20T13 Co To Jest SD-WAN – Automatyczne Podłączenie Lokalizacji

Jeżeli interesuje Cię automatyczne podłączenie lokalizacji poprzez WAN.

To jest odcinek dla Ciebie.

Omawiam w nim 3 możliwości automatyzacji podłączenia lokalizacji po łączach WAN.

Jedną z możliwości jest SD-WAN.

Więcej miejsc do posłuchania:

 

Transkrypcja filmu:

0:00:02.140,0:00:04.020
Cześć, witam Cię w dzisiejszym odcinku.

Co To Jest SD-WAN – Automatyczne Podłączenie Lokalizacji

0:00:04.080,0:00:07.840
Dzisiaj będę omawiał temat: co to jest SD-WAN
0:00:07.840,0:00:10.960
a konkretniej, skupię się na jednym problemie,
0:00:10.960,0:00:13.320
który uważam, że jest dzisiaj najczęstszy,
0:00:13.320,0:00:14.640
czyli jak
0:00:14.640,0:00:17.900
można podłączyć lokalizację do sieci WAN
0:00:18.100,0:00:19.900
w sposób automatyczny.
0:00:19.900,0:00:21.900
Tak, żeby można było
0:00:21.900,0:00:23.600
łatwo skalować ten proces.
0:00:23.980,0:00:26.340
Inne powody stosowania SD-WAN-u
0:00:26.340,0:00:29.300
będę omawiał w innych odcinkach z tej serii.
0:00:30.360,0:00:31.260
Zaczynajmy.
0:00:32.380,0:00:34.380
Czy SD-WAN jest jedyną możliwością
0:00:34.380,0:00:37.360
realizacji tego właśnie wyzwania?
0:00:37.880,0:00:39.880
Czyli automatycznego podłączania lokalizacji
0:00:39.880,0:00:41.560
do naszej sieci WAN.
0:00:41.560,0:00:43.020
Oczywiście nie jest.
0:00:43.260,0:00:45.800
Realizowaliśmy tego typu projekty
0:00:45.800,0:00:47.280
dużo wcześniej,
0:00:47.280,0:00:49.700
zanim jeszcze ktokolwiek słyszał o SD-WAN-ie.
0:00:50.440,0:00:51.960
Jak to wcześniej było robione.
0:00:51.960,0:00:54.740
Jedna z możliwości to oczywiście
0:00:54.740,0:00:57.800
była możliwość realizacji w oparciu
0:00:57.800,0:00:59.800
o usługę kupioną od operatora.
0:01:00.980,0:01:04.160
Usługę MPLS lub VPLS.
0:01:04.820,0:01:06.760
Czyli tutaj, w tym scenariuszu
0:01:06.760,0:01:09.160
zakładaliśmy, że w zasadzie całą część
0:01:09.300,0:01:11.680
tej technologicznej trudności
0:01:12.420,0:01:14.420
kupujemy od operatora zewnętrznego.
0:01:15.020,0:01:17.020
Tutaj są plusy oczywiście,
0:01:17.020,0:01:19.580
ponieważ delegujemy cały ten problem na zewnątrz.
0:01:19.580,0:01:20.680
Są i minusy.
0:01:20.680,0:01:22.680
Nie mamy za bardzo wpływu na to,
0:01:22.680,0:01:26.160
co się dzieje po stronie operatora.
0:01:26.160,0:01:27.900
Jeżeli jest awaria
0:01:27.900,0:01:29.840
to też niewiele najczęściej wiemy.
0:01:29.840,0:01:31.620
Oprócz tego, że nam nie działa.
0:01:31.620,0:01:33.620
Nie ma oczywiście też gwarancji
0:01:33.620,0:01:35.620
z punktu widzenia takiego klienta,
0:01:35.620,0:01:38.360
że wyjście z danej lokalizacji
0:01:38.360,0:01:40.220
jest w pełni redundantne.
0:01:40.220,0:01:42.360
Tutaj różne historie się zdarzały.
0:01:42.360,0:01:45.720
Nawet tego typu, że operator zapewniał, że
0:01:45.720,0:01:47.880
wyjście z lokalizacji jest do dwóch
0:01:48.120,0:01:50.120
różnych routerów PE
0:01:50.560,0:01:52.560
a w rzeczywistości to różnie bywało.
0:01:53.880,0:01:56.240
Inny przykład, dlaczego
0:01:56.240,0:01:59.220
ten MPLS niekoniecznie się zawsze sprawdza,
0:01:59.220,0:02:01.420
to jest aspekt związany z migracją
0:02:01.460,0:02:03.460
od jednego operatora do drugiego.
0:02:03.940,0:02:06.200
Spotykałem już takie przypadki u swoich klientów,
0:02:06.200,0:02:09.420
gdzie raz na kilka lat był ogłaszany przetarg,
0:02:09.540,0:02:10.940
bo tak się typowo to odbywa.
0:02:11.280,0:02:14.160
No i w ramach kolejnej takiej edycji przetargu,
0:02:14.160,0:02:17.520
inny operator potrafił wygrać to postępowanie.
0:02:17.520,0:02:20.460
No i wtedy z punktu widzenia klienta
0:02:20.460,0:02:23.260
jest to duże wyzwanie operacyjne,
0:02:23.260,0:02:25.260
dlatego że cała adresacja,
0:02:25.260,0:02:26.680
która była związana
0:02:26.680,0:02:28.140
z danym operatorem
0:02:28.140,0:02:29.520
musi być zmieniona.
0:02:29.520,0:02:30.820
I teraz wyobraźmy sobie,
0:02:30.820,0:02:32.240
że w tej sieci mamy
0:02:32.240,0:02:35.000
kilkadziesiąt lokalizacji, czasem więcej.
0:02:35.000,0:02:38.980
Zmiania tej adresacji w takiej sieci
0:02:38.980,0:02:41.100
jest mocno problematyczna.
0:02:41.700,0:02:43.700
Jaka jest inna alternatywa?
0:02:43.700,0:02:46.220
Przed SD-WAN-em też widziałem,
0:02:46.220,0:02:48.220
że klienci korzystają z takich technologii
0:02:48.220,0:02:50.060
jak na przykład DMVPN,
0:02:50.060,0:02:51.820
zaproponowany przez CISCO.
0:02:52.660,0:02:55.000
DMVPN to technologia,
0:02:55.000,0:02:56.980
która miała w założeniu
0:02:56.980,0:02:59.220
zautomatyzować cały proces
0:02:59.640,0:03:01.640
łączenia tuneli IPSec-owych
0:03:01.640,0:03:04.260
pomiędzy lokalizacjami w trybie full mesh.
0:03:04.780,0:03:06.260
Czyli tutaj, w tym rozwiązaniu
0:03:06.260,0:03:08.000
mieliśmy centralny,
0:03:08.600,0:03:10.180
główny taki, router,
0:03:10.180,0:03:12.380
który służył za taki serwer kluczy.
0:03:12.380,0:03:16.020
Wszystkie routery w lokalizacjach zdalnych,
0:03:16.020,0:03:17.960
podłączone przez WAN
0:03:17.980,0:03:21.040
spinały się IPSec-ami do tego głównego routera
0:03:21.040,0:03:23.040
i ściągały sobie
0:03:23.040,0:03:25.160
już te klucze szczegółowe,
0:03:25.160,0:03:27.300
które były wymagane do połączeń
0:03:27.300,0:03:29.460
pomiędzy lokalizacjami w full meshu.
0:03:29.460,0:03:31.460
Jakie natomiast minusy
0:03:31.460,0:03:33.800
miała ta konfiguracja DMVPN-u?
0:03:33.800,0:03:36.360
Dość skomplikowane w debuggowaniu.
0:03:36.360,0:03:39.960
Jak również aspekt rozproszonej konfiguracji
0:03:39.960,0:03:42.160
był problemem dla wielu klientów
0:03:42.160,0:03:45.520
i ten element automatycznego podłączania
0:03:45.520,0:03:47.320
lokalizacji był atrakcyjny,
0:03:47.320,0:03:49.360
o ile wszystko ze sobą działało.
0:03:49.360,0:03:51.740
Natomiast troubleshooting, czyli rozwiązywanie problemów
0:03:51.740,0:03:54.480
jest do tej pory w tych sieciach sporym wyzwaniem.
0:03:54.760,0:03:56.920
No i na koniec mamy
0:03:57.200,0:04:00.240
nasze rozwiązanie w postaci systemów
0:04:00.880,0:04:01.880
SD-WAN.
0:04:02.200,0:04:04.880
Czy SD-WAN jest nam w stanie pomóc
0:04:04.880,0:04:07.880
w zakresie tej automatyzacji
0:04:07.880,0:04:10.400
jednocześnie zapewniając nam
0:04:10.660,0:04:13.040
centralny punkt konfiguracji,
0:04:13.260,0:04:16.300
monitoringu i nadzoru.
0:04:17.140,0:04:19.000
Co trzeba zrobić, żeby
0:04:19.220,0:04:22.120
nasze rozwiązanie SD-WAN-owe spełniło
0:04:22.120,0:04:25.100
swoje zadanie i było w pełni automatyczne,
0:04:25.100,0:04:27.100
jeżeli chodzi o implementację lokalizacji?
0:04:27.940,0:04:30.180
Mam tutaj takie urządzenie.
0:04:30.180,0:04:33.640
To jest urządzenie akurat w produkcji firmy Aruba.
0:04:33.640,0:04:36.440
Jest to router, który
0:04:37.020,0:04:39.340
pełni tutaj funkcję tego routera
0:04:39.340,0:04:41.340
do zdalnej lokalizacji.
0:04:41.340,0:04:43.340
Założenie jest takie, że
0:04:43.340,0:04:45.340
jeżeli mamy w pełni skonfigurowany
0:04:45.340,0:04:47.040
ten nasz scenariusz
0:04:47.040,0:04:48.780
automatycznej konfiguracji,
0:04:48.780,0:04:50.780
to wystarczy, że dowolna osoba,
0:04:50.780,0:04:53.180
niekoniecznie z głęboką wiedzą techniczną,
0:04:53.460,0:04:55.660
w tej lokalizacji realizując implementację,
0:04:55.660,0:04:58.200
wykona taką czynność.
0:04:59.800,0:05:01.220
Od tego momentu,
0:05:01.220,0:05:03.900
wszystko powinno się zadziać automatycznie.
0:05:03.900,0:05:06.580
Czyli to urządzenie powinno się uruchomić,
0:05:06.580,0:05:08.920
pobrać sobie adres IP
0:05:08.920,0:05:10.920
przez to podłączenie.
0:05:10.920,0:05:13.080
W większości implementacji,
0:05:13.080,0:05:14.580
tych SD-WAN-owych,
0:05:14.580,0:05:16.220
założenie jest takie, że
0:05:16.220,0:05:19.600
powinien być więcej niż jeden operator na WAN-ie,
0:05:19.600,0:05:21.600
czyli operator dostarczający nam internet.
0:05:22.460,0:05:25.020
Jeżeli nie mamy tego spełnionego,
0:05:25.020,0:05:26.840
to oczywiście rozwiązanie zadziała,
0:05:26.840,0:05:29.380
ale tutaj już nie będziemy mieli tak dużo tych plusów,
0:05:29.380,0:05:31.880
które z SD-WAN-em nam się wiążą.
0:05:32.380,0:05:34.780
W jaki sposób, jeżeli mamy tutaj,
0:05:34.780,0:05:36.780
tą naszą centralną konfigurację
0:05:36.780,0:05:39.800
i podłączymy to urządzenie w zdalnej lokalizacji
0:05:40.060,0:05:42.840
nam się podłączy ta lokalizacja?
0:05:43.420,0:05:44.960
Z naszego punktu widzenia,
0:05:45.440,0:05:47.780
przed chwilą pokazany router w zdalnej lokalizacji,
0:05:47.780,0:05:49.580
to jest właśnie ten.
0:05:51.880,0:05:54.400
I w tym przykładzie, który tutaj pokazuję,
0:05:54.400,0:05:56.700
jest on podłączony dwoma nogami.
0:05:56.700,0:05:59.040
Jednym połączeniem jest do internetu.
0:06:01.900,0:06:05.800
A drugim podłączeniem jest do sieci MPLS.
0:06:10.180,0:06:12.060
Czy ma znaczenie dla nas to,
0:06:12.060,0:06:14.440
czy to jest sieć MPLS czy sieć Internet?
0:06:14.440,0:06:17.380
Z punktu widzenia SD-WAN-u nie ma znaczenia.
0:06:17.660,0:06:19.660
Dlatego, że w rozwiązaniu SD-WAN-owym
0:06:19.660,0:06:22.140
zakładamy, że tutaj
0:06:22.140,0:06:24.140
na dostępne łącze IP
0:06:24.140,0:06:26.520
będzie nakładany tunel IPSec-owy.
0:06:26.840,0:06:28.300
Czyli w naszym przykładzie
0:06:29.840,0:06:32.820
będzie spinany tunel od lokalizacji
0:06:33.220,0:06:36.280
do ośrodka centrum przetwarzania danych.
0:06:36.580,0:06:38.420
I to nie jest nic nowego.
0:06:38.420,0:06:40.860
Tego typu połączenie, wcześniej, przed SD-WAN-em
0:06:40.860,0:06:42.100
również było stosowane.
0:06:42.820,0:06:45.060
To, co jest nowe w SD-WAN-ie
0:06:45.060,0:06:47.180
to to, że my jednocześnie
0:06:47.180,0:06:49.180
spinamy sobie tunel IPSec-owy
0:06:49.180,0:06:51.380
przez każde dostępne łącze
0:06:51.700,0:06:55.920
do każdego dostępnego routera w centrali.
0:06:55.920,0:06:58.360
Czyli mamy tutaj już narysowane dwa tunele.
0:06:59.080,0:07:00.520
Ale to nie jest wszystko.
0:07:00.520,0:07:04.280
Jeżeli mamy dwa uplinki, czyli internet i MPLS,
0:07:04.280,0:07:06.920
to z tego naszego routera
0:07:06.920,0:07:09.180
mamy dodatkowy tunel
0:07:10.480,0:07:13.000
do każdego z routerów w centrali.
0:07:13.000,0:07:17.080
Czyli w sumie wychodzi nam cztery tunele,
0:07:17.260,0:07:20.600
z czego dwa idą przez jednego operatora
0:07:21.720,0:07:24.260
a dwa przez drugiego.
0:07:24.260,0:07:25.960
Co jest jeszcze istotne.
0:07:25.960,0:07:27.960
W rozwiązaniu SD-WAN-owym
0:07:27.960,0:07:30.140
zakładamy, że wszystkie z tych tuneli
0:07:30.440,0:07:32.440
będą cały czas podniesione.
0:07:32.700,0:07:34.700
Czyli będą w trybie active-active
0:07:35.160,0:07:37.440
A to, którą trasę będziemy wybierać,
0:07:37.500,0:07:41.420
będzie zależało od tego, jaką politykę zastosujemy.
0:07:41.640,0:07:44.660
Co się stanie, jeżeli mamy, tak pokazane
0:07:44.660,0:07:46.800
tutaj wcześniej, łącze MPLS-owe
0:07:46.800,0:07:51.020
i to łącze MPLS-owe nie ma dynamicznie przypisywanego adresu IP?
0:07:51.740,0:07:53.660
Co to oznacza, na tym urządzeniu,
0:07:53.660,0:07:55.120
które tutaj pokazałem?
0:07:55.240,0:07:58.340
To znaczy, że nie mamy pełnej automatyzacji w tym scenariuszu.
0:07:58.460,0:08:01.200
Musimy mieć kogoś, kto przydzieli nam
0:08:01.200,0:08:02.860
statycznie adres IP
0:08:02.860,0:08:04.180
na interfejs tego urządzenia.
0:08:04.380,0:08:06.920
Tak, żeby to urządzenie mogło skomunikować się z centralą.
0:08:07.160,0:08:10.220
Jeżeli mamy sytuację, którą wcześniej omówiłem.
0:08:10.220,0:08:11.800
Czyli mamy dwa łącza.
0:08:11.800,0:08:13.660
Jedno z dynamicznym adresem IP,
0:08:13.660,0:08:15.000
a drugie ze statycznym,
0:08:15.000,0:08:16.580
to tutaj już możemy
0:08:16.580,0:08:19.000
w pełni skonfigurować tego typu
0:08:19.000,0:08:20.160
interfejs z centrali.
0:08:20.160,0:08:23.540
Ważne jest, żeby przynajmniej jedno połączenie WAN
0:08:23.540,0:08:26.380
było z dynamicznym adresem IP.
0:08:26.380,0:08:28.100
No i na koniec,
0:08:28.180,0:08:29.520
jaki minus widzę
0:08:29.520,0:08:31.520
tego rozwiązania SD-WAN-owego.
0:08:31.720,0:08:34.720
Dla klientów przede wszystkim, największym
0:08:34.720,0:08:37.560
minusem rozwiązań SD-WAN-owych na dzisiaj
0:08:37.560,0:08:38.840
jest brak wiedzy.
0:08:38.840,0:08:41.380
Czyli rozumienia tego, jak ten mechanizm działa.
0:08:41.380,0:08:45.300
Z natury rzeczy, rozwiązania dotyczące WAN-u
0:08:45.620,0:08:46.740
nie są trywialne
0:08:47.100,0:08:49.940
i każda sytuacja, która jest związana z awarią,
0:08:49.940,0:08:51.940
każda sytuacja, która jest związana
0:08:51.940,0:08:53.700
ze zmianą konfiguracji,
0:08:53.700,0:08:56.100
wskutek której utracimy połączenie
0:08:56.100,0:08:57.860
z jakąś częścią sieci
0:08:57.860,0:08:59.860
albo z całą częścią zdalną sieci
0:08:59.860,0:09:01.860
jest bardzo problematyczna.
0:09:02.400,0:09:04.400
I to jest element, który warto rozważyć,
0:09:04.580,0:09:06.580
jeżeli się zastanawiacie
0:09:06.580,0:09:08.580
nad tym, który
0:09:08.760,0:09:11.240
wariant sieci WAN wybrać.
0:09:11.580,0:09:14.360
Z drugiej strony warto mieć na uwadze, że
0:09:14.580,0:09:17.400
tego typu rozwiązania wybieramy na jakieś 7 lat.
0:09:17.540,0:09:19.540
Niektórzy nawet na 10 lat.
0:09:19.540,0:09:22.120
Nawet trudno jest przewidzieć z tej perspektywy,
0:09:22.120,0:09:24.820
co będzie wymagane w naszej sieci WAN
0:09:24.820,0:09:26.820
w tak długim okresie czasu.
0:09:26.820,0:09:29.120
I to jest też jeden z elementów,
0:09:29.120,0:09:31.200
dla których klienci rozważają
0:09:31.700,0:09:33.300
kupno sieci SD-WAN-owych.
0:09:34.280,0:09:36.140
Na dzisiaj to wszystko w tym odcinku.
0:09:36.140,0:09:37.320
Dziękuję Ci za uwagę.
0:09:37.320,0:09:40.060
I do usłyszenia w kolejnym. Do zobaczenia
%MCEPASTEBIN%