Co to jest sieć definiowana programowo SDA
nowe spojrzenie na sieci LAN większego rozmiaru
(nazywane często sieciami kampusowymi)
Artykuł próbuje pobieżnie przybliżyć zasadę działania sieci typu Software Defined Access oraz omówić zalety jej implementacji.
Modne ostatnio hasło sieci definiowanych programowo zawędrowało do rozwiązań kampusowych i accessowych. Oznacza to, że już na etapie podłączenia urządzeń końcowych (tj. komputerów czy innych urządzeń użytkowników) można działać w sieci zdefiniowanej programowo.
Co o jest jednak sieć definiowana programowo.
To taka sprytna idea, która to wszystko co było esencją sieci dla inżynierów sieciowych: interfejsy, konfiguracja routingu itp. spycha niejako w tło. Te mechanizmy muszą działać, ale wspólnie stworzą coś co nazywa się underlay i fabric network. To, co działa na warstwie fabryki, to sieci typu sieć nakładkowa (overlay network).
Ruch użytkowników wykorzystuje sieć overlay tworzoną dla konkretnych potrzeb z wykorzystaniem sieci fabrykowej.
Czyli w tle jest sobie fabryka, na tej warstwie budowane są sieci nakładkowe, tworzone w zależności od potrzeb i wymagań użytkownika. Fabryka zapewnia bazową łączność a sieć nakładkowa tworzy konkretne połączenia wykorzystywane przez użytkowników bazując na fabricu.
O tak jak na rysunku:
Co zabawne i fajne zarówno w tworzeniu fabrica, jak i sieci nakładkowych styczność admina z linią poleceń urządzeń sieciowych może być praktycznie znikoma. Oczywiście w tle jest linia komend i mniej lub bardziej rozbudowane polecenia, które aplikuje na urządzenia kontroler fabrica. [br]
Patrząc na rysunek powyżej można powiedzieć – przecież to samo osiągnę za pomocą vlanów.
[br]
Zamiast sieci wirtualnej nakładkowej (overlay network) zrobię sobie vlan.
No tak, ale to oznacza, że całą sieć będziesz musiał oprzeć na warstwie drugiej. Ostatecznie będzie to problematyczne w przypadku większych instalacji lub instalacji geograficznie rozproszonych bazujących na interfejsach połączeniowych na routingu. Dodatkowym problemem jest to, że redundancje w sieci warstwy 2 osiągamy przy użyciu mechanizmów o relatywnie wolnej zbieżności i determinizmie, takich jak protokół SPanning-tre.
Co więcej sieć nakładkowa w połączeniu z urządzeniami wymuszającymi polityki (typu NAC) pozwoli na dynamiczne przypisywanie użytkowników do konkretnych sieci nakładkowych, a także na definiowanie polityk określających poziom dostępu. A to pozwala na działanie sieci kampusowej w modelu fabric + overlay.
VXLAN
W dużej mierze jest to technologia VXLAN, czyli technologia tunelująca, pozwalająca na przenoszenie warstwy drugiej przez sieć routowalną. Zatem możliwe jest „rozciąganie” VLAN-ów przez sieć działającą w warstwie trzeciej. VXLAN działa wykonując niejako enkapsulację MAC w UDP. Technologia jest szczególnie przydatna w zastosowaniach serwerowych, wtedy kiedy ze względu na wymagania aplikacji należy połączyć dwa różne serwery w ramach jednej warstwy drugiej (czyli jednego VLANu), mimo że fizycznie serwery znajdują się w różnych datacenter (oddzielonych warstwą trzecią).
Porównanie technologii pozwalających na „rozciąganie warstwy drugiej” w tabeli poniżej (by Huawei )
Architektura sieci SDA
Architekturę sieci SDA przedstawia diagram poniżej. Architektura adekwatna jest dla urządzeń Huawei.
Podobnie wygląda to dla Cisco
Dla każdego z rozwiązań istnieje fabric bazujący na VXLAN, jest to sieć underlayowa, wykorzystująca dynamiczny routing.
NAC: Network Admission Control
Oprócz komponentów fabricowych w sieci SDA zazwyczaj korzysta się z urządzenia definiującego polityki bezpieczeństwa i zarządzającego nimi. Taki system określany nazwą NAC – Network Admission Control stanowi polityki definiujące kto, kiedy i z jakiego urządzenia może uzyskać dostęp do sieci.
Dodatkowo po podłączeniu do sieci ruch jest znakowany znacznikami SGT, które pozwalają na definiowanie polityk filtrujących bez wykorzystania adresów IP (tak jak w prostych access – listach). Ruch podróżuje (przez sieć) otagowany dodatkowym znacznikiem.
Znacznik jest wykorzystywany do definiowania polityk z poziomu rozwiązania NAC lub kontrolera sieci SDA.
Polityki bezpieczeństwa można interpretować jako macierz definiującą relacje tagów: tzn. na przecięciu dwóch tagów znajduje się definicja polityki, która będzie zastosowana , tak jak przedstawiono to na rysunku poniżej
Zdefiniowane polityki są „wypychane” na urządzenia sieciowe, co powoduje efektywnie wymuszenie stosownych polityk.
Zalety sieci SDA
- Automatyzacja:
- mnóstwo operacji robi za nas konktroler, eliminując możliwe błędy,
- atuomatyzacja obejmuje także dodawanie nowych komponentów sieci.
- Bezpieczeństwo:
- kontrola dostępu do sieci – jej bezpieczeństwo zintegrowane z całym modelem sieciowym,
- łatwa segmentacja,
- tworzenie wydzielonych fragmentów sieci dedykowanym konkretnym urządzeniom czy zespołom.
- Monitoring urządzeń
- Monitoring zintegrowany w ramach usługi, kontroler jest też systemem monitorującym, zapewniającym spójność konfiguracji, ale także weryfikującym stan urządzeń, alertującym o awariach.
Patrząc natomiast z punktu widzenia biznesu:
- większa odporność sieci na awarie i błędy ludzkie,
- zmniejszony koszt zarządzania Lepsze bezpieczeństwo.
Masz pytania?
Skontaktuj się z nami!
autorem artykułu jest
Piotr Ksieniewicz – główny inżynier Network Expert
Posiada ponad 10 letnie doświadczenie w pracy w sieciach IP. Inżynier CCIE#23799, CISSP #774774 o specjalności Routing & Switching. Piotr lubi wyzwania dlatego z reguły przedłuża status CCIE innymi egzaminami – ma na koncie zdany egzamin pisemny z Security i Voice. Pracował zarówno w niewielkich sieciach jak i przy największych sieciach bankowych na świecie.