Cisco Schweiz Blog
Teilen

SD-WAN oder, wie wird die Bandbreite korrekt lizenziert


21. May 2019


Der Aufbau der Lösung mit der passenden Lizenz

Die Cisco SD-WAN Viptela Lösung ist mit einer Bandbreite sowie Subscription basierenden Lizenzierung auf dem jeweiligen Router aufgebaut.
Ich stelle jedoch in Gesprächen mit Kunden fest, dass die Lizenzierung in Details immer wieder zu Unsicherheiten – vor allem im Bereich der Bandbreite – führt, darum soll dieser Blog dabei helfen, diese zu beseitigen.

Die Lösung ist im Grundsatz folgendermassen aufgebaut:

  1. Wahl des entsprechenden Routers (ISR 1k, 4k, ASR 1k, CSR1kV oder ISRv)
  2. Controller Hosting wählen (on-prem oder Cloud basierend)
  3. Wahl des Feature-Sets (Cisco DNA Essentials, Advantage oder Premier) sowie deren Laufzeit
  4. Bandbreite
  5. Fertig.

Ich gehe kurz auf alle oben beschriebenen Punkte ein, etwas tiefer dann auf den Aspekt der Performance.

1) Wahl des entsprechenden Routers

Hier entscheidet primär die gewünschte Bandbreite, die Tunnel Skalierung sowie gewisse Funktionalitäten wie die gewünschten Security Features sowie Art und Anzahl der Interfaces über den ensprechenden Geräte-Typ.
Neben den Viptela eigenen Hardware-Geräten der vEdge Serie werden die Cisco ISR 1000, 4000 sowie die ASR 1000 Familien sowie der CSR1000V und ISRv mittels einem SD-WAN Image unterstützt, das entweder direkt ab Werk oder alternativ auch via Software-Download von www.cisco.com bestückt werden kann.
Da die vEdge Geräte nicht mehr strategisch sind, gehe ich in diesem Blog nicht mehr tiefer auf diese Familie ein.

Die Router skalieren je nach Art betreffend der Bandbreite oder entsprechend den gewünschten Interfaces und sollten gemäss diesen Aspekten gewählt werden. Eine kleine Aussenstelle mit einer Bandbreite von 50Mbps sowie Ethernet-Anschlüssen eignet sich zum Beispiel ideal für einen ISR 1100, während sich für einen grösseren Standort mit 200 Mitarbeitern und einer Bandbreite von 500Mbps ein ISR 4331 anbieten würde.

Cisco hat bei Bedarf ein entsprechendes “Router Selector” Tool gebaut, das bei der Wahl des korrekten Gerätes helfen kann:

 

2) Controller Hosting wählen (on-prem oder cloudbasierend)

Bei diesem Aspekt wird entschieden, ob die SD-WAN Controller (vManage, vSmart, vBond) in der (public) Cloud oder on-premise beim Kunden laufen sollen. Der Preis diesbezüglich ist wie bereits weiter oben erwähnt identisch, bei einem Cloud basierenden Hosting werden alle betrieblichen Aspekte wie Monitoring, Strom, Kühlung, Server-Hardware von Cisco übernommen, der Kunde übernimmt “lediglich” den Betrieb (Konfiguration, Updates, Zertifikats-Erneuerung) des Backends. Als Standorte für das Hosting kann innerhalb der EU oder international definiert werden, wobei Cisco in jedem Falle einen Geo-Redundanten Cluster über zwei verschiedene Datacenter provisioniert.
Bei einem on-premise basierenden Ansatz können die entsprechenden VMs für die Controller via cisco.com heruntergeladen werden – die Installation, das Hosting sowie der Betrieb übernimmt dann der Kunde selber.

Die einzige Ausnahme stellt vAnalytics dar, dieses Modul ist ab Cisco DNA Advantage enthalten, wird aber nur Cloud hosted angeboten. Bei Bedarf von Analytics on-premise verweisen wir auf die 3th Party Applikation LiveNX, resp. LiveSP von LiveAction. Die Produkte von LiveAction sind jedoch auch via Cisco erhältlich und befinden sich daher auch auf der Preisliste von Cisco.

3) Wahl des Feature-Sets (Cisco DNA Essentials, Advantage oder Premier) und deren Laufzeit

Das Feature-Set unterscheidet sich in den gewünschten Funktionen und ist entsprechend 3-stufig aufbauend von Cisco DNA Essentials, über Advantage hin zu Premier, wobei Advantage kumulativ auch Essentials beinhaltet usw. Während Essentials quasi die Einsteiger-Lizenz bis zu 50 Router darstellt, bietet Advantage den besten Mix aller Eigenschaften und wird vorzugsweise eingesetzt. Aspekte wie Cloud Optimierung, Segmentierung oder auch Analytics sowie der volle Security Stack sind in Advantage enthalten.

Mehr Details zu den einzelnen Feature-Sets sind in diesem Blog nachzulesen. Alle Feature-Sets sind Laufzeiten abhängig (3 oder 5 Jahre) pro Router zu lösen und beinhalten auch bereits das für den erforderlichen Betrieb benötigte Backend. Ich werde auch nie müde nochmals zu betonen, dass in diesem Preis auch bereits ein allfälliges Hosting bei Cisco enthalten ist – der Kunde kann sich somit frei entscheiden, ob er das Backend (vManage, vSmart, vBond) selber betreiben möchte oder von Cisco hosten lassen will – es ist der gleiche Preis und auch der Support des Backends ist bereits enthalten.

 

 

Die Laufzeit

Die entsprechende Lizenz ist auf dem Router für eine Laufzeit von 3 oder 5 Jahren zu wählen, dies wird gleich bei der Bestellung der Cisco DNA Lizenz angegeben (z.B. Cisco DNA Essentials auf einem ISR 1k für 3 Jahre).

4) Bandbreite

Kommen wir nun zu diesem ominösen Punkt der Bandbreite, der zu so viel Verwirrung und Unsicherheit führt. Die SD-WAN Lösung wird pro Router mit einer Bandbreite lizenziert und diese wird folgendermassen berechnet:

 

Es wird entsprechend dem Beispiel im Diagramm die Bandbreiten in jeweils eine Richtung (upstream sowie downstream) summiert und nur die höhere Bandbreite lizenziert. Bei einem Bursting wird der Wert über 95% der Zeit genommen – in der Praxis kann der Aspekt des Burstings im Normalfall jedoch oft ignoriert werden.
Ein LAN Anschluss des Routers muss nicht mit kalkuliert werden, da nur die Bandbreite der WAN Interfaces in die Berechnung einfliesst.

Ein weiterer Aspekt betreffend der Performance ist, dass der gewünschte Router dann auch die entsprechend geplante Verschlüsselungs-Bandbreite verarbeiten können muss. Ein ISR 1100 als Beispiel wäre mit 1Gbps Encryption überfordert, während ein ISR 4461 für 100Mbps Verschlüsselung überdimensioniert wäre. Cisco hilft in diesem Falle bereits, denn nicht jede Performance ist auf jedem Router verfügbar. Wir gehen sogar bereits von der Annahme aus, dass ein Kunde immer eine Full-Duplex Verbindung mit gleicher Performance-Belastung in beiden Richtungen wünscht – somit unterstützt ein Router mit einer 100Mbps Cisco DNA Lizenz bereits 200Mbps Encryption Performance. Für die Planung muss somit nicht jeder Router betreffend dem Encryption Durchsatz geprüft werden, dies hat Cisco mit der Zuweisung der entsprechenden Performance-Lizenzen pro Typ bereits korrekt vorweggenommen.
Konkret als Beispiel:
Der bereits erwähnte ISR 1100 bringt an Verschlüsselungs-Leistung 250-350Mbps IMIX durch und passt somit gut bis zur entsprechenden Cisco DNA 100Mbps Lizenz, das gleiche gilt auch für die übrigen Modelle.

Die nachfolgenden Tabellen helfen, den für die jeweilige Bandbreite entsprechenden Router auszuwählen:

Nebenbei – neu gibt es zwischen der 100 und 500Mbps Lizenz die Zwischenstufe einer 250Mbps Lizenz und die 20Mbps Lizenz wird zugunsten einer 25Mbps Lizenz ersetzt – hier gibt es das entsprechende EoS Bulletin.

In der Kombination wird nun die folgende Folie erklärbar. Sie zeigt als Beispiel alle Kombinationsmöglichkeiten für eine 100Mbps Lizenz auf:

  • Performance
  • Laufzeit
  • Feature-Set
  • Controller-Hosting

 

Konkret, aus der Aufstellung “rausgepickt”:
Eine DNA-C-100M-A-5Y ist eine Cisco DNA Lizenz, Cloud hosted mit 100Mbps Performance, einem Cisco DNA Advantage Feature-Set für eine Laufzeit von 5 Jahren (Y).

Alles klar? 😉

 

Lizenz Upgrades

Auch eine immer wieder gestellte Frage ist die der Lizenz-Upgrades. Der Kunde hat bereits ein Cisco Viptela SD-WAN im Einsatz und möchte die Bandbreite oder die Lizenz-Stufe verändern, z.B. den Anschluss von 50 auf 100Mbps erhöhen oder die Lizenz von Cisco DNA Essentials auf Advantage anheben – geht dies?

Die Antwort ist ja, jedoch bietet Cisco aktuell keine direkten Update Lizenzen an, darum gelten folgende Regeln für die Berechnung eines Upgrades:

Die Restlaufzeit wird dem Kunden je nach Art des Upgrades zu 50% oder 100% angerechnet, wie in der folgenden Folie aufgezeigt wird.

 

FAQ:

Hier einige Antworten auf immer wieder gestellte Fragen:

Q: Gibt es auch eine entsprechende Cisco DNA Lizenz für einen Router, der bereits im Einsatz ist und auf SD-WAN umgestellt werden soll?
A: Ja, dies ist mittels der Bestellnummer LLICDNAADD jederzeit möglich

Q: Ich verwende in einer Aussenstelle zwei Router aus Gründen der Redundanz – jeder Router hat einen Anschluss an einen Transport (MPLS & Internet). Muss ich zwei Lizenzen lösen?
A: Ja, aus Sicht von SD-WAN sind beide Router aktiv und benötigen eine entsprechende Cisco DNA Lizenz

Q: Ist ein “Mix & Match” von Lizenzen möglich? Ich würde gerne am Hub Standort eine Advantage-Lizenz und an den Aussenstellen nur Essentials einsetzen.
A: Leider nicht – dies wurde im Rahmen der letzten Lizenz-Überarbeitung gestrichen. Neu müssen alle Geräte entweder Essentials, oder Advantage & Premier aufweisen.

Q: Ich plane den Einsatz von Analytics – wie schaut die korrekte Lizenzierung für das vAnalytics Tool aus?
A: Alle Router müssen min. eine Advantage Lizenz aufweisen, vAnalytics ist ab Advantage mit enthalten, das Reporting erfolgt aus vManage heraus und zeigt immer die gesamte SD-WAN Domain.

Q: Ich bin ServiceProvider und plane den Einsatz einer Multitenancy SD-WAN Umgebung, da ich mehrere Kunden mit einem Backend abdecken möchte, jeder Kunde erhält seine eigene Domain. Da ich in der Summe über die erwähnte 50 Router Limite gelange, muss ich nun alle Router mit Advantage lizenzieren, auch wenn ein Kunde in seiner Domain nur einige Router einsetzt?
A: Nein, die Limite von 50 Routern gilt pro SD-WAN Domain, nicht global.

Q: Ich setze aktuell bereits Encryption auf ISR Routern ein und kenne das Konzept von Performance und HSEC Lizenzen – sind diese bereits in SD-WAN enthalten oder müssen sie bei einer Migration auf SD-WAN nochmals seprarat gelöst werden?
A: Mit dem SD-WAN image, resp. mit der Cisco DNA Lizenz sind keine weiteren Lizenzen nötig, die Cisco DNA Lizenz beinhaltet diese bereits.

Q: Ich habe einen Internet Anschluss, der nur teilweise für SD-WAN verwendet wird, der Rest der Bandbreite soll für local breakout verwendet werden – muss ich den kompletten Verkehr des Internet Anschlusses lizenzieren ?*
A: Ja, es muss gemäss Beispiel von oben (Punkt 4) die komplette Bandbreite in eine Richtung gerechnet werden, inklusive dem local breakout Verkehr.*

Weiterführende Infos:

*Dieses Szenario wurde bei Erstellung des Artikels irrtümlich falsch dargestellt und ist nun – Stand 12. Juli 2019 – korrigiert worden.

Alles klar für SD-WAN?

Tags:
Kommentar hinterlassen

3 Kommentare

  1. Hallo Daniel,
    herzlichen Dank für die klare hilfreiche Aufschlüsselung!
    Eine Rückfrage zum Einsatz zweier Router für die Redundanz: Muss jeder Router für die gesamte WAN Overlay Bandbreite lizensiert werden?
    Beispiel Standort A:
    Router 1 ist mit Leitung 1 (50M) verbunden
    Router 2 ist mit Leitung 2 (50M) verbunden
    TLOC extension wird genutzt, so dass jeder Router indirekt auch mit der Leitung des anderen Routers verbunden ist. Wenn allerdings Router 1 ausfällt, ist Leitung 1 nicht mehr verfügbar.
    –> Müssen beide Router jeweils mit 50M oder mit 100M lizensiert werden?

    Und wie verhält es sich, wenn beide Router zB über einen WAN Switch direkt mit beiden Leitungen verbunden sind (d.h. keine TLOC extension, Leitung 1 kann auch bei Hardware Ausfall von Router 1 genutzt werden)?

    • Salut Sebastian

      Q1: "Muss jeder Router für die gesamte WAN Overlay Bandbreite lizensiert werden?"

      A1: Nein, es wird pro Router immer die (höhere) Summe der jeweiligen Anschluss-Links des Gerätes (in eine Richtung) lizenziert (die TLOC-Extension ist ja nur eine Konfigurations-Variante, ändert aber an der Bandbreite ja eigentlich nichts), somit wäre dies in deinem Beispiel:
      Router 1 & 2 -> jeweils eine 50Mbps Lizenz pro Router (dual-router, single-Transport Konzept)

      Q2:"Und wie verhält es sich, wenn beide Router zB über einen WAN Switch direkt mit beiden Leitungen verbunden sind (d.h. keine TLOC extension, Leitung 1 kann auch bei Hardware Ausfall von Router 1 genutzt werden)?"

      A2: Wenn sich jedoch dann beide Router beide Transports teilen (dual-Router, dual-Transports), dann wäre eine 100Mbps Lizenz pro Router fällig, dafür gewinnst du dann jedoch deutlich an Verfügbarkeit. Es ist schlussendlich abzuwägen, ob du tiefere Kosten oder höhere Redundanz bevorzugst.

      Viele Grüsse, Daniel

      • Jetzt hab ich alles verstanden.
        Herzlichen Dank noch mal!
        Viele Grüße