Nová SDN architektúra pre podnikové siete v praxi - Cisco SD-Access DEMO prostredie už k dispozícií

Marek Golha

Team Leader Infrastructure

marek.golha@alef.com

Podnikové siete novej generácie začínajú nasledovať trend, ktorý je už niekoľko rokov adaptovaný v prostredí dátových centier. Tento trend predstavuje prechod k architektúre softvérovo definovaných sietí (SDN – Software Defined Networking).

Charakteristika SDN siete pozostáva z troch základných pilierov:

  1. Fabric technológia – umožňuje vytváranie logických overlay sietí nad fyzickými wired a wireless sieťami. Pomocou tejto technológie je umožnené jednoduché nasadenie, virtualizácia a micro-segmentácia nad jednou fyzickou sieťovou infraštruktúrou.
  2. Centralizované riadenie a dohľad – hlavným prvkom riadenia a manažmentu akejkoľvek SDN siete je centrálny SDN controller.  Hlavnou úlohou SDN controllera je mať globálny pohľad na sieťovú infraštruktúru a umožňovať jej jednoduchú správu a konfiguráciu z centrálneho miesta. Konfigurácia sieťových zariadení už neprebieha box-by-box metódou, ale administrátor využíva zrozumiteľné grafické rozhranie na to aby zadefinoval svoj zámer (intent) alebo využíva programovateľné rozhrania SDN controllera. Úlohou SDN controllera je tento zámer preložiť do formy konfigurácie na fyzickom zariadení.
  3. Otvorené aplikačné rozhrania (API – Application Programming Interface)  - na komunikáciu a integráciu so systémami tretích strán. Otvorené API rozhranie má slúžiť na to aby SDN controller vedel komunikovať informácie a stave siete na externé systémy a zároveň aj na to aby externé systémy vedeli komunikovať s SDN controllerom a programovateľne prezentovali svoje požiadavky na sieťovú infraštruktúru.

Spoločnosť Cisco Systems  prišla s architektúrou SD-Access (Software Defined Access) ako SDN riešenia pre podnikové siete. Táto architektúra plne spĺňa tri základné vlastnosti SDN riešení a definuje ďalšie služby a vlastnosti ako:

  • Konzistentné  bezpečnostné politiky aplikované na drôtové a bezdrôtové siete – z pohľadu bezpečnostných politík a ich aplikácie nezáleží od použitých prístupových médií
  • Monitorovanie a analytika celej infraštruktúry – monitorovanie a proaktívne upozornenie na možné bezpečnostné a sieťové problémy pomocou telemetrických dát získavaných so samotných zariadení
  • Služby založené na identite – identifikácia používateľov a zariadení pripájajúcich sa do siete, ktorá následne umožňuje implementáciu bezpečnostných politík.
  • Group-based politiky – vytváranie prístupových a aplikačných politík založených na automatickom alebo manuálnom priradení užívateľov a zariadení do skupín. Samotné politiky následne nie sú aplikované na sieťových zariadeniach pomocou IP rozsahov alebo VLAN ako sme boli zvyknutí pri štandardnej sieťovej architektúre, ale na základe priradených skupín.
  • Virtualizácia na sieťovej vrstve – umožňuje zdieľanie sieťovej infraštruktúry s možnosťou vytvorenia oddelených virtuálnych segmentov na tejto zdieľanej infraštruktúre. 

Komponenty SD-Access architektúry:

SD-Access architektúra vyobrazená na obrázku dole je založená na niekoľkých logických komponentoch, ktoré v nej majú špeciálnu funkciu:

  • Control Plane Node – zabezpečuje získavanie informácií o umiestnení koncových bodov pripojených do siete. Vytvára databázu asociácie koncových bodov ku Fabric Egde Nodom a stará sa o to aby v tejto databáze boli aktuálne informácie.
  • Fabric Edge Node -  je ekvivalent prístupového prepínača z tradičnej trojvrstvovej sieťovej architektúry. Zabezpečuje registráciu koncových zariadení do siete a ich mapovanie do virtuálnych sietí.
  • Border Node – slúži ako brána medzi časťou siete kde beží SD-Access architektúra a externými sieťami, ktoré využívajú tradičnú architektúru a spôsob riadenia, alebo sú to siete mimo našu administratívnu zodpovednosť 
  • Intermediate Node – zariadenie v L3 sieti, ktorá je používaná na prepojenie medzi Edge node a Border node prvkami architektúry. Intermediate nodes zabezpečujú čistý IP transport bez pridanej funkcionality, ktorú poskytuje SD-Access architektúra.
  • Fabric Wireless LAN Controller (WLC) – pomocou Fabric WLC je zabezpečená plná integrácia bezdrôtových sietí do SD-Access architektúry.
  • Identity Service Engine (Cisco ISE) – Cisco ISE je dôležitou súčasťou celkovej architektúry a zabezpečuje ako základné služby autentifikácie, autorizácie a accountingu (AAA) pri prístupe zariadení do siete, tak aj rozširujúce služby v podobe segmentácie používateľov/zariadení do skupín a definovanie bezpečnostných politík medzi skupinami.
  • Cisco DNA Center– je srdcom celého riešenia a zabezpečuje funkcionalitu SDN controllera pre SD-Access architektúru. Z funkčného hľadiska obhospodaruje celý životný cyklus SD-Access architektúry a pomocou otvorených API rozhraní umožňuje nasadenie automatizácie  a komunikáciu s externými službami. DNA Center umožňuje centrálne spravovať nasledujúce oblasti životného cyklu siete:
    - Design – konfigurácia globálnych nastaví pre sieťové zariadenia (DNS, DHCP, IP adresácia, atď.), centralizovaný manažment softvérových verzií na zariadeniach, inventarizácia zariadení a aj zložitejšie funkcionality ako napríklad Plug-and-Play (automatizácia prvotného nasadenia sieťových zariadení bez zásahu obsluhy).
    - Policy – vytváranie virtuálnych sietí (niekedy nazývané aj ako „tenant“), prideľovanie koncových bodov do virtuálnych sietí a definovanie politík pre komunikáciu vo virtuálnych sieťach.
    - Provision – automatizovaná konfigurácia SD-Access architektúry založenej na logických komponentoch popisovaných vyššie.
    - Assurance – proaktívny monitoring a detailný pohľad na správanie sa siete. Zameranie je nielen na sieť ako takú, ale aj na užívateľov a aplikácie.
    - Platform – integrácia so systémami tretích strán a monitoring samotnej platformy DNA Centra

 Prechod na novú sieťovú architektúru je náročný proces a väčšinou je založený na prípravnej fáze, kedy je potrebné sa teoreticky oboznámiť s novým riešením, pochopiť jednotlivé komponenty riešenia a celkové fungovanie novej architektúry. Následne sa prechádza do fázy získavanie praktických skúseností s novým riešením, kde by sa mala naplno prejaviť pridaná hodnota nového riešenia a technický tím by mal získať praktické skúsenosti z danej oblasti.

Technický tím ALEF-u udržuje krok s novinkami v tejto technologickej oblasti a na získanie praktických skúseností sme zainvestovali do testovacieho prostredia, ktoré nám umožní sa s danou technológiou plne zoznámiť.

V prípade SD-Access architektúry sme vybudovali testovacie prostredie, ktoré je možno vidieť na nasledujúcom obrázku.

Testovacie prostredie pozostáva s nasledujúcich komponentov:

  • Cisco Catalyst 9500 prepínač – chrbticový prepínač zabezpečujúci Control Plane Node funkcionalitu v SD-Access architektúre
  • Cisco Catalyst 9300 a  Cisco Catalyst 9200 prepínače – prístupové prepínače zabezpečujúce Fabric Edge Node funkcionalitu v SD-Access architektúre
  • Cisco ISR 4331 smerovač – smerovač zabezpečujúci prepojenie SD-Access domény ku externým sieťam zabezpečujúci Border Node funkcionalitu v SD-Access architektúre
  • Cisco WLC3504 a Cisco Aironet 3802 wireless access pointy – WLC a wireless access pointy zabezpečujúce Fabric Wireless funkcionalitu v SD-Access architektúre
  • Cisco Aironet 1800S senzor – senzor umožňujúci testovanie bezdrôtovej siete. Vyhodnocovanie testov je vyobrazené pomocou DNA centra.
  • Cisco Identity Services Engine – server zabezpečujúci všetky AAA sluzby a rozširujúce funkcionality z pohľadu segmentácie a bezpečnostných politík v SD-Access architektúre
  • Cisco DNA Center – server zabezpečujúci funkcionalitu SDN controllera v SD-Access architektúre
  • Ďalšie komponenty - ako napríklad Cisco Connected Mobile Experience (CMX) server a Cisco Cloud Service Router (CSR), ktoré rozširujú služby poskytované základnou SD-Access architektúrou.

Celé demo prostredie plánujeme v ALEF-e využívať počas Kompetenčných centier ale aj iných technicko-marketingových prezentácií. Zároveň ponúkame možnosť vykonávať PoC (Proof of concept) testovanie tejto novej architektúry v priestoroch spoločnosti ALEF-u s využitím hore uvedených zariadení.

Radi Vás u nás privítame a ponúkame možnosť vykonať PoC (Proof of concept) testovanie tejto novej architektúry.