Sieci komputerowe, sieci bezprzewodowe, sprzęt do wideokonferencji - Network Expert

Co to jest sieć definiowana programowo SDA

nowe spojrzenie na sieci LAN większego rozmiaru
(nazywane często sieciami kampusowymi)

Artykuł próbuje pobieżnie przybliżyć zasadę działania sieci typu Software Defined Access oraz omówić zalety jej implementacji.

Modne ostatnio hasło sieci definiowanych programowo zawędrowało do rozwiązań kampusowych i accessowych. Oznacza to, że już na etapie podłączenia urządzeń końcowych (tj. komputerów czy innych urządzeń użytkowników) można działać w sieci zdefiniowanej programowo.

Co o jest jednak sieć definiowana programowo.

To taka sprytna idea, która to wszystko co było esencją sieci dla inżynierów sieciowych: interfejsy, konfiguracja routingu itp. spycha niejako w tło. Te mechanizmy muszą działać, ale wspólnie stworzą coś co nazywa się underlay i fabric network. To, co działa na warstwie fabryki, to sieci typu sieć nakładkowa (overlay network).

Ruch użytkowników wykorzystuje sieć overlay tworzoną dla konkretnych potrzeb z wykorzystaniem sieci fabrykowej.

Czyli w tle jest sobie fabryka, na tej warstwie budowane są sieci nakładkowe, tworzone w zależności od potrzeb i wymagań użytkownika. Fabryka zapewnia bazową łączność a sieć nakładkowa tworzy konkretne połączenia wykorzystywane przez użytkowników bazując na fabricu.

O tak jak na rysunku:

Fabric layer

Co zabawne i fajne zarówno w tworzeniu fabrica, jak i sieci nakładkowych styczność admina z linią poleceń urządzeń sieciowych może być praktycznie znikoma. Oczywiście w tle jest linia komend i mniej lub bardziej rozbudowane polecenia, które aplikuje na urządzenia kontroler fabrica. [br]

Patrząc na rysunek powyżej można powiedzieć – przecież to samo osiągnę za pomocą vlanów.

[br]

Zamiast sieci wirtualnej nakładkowej (overlay network) zrobię sobie vlan.

No tak, ale to oznacza, że całą sieć będziesz musiał oprzeć na warstwie drugiej. Ostatecznie będzie to problematyczne w przypadku większych instalacji lub instalacji geograficznie rozproszonych bazujących na interfejsach połączeniowych na routingu. Dodatkowym problemem jest to, że redundancje w sieci warstwy 2 osiągamy przy użyciu mechanizmów o relatywnie wolnej zbieżności i determinizmie, takich jak protokół SPanning-tre.

Co więcej sieć nakładkowa w połączeniu z urządzeniami wymuszającymi polityki (typu NAC) pozwoli na dynamiczne przypisywanie użytkowników do konkretnych sieci nakładkowych, a także na definiowanie polityk określających poziom dostępu. A to pozwala na działanie sieci kampusowej w modelu fabric + overlay.

VXLAN

W dużej mierze jest to technologia VXLAN, czyli technologia tunelująca, pozwalająca na przenoszenie warstwy drugiej przez sieć routowalną. Zatem możliwe jest „rozciąganie” VLAN-ów przez sieć działającą w warstwie trzeciej. VXLAN działa wykonując niejako enkapsulację MAC w UDP. Technologia jest szczególnie przydatna w zastosowaniach serwerowych, wtedy kiedy ze względu na wymagania aplikacji należy połączyć dwa różne serwery w ramach jednej warstwy drugiej (czyli jednego VLANu), mimo że fizycznie serwery znajdują się w różnych datacenter (oddzielonych warstwą trzecią).

Technologia VXLAN,

Porównanie technologii pozwalających na „rozciąganie warstwy drugiej” w tabeli poniżej  (by Huawei )

Porównanie technologii pozwalających na „rozciąganie warstwy drugiej

Architektura sieci SDA

Architekturę sieci SDA przedstawia diagram poniżej. Architektura adekwatna jest dla urządzeń Huawei.

Architektura sieci SDA Huawei

Podobnie wygląda to dla Cisco

Architektura sieci SDA Cisco

Dla każdego z rozwiązań istnieje fabric bazujący na VXLAN, jest to sieć underlayowa, wykorzystująca dynamiczny routing.

NAC: Network Admission Control

Oprócz komponentów fabricowych w sieci SDA zazwyczaj korzysta się z urządzenia definiującego polityki bezpieczeństwa i zarządzającego nimi. Taki system określany nazwą NAC – Network Admission Control stanowi polityki definiujące kto, kiedy i z jakiego urządzenia może uzyskać dostęp do sieci.

NAC: network admission control

Dodatkowo po podłączeniu do sieci ruch jest znakowany znacznikami SGT, które pozwalają na definiowanie polityk filtrujących bez wykorzystania adresów IP (tak jak w prostych access – listach). Ruch podróżuje (przez sieć) otagowany dodatkowym znacznikiem.

Inline tagging - dodatkowy tag dla ruchu sieciowego

Znacznik jest wykorzystywany do definiowania polityk z poziomu rozwiązania NAC lub kontrolera sieci SDA.

Polityki bezpieczeństwa można interpretować jako macierz definiującą relacje tagów: tzn. na przecięciu dwóch tagów znajduje się definicja polityki, która będzie zastosowana , tak jak przedstawiono to na rysunku poniżej

Polityki bezpieczeństwa

Zdefiniowane polityki są „wypychane” na urządzenia sieciowe, co powoduje efektywnie wymuszenie stosownych polityk.

Zdefiniowane polityki bezpieczeństwa

Zalety sieci SDA

  • Automatyzacja:
    • mnóstwo operacji robi za nas konktroler, eliminując możliwe błędy,
    • atuomatyzacja obejmuje także dodawanie nowych komponentów sieci.
  • Bezpieczeństwo:
    • kontrola dostępu do sieci – jej bezpieczeństwo zintegrowane z całym modelem sieciowym,
    • łatwa segmentacja,
    • tworzenie wydzielonych fragmentów sieci dedykowanym konkretnym urządzeniom czy zespołom.
  • Monitoring urządzeń
    • Monitoring zintegrowany w ramach usługi, kontroler jest też systemem monitorującym, zapewniającym spójność konfiguracji, ale także weryfikującym stan urządzeń, alertującym o awariach.

Patrząc natomiast z punktu widzenia biznesu:

  • większa odporność sieci na awarie i błędy ludzkie,
  • zmniejszony koszt zarządzania Lepsze bezpieczeństwo.

Masz pytania?

Skontaktuj się z nami!

    Wszystkie pola oznaczone (*) są wymagane




    Potwierdzam, że zapoznałem się z polityką prywatności - Polityka prywatności
    Zgadzam się na przetwarzanie moich danych osobowych (imię, nazwisko, adres email, numer telefonu) przez Sprzedawcę NETWORK EXPERTS Sp. z o.o. sp. k. ul. Chojnowska 8, 03-583 Warszawa w celu marketingowym. Wyrażenie zgody jest dobrowolne. Mam prawo cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Mam prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, oraz prawo do przenoszenia danych na zasadach zawartych w polityce prywatności sklepu internetowego. Dane osobowe w sklepie internetowym przetwarzane są zgodnie z polityką prywatności. Zachęcamy do zapoznania się z polityką przed wyrażeniem zgody. - Polityka prywatności


    autorem artykułu jest

    Piotr Ksieniewicz – główny inżynier Network Expert

    Posiada ponad 10 letnie doświadczenie w pracy w sieciach IP. Inżynier CCIE#23799,  CISSP #774774 o specjalności Routing & Switching. Piotr lubi wyzwania dlatego z reguły przedłuża status CCIE innymi egzaminami – ma na koncie zdany egzamin pisemny z Security i Voice. Pracował zarówno w niewielkich sieciach jak i przy największych sieciach bankowych na świecie.

    Piotr Ksieniewicz – główny inżynier Network Expert
    2022-10-28T13:49:17+02:00
    Przejdź do góry