SD-WAN и DNA в помощь админу: особенности архитектур и практика

j2kmyc_rb_sanvgwyvunyvk1gfi.png
Стенд, который можно пощупать у нас в лабе, если хочется.

SD-WAN и SD-Access — два разных новых проприетарных подхода к построению сетей. В будущем они должны слиться в одну оверлейную сеть, но пока только приближаются. Логика такая: берём сеть образца 1990-х и накатываем на неё все нужные патчи и фичи, не дожидаясь, пока это ещё лет через 10 станет новым открытым стандартом.

SD-WAN — это патч SDN к распределённым корпоративным сетям. Транспорт отдельно, контроль отдельно, поэтому контроль упрощается.

Плюсы — все каналы связи используются активно включая резервный. Есть маршрутизация пакетов до приложений: что, через какой канал и с каким приоритетом. Упрощённая процедура развёртывания новых точек: вместо накатывания конфига — только указания адреса сервера Циски в большом Интернете, ЦОДе КРОК или заказчика, откуда берутся конфиги именно для вашей сети.

SD-Access (DNA) — это автоматизация управления локальной сетью: конфигурация из одной точки, визарды, удобные интерфейсы. Фактически строится другая сеть с другим транспортом на уровне протоколов поверх вашей, и на границах периметра обеспечивается совместимость со старыми сетями.

С этим тоже разберёмся ниже.

Теперь немного демонстраций на тестовых стендах в нашей лабе, как это выглядит и работает.

Начнём с SD-WAN. Основные возможности:


  • Упрощение деплоймента новых точек (ZTP) — предполагается, что вы каким-то образом скармливаете точке адрес сервера с настройками. Точка стучит к нему, получает конфиг, накатывает его и включается в вашу панель управления. Таким образом обеспечивается Zero-Touch Provisioning (ZTP). Чтобы развернуть оконечное устройство, сетевому инженеру не нужно выезжать на площадку. Главное — на месте правильно включить устройство и подключить к нему все кабели, далее оборудование само подключится к системе. Загрузить конфиги можно через DNS-запросы в облаке вендора с подключённого USB-накопителя, а можно открыть гиперссылку с ноутбука, подключённого к устройству по Wi-Fi или Ethernet.
  • Упрощение рутинного администрирования сети — конфиг из шаблонов, глобальные политики, настраиваемые централизованно хоть на пять филиалов, хоть на 5 000. Всё из единого места. Чтобы не было долгой дороги — очень удобная опция автоматического возврата к предыдущему конфигу.
  • Управление трафиком на уровне приложений — обеспечение качества и постоянного обновления сигнатур приложений. Политики настраиваются и накатываются централизованно (не нужно писать и апдейтить роут-мапы для каждого маршрутизатора, как раньше). Видно, кто, куда и что шлёт.
  • Сегментация сети. Независимые изолированные VPN поверх всей инфраструктуры — каждая со своей маршрутизацией. По умолчанию трафик между ними закрыт, можно открывать доступы только понятным видам трафика в понятных узлах сети, например, пропуская всё через большой файрволл или прокси.
  • Видимость истории качества работы сети — как работали приложения и каналы. Очень полезно для анализа и исправления ситуации ещё до того, как от пользователей начнут поступать жалобы на нестабильную работу приложений.
  • Видимость по каналам — стоят ли они своих денег, реально ли на объекте к вам приходят два разных оператора, или они по факту проходят через одну и ту же сеть и деградируют/падают одновременно.
  • Видимость для облачных приложений и steering-трафика через те или иные каналы на его основе (Cloud Onramp).
  • Одна железка содержит в себе роутер и файрволл (точнее, NGFW). Меньше железок — дешевле развернуть новый филиал.

Компоненты и архитектура решений SD-WAN


Оконечные устройства — WAN-маршрутизаторы, которые бывают аппаратными и виртуальными.

Оркестраторы — средство управления сетью. На них настраиваются параметры оконечных устройств, политики маршрутизации трафика, функционал безопасности. Получаются конфиги, которые отправляются автоматически через сеть контроля на узлы. Параллельно оркестратор слушает сеть и делает мониторинг — доступность устройств, портов, каналов связи, загрузку интерфейсов.

Средства аналитики. Делают отчёты на основании данных, собираемых с оконечных устройств: историю качества работы каналов, сетевых приложений, доступности узлов и т. п.

Контроллеры отвечают за применение политик маршрутизации трафика на сеть. Ближайшим их аналогом в традиционных сетях можно считать BGP Route Reflector. Глобальные политики, которые администратор настраивает в оркестраторе, приводят к тому, что контроллеры меняют состав своих таблиц маршрутизации и рассылают обновлённую информацию на оконечные устройства.

Что получает ИТ-служба от SD-WAN:


  1. Резервный канал постоянно используется (не простаивает). Получается дешевле, поскольку можно позволить два менее толстых канала.
  2. Автоматическое переключение трафика приложений между каналами.
  3. Время администратора: можно глобально развивать сеть, а не ползать по каждой железке с конфигами.
  4. Скорость поднятия новых филиалов. Она значительно выше.
  5. Меньше простоев на время замены умершего оборудования.
  6. Быстрое переконфигурирование сети под новые сервисы.

Что получает бизнес от SD-WAN:


  1. Гарантированная работа бизнес-приложений на распределённой сети, в том числе через открытые интернет-каналы. Это про предсказуемость бизнеса.
  2. Мгновенная поддержка новых бизнес-приложений на всей распределённой сети вне зависимости от количества филиалов. Это про скорость бизнеса.
  3. Быстрое и безопасное подключение филиалов в любых удалённых локациях с использованием любых технологий подключения (Интернет есть везде, а выделенные линии и VPN — нет). Это про гибкость бизнеса в выборе локации.


Выгоды бизнеса от SD-WAN могут быть абсолютно разными, например, один заказчик нам сказал, что от топ-менеджера поступил запрос на проведение прямой линии со всеми сотрудниками многотысячной компании и возможностью доставлять контент.

Для нас это было «войсковой операцией». В тот момент мы уже решали задачу модернизации КСПД. А когда мы понимаем, что нам надо в принципе заниматься реновацией оборудования, а технологический стек ушёл вперёд, зачем нам заниматься реновацией тех же самых технологий и сервисов, если можно шагнуть дальше.


SD-WAN на месте устанавливается силами эникеев. Это важно для удалённых филиалов, где может просто не быть нормального админа. Отправляете почтой, говорите: «Кабель 1 воткните в коробку 1, кабель 2 — в коробку 2, и не перепутайте! Не перепутайте, #@$@%!». И если там не перепутают, то устройство само связывается с центральным сервером, забирает и применяет свои конфиги, и этот офис становится частью защищённой сети компании. Приятно, когда не надо ездить и легко обосновать в бюджете.

А вот схема стенда:

5yywevp3_t8bl2rjmo1hiepjawg.png

Немного примеров настройки:

rld0a8h_e38lemmz2dzibac2bn4.png
Политика — глобальные правила управления трафиком. Редактирование политики.

qvnaj_3gcrkkq2grxxwnp-rrp1a.png
Активация политики управления трафиком.

oliptxdtzzskpezgaajqtv8e4ls.png
Массовая настройка основных параметров устройств (IP-адреса, пулы DHCP).

Скриншоты мониторинга перформанса приложений

eoowspsgsadv42fldhuflzs5z08.png
Для облачных приложений.

b5qbfni8vcha-ypotbzvyjdv4d8.png
Детально для Office365.

ora85tubjhezagtyy7wxosdamse.png
Для on-prem-приложений. К сожалению, на нашем стенде не удалось найти приложения с ошибками (FEC Recovery rate везде на нуле).

eifkedx7xlsjsx7eyrwwtoyz01g.png
Дополнительно — перформанс каналов передачи данных.

Какие железки поддерживаются на SD-WAN

vn8eaecvejetkrbzyvogxfqxlyk.png

1. Аппаратные платформы:

  • Маршрутизаторы Cisco vEdge (прежнее название — Viptela vEdge), работающие под управлением ОС Viptela.
  • Маршрутизаторы Integrated Services Router (ISR) серий 1 000 и 4 000, работающие под управлением IOS XE SD- WAN.
  • Маршрутизатор Aggregation Services Router (ASR) серии 1 000, работающий под управлением IOS XE SD-WAN.


2. Виртуальные платформы:

  • Маршрутизатор Cloud Services Router (CSR) 1 000v, работающий под управлением IOS XE SD-WAN.
  • Маршрутизатор vEdge Cloud Router, работающий под управлением ОС Viptela.


Виртуальные платформы можно разворачивать на вычислительных платформах Cisco x86, например, Enterprise Network Compute System (ENCS) серии 5 000, Unified Computing System (UCS) и Cloud Services Platform (CSP) серии 5 000. Виртуальные платформы могут также работать на любом устройстве x86, использующем гипервизор, такой, как KVM или VMware ESi.

Как накатывается новое устройство


Список пролицензированных устройств для развёртывания скачивается либо со смарт-аккаунта в Cisco, либо загружается CSV-файлом. Больше скриншотов попробую достать позже, сейчас у нас нет новых устройств для развёртывания.

ynszg0t1vh_v6ctunjjpddlrvek.png
Последовательность шагов, через которые проходит устройство при развёртывании.

_mlg9p5o4j9dlhcoobb6yj8ouoy.png

Как накатывается новое устройство/способ доставки конфига


Заводим устройства в Smart Account.

Можно загрузить CSV-файл, а можно по одному:

wjrmzbvwjmynrzsx1khxzsji00c.png

Заполняем параметры устройства:

gkflr9gsggo16cuwpny8f2pnaxu.png

Дальше в vManage синхронизируем данные со Smart Account. Устройство появляется в списке:

hkovfqe4nh2gzf8qa3t6kr1efyy.png

В выпадающем меню напротив устройства жмём Generate Bootstrap Configuration
и получаем начальный конфиг:

6iqxjdchzikzaev7jbg90owmip0.png

Этот конфиг необходимо скормить устройству. Самый простой способ — подключить к устройству флешку с сохранённым файлом с именем ciscosd-wan.cfg. При загрузке устройство будет искать этот файл.

xoknfbx6vhwrj9zhi1yiivyousc.png

Получив начальный конфиг, устройство сможет достучаться до оркестратора и получить оттуда полноценную конфигурацию.

Смотрим на SD-Access (DNA)


SD-Access упрощает настройку портов и прав доступа для подключения пользователей. Это делается с помощью визардов. Параметры портов задаются в привязке к группам «Администраторы», «Бухгалтерия», «Принтеры», а не к VLAN и IP-подсетям. Это минимизирует ошибки, связанные с человеческим фактором. Если, например, у компании много филиалов по России, а центральный офис при этом перегружен, то SD-Access позволяет решать больше задач именно на местах. Например, те же задачи по траблшутингу.

Для ИБ важно, что SD-Access предполагает чёткое разделение пользователей и устройств на группы и определение политик взаимодействия между ними, авторизацию при любом клиентском подключении к сети и обеспечение «прав доступа» по всей сети. Если следовать такому подходу, то администрировать становится гораздо проще.

Процесс запуска для новых офисов тоже упрощён благодаря Plug-and-Play-агентам в коммутаторах. Бегать по кроссовым с консолью, а то и вообще выезжать на объект не нужно.

Вот примеры настройки:

fhta6v7og7rlm2ijmxzpouyefpg.png

Общий статус.

af9wt2zinyfcqrwoahso-zdzlha.png
Инциденты, которые стоит просмотреть администратору.

zdadafzmlif5x4ivm-djclwgumi.png
Автоматические рекомендации, что поменять в конфигах.

План по интеграции SD-WAN с SD-Access


Слышал, что есть такие планы у Циски — SD-WAN и SD-Access. Это должно заметно поубавить геморроя при управлении территориально распределёнными и локальными КСПД.

vManage (оркестратор SD-WAN) управляется через API с DNA Center (контроллера SD-Access).

5txp3wgsdouyvy-_h1fgxri6p2y.png

Политики микро- и макросегментации мапятся следующим образом:

g3l7g03xvufn36szucpynghwovy.png

На уровне пакетов всё выглядит вот так:

nognppq7ucxjqxxlrzrsllxga50.png

Кто и что по этому поводу думает


Мы занимаемся SD-WAN с 2016 года в отдельной лаборатории, где тестируем разные варианты решений под нужды розницы, банков, транспорта и промышленности.

Очень много общаемся с реальными заказчиками.

Могу сказать, что розница уже уверенно тестирует SD-WAN, причём некоторые это делают с вендорами (чаще всего — с Cisco), но есть и те, кто пытается решить вопрос самостоятельно: пишут свою версию софта, по функционалу напоминающего SD-WAN.

Все так или иначе хотят прийти к централизованному управлению всего зоопарка оборудования. Это одна точка администрирования для нестандартных инсталляций и стандартных для разных вендоров и разных технологий. Важно минимизировать ручную работу, потому что это, во-первых, сокращает риск человеческого фактора при настройке оборудования, во-вторых, высвобождает ресурсы ИТ-службы на решение других задач. Обычно понимание необходимости приходит из-за очень долгих циклов обновления по всей стране. А, например, если розница торгует алкоголем, то ей нужна постоянная связь для продаж. Обновление или простой днём прямо сказывается на выручке.

Сейчас в рознице точно сформировано понимание, для каких задач ИТ будет использовать SD-WAN:

  1. Быстрое развёртывание (часто нужно на LTE до прихода кабельного провайдера, часто нужно, чтобы новая точка поднималась админом в городе по ГПХ, а потом центр просто смотрел и конфигурировал).
  2. Централизованное управление, связь для заграничных объектов.
  3. Сокращение стоимости телекома.
  4. Разные допсервисы (DPI-фичи дают возможность приоритетно доставлять трафик от важных приложений типа кассового).
  5. Работа с каналами автоматически, а не руками.


И есть ещё проверка на комплаенс — много все про неё говорят, но никто не воспринимает как проблему. Поддержание того, что всё работает корректно тоже в этой парадигме нормально работает. Многие считают, что в эту сторону будет двигаться вообще весь рынок сетевых технологий.

Банки, имхо, пока тестируют SD-WAN скорее как новую технологическую фичу. Ждут окончания поддержки предыдущих поколений оборудования и только тогда будут меняться. У банков вообще своя особая атмосфера по каналам связи, поэтому текущее состояние отрасли их не очень напрягает. Проблемы скорее лежат в других плоскостях.

В отличие от российского рынка в Европе SD-WAN внедряется активно. У них дороже каналы связи, и поэтому европейские компании приносят свой стек в российские подразделения. В России же есть некая стабильность, потому что стоимость каналов (даже когда регион дороже центра в 25 раз) вполне нормально смотрится и не вызывает вопросов. Из года в год на каналы связи закладывают безоговорочно бюджет.

Вот пример из мировой практики, когда компания за счёт SD-WAN на Циске сэкономила время и деньги.

Есть такая компания — National Instruments. В определённый момент они стали понимать, что глобальная вычислительная сеть, «полученная» по результатам объединения 88 площадок по всему миру, была неэффективная. Помимо этого, компании не хватало пропускной способности и производительности ГВС. Не было баланса между непрерывным ростом компании и ограниченным ИТ-бюджетом.

SD-WAN помог сократить National Instruments расходы на MPLS на 25% (экономия 450 тыс. долл. по итогам 2018 г.), расширив полосу пропускания на 3 075%.

По итогам внедрения SD-WAN компания получила умную программно-определяемую сеть и централизованное управление политиками, чтобы автоматически оптимизировать трафик и производительность приложений. Вот здесь — детальный кейс.

Вот тут совершенно чумовой кейс переезда S7 в другой офис, когда сначала всё началось тяжело, но интересно — нужно было переделать 1,5 тысячи портов. А вот потом кое-что пошло не так и в итоге админы оказались теми последними перед дедлайном, на кого сыпятся все накопившиеся задержки.

Почитать больше на английском:


На русском:


© Habrahabr.ru