Cisco Schweiz Blog

Cisco DNA für Router – was bedeutet die neue Lizenzierung

3 min read



Einheitliches Cisco DNA Lizenz Schema
(*Aktualisiert am 19. Juli 2019*)

Cisco hat im April 2018 eine neue, vereinheitlichte Cisco DNA Lizenzierung für WAN ins Leben gerufen, resp. angepasst.
Ich werde im Blog Auszüge und Informationen aus diesem und diesem Dokument verwenden und empfehle darum für weitere Details auch noch einen Blick in die entsprechenden Dokumente zu werfen.

Intent-Based Network

Als Teil des “Intent-based Network” Ansatzes (auf Deutsch etwas sperrig als “absichtsbasiertes Netzwerk” bezeichnet) hat Cisco im Juni und September 2017 bereits die Lizenzierung für Switching (angefangen mit dem neuen Catalyst 9000) und für WLAN überarbeitet und auf die wiederkehrenden Lizenzen umgestellt. Die Router Plattformen ziehen nun mit dem im April 2018 veröffentlichten “Cisco ONE subscription for Routing” Schema ebenfalls nach.

Hintergrund der wiederkehrenden Lizenzierungen ist die immer grössere Wichtigkeit von Software und dass deren ständige Weiterentwicklung sichergestellt werden muss. Durch einmalige Einnahmen von Hardwareverkäufen kann die Finanzierung der entsprechenden Software über die lange Lebensdauer der eingesetzten Geräte nicht (mehr) sichergestellt werden.
Die Hardware wird in der Regel einmalig beschafft und im Normalfall ohne grosse Änderungen über Jahre hinweg unverändert eingesetzt, die Software jedoch muss permanent gepflegt, aktualisiert und weiterentwickelt werden – “never touch a running system” ist schon länger kein ideales Vorgehen mehr.

Cisco DNA subscription für WAN

 

Ein generelles Schema

 

Die neue “Cisco DNA for Routing” Lizenzierung vereinheitlicht auf der einen Seite Cisco SD-WAN, aber auch die Funktionen von der traditionellen iWAN & Routing Seite zu einem generellen Schema mit allen zur Verfügung stehenden Funktionen für alle Enterprise Router-Klassen, aufgeteilt in drei Bereiche:

  • Cisco DNA Essential for WAN -> Grundlegende Anforderungen
  • Cisco DNA Advantage for WAN -> Höhere Anforderungen
  • Cisco Premier for WAN -> “Advanced Security & all you can eat”

Vom Ansatz her gleich wie bei Switching und WLAN, übernimmt Cisco DNA for Routing die gleiche Lizenz Struktur und ist für 3 oder 5 Jahre verfügbar.

SD-WAN als Beispiel

Schauen wir uns die Cisco DNA Lizenzierung am Beispiel von SD-WAN an:

  • Cisco DNA Essentials (bis 50 Geräte):
    Hub&Spoke sowie Full-Mesh Topologie, SD-WAN mit Applikations-Erkennung (DPI) und DPI-Policies, Firewall und IPS als Sicherheits-Module sowie Umbrella Connector
  • Cisco DNA Advantage (> 50 Geräte): beinhaltet Cisco DNA Essentials plus:
    Alle Arten von Topologien, Cloud-Optimierung (Cloud on-ramp), erweiterte SD-WAN Sicherheits Funktionen (URL-Filtering, AMP), erweiterte Sicherheitsfunktionen sowie Entscheidungen basierend auf Applikations-Erkennung, Full-Scale Segmentierung, Analytics, WAN Optimierung (WAAS)
  • Cisco Premier: beinhaltet Cisco DNA Advantage plus:
    Zusätzliche Lizenzen rund um Umbrella und Threat Grid.

 

 

Somit spielt es keine Rolle, welche Routing Plattform der Kunde wählen möchte, betreffend der Lizenzierung ist alles vereinheitlicht und nur die Funktionsanforderungen entscheiden über die entsprechende Lizenz-Stufe.

Schauen wir uns das Vorgehen für eine SD-WAN Lösung mal genauer an:

Für eine funktionierende SD-WAN Lösung wird also benötigt:

  • Die entsprechende Cisco DNA Lizenz (Essentials, Advantage oder Premier) mit der gewünschten Laufzeit und der WAN Bandbreite* (Punkte 1-3)
  • Wahl, ob bei SD-WAN das Management on-prem oder Cloud based betrieben werden möchte (Punkt 4)
  • Router (z.B. vEdge, ISR 1k, 4k, oder ASR 1k) mit der passenden IOS-XE Software (das entsprechende IOS Feature-Set: Essential oder Advantage) (Punkt 5)

Voilà, das war es bereits. Denn bei der Cisco DNA Subscription sind die Lizenzen für die Management Systeme (wahlweise vManage oder Cisco DNA-Center) bereits mit dabei.

Und während die ehemaligen AX oder AXV Lizenzen jeweils “nur” die entsprechenden IOS Funktionalität ermöglichten, wird mit der neuen Cisco DNA Lizenz sogar diese, plus die neuen Cisco SD-WAN Funktionen zur Verfügung gestellt. Bei SD-WAN auch gleich noch wahlweise mit von Cisco betriebenen Back-End Systemen in der Cloud oder alternativ On-Prem beim Kunden – zum gleichen Preis !).
Um die Back-End Systeme abbzuilden und gleich korrekt bestellen zu können, gibt es die Cisco DNA Lizenz entweder als “-C” (Cloud based) oder “-P” (On-Prem) Varianten.
Wie bereits erwähnt sind bei den jeweiligen Cisco DNA Pakete die Managemenet System-Lizenzen für vManage (Cloud based oder On-Prem) oder Cisco DNA-Center (On-Prem) bereits enthalten und müssen somit nicht separat beschaffen werden.

Für neue Installationen kann direkt ein Router mit entsprechender Cisco DNA Lizenz als Bundle bestellt werden und im Falle einer bestehenden Installation gibt es eine Bestell-Nummer nur für die Cisco DNA Lizenz (L-LIC-DNA-ADD)

Es gibt noch einige wenige Bundle-Varianten, die nicht direkt als Cisco DNA Paket bestellt werden können (z.B. ein AXV Bundle mit Voice Funktionen) – hier kann weiterhin das AXV Bundle bestellt und dann mittels L-LIC-DNA-ADD mit der gewünschten Cisco DNA Lizenz kombiniert werden.

Bei Fragen zu Details findet ihr hier und hier weiterführende Infos oder ansonsten einen Cisco Vertreter oder Partner anfragen. Alternativ könnt ihr auch unten die Kommentar Funktion nutzen.

 

*Als WAN Bandbreite wird für die Lizenzierung die eingesetzte Bandbreite aller WAN Links zusammengezählt (jeweils in eine Richtung) und die höhere Summe davon für die Lizenzierung verwendet.
(Beispiel: Ein Router hat drei WAN Links mit Bandbreiten von 100/100Mbps, 100/10Mbps und 200/50Mbps. Die Kalkulation wäre somit: 100+100+200Mbps = 400Mbps -> die entsprechende Lizenz wäre somit eine 500Mbps Lizenz).

 

 

Nachtrag – 19. Juli 2019 – Stichwort Security

Cisco hat mit dem 18.4 und 19.1 Release im Dezember, resp. April sehr mächtige Security Fähigkeiten für die SD-WAN Lösung nachgeliefert., Stichworte sind hier:

  • Application based Firewall
  • URL-Filtering
  • IDS/IPS
  • AMP mit Sandboxing (Threat-Grid) -> kam mit 19.1 dazu

Alle Sicherheits-Module laufen “on-box” auf dem Router und werden aus vManage heraus betrieben – es werden keine weiteren Management Systeme benötigt. Das oben gezeigte Lizenzmodell zeigt die aktuelle Sicht vom Juli 2019.

Authors

Daniel Girardet

System Engineer

Kommentar hinterlassen


12 Kommentare

  1. Hi Daniel,

    leider verstehe ich das DNA Licensing für Routing immer noch nicht ganz.

    Wenn ich mir jetzt im CCW eine ASR1001-X-DNA konfiguriere, werden mir folgende Abonnements vorgeschlagen:
    – DNA On-Prem Subscription
    – DNA Cloud Subcription
    Und – je nachdem, ob ich On-Prem oder Cloud auswähle:
    – DNA Expansion mit folgendem Inhalt:

    *bei Auswahl von Cloud Subcription
    – C1-ISRWAAS-2500-T
    – C1-VWAAS-6000-T
    *bei Auswahl von On-Prem Subscription
    – SDWAN-DNA-A
    – C1-ISRWAAS-2500-T
    – C1-VWAAS-6000-T

    Was wird mit welchem Punkt lizenziert? Ich dachte, DNA gibt es nur als On-Prem Variante oder werden hiermit die SD-WAN Controller gleich mit lizenziert?

    Die On-Prem und Cloud Abos lizenzieren den Durchsatz nur bis zu einer bestimmten Höhe (hier am Beispiel ASR1001-X bis 2.5 GB). Darüber hinaus gehende Durchsatzgrößen müssen separat lizenziert werden?

    Danke und Grüße,
    Andre

    • Daniel Girardet

      Hallo Andre

      Das sprengt langsam etwas den Rahmen der Forums-Funktion… ansonsten machen wir besser mal ein Telefonat.

      Also, die Lizenzen beinhalten einerseits die SD-WAN Funktionalität und wir geben hier auch noch WAAS Lizenzen mit, die du für unsere WAN-Optimierungslösung verwenden kannst (sofern du diese einsetzen möchtest – ist eine ad-on Lösung).
      Des weiteren wählst du bei der DNA-Lizenz die Provisionierungs-Variante der Controller, somit wäre Cloud based ein Hosting bei Cisco und On-Prem die Variante, bei der du die Controller selber irgendwo hostest.
      Dann wird die Lizenz auch noch anhand der Performance gewählt, so z.B. erlaubt dir die 2.5Gbps DNA Lizenz den Einsatz des Routers bis 5Gbps Full-Duplex (2.5Gbps down- und 2.5Gbps upstream). Höhere Lizenzen können später auch noch erworben werden – dies dann mittels entsprechenden Rabatt gemünzt auf die Laufzeit der bestehenden Lizenz.

      Make sense ?

      Viele Grüsse
      Daniel

      • Hi Daniel,

        danke für die Erklärung. Jetzt macht es Sinn!

        Mir war nicht bewusst, dass man immer zwangsweise SD-WAN erwerben muss, obwohl man ausschließlich DNAC und klassisches WAN betreiben möchte.

        Schöne Grüße,
        Andre

  2. Hallo Daniel,

    vielen Dank für die Ausführung!

    Ich habe allerdings noch einige Verständnisfragen bzw. Probleme explizit zu dieser Aussage "Bei SD-WAN auch gleich noch wahlweise mit von Cisco betriebenen Back-End Systemen in der Cloud oder alternativ On-Prem beim Kunden – zum gleichen Preis !)."

    Soweit ich es richtig verstehe, ist "vManage" die Cloud-Variante der DNA-Appliance „DN2-HW-APL“, richtig? Ich verstehe das aber so, dass damit nur das Routing (SD-WAN) gemanaged wird. Oder kann ich auch meine DNA-Catalysts über vManage betreiben?

    Weiterhin habe ich im FAQ gelesen, dass vManage bei neuen Bestellungen auf den kompatiblen Router-Serien bereits vorinstalliert ist. Das heißt, um die restlichen Komponenten in der Cloud-Lösung managen zu können, benötige ich zwangsläufig einen Router mit einer vManage-Lizenz?

    Danke für die Aufklärung!

    Grüße,
    Andre

    • Daniel Girardet

      Hallo Andre

      Hm… da muss ich etwas ausholen – lass mich gleich auf deine Fragen eingehen:

      Q: "Soweit ich es richtig verstehe, ist "vManage" die Cloud-Variante der DNA-Appliance „DN2-HW-APL“, richtig? Ich verstehe das aber so, dass damit nur das Routing (SD-WAN) gemanaged wird. Oder kann ich auch meine DNA-Catalysts über vManage betreiben?"

      Dani: Nicht ganz, da hast du zwei verschiedene Produkte und Architekturen erwischt.
      vManage ist ein Bestandteil des SD-WAN Backends (neben vSmart & vBond) und wird für den Betrieb und die Konfiguration der WAN Fabric eingesetzt, während das DNA-Center (das als Lösung auf der von dir erwähnten Appliance läuft) für den Campus im Bereich Switching und WLAN sowie der Campus-Fabric (SDA) eingesetzt wird.
      Da ein DNA-Center jedoch auch als Management Plattform generell für Element-Mgmt eingesetzt werden kann, sind auf dem DNA-C somit neben den Switches und WLAN Komponenten auch Router unterstützt, diese dann jedoch im "non SD-WAN" mode oder allenfalls mit iWAN – aber nicht im Viptela SD-WAN mode, dies ist dann ausschliesslich dem vManage/vSmart & vBond Gespann vorgehalten.

      Somit:
      – Mit vManage betreibst du die Viptela SD-WAN Lösung
      – Mit DNA-Center betreust du deine Catalyst Switches, die WLAN Komponenten und die ISR Router im non SD-WAN mode

      ==============================

      Q: "Weiterhin habe ich im FAQ gelesen, dass vManage bei neuen Bestellungen auf den kompatiblen Router-Serien bereits vorinstalliert ist. Das heißt, um die restlichen Komponenten in der Cloud-Lösung managen zu können, benötige ich zwangsläufig einen Router mit einer vManage-Lizenz?"

      Dani:
      vManage als SD-WAN Controller ist als VM (virtuelle machine) nicht auf einem Router installiert, das was du vermutlich meinst ist das SD-WAN IOS-XE image (das Betriebssystem des Routers).
      Im Falle von Viptela SD-WAN wird eine Controller Infrastruktur (vManage, vSmart & vBond) benötigt, diese sind als VMs entweder cloud based oder on-prem implementierbar, für eine Campus Fabric (SDA) wiederum wird das erwähnte DNA-Center (gibt es aktuell nur als physikalische Appliance für on-prem) und die entsprechenden Switches & WLAN Komponenten benötigt.

      Hier sind einige weiterführende Infos rund um DNA-Center und der Viptela SD-WAN Lösung als Vergleich:
      DNA-Center: https://www.cisco.com/c/en/us/products/cloud-systems-management/dna-center/index.html
      Viptela SD-WAN: https://www.cisco.com/c/en/us/solutions/enterprise-networks/sd-wan/index.html#~benefits

      Ich hoffe dies hilft weiter ?

      • Hallo Daniel,

        das hilft mir sehr weiter! Vielen Dank für deine sehr verständliche und ausführliche Erklärung!

        Zu Management des SD-WANs habe ich allerdings noch einige Verständnisprobleme.

        Ist meine Analogie richtig bzw. wie kann SD-WAN On-Prem gehostet werden und wie findet die Verbindung zum DANC für die Visualisierung statt? Oder hat es gar nichts mit DNAC zutun und vManage und Co. wird ledigllich über DNA-Abos lizensiert?

        SD-WAN
        -> Cloud-based > HW/SW nur mit SD-WAN Image über cloud hosted vMange und co.
        -> On-Prem > HW/SW nur SD-WAN Image über Server (welcher mit DNAC connected wird/sein muss?)?

        WAN
        -> On-Prem > HW/SW nur mit klassischem Image über DNAC

        Danke und Grüße
        Andre

        • Daniel Girardet

          Salut Andre

          Q: "Ist meine Analogie richtig bzw. wie kann SD-WAN On-Prem gehostet werden und wie findet die Verbindung zum DANC für die Visualisierung statt? Oder hat es gar nichts mit DNAC zutun und vManage und Co. wird ledigllich über DNA-Abos lizensiert?"

          Dani: Die SD-WAN Controller können in der Form der VMs sowohl on-prem als auch cloud based gehostet werden. Die Controller agieren als Einheit – ein DNAC wird bei SD-WAN wie erwähnt nicht benötigt. Und ja, sowohl SD-WAN als auch das DNA-Center werden via entsprechenden DNA-Lizenzen auf den Endgeräten lizenziert.
          Eine Verbindung zwischen den SD-WAN Controllern und dem DNA-Center wird nur dann verwendet, wenn die beiden Lösungs-Bausteine (SDA und SD-WAN) interagieren müssen, dies ist dann aber eine eigene Thematik namens Multidomain, das Cisco gerade am hochfahren ist:
          https://blogs.cisco.com/enterprise/3-ways-intent-based-networking-fulfills-business-intent-with-multi-domain-integration

          ==================

          Q: SD-WAN
          -> Cloud-based > HW/SW nur mit SD-WAN Image über cloud hosted vMange und co.
          Dani: Das bieten wir seitens Cisco als hosted Lösung an, oder du baust dies selber in einem Datacenter deiner Wahl auf

          -> On-Prem > HW/SW nur SD-WAN Image über Server (welcher mit DNAC connected wird/sein muss?)?
          Dani: Nein, bei on-prem sind die SD-WAN Controller on-prem, das SD-WAN Image ist das OS auf dem CPE (das natürlich dann in den Branches steht) – wie gesagt hat jedoch SD-WAN mit DNA-C aus Sicht der SD-WAN Fabric nichts zu tun.

          WAN
          -> On-Prem > HW/SW nur mit klassischem Image über DNAC
          Dani: Nur im Falle von non SD-WAN…

          =================

          Generell scheinst du nach dem Verständnis rund um Viptela SD-WAN zu fragen – schau doch dazu mal meine anderen Blogs an:
          https://gblogs.cisco.com/ch-de/2018/02/23/sd-wan-was-ist-das-teil1/
          https://gblogs.cisco.com/ch-de/2018/02/28/sd-wan-was-ist-das-teil-2/
          https://gblogs.cisco.com/ch-de/2018/03/07/sd-wan-was-ist-das-teil3/

          • Hi Daniel,

            ich habe mir alle 3 Teile zum Thema durchgelesen. Die Ausführungen waren sehr gut und leicht verständlich.

            Ich habe festgestellt, dass meine Verwirrung daher kam, weil ich folgenden Absatz falsch verstanden habe:
            „Wie bereits erwähnt sind bei den jeweiligen Cisco DNA Pakete die Managemenet System-Lizenzen für vManage (Cloud based oder On-Prem) oder Cisco DNA-Center (On-Prem) bereits enthalten und müssen somit nicht separat beschaffen werden.“

            Ich habe einfach das „oder On-Prem“ bei vManage nicht wahrgenommen und war daher verwundert, weil ich dann darauffolgend dachte, dass die On-Prem Variante (von vManage) das DNA-Center sein soll. Die folgende Grafik „What can you buy?“ hat dann ihr Übriges getan, weil sie m.E.n. diese falsche Annahme suggeriert (SD-WAN Management On-Prem über DNA Center).

            Wie kann ich mir das vorstellen? Je nachdem, ob ich SD-WAN mit Management On-Prem oder Cloud-based buche, erhalte ich wahlweise eine Software die ich auf meinen Server aufspielen und einrichten kann (ähnlich DNA-Appliance, nur eben ohne HW) oder einen Online-Zugang zu der von euch gehosteten Lösung?

            Danke und Grüße,
            Andre

          • Daniel Girardet

            Salut Andre

            Q: "Wie kann ich mir das vorstellen? Je nachdem, ob ich SD-WAN mit Management On-Prem oder Cloud-based buche, erhalte ich wahlweise eine Software die ich auf meinen Server aufspielen und einrichten kann (ähnlich DNA-Appliance, nur eben ohne HW) oder einen Online-Zugang zu der von euch gehosteten Lösung?"

            Dani: Bei on-prem erhälst du von uns die entsprechenden Software-Images für vManage, vSmart und vBond und kannst diese auf der Server Infrastruktur deiner Wahl installieren (Als Hypervisor sind ESX und KVM unterstützt), bei einer Cloud Lösung erledigen wir dies für dich und du bekommst den Admin-Zugriff auf vManage.

            Details zu einer on-prem Installation: https://sdwan-docs.cisco.com/Product_Documentation/Getting_Started/Hardware_and_Software_Installation/Server_Hardware_Recommendations

  3. Seit einiger Zeit ist es nicht mehr möglich, die ISR 4000 Router über die perpetual Cisco ONE Lizensierung ohne DNA Subscription zu beschaffen. Seit Anfang des Jahres gilt dies auch für die C1111.
    Gibt es für diese Umstellung irgendwo eine Dokumentation der Stichtage?
    Wann ist der Stichtag für die ASR1001-X Router?

    • Daniel Girardet

      Hallo Sebastian

      Zumindest bei den AX/AXV Bundels sollte dies weiterhin ohne DNA möglich sein, auch für den ISR 1100 – achte jedoch darauf, dass du nicht mit der DNA Option bestellst, sondern mit der "normalen" Bestellnummer (z.b. C1111-8P und nicht C1111-8P-DNA).

      Weitere Details sind auch hier zu finden:
      https://www.cisco.com/c/dam/en/us/products/collateral/software/dna-software-routing-subscription.pdf

      Bei einer C1 Bestellung scheint aktuell eine DNA 50Mbps Lizenz erforderlich zu sein, aber nur diese. Ich kläre jedoch noch mit dem zuständigen Product Manager, was die Antwort ist, wenn der Kunde sein Netzwerk ohne DNA-Center managen möchte, dann ist die DNA Lizenz eigentlich nicht erforderlich.

      Viele Grüsse
      Daniel

      — Update, 6. Februar 2019 —-

      Die Business Unit hat bestätigt, dass bei einer C1 Bestellung neu eine DNA Subscription verlangt wird, dies aus mehreren Gründen:
      1) Die DNA Subscription ersetzt die bisherige SWSS Wartung
      2) Die Preisgestaltung liegt näher beim bisherigen SWSS wenn die entsprechende Bandbreite gewählt wird
      3) Es erleichtert eine spätere Umstellung auf SD-WAN, da die erforderliche Lizenz bereits gelöst ist.

      Viele Grüsse
      Daniel

      • Vielen Dank für die Klärung!