Categories: Redes Empresariales

¿Por qué SD-WAN?: 5 formas de automatizar tu SD-WAN con Cisco Meraki

Las redes WAN Definidas por Software (o SD-WAN) son uno de los tópicos con mayor relevancia en el mundo de TI, y están aquí para quedarse. SD-WAN nos permite alcanzar una muy necesitada transformación digital que supone mejoras significativas en la eficiencia de uso de recursos de WAN, la flexibilidad de uso de diferentes métodos de conectividad (Internet, MPLS, LTE, etc), orquestación y gestión centralizada, y la mejora de la experiencia del cliente.

Cisco hoy día es nombrado un líder en el mercado de soluciones de SD-WAN, no sólo por las capacidades técnicas de su solución, sino por la probada capacidad de ejecución con más de 20,000 implementaciones activas con empresas alrededor del mundo. Una de las soluciones SD-WAN que genera más atracción para nuestros clientes en América Latina esta basada en la tecnología de Cisco Meraki. Cisco Meraki es el líder de Cloud Networking, ofreciendo la plataforma de gestión más intuitiva de la industria, que permite orquestar no sólo dispositivos de Seguridad y SD-WAN, sino también access points inalámbricos, switches, cámaras inteligentes y el sistema de gestión de dispositivos móviles.

Existe una serie de características que el dashboard de Cisco Meraki que ofrecen múltiples métodos de automatizar nuestras implementaciones de SD-WAN, de las cuales nos enfocaremos en cinco de las más relevantes:

1. Zero Touch Provisioning

El Aprovisionamiento Sin Toques, o ZTP, es la operación estándar para Cisco Meraki. El Dashboard de Cisco Meraki funciona con abstracciones llamadas Organizations, que hacen referencia a la operación global de un cliente, y Networks, que hacen referencia a sitios específicos. Las configuraciones que realizamos se hacen sobre estas abstracciones, no sobre dispositivos específicos, y no es hasta que asociamos un número de serie o juego de números de serie a un Network que estos toman esa configuración. Esto nos permite preconfigurar grandes cantidades de sitios mucho antes de siquiera tener los equipos o moverlos a sitio.

 

Zero Touch Provisioning Nativo para Dispositivos Meraki 

 

Literalmente, solo conectas el dispositivo a Internet, a corriente y está listo para operar, sin necesidad de servidores o bootstrapping de ningún tipo, más allá de recibir IP por DHCP. Sin embargo, el proceso tras bambalinas es un poco más complejo. El dispositivo Meraki, independientemente de si es un MX (Security and SD-WAN), MR (Access Point), MS (Switch) o MV (Smart Camera), atraviesa un proceso de arranque seguro con Cisco Trustworthy Systems, y contacta al Dashboard de Meraki por HTTPS. El Dashboard de Meraki verifica la procedencia del equipo con base en su número de serie, y lo asigna a su organización correspondiente. El dispositivo utiliza su certificado para generar un túnel de gestión, llamado M-Tunnel, y utiliza este túnel seguro para descargar su configuración y actualizaciones necesarias.

2. Overlay Automático con AutoVPN

Luego de este dispositivo de SD-WAN se conecta al Dashboard, si se le había asignado una configuración de SD-WAN, le toca formar su conexión VPN al fabric de SD-WAN. Nuestro revolucionario protocolo de AutoVPN, le permite hacer esto sin ningún tipo de fricción, y sin necesidad de introducir configuraciones complejas. El proceso completo literalmente toma tres pasos:

  1. Asignar un rol al dispositivo (agregador o remoto)
  2. Asignar un agregador, en caso de ser remoto
  3. Asignar subredes a la VPN

 

Configurando Meraki AutoVPN

 

Todo esto sólo con unos cuantos clicks y nada de complejidad. La magia real está ocurriendo tras bambalinas, con el Dashboard orquestando estas VPNs. Lo mejor de esta funcionalidad es que escala a miles de sitios, como lo demuestran muchas de nuestras implementaciones activas, sin ningún tipo de componente o licenciamiento extra.

3. Plantillas de Configuración

Todo eso está muy bien, pero aún con una configuración tan sencilla, si tengo 1,000 sitios serían muchísimos clics ¿no?

Pues, no exactamente. La realidad es que, en implementaciones de decenas, cientos o miles de sitios, la gran mayoría de los sitios comparten una configuración idéntica (con variaciones en el esquema de subnetting local del sitio). El Dashboard de Meraki nos permite replicar configuraciones a cientos o miles de sitios por medio de plantillas de configuración, que funcionan como una capa de abstracción adicional, a la que sólo tengo que asociar dispositivos que tomarán la configuración que hice una sola vez, reduciendo tiempos de aprovisionamiento de días a minutos.

Las plantillas de configuración pueden llevar funciones como:

  • Subnetting automático y único a partir de un bloque de direcciones designado (ejemplo, extraer bloques /26 de un bloque 10.0.0.0/8)
  • Configuración de AutoVPN con Hubs redundantes
  • Configuración de políticas de SD-WAN para tratamiento especial de aplicaciones
  • Configuración de políticas de seguridad con AMP (Anti-malware), Snort (IPS) y Cisco Umbrella (filtrado DNS y de contenido)
  • Versiones de firmware para una gestión centralizada y unificada

 

Usando Plantillas de Configuración en Meraki

 

De la misma forma, estas plantillas pueden incluir la configuración de access points y switches que se implementen en el sitio, demostrando el valor de la gestión simplificada de Cisco Meraki. Lo mejor de la plantilla, es que si realizas cambios en la misma puedes actualizar la configuración de cientos de sitios en una sola pasada, reduciendo costos operativos y minimizando el error humano.

4. Automatización de Políticas con Active Directory y Systems Manager Sentry

¿Y la seguridad? ¿Cómo garantizo que los usuarios correctos tengan las políticas correctas y que sólo los dispositivos autorizados y en cumplimiento tengan acceso? Cisco Meraki nos permite una integración nativa con el ecosistema de seguridad de Cisco, y ofrece varios métodos de automatización de seguridad para SD-WAN.

Uno de ellos, permite asignar políticas específicas por usuario de acuerdo con los grupos a los que pertenecen en el Directorio Activo de la empresa. El dispositivo de SD-WAN y Seguridad lee las asignaciones de usuarios en nuestro Directorio Activo, y con base en la asignación coloca al usuario en un Group Policy que contiene reglas de firewall capa 3-7, reglas de traffic shaping por aplicativo, políticas de AMP y Umbrella, al igual que horarios en los que la política está operativa, todo esto específico al grupo de usuario al que pertenece.

 

Adicionalmente, los MX se integran de forma nativa con Systems Manager, el MDM de Cisco Meraki. Si el dispositivo de usuario tiene el agente instalado, podemos validar la disposición del dispositivo y verificar que tenga las últimas actualizaciones de software, tenga un Antivirus instalado, esté en un área geográfica específica y cumpla con otras políticas de seguridad de la empresa. Si el dispositivo no está en cumplimiento, podemos colocarlo automáticamente en un Group Policy de cuarentena. De igual forma, nuestros Access Points y Switches pueden asegurarse de que el dispositivo mantenga el MDM instalado, o le cierran el acceso a la red.

4. Aprovisionamiento por APIs

De todos los métodos de automatización, probablemente el que nos da la mayor flexibilidad y escalabilidad es el aprovisionamiento por APIs. Las Application Programmability Interfaces, o APIs, son métodos de interacción programática hacia dentro y fuera de un sistema, en este caso el Dashboard de Meraki. Todos los equipos de Cisco Meraki vienen habilitados de fábrica, sin ningún requerimiento de licenciamiento extra, para interaccionar con ellos por medio de RESTful APIs. Esto nos permite llevar a cabo diversas tareas, como personalización de la plataforma, colección de datos, integración con sistemas externos y automatización de procesos.

Por medio de lenguajes de programación como Python, Ruby o Node.js podemos crear scripts que aprovisionan cientos o miles de sitios en cuestión de minutos. Por ejemplo, podríamos construir una app o incluso un chatbot de Webex Teams por medio del cual un instalador únicamente ingrese los números de serie de las cajas que se llevó a sitio, y el script auto-configure el sitio sin necesidad de que el instalador siquiera acceda al Dashboard de Meraki. Esto permite reducir costos operativos y tiempos de implementación de meses a cuestión de días. Algunos de nuestros clientes más exitosos usan nuestras APIs para aprovisionar cientos de sitios por semana.

 

Aprovisionando un Sitio de Cisco Meraki por medio de un Chatbot de Webex Teams

 

Las capacidades de automatización de plataformas definidas por software en la nube, como Cisco Meraki son muchas, y sólo hemos rozado la superficie de estas opciones de programabilidad con Meraki. Lo importante es que cada organización identifique las características que mejor se adapten a sus necesidades y estrategia tecnológica, Lo que es cierto, es que una plataforma como Cisco Meraki SD-WAN, puede convertirse en un aliado invaluable para sus esfuerzos de digitalización en 2020 y el futuro.

Será un gusto conocer más acerca de cómo tu empresa busca automatizar sus implementaciones de SD-WAN. Te invito a dejar tus comentarios aquí.

Francisco Tello Buitrago

Francisco Tello es ingeniero consultor para Cisco Meraki basado en Ciudad de Panamá. Es egresado del New York University, con un título de Master en Comunicaciones y Redes y más de 9 años de experiencia en la industria. Le apasiona todo lo relacionado con las redes definidas por software y la programabilidad, al igual que trabajar en proyectos de análisis de datos y Machine Learning.

View Comments

  • Cisco Meraki he usado en implementaciones de SD-WAN, sin embargo considero le hacen falta más detalles de Ruteo como BGP o EIGRP.