Ugrás a fő tartalomra

SD-BRANCH WS in Brussel Diegem

 SD-BRANCH WS in Brussel Diegem


Olyan tengersok ideje van az embernek, hogy nem tudjon mit is kezdjen vele… Ha látok ilyet, akkor majd szólok, most viszont sebtében (még a kobakomban van), innen a reptérről megírom a tapasztalataimat, az HPE által szervezett partnerek szóló 2 és fél napos Aruba SD-Branch workshop-ról.
Ahhoz, hogy mindenki értse miről is beszélek, indítsuk onnan, hogy az Aruba (vagy HPE) Brand-estített SDN megoldás mi célt szolgálhat az életünkben.
Alapvetően jár a piros pont az Arubának azért, hogy ezt a meglévő termékportfóliójára építette fel és nem akviráltak már egy befutott SD-WAN megoldással rendelkező gyártót (pl Riverbed).
Igen az Aruba SD-Branch célja, hogy Branch-ek és az adatközpont (DC) és vagy a HQ között SD-WAN hálózatot építsünk fel.

A HPE TSS kapcsán, amit írtam a SD-Branch-ről az így a 2,5 nap fényében már nem állja meg a helyét. Ugyanis eltérő módban kell használni az Aruba Mobility Controllereket, és nem Wireless controllerként szolgálnak a továbbiakban, hanem BGW-k (Branch Gateway) vagy VPNC-k (VPN Concentrator maybe ) lesznek, az orkesztrációért pedig az Aruba Central felel. Ami egy kicsit árnyalja az összképet, hogy ez így csak Cloud Managed SD-WAN, hasonlóan Meraki-hoz. Biztos vagyok benne, hogy lesznek/vannak olyan cégek, ahol no way to the cloud policy miatt nem tud az SD-Branch labdába rúgni, de egyébként minden másban megfelelne az elvárásoknak.

Mondjuk, erre én lazán rámondom, hogy sebaj majd Cisco Viptela… akarom mondani SD-WAN.

Na de térjunk vissza a workshopra és az SD-Branch-re:
A WS 2,5 napja alatt egyetlen marketing slide-ot sem láttam hála a jó égnek így deep dive volt az egész. Mondjuk, nem csodálom, hiszen alapfeltétel volt Aruba Central, MC (Mobility Controller) és AP (Access Point) valamint switching hands-on ismeretek. (ajaj most baj lesz…) Egy rövid ismertető után Bumm bele a közepébe… és 2,5 nap tömény labor.
Nem mennék végig a labor feladatokon, mert elveszteném az olvasók felét ezzel. (és rajtam kívül, senki más nem olvasná ezt) Helyette összefogalom a tapasztalataimat, az SD-Branch-el kapcsolatbn.

Az BGW-k felkonfigurálása nem túl bonyolult, addig a pontig, hogy az Aruba Central-ba integrálódjanak (gyakorlatban plug n play lehet , nincs másra szükség csak Internet hozzáférésre, és mobilról is történhet, regisztrálás). Onnantól kezdődik az SD-Branch kialakítása, hogy meghatározzuk a VPNC és BGW group-kat, amiken a Hub n Spoke VPN topológiát kialakítjuk:

Az BGW biztosítanak a már SD-WAN-ból megismert DPS (Dynamic Path Stearing), a VPNC-khez történő kapcsolódás rendelkezésre állását növelik, és természetesen az user forgalmat is olyan irányba tudjuk terelni, ami a mi SLA követelményeinknek megfelel.
Overlay-nek IPSec-et használnak aminek a beállítása lehet Manuális (Aruba Central-ból), és lehet Orchestrated, ami az automatikus tunnel kialakítást jelenti, mindenféle IPSEC konfigurációt mellőzve.
WS alatt eljutottunk az a alap architektúra kialakításától egészen a mély (Clear Pass, külső Cloud szolgáltatók stb.) integrációjáig.

Számomra különösen fontos volt abból a szempontból is a 2 és fél nap, hogy leginkább Cisco megoldásokra szoktam tervezni, és az implementációk többsége is Cisco szokott lenni, ettől függetlenül mindig is érdekeltek más gyártók megoldásai, főleg, hogy minden igény más és más, nem lehet minden feladatot egy csavarhúzóval megvalósítani (ha igen, ott nem biztos, hogy mérnöki tudás kell). Arubával kapcsolatom leginkább a vizsgákra való felkészülésben illetve 1-2 implementációban merült ki, így Aruba hands-on LAB-nak is elment.
A célom az volt, hogy WS végére, működő SD-WAN solution álljon el, ahol SSID federációt, switch konfigot, és policy-ket is egy helyről tudjam konfigurálni, és ez pedig az Aruba Central.
Ez természetesen sikerült (mellesleg a LAB guide-ot is befejeztem, ami egy kicsit több is volt ennél)
Elég jó kis felülettel rendelkezik (kicsit BUG-os, de mi nem az…) szerintem nagyban segítheti mind az implementációs és üzemeltetői feladatok elvégzésében a kedves kollégákat.
Pl ez különösen tetszett:
 Persze a BGW CLI továbbra is elérhető és a Central-ból is megnyitható:


Viszlát Diegem!!!4 ;)
Remélem legközelebb már egy IE vizsga miatt jövök!


Érdekesebb bejegyzések

Hálózat-virtualizáció a gyakorlatban - ACI fabric E01

Cisco ACI Kellett már nekünk mint egy falat kenyér, hogy végre történjen ebben VLAN-okba költözött posványos DC rendszerekkel valami... valami új. Mit tegyünk, ha hálózati infrastruktúrát az határozza meg, hogy adott VLAN-ok, hol vagy hol nem szerepelhetnek az infrastruktúrában, ha egy létesítést 8 különböző IT vezetőnek kell jóváhagyni, ha a felelősség tolása másra fontosabb, mint a projekt végrehajtása. Cisco ACI-ról írni nehéz dolog egy olyan alternatív IT valóságban, ami ma Magyarországon van... Mert amíg azzal küzdünk bizonyos helyeken, hogy az ultrafontos IT app egy 486-os gépen fut, ami csak 10M half-ot tud, addig nem tudjuk a 20 éve EoS demarkációs switch-et lecserélni, a lassan szintén EoS státuszba kerülő "legújabb" Nexus switch-re. Addig felesleges bárminek is a infrastruktúrában alkalmazás centrikusnak lenni, amíg az alkalmazásunkat támogató csapat az eniac-os lyukkártyás időszakon mereng, és még mindig nem fogadja el 21 századot. Mint azt egy korábbi be

SD-WAN vagy SD-NINCS II. epizód Cisco (Viptela) 1

Cisco SD-WAN első rész Bevezető Élek az alkotói szabadság jogával, és ellentétben az eddigiekkel kicsit rövídítek a post címén. Eredetileg ez a sorozat Hálózat-virtualizáció a gyakorlatban SD-WAN vagy SD-NINCS II.rész Cisco (Viptela) 1 címet kapta volna, csak hát: Kib@#&0tul hosszú lenne. Az SD-WAN témakör önmagában megér egy post sorozatot. A Cisco SD-WAN-ról sok mindent lehet írni, így ez is megér egy önálló post sorozatot. Cisco SD-WAN-nak nem kis történelmi háttere van már, hiszen a megoldást szakmai berkekben leánykori néven viptelának is hívják. A Cisco 2017 májusában fejezte be a Viptela akvizícióját, és termékeit saját megoldásként, immáron 3 éve Cisco SD-WAN megoldás részeként kínálja az ügyfelei felé. Azért hivatkozunk a szakzsargonban Viptela néven a megoldásra, mert a Cisco-nak további SD-WAN megoldásai léteznek, illetve léteztek: SD-BRANCH (ENCS platform) Meraki SD-WAN IWAN (performance routing alapú, APIC-EM vezérelt kezdeményezés, ami sajnos kihalt )

Hálózat-virtualizáció a gyakorlatban SD-WAN vagy SD-NINCS I. epizód Fortigate

SD-WAN vagy SD-NINCS I. rész Ez a bejegyzés sorozat ötlete, akkor merült fel bennem, amikor különböző gyártók SD-WAN-nak titulált megoldásait próbáltam összegezni magamban... Figyelemebe véve az alap elképzelést és a technikai megvalósíthatóságot, három kategóriát állítottam fel ezekre megoldásokra: SD-WAN megoldások - melyek biztosítják a transzport agnosztikus átvitelt, lehetőséget adnak a szolgáltatótól független topológia kialakítására központi orkesztráció és kontroll segítségével, továbbá az üzleti alkalmazások számára északi irányú API integrációra adnak lehetőséget. SD-NINCS megoldások - melyek marketing anyagokban szerepeltetik az SD-WAN-t, viszont technikai oldalról csak egy jól komponált policy based routing, ami  maximum megvalósítható. SD-LESZ megoldás - valahol a kettő között... Fortigate SD-WAN Március 13-ka óta HOME-OFFICE-ban dolgozom. Nem volt egyszerű az átállás, legalábbis mentálisan mindenképpen megterhelő a napi feladatok elvégzése úgy, hogy közbe

IPAR 4.0 - Okos megoldások, hülyén megvalósítva

IPAR 4.0 Telekommunikációs és informatikai berkekben, az IPAR 4.0 eszközöket valahogy úgy definiáljuk, hogy ipari cuccok amik IP hálózaton is kommunikálnak... Természetesen ez egy durva egyszerűsítés, de ebből a szögből nézve a gyártásban betöltött szerepe nem annyira fontos, mint a hálózatban elfoglalt helye. Ezek olyan tipikusan beágyazott-rendszer alapú megoldások, melyek saját operációs rendszerrel rendelkezhetnek, és IP kommunikációra, egy már korábban lefejlesztett általában valamilyen linux alapú kernel modult használnak. Az ilyen eszközök mondhatni semmilyen tűzfal vagy végpontvédelmi megoldással nem rendelkeznek, kommunikációjuk az adatgyűjtő berendezésekkel általában nem titkosított, így potenciális veszélyforrást jelentenek a hálózatunkban. Nos eddigi tapasztalataim alapján az IoT és/vagy SMART termékek terén az, hogy minél olcsóbban, minél több szolgáltatást legyenek képesek nyújtani a végfelhasználó felé. A ipari plc-k vezérlő szoftvere - amin keresztül menedzs