Hola, qué tal?

Primero, hayq ue tener en cuenta cuáles son los objetivos comerciales con la solución, cuáles son las razones por las que la está implementando y qué está tratando de lograr.
En segundo lugar, tómese el tiempo para planificar antes de sumergirse en la configuración. Planifique con anticipación las IP de su sistema, cree un esquema de ID de sitio estructurado, defina qué colores TLOC va a utilizar, diseñe su política de seguridad con respecto a la segmentación y topologías de VPN, etc. De esta manera, mostrará la mayoría de los detalles involucrados en la configuración y le ahorrará bastante tiempo más adelante cuando esté creando sus Plantillas de configuración.
Una vez que haya terminado de planificar, es hora de configurar el plano de control. En este punto, configurará la conectividad básica e implementará certificados en los controladores vManage, vBond y vSmart. Una vez que su plano de control esté en funcionamiento, con las conexiones de control establecidas, estará listo para comenzar a crear sus plantillas de configuración y aprovisionar sus WAN Edges.

Hola Adolfo

Antes que nada, hay que tener en cuenta que el plano de control utiliza certificados digitales con claves RSA de 2048 bits para autenticar los enrutadores de borde en la red.
El plano de control está cifrado por DTLS o TLS. Lo que significa que todos los dispositivos de borde establecerán conexiones seguras con los componentes de orquestación.
Mantenemos la integridad del plano de control mediante la combinación de dos elementos de seguridad: resúmenes de mensajes AES-GCM y claves públicas y privadas.
Como nuestro plano de control ahora es seguro y confiable, estamos construyendo túneles IPsec para el tráfico de datos (plano de datos).
Esta es una respuesta simplificada, pero en la siguiente documentación, se pueden enoctrar todos los detalles sobre la seguridad dentro de SD-WAN Fabric:
https://www.cisco.com/c/en/us/td /docs/routers/sdwan/configuration/security/vedge-20-x/security-book/security-overview.html

Hola

1. ¿Pueden coexistir Viptela y las series ISR y ASR de Cisco en una red SD-WAN? Absolutamente, XE y Viptela OS pueden interoperar completamente en una única estructura SD-WAN.
2. Los equipos de Viptela parecen obsoletos hoy en día. ¿Cuáles son las ventajas de actualizar ISR, ASR y otros equipos a la duplicación SD-WAN, en comparación con Viptela? A partir de las versiones 17.x en XE tenemos una imagen universal que te permite ejecutar en modo Autónomo (XE tradicional) o modo Controlador (SDWAN), lo único que se requiere es un solo comando. XE ofrece un conjunto más rico de funcionalidades en comparación con Viptela OS, al tiempo que tiene capacidades SD-WAN integradas que Viptela OS trajo a Cisco SD-WAN. Solo por mencionar algunas características que XE puede ofrecer y Viptela OS no puede, son URL-F e IPS, que son funciones alojadas en contenedores dentro de la arquitectura XE. Recuerde que Cisco ha lanzado nuevos enrutadores, Catalyst 8000 Edges, que también pueden ayudar. Consulte más detalles sobrehttps://www.cisco.com/c/es_mx/solutions/enterprise-networks/sd-wan/index.html#~case-studies
3. vManage, vBond, vSmart, vEdge, ¿cuáles son sus funciones principales en la red SD-WAN y cuántos de ellos pueden existir en la red SD-WAN al menos y como máximo?
vManage es el único panel desde donde puede operar, configurar, solucionar problemas y monitorear su red SD-WAN. vBond actúa como un orquestador y aprovecha los sistemas confiables de Cisco, así como también actúa como servidor STUN para lidiar con el direccionamiento público / privado de los elementos de la estructura. vSmart es el cerebro de la operación y se ocupa de las claves de cifrado y toda la inteligencia, es decir, la información de enrutamiento, la propagación al plano de datos, los enrutadores. Por último, pero no menos importante, los WAN Edges ejecutan lo que dictan los controladores, mientras mantienen su inteligencia y capacidad para desarrollar tareas como QoS, ACL, etc.
Los números pueden variar para Edges en una superposición, depende del cliente, pero ese número importará directamente en términos de cuántas instancias de vManage, vBond y vSmart tendremos en la superposición. Las implementaciones comunes tienen 1 vManage, 2 vBonds y 2 vSmarts. Pero puede tener hasta 6 vBonds, 20 vSmarts y 6 vManages. Para diseñar de acuerdo con las mejores prácticas, asegúrese de consultar https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/sdwan-xe-gs-book/hardware-and- software-installation.html , el equipo de Cisco siempre estará encantado de ayudarlo a diseñar con las mejores prácticas de acuerdo con los requisitos de sus clientes.
4. vEdge tiene productos de hardware y de nube, mientras que vManage / vBond / vSmart solo tienen productos de nube, ¿verdad? ¿Necesitan instalarse en un entorno virtual? Correcto, vEdge tiene dispositivos físicos y VNF o instancia virtual (nube vEdge). Lo mismo sucede con cEdge (XE OS), hay CSR1000V y C8KV disponibles en los mercados de proveedores de nube pública cuando se requiere IaaS. En caso de que se requiera una implementación local, se pueden crear instancias de acuerdo con los siguientes enlaces:
5. ESX: https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/configuration/b_CSR1000v_Configuration_Guide/b_CSR1000v_Configuration_Guide_chapter_011.html
KVM: https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/configuration/b_CSR1000v_Configuration_Guide/b_CSR1000v_Configuration_Guide_chapter_0101.html
HyperV: https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/configuration/b_CSR1000v_Configuration_Guide/b_CSR1000v_Configuration_Guide_chapter_0110.html
Para ver información más específica, por favor de un vistazo a una de las preguntas anteriores donde se ha abordado esto.

Continua
5. ¿Puede vEdge conectarse en línea sin intervención manual? ¿Puede ser contacto cero? ¿Cuál es el proceso detallado de lanzamiento de vEdge? Absolutamente, Cisco SD-WAN ofrece un verdadero aprovisionamiento Zero Touch (ZTP); puede obtener detalles aquí:
https://blogs.cisco.com/networking/cisco-sd-wan-delivers-true-zero-touch-provisioning-oid-psten019112
https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/SDWAN/sdwan-wan-edge-onboarding-deploy-guide-2020nov.pdf
Básicamente, el servicio PnP de Cisco asigna los dispositivos que tiene licencia para su organización, una vez que conecta su dispositivo y obtiene una IP a través de DHCP y DNS, hay una llamada a casa (para recuperar la validación de PnP) y la autenticación de vBond, para ser en la estructura SD-WAN, la plantilla de configuración se descargó recientemente, este es un requisito previo, tenga una plantilla de configuración asignada al número de serie de su dispositivo.
¿Podría vEdge conectarse en línea sin intervención manual? ¿Puede ser contacto cero? ¿Cuál es el proceso detallado de lanzamiento de vEdge? Absolutamente, Cisco SD-WAN ofrece un verdadero aprovisionamiento Zero Touch (ZTP); puede obtener detalles aquí:
https://blogs.cisco.com/networking/cisco-sd-wan-delivers-true-zero-touch-provisioning-oid-psten019112

https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/SDWAN/sdwan-wan-edge-onboarding-deploy-guide-2020nov.pdf
6. ¿Cuál es el marco estratégico de SD-WAN? Cisco SD-WAN le ofrece el marco de enrutamiento más granular y personalizable logrado con sus diferentes políticas, esta es la parte más estratégica de la solución, puede ver información detallada aquí: https://www.cisco.com/c/en/ us / td / docs / routers / sdwan / configuration / policies / ios-xe-17 / policies-book-xe / policy-framework.html
7. ¿Qué herramientas de resolución de problemas se utilizan comúnmente en las redes SD-WAN? En Red> Solución de problemas para cada dispositivo, puede verificar la etapa de activación del dispositivo, las conexiones de control, usar Ping o TraceRoute con específicos, estos dos son comúnmente utilizados por todos los ingenieros de redes. Si bien necesita ver cómo se comporta una aplicación, puede usar la visualización de ruta de la aplicación o simular flujos. Packet Capture también es una buena herramienta para conocer la verdad.
https://www.cisco.com/c/en/us/td/docs/routers/sdwan/vManage_How-Tos/vmanage-howto-book/m-troubleshooting.html
8. ¿A qué tipo de respaldo se refiere el respaldo SD-WAN y cómo deberíamos operar el respaldo involucrado en el tema? En términos de cómo hacer una copia de seguridad y / o restaurar las plantillas de su dispositivo, las plantillas de funciones, las políticas o las listas, puede usar formas programáticas ya que esta es una parte nativa de Cisco SD-WAN, se recomienda ver https://github.com/CiscoDevNet / sastre y eche un vistazo a https://developer.cisco.com.

Hola

Cisco SD-WAN incluye todos los componentes de administración (vManage, vBond y vSmart) en la nube y es compatible con las siguientes plataformas en el borde:
Routers de servicios de agregación Cisco ASR serie 1000
ISR de Cisco de la serie 1000
ISR Cisco de la serie 4000
Catalizador 8000
Cisco 5400 ENCS con ISRv
Cisco UCS con ISRv
CSR 1000v
Dicho esto, si está utilizando el modelo de implementación en la nube y está utilizando Catalyst 8000, ASR o ISR como un dispositivo de borde, no hay requisitos de servidor específicos ya que no se utilizan servidores.
En el caso de que desee tener todos los componentes de gestión en las instalaciones. Las recomendaciones de los servidores ESX / KVM para el servidor Cisco vBond Orchestrator, el servidor Cisco vManage y el servidor Cisco vSmart Controller están disponibles en el siguiente enlace: https://www.cisco.com/c/en/us/td/docs/routers /sdwan/configuration/sdwan-xe-gs-book/hardware-and-software-installation.html
Los recursos necesarios para ejecutar cada componente Cisco vBond Orchestrator, Cisco vSmart Controller y el servidor Cisco vManage en VMware vSphere ESXi o en el servidor de máquina virtual basada en kernel (KVM) variarán según la cantidad de dispositivos que implemente en la red superpuesta. También preste atención a que todo el volumen del sistema operativo debe estar en una unidad de estado sólido (SSD).
Si su dispositivo perimetral no es un enrutador Catalyst 8000, ASR o ISR, sino un ISRv que se ejecuta en servidores Cisco UCS y / o plataformas Cisco ENCS:
El servidor debe admitir al menos lo siguiente:
Intel ® Atom ® o Xeon ® CPU a 1,5 GHz o superior
AMD ® Embedded R-Series
Interfaces Gigabit Ethernet
El ISRv requiere lo siguiente del hardware del servidor virtualizado:

CPU: de 1 a 4 CPU virtuales (según el rendimiento y el conjunto de funciones)
Memoria: 4 GB a 16 GB (según el rendimiento y el conjunto de funciones)
Espacio en disco: 8 GB
Interfaces de red: dos o más vNIC, hasta el máximo permitido por el hipervisor (26)
En lo que respecta al CSR 1000v, los requisitos están disponibles aquí para:

ESX: https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/configuration/b_CSR1000v_Configuration_Guide/b_CSR1000v_Configuration_Guide_chapter_011.html

KVM: https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/configuration/b_CSR1000v_Configuration_Guide/b_CSR1000v_Configuration_Guide_chapter_0101.html

HyperV: https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/configuration/b_CSR1000v_Configuration_Guide/b_CSR1000v_Configuration_Guide_chapter_0110.html

Hola

DIA mejora la experiencia del usuario al permitir que los usuarios de la sucursal accedan a los recursos de Internet y las aplicaciones SaaS directamente desde la sucursal. Tradicionalmente, las sucursales han accedido a aplicaciones SaaS a través de centros de datos centralizados.lo que da como resultado una mayor latencia de la aplicación y una experiencia de usuario impredecible. A medida que SD-WAN ha evolucionado, son posibles rutas de red adicionales para acceder a las aplicaciones SaaS, incluido el acceso directo a Internet (DIA) y el acceso a través de pasarelas regionales o sitios de colocación. Sin embargo, los administradores de red pueden tener una visibilidad limitada o nula del rendimiento de las aplicaciones SaaS desde sitios remotos, por lo que elegir qué ruta de red para acceder a las aplicaciones SaaS con el fin de optimizar la experiencia del usuario final puede resultar problemático. Además, cuando se producen cambios en la red o un deterioro, es posible que no haya una manera fácil de mover las aplicaciones afectadas a una ruta alternativa.

Con Cisco SD-WAN, esta función se denomina Cloud onRamp. Le permite configurar fácilmente el acceso a las aplicaciones SaaS, ya sea directamente desde Internet o mediante ubicaciones de puerta de enlace. Analiza, mide y supervisa continuamente el rendimiento de cada ruta a cada aplicación SaaS y elige la ruta de mejor rendimiento en función de la pérdida y el retraso. Si se produce un deterioro, el tráfico SaaS se mueve de forma dinámica e inteligente a la ruta óptima actualizada.

Ejemplos de aplicaciones que pueden aprovechar esta funcionalidad son:

Oficina 365
Fuerza de ventas
Aplicación de Google
Caja
Dropbox
Concurrir
Intuit
AWS
Ir a la reunión
Oráculo
SugarCRM
Zendesk
Zoho CRM
Cloud onRamp para SaaS: se elige la ruta de mejor rendimiento

Un segundo ejemplo es DIA para IaaS. IaaS ofrece recursos de red, computación y almacenamiento a los usuarios finales bajo demanda, disponibles en una nube pública (como AWS, Azure o Google Cloud) a través de Internet. Tradicionalmente, para que una sucursal acceda a los recursos de IaaS, no había acceso directo a los centros de datos de la nube pública, ya que normalmente requieren acceso a través de un centro de datos o un sitio de colocación. Además, existía una dependencia de MPLS para llegar a los recursos de IaaS en los centros de datos de la nube privada sin una segmentación consistente o políticas de QoS desde la sucursal a la nube pública.

Cisco Cloud onRamp para IaaS es una función que automatiza la conectividad a cargas de trabajo en la nube pública desde el centro de datos o la sucursal. Implementa automáticamente instancias de enrutadores WAN Edge en la nube pública que se convierten en parte de la superposición SD-WAN y establecen la conectividad del plano de datos con los enrutadores ubicados en el centro de datos o sucursal. Extiende las capacidades completas de SD-WAN a la nube y extiende un marco de políticas común en la estructura y la nube de SD-WAN. Cisco Cloud onRamp para IaaS elimina el tráfico de los sitios SD-WAN que necesitan atravesar el centro de datos, mejorando el rendimiento de las aplicaciones alojadas en la nube pública. También proporciona alta disponibilidad y redundancia de rutas a las aplicaciones alojadas en la nube, lo que también es muy rentable.

Gracias por tu pregunta. Intentaré señalar algunas documentaciones, libros y laboratorios de Cisco para que ayudan a obtener no solo conocimientos teóricos, sino también algo de práctica con SD-WAN.
Guía de diseño de Cisco SD-WAN:
https://www.cisco.com/c/en/us/td/docs/solutions/CVD/SDWAN/cisco-sdwan-design-guide.html
Documentación del usuario / Guías de configuración
https://www.cisco.com/c/en/us/td/docs/routers/sdwan/config/ios-xe-sdwan17.html
Libros
Redes de área amplia definidas por software de Cisco: diseño, implementación y protección de su WAN de próxima generación con Cisco SD-WAN
https://www.ciscopress.com/store/cisco-software-defined-wide-area-networks-designing-9780136533177
Cajas de arena de Cisco DevNet SD-WAN
https://developer.cisco.com/sdwan/sandbox
Cisco dCloud
https://dcloud.cisco.com/
* Es posible que se necesite acceso a nivel de socio para algunos laboratorios
Colección de maestría SD-WAN
https://digital-learning.cisco.com/#/course/60680
Implementación de soluciones Cisco SD-WAN (SDWAN300) v1.0
https://www.cisco.com/c/en/us/training-events/training-certifications/training/training-services/courses/implementing-cisco-sd- wan-solutions-sdwan300.html

Para agregar

También hay un curso que puedes seguir. Todos los detalles sobre el curso están disponibles en el siguiente link: https://www.cisco.com/c/dam/en_us/training-events/training-services/course-overviews/sdwan300.pdf