(T) Wdrażanie sieci SD-WAN*

Wdrażanie rozwiązań SD-WAN

Rejestracja komponentów sieci SD-WAN

  1. Moduł vManage jak i moduły vSmart nawiązują bezpieczne połączenie (DTSL) z modułem vBond.
  2. Rutery vEdge nawiązują bezpieczne połączenie (DTSL) z modułem vBond rejestrując się w systemie.
    1. Na tym etapie następuje weryfikacja ruterów brzegowych na podstawie certyfikatów jak i białych list.
      1. Certyfikaty określają czy dany produkt jest urządzeniem wyprodukowanym przez Cisco.
      2. Kombinacja certyfikatów z białymi listami sprawdza czy dane urządzenie przynależy do określonego klienta.
  3. Rutery brzegowe vEdge nawiązują bezpieczne połączenie (DTSL/TSL) z modułami vSmart.

Automatyczne rejestrowanie ZTP

  • Rutery brzegowe mogą być wdrażane zgodnie z modelem ZTP (Zero Touch Provisioning). W takim przypadku klient musi zarejestrować się w systemie Cisco, tworząc własny profil użytkownika.
  • Wszystkie nowo podłączane do sieci rutery, domyślnie łączą się z serwisem Cisco (ZTP, PNP Server), skąd pobierają informację na temat klienta do którego zostały sprzedane, wraz z danymi umożliwiającymi podłączenie do struktury wewnętrznej sieci klienckiej.
  • Ruter vEdge nawiązuje połączenie z ZTP, PNP Server (Cisco Public vBond) -> Client public vBond -> vSmart.

Service Management

  • Domyślnie konsola vManage współpracuje jedynie z ruterami vEdge stworzonymi przez Viptelę jak i ruterami Cisco działającymi pod kontrolą systemu SD-WAN.
  • Obecnie oprócz domyślnych urządzeń vEdge konsola vManage może współpracować z innymi urządzeniami takimi jak rutery Cisco działające pod kontrolą systemu IOS, maszyny wirtualne czy rutery z serii ENCS/NFVIS za pośrednictwem rozszerzonych narzędzi (Extended SD-WAN Orchestration NSO) komunikującymi się z konsolą vManage za pomocą API.

Rodzaje wdrożeń SD-WAN

  • Opcję wdrażania rozwiązania Cisco SD-WAN, dotyczą komponentów vManage, vSmart oraz vBond:
    • Cloud Delivered (Cisco) – Poszczególne komponenty nadzorujące strukturę sieci (vManage, vSmart oraz vBond) są hostowane jak i zarządzane poprzez firmę Cisco z poziomu chmury publicznej. Wdrożenie Cloud Delivered, cechuje:
      • Dostarczanie usługi w formie serwisu (Delivered as Service).
      • Hostowanie usługi w chmurze publicznej (Hosted in Cisco public cloud).
      • Utrzymanie struktury przez specjalistów (Cisco Cloud Ops / Cisco Field).
      • Możliwość zarządzania usługą przez klienta bądź partnera Cisco (Customer IT staff or Partner Staff).
    • Partner Delivered – Poszczególne komponenty nadzorujące strukturę sieci (vManage, vSmart oraz vBond) są hostowane jak i zarządzane poprzez partnerów firmy Cisco, dzięki czemu mogą oni udostępniać rozwiązanie SD-Wan dla swoich klientów (Przykładowym zastosowaniem danego rodzaju wdrożenia mogą być dostawcy usług Internetowych (ISP) zapewniający nowoczesne rozwiązania względem swoich klientów). W zależności od wdrożenia, poszczególne komponenty sieci SD-WAN, mogą być hostowane w chmurze publicznej bądź też w środowisku partnera, który w zależności od podpisanego kontraktu może udostępnić swoim klientom pełny dostęp do zarządzania siecią za pomocą modułu vManage, bądź też stworzyć swoją własną uproszczoną wersję programu do zarządzania sieciami SD-WAN za pomocą komunikacji API. Wdrożenie Partner Delivered, cechuje:
      • Dostarczanie usługi z poziomu infrastruktury partnera Cisco (Hosted in partner Infrastructure).
      • Utrzymanie struktury przez partnera Cisco (Partner Ops is responsible for Infrastructure).
      • Zarządzanie usługą przez partnera Cisco (Partner IT staff is responsible for SD-WAN operations).
    • Customer On-Prem – Poszczególne komponenty nadzorujące strukturę sieci (vManage, vSmart oraz vBond) są w pełni hostowane jak i zarządzane przez klienta. Wdrożenie Customer On-Prem, cechuje:
      • Pełne wdrożenie po stronie klienta (Self deployed by client).
      • Dostarczanie usługi z poziomu lokalnej infrastruktury (Hosted in private data centers).
      • Utrzymanie struktury po stronie lokalnego zespół IT klienta (Client is responsible for Infrastructure).
      • Zarządzanie usługą po stronie lokalnego zespół IT klienta (Client IT staff is responsible for SD-WAN operations).

Model – Cloud Delivered

Model – Cloud Delivered
  • Wrażanie sieci SD-Wan za pomocą modelu „Cisco Cloud Delivered”, przenosi ciężar zarządzania poszczególnymi komponentami sieci SD-WAN takimi jak: vManage, vSmart oraz vBond, na barki zespołu Cisco Ops.
  • Rozwiązania oferowane przez Cisco są globalnie dostępne z poziomu sieci publicznej (Microsoft Azure).
  • Cisco zapewnia wdrożenie awansowanych narzędzi administracyjnych umożliwiając komunikacją pomiędzy platformą vManage a klientem za pomocą API, tym samym umożliwiając wdrażanie automatyzacji.
  • Wdrożenie Cloud Delivered cechuje się:
    • Prostym procesem wdrażania jak i zarządzania (Simple & Scalable).
    • Elastycznym modelem wdrożenia (Flexibility & Agility).
    • Wysoką dostępnością (Availability), w przypadku utraty komponentów (vManage, vSmart oraz vBond) sieć klienta zachowuje ciągłość pracy.
    • Wysokim poziomem bezpieczeństwa (Secure / Compliance)

Model – Partner Delivered

  • Wrażanie sieci SD-Wan za pomocą modelu „Partner Delivered”, przenosi ciężar zarządzania poszczególnymi komponentami sieci SD-WAN takimi jak: vManage, vSmart oraz vBond, na barki partnera biznesowego firmy Cisco.
  • Rozwiązanie SD-WAN umożliwia współprace zewnętrznych narządzi automatyzujących prace administratora, z platformą vManage, za pomocą API, jak i innych produktów firmy Cisco takich jak: NSO czy VMS.
  • W przypadku wdrażania modelu Partner Delivered:
    • Partner Cisco zapewnia pełne utrzymanie struktury SD-WAN (vManage, vSmart oraz vBond) w własnym zakresie, utrzymując maszyny wirtualne na dostępnych witalizatorach: VMware ESXi, KVM, AWS bądź też Azure.
    • Wszelką odpowiedzialność za wdrażanie, konfigurację czy utrzymanie sieci SD-WAN ponosi partner biznesowy.
    • Klient końcowy może mieć dostęp do zarządzania własną siecią SD-WAN za pomocą platformy GUI (vManage), bądź też innego narzędzia przygotowanego przez partnera, które to komunikuje się z modułem vManage za pomocą API.
  • W dużej mierze partnerami korzystającymi z powyższego rozwiązania są dostawcy usług Internetowych (ISP).

Model – Customer On-Prem

  • Wrażanie sieci SD-Wan za pomocą modelu „Customer On-Prem”, przenosi ciężar zarządzania poszczególnymi komponentami sieci SD-WAN takimi jak: vManage, vSmart oraz vBond, na barki klienta.
  • Proces wdrażania, konfiguracji jak i zarządzania strukturą SD-WAN zostaje przeniesiony na barki klienta, który ponadto musi zadbać o odpowiednią infrastrukturę wirtualizacją mogącą bezpiecznie jak i wydajnie hostować dostęp do wszelkich komponentów sieci SD-WAN (vManage, vSmart oraz vBond). Obecnie dostępnymi środowiskami witalizacyjnymi umożliwiającymi oficjalne wdrożenie sieci SD-WAN są: VMware ESXi, KVM, AWS bądź też Azure.
  • Wszelkie zewnętrzne narzędzia administracyjne komunikujące się z konsolą vManage za pomocą API są dostępne dla klienta o ile je zakupi bądź też sam je zaprojektuje.
  • W dużej mierze klientami korzystającymi z powyższego rozwiązania są firmy bankowe czy też rządzy.

Single / Multi-Tenant Orchestration

Wizualizacja sieci SD-WAN w modelu Dedicated Tenancy (Multi-Tenant Orchestration)
  • Multi-Tenant Orchestration – Umożliwia stworzenie oddzielnych struktur sieci SD-WAN względem każdego klienta z osobna. Poszczególne struktury (Tenant) zawierają oddzielne komponenty bazowe (vManage, vSmart oraz vBond). Model Multi-Tenant może być wdrożony w jeden z następujących sposobów:
    • Dedicated Tenancy –  Zgodnie z powyższą grafiką sieci SD-WAN została rozdzielona na dwie niezależne struktury zwierające własne komponenty (vManage, vSmart oraz vBond), dzięki czemu każdy z klientów może dysponować niezależną strukturą sieci, np. takimi samymi numerami ID sieci VPN. Model Dedicated Tenancy cechuje:
      • Dedykowane instancję (Dedicated Tenancy / No Multitenancy).
      • Odseparowanie wszystkich komponentów sieci SD-WAN (vManage, vSmart oraz vBond).
      • Wsparcie dla wszystkich dostępnych rodzajów wdrożeń.
      • Możliwość pełnego odseparowania ruchu sieciowego.
    • VPN as a Tenant – Stanowi częściowe rozwiązanie Multi-Tenant w którym jako poszczególne struktur SD-WAN traktowane są sieci VPN. Rozwiązanie to nie stanowi w pełni modelu Multi-Tenant ponieważ współdzieli on poszczególne komponenty (vManage, vSmart oraz vBond) pomiędzy klientami, co może doprowadzić do przypadkowego np. wdrożenia polisy względem całej infrastruktury zamiast pojedynczego klienta. Model VPN as a Tenant cechuje:
      • Sieć VPN traktowana jako niezależna instancja (Tenancy).
      • Współdzielenie wszystkich komponentów sieci SD-WAN (vManage, vSmart oraz vBond).
      • Wsparcie dla wszystkich dostępnych rodzajów wdrożeń.
    • Enterprise Tenancy – Wprowadza wirtualny podział struktury sieci SD-WAN, przy jednoczesnym wykorzystaniu tych samych komponentów bazowych (vManage oraz vBond). Wymagając przy tym oddzielnych wdrożeń komponentu vManage dla każdej instancji SD-WAN z osobna. Model Enterprise Tenancy cechuje:
      • Pełny podział poszczególnych instancji (Tenancy).
      • Współdzielenie komponentów vSmart oraz vBond pomiędzy poszczególnymi instancjami (Tenancy).
      • Odseparowanie instancji vManage pomiędzy poszczególnymi instancjami (Tenancy).
      • Wsparcie dla wszystkich dostępnych rodzajów wdrożeń.
      • Możliwość pełnego odseparowania ruchu sieciowego.
  • Single-Tenant Orchestration

Pozostałe tematy związane z SD-WAN

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz