Программно-определяемые сети (SDN)

Какие решения на базе программно-определяемых сетей предлагает компания Cisco?
Программно-определяемая сеть (Software Defined Networks - SDN) - сеть передачи данных, в которой уровень управления сетью отделён от устройств передачи данных и реализуется программно. В качества «мозга» сети обычно выступает контроллер. Он централизованно управляет сетевыми устройствами, собирая с них различные телеметрические параметры (данные по трафику, загрузке оборудованию, качеству связи и пр.). Благодаря такой централизации контроллер обеспечивает автоматизацию в сети, глубокую аналитику её работы, безопасность, а также может реализовать достаточно «хитрую» логику обработки сетевого трафика.

Компания Cisco предлагает следующие решения на базе SDN:
  • SD-Access – решение по построению кампусной сети (проводной и беспроводной). В качестве контролера использует Cisco DNA Center. Контроллер является аплайнсом, который размещается локально на площадке заказчика.
  • SD-WAN – решение по построению распределённой WAN сети, работающей поверх любых каналов связи (Интернет, выделенные каналы, пр.). В качестве контролера используется связка решений vManage, vBond и vSmart. Они поддерживают как облачное, так и локальное размещение (в виде виртуальных машин).
  • ACI – решение по построению сред для обработки данных (ЦОД). Контроллер - Cisco APIC (Cisco Application Policy Infrastructure Controller). Поддерживает как облачное (Amazon Web Services), так и локальное размещение (в виде аплайнса).
Какие преимущества даёт внедрение SD-Access?

SD-Access – программно-определяемая сеть. Ключевым элементом которой является контроллер Cisco DNA Center. Именно он отвечает за работу сети. SD-Access позволяет сетевому администратору абстрагироваться от конкретных технологий и полностью сфокусироваться на настройке сети под требования бизнеса через user-friendly интерфейс. Администратор теперь оперирует абстракциями. А уже контроллер переводит их в машинный язык, т.е. набор команд на сетевом оборудовании.

Основными преимуществами SD-Access являются:

  1. Автоматизация процессов настройки и администрирования оборудования. Это позволяет снизить временные издержки, а также минимизировать сбои в сети, связанные с человеческим фактором. Автоматизация достигается за счёт контроллера Cisco DNA Center. Именно он выполняет все функции автоматизации и оркестрации.
  2. Полная сегментация сети. При подключении устройств к сети происходит их аутентификация и авторизация (802.1x, Active Directory и пр.). Применение политик позволяет гранулярно предоставить доступ к сетевым ресурсам и обеспечить высокий уровень локализации трафика. Для решения данной задачи используются технологии Cisco TrustSec, VRF и пр.
  3. Прозрачность работы сети:
    • единые политики для проводной и беспородной сети,
    • единая точка контроля за сетью (Cisco DNA Center) и визуализация её работы,
    • глубокий мониторинг в связке с машинным обучением позволяет обеспечить преактивную работу сети; минимизация времени на решение инцидентов в сети.
Какие решения являются обязательными для построения SD-Access?
  1. DNA Center на базе физического сервера Cisco (аплайнс),
  2. Решение ISE (в виде аплайнса или виртуальной машины) с необходимым набором лицензий (Basic и Plus),
  3. Сетевая инфраструктура: коммутаторы, маршрутизаторы (опц.), точки доступа с контроллерами (опц.).
  4. Подписка на каждое сетевое устройство: Cisco DNA Advantage или Cisco DNA Premier.

Основными коммутаторами инфраструктуры SD-Access являются Cisco Catalyst 9000. Также могут быть использованы коммутаторы Cisco Catalyst 3850, 4500e, 6500, 6800 и Nexus 7700.

Маршрутизаторы – Cisco ISR 4000, ASR 1000 и CRS 1000v.

Беспроводная инфраструктура: точки доступа x700, x800, 9100; котроллеры 3504, 5520, 8540, 9800.

Так называемая underlay-сеть (транзитная сеть, связывающая между собой fabric edge, fabric border и control plane устройств) может быть построена на любом коммутационном оборудовании. Однако, эта сеть должна быть L3, т.е. обеспечивать маршрутизацию трафика между устройствами SD-Access фабрики. В идеале она должна поддерживать работу протокола IS-IS, что позволить автоматизировать настройку данного оборудования с помощью DNA Center.

Какие преимущества даёт внедрение SD-WAN?

SD-WAN пришёл на смену таким технологиям как DMVPN и iWAN. Данное решение используется для построения защищённой распределённой сети поверх любых каналов связи.

SD-WAN использует три контроллера, отвечающие за работу всего решения, - это vSmart, vManage и vBond. Каждый из них является обязательным элементом. Контроллер vSmart отвечает за распространение политик на устройства. Через vManage осуществляется управление решением. vBond отвечает за связность устройств (аутентификацию, авторизацию, списки устройств и пр.).

Основные преимущества SD-WAN:

  1. Автоматизация процессов настройки (Zero Touch Provisioning): новые устройства автоматически загружают на себя конфигурацию, что существенно уменьшает время запуска новых офисов.
  2. Упрощение администрирования оборудования: централизация настроек – единый портал для всех устройств, гибкая схема шаблонов.
  3. Всестороння аналитика работы WAN сети: телеметрия оборудования, загрузка каналов, качество каналов, разбор трафика по приложениям и пр.
  4. Сегментация и гибкая схема топологий: решение нативно поддерживает сегментацию трафика внутри VPN. На логическом уровне возможно использовать различные топологии VPN: полно связную (Full-mesh), централизованную (Hub-and-Spoke), частично связанную (Partial Mesh) и точка-точка (Point-to-Point).
  5. Интеллектуальная маршрутизация трафика: для разного типа трафика мы можем задать свои критерии маршрутизации, принимая во внимание различные параметры сети.
    • Маршрутизация трафика с учетом качества каналов связи: потери пакетов, задержки, джиттер.
    • Гибкая схема маршрутизации: фильтрация маршрутов, подстановка next-hop’ов, маршрутизация на основе L3/L4/L7 параметров трафика и пр.
    • Выстраивание сервисных цепочек: принудительная маршрутизация трафика через сервисные узлы (МСЭ, балансировщики и пр.).
  6. Встроенные средства безопасности: FW, IPS, AMP, URL-фильтрация.
  7. Оптимизация трафика.
  8. Высокий уровень масштабируемости и отказоустойчивости.
Какие решения являются обязательными для построения SD-WAN?

  1. Контролеры vManage, vBond и vSmart. Поддерживают как облачное (AWS, Azure, Google Cloud Platform), так и локальное размещение (ESXi или KVM).
  2. Сетевые устройства: Cisco ISR 1100 и 4000, ASR 1000, vEdge, ISRv, CRS 1000v.
  3. Подписка на каждое сетевое устройство:  Cisco DNA Essentials, Advantage или Premier. Набор поддерживаемых сервисов определяется типом подписки.

Для работы в экосистеме SD-WAN на сетевом устройстве устанавливается специализированная прошивка (SD-WAN Integrated IOS XE).

Какие преимущества даёт внедрение ACI?

Фабрика ACI используется для построения сети ЦОД.

Основные преимущества фабрики ACI:

  1. Автоматизация процессов настройки и администрирования.
  2. Всестороння аналитика работы сети ЦОД.
  3. Сегментация на всех уровнях работы сети позволяет строить многопользовательскую среду.
  4. Интеграция со сторонними системами: поддержка различных API-интерфейсов.
Какие решения являются обязательными для построения фабрики ACI?
  1. Контролер Cisco APIC. Поддерживает как облачное (Amazon Web Services), так и локальное размещение (в виде аплайнса).
  2. Коммутаторы Cisco Nexus 9300 и 9500, виртуальный коммутатор приложений Cisco AVS.