynka_sdwan_kakie_sushchestvuyut
[9] Как мы внедряли SD-Access, и зачем это понадобилось: https://habr.com/ru/company/croc/blog/457738/
[10] Сетевая фабрика для ЦОДа Cisco ACI — в помощь админу: https://habr.com/ru/company/croc/blog/455882/
[11] Устойчивый канал на базе программно-определяемых сетей SD-WAN: решаем проблемы выбора маршрутов: https://habr.com/ru/company/croc/blog/336210/
[12] Источник: https://habr.com/ru/post/480620/?utm_source=habrahabr&utm_medium=rss&utm_campaign=480620
Нажмите здесь для печати.