Der Aufbau der Lösung mit der passenden Lizenz (aktualisiert – September 20)
Die Cisco SD-WAN Viptela Lösung ist mit einer Bandbreite sowie Subscription basierenden Lizenzierung auf dem jeweiligen Router aufgebaut.
Ich stelle jedoch in Gesprächen mit Kunden fest, dass die Lizenzierung in Details immer wieder zu Unsicherheiten – vor allem im Bereich der Bandbreite – führt, darum soll dieser Blog dabei helfen, diese zu beseitigen.
Die Lösung ist im Grundsatz folgendermassen aufgebaut:
- Wahl des entsprechenden Routers (ISR 1k, 4k, ASR 1k, CSR1kV oder ISRv)
- Controller Hosting wählen (on-prem oder Cloud basierend)
- Wahl des Feature-Sets (Cisco DNA Essentials, Advantage oder Premier) sowie deren Laufzeit
- Bandbreite
- Fertig.
Ich gehe kurz auf alle oben beschriebenen Punkte ein, etwas tiefer dann auf den Aspekt der Performance.
1) Wahl des entsprechenden Routers
Hier entscheidet primär die gewünschte Bandbreite, die Tunnel Skalierung sowie gewisse Funktionalitäten wie die gewünschten Security Features sowie Art und Anzahl der Interfaces über den ensprechenden Geräte-Typ.
Neben den Viptela eigenen Hardware-Geräten der vEdge Serie werden die Cisco ISR 1000, 4000 sowie die ASR 1000 Familien sowie der CSR1000V und ISRv mittels einem SD-WAN Image unterstützt, das entweder direkt ab Werk oder alternativ auch via Software-Download von www.cisco.com bestückt werden kann.
Da die vEdge Geräte nicht mehr strategisch sind, gehe ich in diesem Blog nicht mehr tiefer auf diese Familie ein.
Die Router skalieren je nach Art betreffend der Bandbreite oder entsprechend den gewünschten Interfaces und sollten gemäss diesen Aspekten gewählt werden. Eine kleine Aussenstelle mit einer Bandbreite von 50Mbps sowie Ethernet-Anschlüssen eignet sich zum Beispiel ideal für einen ISR 1100, während sich für einen grösseren Standort mit 200 Mitarbeitern und einer Bandbreite von 500Mbps ein ISR 4331 anbieten würde.
Cisco hat bei Bedarf ein entsprechendes “Router Selector” Tool gebaut, das bei der Wahl des korrekten Gerätes helfen kann:
2) Controller Hosting wählen (on-prem oder cloudbasierend)
Bei diesem Aspekt wird entschieden, ob die SD-WAN Controller (vManage, vSmart, vBond) in der (public) Cloud oder on-premise beim Kunden laufen sollen. Der Preis diesbezüglich ist wie bereits weiter oben erwähnt identisch, bei einem Cloud basierenden Hosting werden alle betrieblichen Aspekte wie Monitoring, Strom, Kühlung, Server-Hardware von Cisco übernommen, der Kunde übernimmt “lediglich” den Betrieb (Konfiguration, Updates, Zertifikats-Erneuerung) des Backends. Als Standorte für das Hosting kann innerhalb der EU oder international definiert werden, wobei Cisco in jedem Falle einen Geo-Redundanten Cluster über zwei verschiedene Datacenter provisioniert.
Bei einem on-premise basierenden Ansatz können die entsprechenden VMs für die Controller via cisco.com heruntergeladen werden – die Installation, das Hosting sowie der Betrieb übernimmt dann der Kunde selber.
Die einzige Ausnahme stellt vAnalytics dar, dieses Modul ist ab Cisco DNA Advantage enthalten, wird aber nur Cloud hosted angeboten. Bei Bedarf von Analytics on-premise verweisen wir auf die 3th Party Applikation LiveNX, resp. LiveSP von LiveAction. Die Produkte von LiveAction sind jedoch auch via Cisco erhältlich und befinden sich daher auch auf der Preisliste von Cisco.
3) Wahl des Feature-Sets (Cisco DNA Essentials, Advantage oder Premier) und deren Laufzeit
Das Feature-Set unterscheidet sich in den gewünschten Funktionen und ist entsprechend 3-stufig aufbauend von Cisco DNA Essentials, über Advantage hin zu Premier, wobei Advantage kumulativ auch Essentials beinhaltet usw. Während Essentials quasi die Einsteiger-Lizenz darstellt, bietet Advantage den besten Mix aller Eigenschaften und vorzugsweise eingesetzt. Aspekte wie Cloud Optimierung, volle Segmentierung oder auch Analytics sowie der volle Security Stack sind ab der Advantage enthalten. Die Cisco DNA Premier Lizenz ist dann interessant, wenn das volle Security Features set inklusive den Umbrella oder Threat Grid Funktionen verwendet werden sollen, denn Premier bietet hier zusätzliche Lizenzen im Umbrella & Threat Grid Bereich.
Mehr Details zu den einzelnen Feature-Sets sind in diesem Blog nachzulesen. Alle Feature-Sets sind Laufzeiten abhängig (3 oder 5 Jahre) pro Router zu lösen und beinhalten auch bereits das für den erforderlichen Betrieb benötigte Backend. Ich werde auch nie müde nochmals zu betonen, dass in diesem Preis auch bereits ein allfälliges Hosting bei Cisco enthalten ist – der Kunde kann sich somit frei entscheiden, ob er das Backend (vManage, vSmart, vBond) selber betreiben möchte oder von Cisco hosten lassen will – es ist der gleiche Preis und auch der Support des Backends ist bereits enthalten.
Die Laufzeit
Die entsprechende Lizenz ist auf dem Router für eine Laufzeit von 3 oder 5 Jahren zu wählen, dies wird gleich bei der Bestellung der Cisco DNA Lizenz angegeben (z.B. Cisco DNA Essentials auf einem ISR 1k für 3 Jahre).
4) Bandbreite
Kommen wir nun zu diesem ominösen Punkt der Bandbreite, der zu so viel Verwirrung und Unsicherheit führt. Die SD-WAN Lösung wird pro Router mit einer Bandbreite lizenziert und diese wird folgendermassen berechnet:
Es wird entsprechend dem Beispiel im Diagramm die Bandbreiten in jeweils eine Richtung (upstream sowie downstream) summiert und nur die höhere Bandbreite lizenziert. Bei einem Bursting wird der Wert über 95% der Zeit genommen – in der Praxis kann der Aspekt des Burstings im Normalfall jedoch oft ignoriert werden.
Ein LAN Anschluss des Routers muss nicht mit kalkuliert werden, da nur die Bandbreite der WAN Interfaces in die Berechnung einfliesst.
Ein weiterer Aspekt betreffend der Performance ist, dass der gewünschte Router dann auch die entsprechend geplante Verschlüsselungs-Bandbreite verarbeiten können muss. Ein ISR 1100 als Beispiel wäre mit 1Gbps Encryption überfordert, während ein ISR 4461 für 100Mbps Verschlüsselung überdimensioniert wäre. Cisco hilft in diesem Falle bereits, denn nicht jede Performance ist auf jedem Router verfügbar. Wir gehen sogar bereits von der Annahme aus, dass ein Kunde immer eine Full-Duplex Verbindung mit gleicher Performance-Belastung in beiden Richtungen wünscht – somit unterstützt ein Router mit einer 100Mbps Cisco DNA Lizenz bereits 200Mbps Encryption Performance. Für die Planung muss somit nicht jeder Router betreffend dem Encryption Durchsatz geprüft werden, dies hat Cisco mit der Zuweisung der entsprechenden Performance-Lizenzen pro Typ bereits korrekt vorweggenommen.
Konkret als Beispiel:
Der bereits erwähnte ISR 1100 bringt an Verschlüsselungs-Leistung 250-350Mbps IMIX durch und passt somit gut bis zur entsprechenden Cisco DNA 100Mbps Lizenz, das gleiche gilt auch für die übrigen Modelle.
Die nachfolgenden Tabellen helfen, den für die jeweilige Bandbreite entsprechenden Router auszuwählen:
Nebenbei – neu gibt es zwischen der 100 und 500Mbps Lizenz die Zwischenstufe einer 250Mbps Lizenz und die 20Mbps Lizenz wird zugunsten einer 25Mbps Lizenz ersetzt – hier gibt es das entsprechende EoS Bulletin.
In der Kombination wird nun die folgende Folie erklärbar. Sie zeigt als Beispiel alle Kombinationsmöglichkeiten für eine 100Mbps Lizenz auf:
- Performance
- Laufzeit
- Feature-Set
- Controller-Hosting
Konkret, aus der Aufstellung “rausgepickt”:
Eine DNA-C-100M-A-5Y ist eine Cisco DNA Lizenz, Cloud hosted mit 100Mbps Performance, einem Cisco DNA Advantage Feature-Set für eine Laufzeit von 5 Jahren (Y).
Alles klar? 😉
Lizenz Upgrades
Auch eine immer wieder gestellte Frage ist die der Lizenz-Upgrades. Der Kunde hat bereits ein Cisco Viptela SD-WAN im Einsatz und möchte die Bandbreite oder die Lizenz-Stufe verändern, z.B. den Anschluss von 50 auf 100Mbps erhöhen oder die Lizenz von Cisco DNA Essentials auf Advantage anheben – geht dies?
Die Antwort ist ja, jedoch bietet Cisco aktuell keine direkten Update Lizenzen an, darum gelten folgende Regeln für die Berechnung eines Upgrades:
Die Restlaufzeit wird dem Kunden je nach Art des Upgrades zu 50% oder 100% angerechnet, wie in der folgenden Folie aufgezeigt wird.
FAQ:
Hier einige Antworten auf immer wieder gestellte Fragen:
Q: Gibt es auch eine entsprechende Cisco DNA Lizenz für einen Router, der bereits im Einsatz ist und auf SD-WAN umgestellt werden soll?
A: Ja, dies ist mittels der Bestellnummer L–LIC–DNA–ADD jederzeit möglich
Q: Ich verwende in einer Aussenstelle zwei Router aus Gründen der Redundanz – jeder Router hat einen Anschluss an einen Transport (MPLS & Internet). Muss ich zwei Lizenzen lösen?
A: Ja, aus Sicht von SD-WAN sind beide Router aktiv und benötigen eine entsprechende Cisco DNA Lizenz
Q: Ich plane den Einsatz von Analytics – wie schaut die korrekte Lizenzierung für das vAnalytics Tool aus?
A: Alle Router müssen min. eine Advantage Lizenz aufweisen, vAnalytics ist ab Advantage mit enthalten, das Reporting erfolgt aus vManage heraus und zeigt immer die gesamte SD-WAN Domain.
Q: Ich setze aktuell bereits Encryption auf ISR Routern ein und kenne das Konzept von Performance und HSEC Lizenzen – sind diese bereits in SD-WAN enthalten oder müssen sie bei einer Migration auf SD-WAN nochmals seprarat gelöst werden?
A: Mit dem SD-WAN image, resp. mit der Cisco DNA Lizenz sind keine weiteren Lizenzen nötig, die Cisco DNA Lizenz beinhaltet diese bereits.
Q: Ich habe einen Internet Anschluss, der nur teilweise für SD-WAN verwendet wird, der Rest der Bandbreite soll für local breakout verwendet werden – muss ich den kompletten Verkehr des Internet Anschlusses lizenzieren ?*
A: Ja, es muss gemäss Beispiel von oben (Punkt 4) die komplette Bandbreite in eine Richtung gerechnet werden, inklusive dem local breakout Verkehr.*
Weiterführende Infos:
Per August 2020 wurden weitere Anpassungen am Lizenzmodell vorgenommen – die Details sind hier zu finden.
*Dieses Szenario wurde bei Erstellung des Artikels irrtümlich falsch dargestellt und ist nun – Stand 12. Juli 2019 – korrigiert worden.
Alles klar für SD-WAN?
7 Kommentare
Sehr guter Post. Eine Anmerkung / Frage habe ich allerdings. Wenn ich SD-WAN A-la-Carte konfiguriere und mir einen z. B. C1121-4… aussuche, dann werden mir im CCW, wenn ich in der ISR DNA Auswahl C1100-4P-DNA wähle, alle Bandbreitenoptionen zur Auswahl angeboten. Schwer zu glauben, dass dieser Router 10 Gbps Encryption Bandbreite bietet. Das CCW meckert allerdings nicht 🙁
Hallo Edgar
Hm.. Ich habe dies kurz getestet und bei mir meckert CCW:
Damit wir vom gleichen sprechen:
– Den “C1100-4P-DNA” gibt es bei mir im CCW nicht mehr.
– Ein “C1121-4” im CCW kann normal konfiguriert werden, die Cisco DNA Option wird nicht angegeben, diese müsste ich via der optionalen, separaten SKU "L-DNA-LIC-ADD" konfigurieren
– Unter “L-DNA-LIC-ADD” kann ich den C1100-4P-DNA als Plattform selection angeben
– Wenn ich dann versuche, eine 10G Lizenz zu konfigureren (in meinem Versuch eine Cloud based 5Y Advantage Lizenz) erhalten ich folgende Meldung:
“Treffen Sie eine Auswahl aus 5M,10M, 25M, 50M, 100M of Subscription only, when C1100-4P-DNA is selected. (CE100007)”
*Aber*, ich muss dazu die Eingabe zuerst mit “Fertig” bestätigen, diese (korrekte) Fehlermeldung kommt erst ganz am Schluss.
Das wäre aus meiner Sicht somit okay und CCW würde dies korrekt erkennen.
Aber da auch das Tool nicht immer fehlerfrei arbeitet – würde ich jeweils den Ordering Guide zu Rate ziehen:
https://www.cisco.com/c/dam/en/us/products/collateral/software/one-wan-subscription/guide-c07-740642.pdf
Dort sind in den “Cisco DNA Software Applicability Matrix” Tabellen die korrekten möglichen Zuweisungen pro Gerät beschrieben.
Hallo Daniel, vielen Dank für die schnelle und souveräne Antwort. Ja, ich habe den Weg über L-LIC-DNA-ADD genommen, da ich die C1121-4PLTEP benötige (die finde ich aufgrund der Pluggable Modules für LTE(+) ganz schick). Ich bekomme in der Tat auch eine Fehlermeldung und das CCW Tool nimmt die Auswahl auch nicht an. Das habe ich aber leider übersehen, denn ich habe die Fehlermeldung erst einmal in einer anderen Schublade abgelegt. Die Meldung lautet nämlich:
Anfängliche Laufzeit should match for subscription lines DNA-C-50M-A-3Y (C0959)
Vorauszahlung should match for subscription lines DNA-C-50M-A-3Y (C0959)
Das kommt wohl davon, wenn man die Language Settings auf DE stellt. Ich probiere das gleich mal mit US aus. Wenn das Ergebnis so wie von Dir beschrieben ist (woran ich keinen Zweifel habe 🙂 …), dann ist alles perfekt und das Thema Router & Bandbreitenlizenz dadurch wirklich sehr hilfreich im CCW umgesetzt.
Geht auch mit DE. Die Fehlermeldung stellte sich ein, weil ich unter 3Y schon 50 Mbps gewählt hatte und meinen Test, ob das CCW mir sagt, was ich dem Router maximal zumuten kann, dann mit 5Y gemacht. Wenn ich in einer Laufzeit bleibe, dann kommt die passende Meldung. Ist zwar ein Mix aus DE/US, aber damit kann man leben 🙂
Warnungen (1):
Treffen Sie eine Auswahl aus 5M,10M, 25M, 50M, 100M of Subscription only, when C1100-4P-DNA is selected. (CE100007)
Vielen Dank … das war eine sehr hilfreiche Information für mich.
Grüsse in die Schweiz // Edgar
Hallo Daniel,
herzlichen Dank für die klare hilfreiche Aufschlüsselung!
Eine Rückfrage zum Einsatz zweier Router für die Redundanz: Muss jeder Router für die gesamte WAN Overlay Bandbreite lizensiert werden?
Beispiel Standort A:
Router 1 ist mit Leitung 1 (50M) verbunden
Router 2 ist mit Leitung 2 (50M) verbunden
TLOC extension wird genutzt, so dass jeder Router indirekt auch mit der Leitung des anderen Routers verbunden ist. Wenn allerdings Router 1 ausfällt, ist Leitung 1 nicht mehr verfügbar.
–> Müssen beide Router jeweils mit 50M oder mit 100M lizensiert werden?
Und wie verhält es sich, wenn beide Router zB über einen WAN Switch direkt mit beiden Leitungen verbunden sind (d.h. keine TLOC extension, Leitung 1 kann auch bei Hardware Ausfall von Router 1 genutzt werden)?
Salut Sebastian
Q1: "Muss jeder Router für die gesamte WAN Overlay Bandbreite lizensiert werden?"
A1: Nein, es wird pro Router immer die (höhere) Summe der jeweiligen Anschluss-Links des Gerätes (in eine Richtung) lizenziert (die TLOC-Extension ist ja nur eine Konfigurations-Variante, ändert aber an der Bandbreite ja eigentlich nichts), somit wäre dies in deinem Beispiel:
Router 1 & 2 -> jeweils eine 50Mbps Lizenz pro Router (dual-router, single-Transport Konzept)
Q2:"Und wie verhält es sich, wenn beide Router zB über einen WAN Switch direkt mit beiden Leitungen verbunden sind (d.h. keine TLOC extension, Leitung 1 kann auch bei Hardware Ausfall von Router 1 genutzt werden)?"
A2: Wenn sich jedoch dann beide Router beide Transports teilen (dual-Router, dual-Transports), dann wäre eine 100Mbps Lizenz pro Router fällig, dafür gewinnst du dann jedoch deutlich an Verfügbarkeit. Es ist schlussendlich abzuwägen, ob du tiefere Kosten oder höhere Redundanz bevorzugst.
Viele Grüsse, Daniel
Jetzt hab ich alles verstanden.
Herzlichen Dank noch mal!
Viele Grüße