En av verdiene Jan Kristian har tilført prosjektet er å kombinere data fra Meraki API’er med WalWil’s skipsposisjoner, alvorlige vær og seismiske hendelser. Dette gir WWL en enkel oversikt over sitt globale WAN i en praktisk driftskontekst
Wallenius Wilhelmsen ASA (WalWil) er et ledende rederi innen frakt av biler og annet rullende materiell og stykkgods. Selskapet opererer 60 RoRo skip, og har en global operasjon med 9.500 ansatte i 29 land. Internasjonal kommunikasjon mellom selskapets 130 landbaserte kontor er kritisk, og historisk sett kostbart og komplisert. De er nå i siste fase av en global utrulling av Cisco Meraki SD-WAN som gir flere positive effekter.
Prosjektets hovedformål var å spare kostnader på internasjonal datakommunikasjon ved å gå fra MPLS til SD-WAN. Arbeidet startet i 2018 etter at man først hadde undersøkt en SD-WAN løsning gjennom en global Telecom provider. Etter å ha gjennomgått foreslått løsning, så man at man kunne hente ut større effekter ved å bygge løsningen selv. Vår Jan Kristian Osland har vært arkitekt for løsningen, og vært utførende og teknisk koordinerende ressurs i utrullingen globalt.
I prosessen har man besluttet å også ta med seg LAN og WiFi på lokasjonene, slik at man får en samlet løsning med god visibilitet for sikkerhet og drift. Under utrullingen har sistnevnte gitt gode sikkerhetseffekter og oversikt. Enheter som står på nett de ikke skulle vært på, er nå mye enklere å oppdage. Enhetlig oversikt over hvilke enheter/applikasjoner som bruker mest båndbredde, samt mulighet for å shape trafikken, hindrer overbelastning, og bedrer bruker opplevelsen. Man oppnår også en kontinuerlig oppdatering av all firmware, som bidrar til stabilitet og bedret sikkerhet.
Løsningen er i dag i drift for over 80 % av WalWil’s kontorer. Utrullingen har skjedd i høyt tempo i alle regioner, og WalWil har erfart at løsningen mer enn innfrir forventingene.
Hva er SD-WAN?
SD-WAN er et konsept hvor man bygger et software-definert virtuelt privat widearea-nettverk (WAN) ved bruk av offentlig internett og kryptering (VPN tuneller). Vi har laget en video som forklarer konseptet her.
Om løsningen
Cisco Meraki er et skybasert nettverk som administreres gjennom en skytjeneste i en vanlig nettleser. Dette betyr at for eksempel svitsjer, WiFi, firewall, IDS/IPS, AMP og SD-WAN administreres og konfigureres fra Meraki dashboard i skyen. WWL har satt ut den daglige driften av løsningen.
Et viktig sted å starte er å lage et godt grunndesign; Navnestandarder, maler, sikkerhetspolicyer, firewallregler, SSID’er, svitsjportkonfig, alarmering og logging. Dette for at løsningen skal bli oversiktlig og enkel å drifte i ettertid.
En av vurderingene som er gjort er om man skal benytte en global tilbyder av internettaksessene, eller en kombinasjon av flere lokale. Lokale gir størst fleksibilitet, men også mye administrasjon. Rent praktisk kan man eksempelvis også oppleve at lokale helpdesker ikke snakker engelsk. WalWil har derfor samlet mest mulig i en global leverandør, men supplert med lokale der man av praktiske årsaker må dette. SD-WAN konseptet samler likevel alt i et nettverk. Et spesialtilfelle er også Kina som har en egen Meraki cloud/dashboard. Dette fordi VPN forbindelser ut av landet ikke er lov. Dette må løses ved å benytte MPLS, eller annen ukryptert forbindelse mellom Kina og en lokasjon utenfor Kina, til å binde sammen de to Meraki SD-WAN’ene. Meraki er per dags dato heller ikke tilgjengelig i Russland, men kommer kanskje i 2020.
En del store cloudtjenester bruker geolocation for å rute deg til nærmeste datasenter, for eksempel Office365. Siden WWL primært har benyttet en global ISP, og disse gjenbruker public ip-adresser, kan man risikere at IP adressen er brukt på et annet kontinent tidligere. Det blir dermed viktig at utstyret har riktig landkode. Å bestille alt utstyret i Norge for videresending var derfor ikke optimalt. I ettertid ser man at utstyret burde vært sendt direkte fra Meraki til der det skulle benyttes, for dermed å få riktige landkoder. Noen land er krevende med tollhåndtering, og derfor har man gått over til å bestille lokalt. Sør-Korea og Kina er eksempler på dette.
Når man går fra et globalt MPLS nett til SD-WAN med lokal Internet breakout, må man også gå gjennom DNS-designet. I praksis må DNS request gå ut lokalt, i stedet for sentralt som man gjerne har benyttet tidligere. Denne vurderingen gjelder også for tidligere sentrale proxy tjeneste(r).
I overgangen fra MPLS til en SD-WAN løsning er et av argumentene for å kjøpe utstyret selv, kontra å kjøpe Meraki som en tjeneste fra en annen leverandør, å unngå «vendor lock in». Mens det er relativt enkelt å bytte en MPLS leverandør, blir dette mye mer komplisert når LAN og Wifi blir inkludert. WalWil vurderte det dermed best å anskaffe alt utstyret selv, og heller sette ut driften etter implementering. Man unngår dermed «vendor lock-in», og står dermed mye friere til å forhandle priser/avtaler, og det gjør det mye enklere å bytte driftsleverandør ved behov.
En av årsakene til at man landet på Meraki løsningen var at den er ledende når det gjelder sikkerhetsfunksjoner. Dette er vesentlig når man går over fra regionale internettaksesser til lokal internett på alle lokasjoner. Meraki har Cisco Anti Malware Protection(AMP), IDS/ IPS og URL filtrering basert på kategori. Man får dermed effektiv aksess lokalt, men beholder et godt sikkerhetsnivå.
Hva har endret seg med ny løsning?
Man har erfart følgende effekter:
- SD-WAN gir redusert kostnad for internasjonal kommunikasjon, og også økt fleksibilitet og er ikke avhengig av en ISP.
- Ett konsoll for alt av vedlikehold og innstillinger for hele løsningen. Løsningen har også en Global change log. Dette gir innsikt i hvem som har gjort hva og når det ble gjort, som igjen gir bedre sikkerhet og enklere drift.
- Større fleksibilitet ved oppkjøp eller salg av virksomhet. WalWil har gjennom tidene vokst gjennom oppkjøp, og SD-WAN løsningen gjør det enklere å ta en ny virksomhet inn i felles løsning. Det er også enklere og raskere å sette opp eller ta ned et kontor. Det gir stor fleksibilitet at alt som trengs er en internettaksess, i verste fall kan en 4G ruter gi forbindelse.
- Økt sikkerhetsnivå og synbarhet for sikkerhetshendelser. Standardisering av utstyr og firmware.
- Redusert kompleksitet i forhold til drift av løsningen.
- Et API-grensesnitt mot alt som gjør det mulig å lage egne script og tilpassede løsninger.
En av verdiene Jan Kristian har tilført prosjektet er å kombinere data fra Meraki API’er med WalWil’s skipsposisjoner, alvorlige vær og seismiske hendelser. Dette gir WWL en enkel oversikt over sitt globale WAN i en praktisk driftskontekst. Totto Befring, Head of Global IT Operations WalWil, forteller at han i dette bildet eksempelvis kan se orkanene rulle inn i Mexicogulfen og følge konsekvensen for de landbaserte nettverkene mens det skjer.