11/03/2020
Если Вы занимаетесь компьютерными сетями и еще не слышали о Cisco SD-Access, то это надо кардинально менять. Эта архитектура революционно меняет взгляд на то, как надо организовывать работу локальных вычислительных сетей. Cisco в данной архитектуре собрала воедино уже имевшиеся до этого продукты и технологии, добавила новую философию, сервер DNA, результат – новый шаг в эволюции сетей. Для меня за последние несколько дней произошло серьезное переосмысление подхода к организации ЛВС. Материалы для своих размышлений черпал из онлайн курса Cisco – SD-Access Fundamentals Curriculum на сайте digital-learning.cisco.com. Курс рассказывает о базовых элементах данной сетевой архитектуры, а также наглядно показывает как все компоненты сети работают в новом видении. И данная реализация технологии SDN (Software Defined Network) однозначно вызывает уважение. Вкупе с решением Cisco SD-WAN, получается очень красивая картинка по построение комплексной корпоративной сети организации.
Что дает Cisco SD-Access при своем внедрении? Наверное, это основной вопрос для любой организации, которая задумается о реорганизации своей сети. Я думаю, тут основные фишки – это серьезная автоматизация развертывания и поддержания сети, возможность прозрачного масштабирования политик на всех пользователей и на все устройства. Ну и конечно же возможности по мониторингу и траублшутингу за самой сетью, ее пользователями и приложениями. Весь этот функционал позволяет увеличить производительность труда сетевых инженеров на порядок. Одна автоматизация настроек VRF на всем оборудовании по сети без вмешательства сетевого администратого чего только стоит. Вообщем, решение интересное и давайте вратце посмотрим что под капотом в данной архитектуре.
Используемые технологии и продукты
Cisco SD-Access – это не отдельный программный продукт или устройство, развернув которое, мы получим желаемый результат. Cisco объединила в одном решении сразу несколько разработок, протоколов и технологий.
Во-первых, во главе всей архитектуры находится сервер DNA Cetner. DNA расшифровывается как Digital Network Architecture. Этот продукт позволяет объединить воедино все сетевые устройства в сети, задать необходимые политики и развернуть их на сетевом оборудовании. Это так называемый Management Plane решения, через который происходит управление и мониторинг за сетью. При этом пользователь решения перестает заниматься рутинной работой по конфигурированию и изменению множества различных политик на отдельных сетевых устройствах. Эти функции берет на себя Cisco DNA Center. Мало того, что уменьшается на порядок затрачиваемое время на рутинные работы в CLI, так и значительно снижается порог доступности с точки зрения необходимых навыков инженеров.
Во-вторых, система аутентификации и авторизации – Cisco ISE. Продукт не совсем новый, и наверняка знакомый многим. Используется в различных конфигурациях для целей аутентификации пользователей и устройств в корпоративных сетях различного рода. В архитектуре SD-Access является составным элементом, отвечающим за аутентификацию, авторизацию, а также распространению политик для конечных пользователей и подключаемых устройств. Продукт работает как с проводными, так и беспроводными сетями. При этом сама информация о пользователях может храниться во внешних СУБД, Active Directory, LDAP и т.д. С Cisco DNA Center интегрируется с помощью pxGrid & Rest API.
В-третьих, фабрика или сеть на базе сетевых устройств Cisco Systems. Сетевые коммутаторы, маршрутизаторы, точки доступа и Wi-Fi контроллеры с соответствующей лицензией способны подключаться в общую фабрику организации. Данное оборудование создает так называюмую underlay сеть, на базе которой уже работает SDN наложенная сеть. При этом в общую фабрику объединяется как проводное, так и беспроводное оборудование. Это позволяет обеспечить конечным пользователям сети полную прозрачность при доступе к сетевым ресурсам и приложениям. Таким образом, сотрудник компании вне зависимости от того как он подключается к сети получает автоматически одни и те же доступы и права.
В-четвертрых, я бы хотел упомнять технологию VXLAN (Virtual Extensible LAN), которая используется для организации туннелей в сети. Также уже отработанная годами методика инкапсуляции данных в специальные UDP туннели. Такие туннели представляют по сути data plane в фабрике. Также они позволяют инкапсулировать любой L2 трафик и переносить его по сети.
В-пятых, технология TrustSec вкупе с 802.1x. Это также уже существующие успешные технологии, давно используемые в компьютерных сетях. С помощью 802.1x можно проводить аутентификацию и авторизацию как проводных, так и беспроводных клиентов. Ну а технология TrustSec позволяет обеспечить необходимую изоляцию пользователей друг от друга в определенные группы в соответствии с центрально заданными политиками.
Объединив все это вместе, получим замечательную наложенную Software Defined Network, позволяющую централизовано с помощью политик управлять сетью, а также доступами к различным ресурсам в ней.
Резюме
В заключение хотелось бы добавить, что решение Cisco SD-Access – это отличный SDN продукт в портфеле Cisco. Однако, я думаю на сегодняшний день делеко не все готовы для его использования. С моей точки зрения, оно выдвигает определенные требования для своего использования. В частности, наличие квалифицированных специалистов достаточно высокого уровня. Если таковых в организации не окажется, то компания рискует не получить большинства возможностей решения при его внедрении. Также решение является далеко из дешевым и потребует приличных первоначальных инвестиций от Заказчика.
Доброго дня!
Сначала Вы написали :
“Мало того, что уменьшается на порядок затрачиваемое время на рутинные работы в CLI, так и значительно снижается порог доступности с точки зрения необходимых навыков инженеров.”
У меня прямо ёкнуло – под таким же соусом многие пресейлы преподносят данный продукт.. но потом Вы правильно заметили в резюме:
“В частности, наличие квалифицированных специалистов достаточно высокого уровня.”,
При внедрении и эксплуатации таких решений должны быть пару-тройку специалистов очень высокого уровня – ведь основная проблема не в том, чтобы развернуть и настроить все это из “коробки” – сейчас гайды очень хорошо описывают это step-by-step.
Проблемы начинаются только тогда, когда необходимо серьёзно кастомизировать решение, и без качественно знания “нижележащих” сетевых протоколов и особенностей софта – это бывает просто невозможно. Ну и также серьёзно обстоят дела при траблшутинге – для TSH таких решений нужен серьезный бэк в сетях (думаю хотя бы честный CCNP) и хороший бэк в пониманий как _должен_ работать продукт DNA.
Но, с другой стороны, можно купить адвансед поддержку, держать низкоквалифицированных инженеров, которые по каждому чиху будут заводить тикеты в TAC – тоже как вариант…
Вообщем у меня противоречивые чувства вызывает все это)
Моя мысль, при использовании Cisco DNA – Вам не потребуется настраивать в консоли кучу всего, что обычно нужно при развертывании мало мальски серьезной сети. И как правило, уровень инженеров, которые могут все это сделать качественно в консоли, должен быть довольно таки серьезный. Настройка QoS, MPLS, маршрутизации и т.д. в большой сети на самих сетевых девайсах требует приличных знаний. С Cisco DNA работа облегчается в этом плане. Но при этом, конечно же, без серьезного бекграунда в сетях, это решение будет абсолютно неэффективным в организации. Его использование сведется к каким-то базовым элементам, а возможно и полным отказом от него из-за непонимания принципов, лежащих в его основе.