Hlavní navigace

Moderní síťové řešení SD-WAN

Komerční sdělení  Autor: SDWAN
Zákazník, který se rozhodne pro Cisco SD-WAN technologii získá moderní, softwarově řízenou, bezpečnou WAN síť.

Sdílet

Moderní síťové řešení znamená, že síť je možné řídit efektivním softwarovým způsobem, není třeba jednotlivá zařízení konfigurovat pomocí notepadu a CLI příkazů. Pomocí dalších nástrojů, jejichž integraci zajistí Application Programatic Interfaces – API lze dosáhnout větší a lepší automatizace. Aplikace bezpečnostních principů, které zajišťují, že mezi sebou komunikují pouze předem určené prvky (princip white-list) a každá komunikace je šifrována pomocí technologií TLS, DTLS nebe IPSec, je zárukou dokonalé bezpečnosti SD-WAN řešení.

Flexibilita spojená s úsporami

Výhodou SD-WAN technologie je, že se jedná o tzv. „Overlay“ síťové řešení, které uživateli umožňuje značnou flexibilitu. Tím, že síť není vázaná na konkrétního poskytovatele služeb (ISP), nechává uživateli možnost si poskytovatele služeb zvolit.

SD-WAN technologie je oproti klasické síti rovněž mnohem flexibilnější a efektivnější v oblasti vlastní správy. Je koncipována tak, že jedno zařízení (controller) řídí větší množství routerů. Proto implementace konfiguračních změn, onboarding a podobně zabere daleko méně času a práce administrátorů. Je to jedna z oblastí, která znamená z pohledu firmy možnost úspor. Snižování nákladů je možné realizovat i v dalších oblastech. 

SD-WAN router umožňuje vykonávat v síti mnohem více funkcí než jen klasický IP forwarding. Patří mezi ně tradičně bezpečnostní funkce jako ZoneBased Application Aware Firewall, Intrusion Detection / Protection System (IDS/IPS), Advanced Malware Protection (AMP – Antivirus), URL Filtraci, TLS/SSL dekrypci a podobné. To přináší významnou redukci v oblasti počtu zařízení na pobočkách a s tím samozřejmě související snížení nákladů na celkovou IT strukturu společnosti.

Další oblastí úspor, které s sebou toto řešení přináší, jsou Overlay vlastnosti SD-WAN technologie, které umožňují nahradit nákladné privátní typy WAN transportů (typicky MPLS a jeho deriváty) lacinějším typem WAN transportu jako je Broadband Internetu. Kvalita spojení v internetu a v privátní MPLS síti nebude pochopitelně stejná, ale SD-WAN tyto nedostatky kompenzuje ve prospěch internetového přenosu chytrými politikami a funkcemi jako Application Aware Routing (AAR) apod.

Škálovatelnost řídícího prostředí

Cisco řešení SD-WAN sítě je postavené na škálovatelnosti. Princip spočívá v oddělení řídích komponent a produkční sítě. Každá funkční úroveň řídícího prostředí je umístěná do specifického zařízení – kontrolleru.

V první řadě se jedná o vManage, kontroller, který reprezentuje management plane. Pomocí dvou typů objektů (šablon a politik) dokáže konfigurovat ostatní prvky v síti. Šablony (templates) slouží k základní konfiguraci zařízení (konfigurace interface, systémová konfigurace apod.) a politiky (policies) ovlivňují datový tok přes samotné zařízení. Kontroller vManage funguje také jako Network Management Station (NMS) a poskytuje monitoring v celé síti.

vBond reprezentuje orchestration plane a jeho úkolem je propojovat SD-WAN routery a ostatní kontrollery. Je zodpovědný za detekci privátních/veřejných IP adres (NAT traversal) a za prvotní autentifikaci veškerých prvků.

Třetím typem kontrolleru je vSmart, který poskytuje funkčnost v oblasti control plane. Stará se o distribuci směrovacích informací (roatingu), distribuci centrálních politik a šifrovacích klíčů pro IPSec tunnely.

SD-WAN řešení přináší i další funkce, typicky v Cloudu. SD-WAN dokáže optimalizovat a zlepšit komunikaci se SaaS aplikacemi (Cloud-On-Ramp-for-SaaS, Direct Internet Access – DIA) a do IaaS prostředí jako je MS Azure a Amazon Web Services – AWS (Cloud-On-Ramp-for-IaaS). Velkou výhodou je i možnost provozovat SD-WAN řešení na tradičních Enterprise Cisco routrech (řady ISR, ASR a Catalyst 8000). To znamená, že SD-WAN je přidaná funkce, kterou je možné zapnout na zařízeních, která klienti ve svých sítích už mají. Není třeba pořizovat speciální jednoúčelové zařízení jen pro SD-WAN. A zároveň, pokud zákazník po čase zjistí, že SD-WAN už nevyužívá, může tento router použít jako klasický IOS-XE router bez dalších omezení.

Implementace v několika krocích

Implementace SD-WAN je specifická. Dříve než začneme budovat samotnou síť, je potřeba vybudovat SD-WAN kontrollery. Ty je možné budovat ve vlastním prostředí (OnPrem: VMWare ESXi, alebo KVM platforma) nebo je možné nechat je postavit v Cisco Cloudu (AWS / MS Azure). Teprve poté je možné začít vytvářet konfigurace (šablony a politiky). Až po tomto kroku lze přistoupit k implementaci samotných routerů, které budou tvořit datovou komunikaci. Vše to zní relativně lehce, nicméně nejkomplexnější část je právě odladění finálního designu, kterému tradičně předcházejí i několikatýdenní diskuse spojené s Proof of Concept instalací. Teprve když je design definitivně odladěn, přijde na řadu samotný roll-out technologie v podobě instalace firemních poboček. Velice záleží na tom, zda se jedná o zcela nově budovanou síť (greenfield) nebo už existující síť (brownfield)

Instalaci poboček je možné zjednodušit pomocí funkce ZeroTouchProvisioning (ZTP). V takovém případě se nový router dokáže do Overlay sítě připojit bez přímého zásahu administrátora. Samotný roll-out proto už nebývá zpravidla komplikovaný.

Je třeba si uvědomit, že WAN síť je kritická část networkingu, především z důvodu, že mnoho služeb je dostupných vzdáleně (ať už v Cloudu nebo v datovém centru). Obecně proto platí, že WAN síť by měli spravovat pouze odborníci, lidé, kteří mají znalosti o dané problematice. SD-WAN je relativně nová technologie a vědomosti v širší IT obci o ní ještě nejsou příliš velké. Efektivita provozu SD-WAN nicméně umožňuje za relativně krátkou dobu (2–3 měsíce) do této problematiky proniknout. ALEF jako Cisco Learning Partner může v této oblasti samozřejmě velmi pomoci. Skupinu Certifikovaných Cisco Instruktorů (školitelů) dokáže kvalifikovaně provést i školením zaměřeným přímo na oblast SD-WAN technologii. Výhoda ALEF školitelů je v tom, že neovládají jen teorii, ale jsou to praxí ošlehaní experti, kteří mají obrovské zkušenosti ze všech možných oblastí Cisco Networkingu, a samozřejmě i s Cisco SD-WAN řešením.

Efektivní, moderní a úsporné

SD-WAN řešení má největší význam pro střední a velké firmy, kde bude úspora času a financí nejvýznamnější. Jeho výhody se nicméně uplatní i v menších společnostech, které si mohou SD-WAN řešení pronajmout ve formě služby. Zde pak zcela odpadá fáze designu, kterou řeší na své straně poskytovatel služby.

SD-WAN nepřináší firmám jen finanční úsporu, ale především více funkcí a celkově lepší fungování WAN sítě v porovnání s tradičními řešeními (legacy WAN síť).


Autor: Autor: Peter Frolo, Senior Systems Engineer, ALEF