Wysoka dostępność

Sieci bezprzewodowe budowane na bazie produktów HP mogą być wdrażane w trybie wysokiej dostępności. Ciekawym mechanizmem, pozwalającym wprowadzić nadmiarowość w urządzeniach sieci Wi-Fi, jest funkcja hot backup 1+1, która wymusza wyznaczenie pary redundantnych kontrolerów do obsługi każdego punktu dostępowego.

W pojedynczym punkcie dostępowym ustanawiane są dwa tunele, po jednym do każdego z nadrzędnych kontrolerów. Kontrolery synchronizują między sobą informacje o swoim stanie, tak więc kontroler zapasowy może natychmiast stwierdzić utratę połączenia (heartbeat) z kontrolerem podstawowym. Wykorzystując wcześniej zestawiony tunel, kontroler zapasowy automatycznie przejmuje kontrolę nad punktem dostępowym. Efektem tej operacji jest przełączenie ruchu do kontrolera zapasowego.

Kontroler podstawowy i zapasowy na bieżąco synchronizują informacje o uwierzytelnionych użytkownikach (dotyczy sesji 802.1x oraz klientów uzyskujących dostęp za pomocą portalu webowego) oraz adresach IP przydzielonych klientom z serwera DHCP. W trakcie przełączania do kontrolera zapasowego zachowany zostaje stan sesji użytkowników, co eliminuje konieczność przeprowadzenia ponownego uwierzytelniania w dostępie do zasobów sieci. Ma to kluczowe znaczenie w przypadku większych sieci, w których ponowna, pełna reautentykacja klientów wygenerowałaby ogromny ruch do serwerów uwierzytelniających i jednocześnie zaprowadziła by do istotnych opóźnień przy przełączaniu ruchu.

Przypomnijmy że najbardziej wydajny kontroler HP klasy enterprise jest w stanie kontrolować nawet 1,5 tysiąca punktów dostępowych jednocześnie. Gdy uwzględnimy kilku klientów podłączonych do pojedynczego punktu (asocjacja, autoryzacja) daje to ogromną liczbę klientów, które wymagały by ponownego uwierzytelnienia w tym samym czasie. Mechanizm redundancji 1+1 zaimplementowany w rozwiązaniach HP gwarantuje komfort pracy w sieci bezprzewodowej nawet przy awarii podstawowego kontrolera sieci.

Sieci definiowane programowo

Firma HP stale pracuje nad nowymi technologiami, dzięki którym sieci bezprzewodowe będą mogły działać jeszcze lepiej, niż dotychczas. Przyszłość ta bez wątpienia należy do sieci definiowanych programowo (Software-defined networking, SDN) oraz technologii OpenFlow, które stanowią znakomite uzupełnienie i rozszerzenie stosowanych obecnie w sieciach przewodowych i bezprzewodowych mechanizmów.

Technologia SDN zmienia sposób postrzegania urządzeń w sieciach LAN/WLAN. SDN pozwala odłączyć od warstwy sprzętowej logikę zarządzania urządzeniami sieciowymi i zgrupować ją w postaci pojedynczego systemu operacyjnego, który zawiaduje całą infrastrukturą sieciową w organizacji. Wymaga to zastosowania standardowego interfejsu (protokołu) OpenFlow, który pozwala ujednolicić komunikację oraz zarządzanie między poszczególnymi urządzeniami sieciowymi, niezależnie od ich producenta.

Kontroler SDN/OpenFlow to urządzenie z zainstalowanym sieciowym systemem operacyjnym, który zarządza i kontroluje pracę wszystkich podległych mu elementów sieci. Na kontrolerze uruchamiane są aplikacje, które pozwalają wdrażać nowe funkcjonalności w sieciach przewodowych, a w przyszłości także w bezprzewodowych.

Obecne rozwiązania dla SDN dotyczą głównie sieci przewodowych, choć wielu producentów, w tym HP, prowadzi prawe rozwojowe and stworzeniem układu, który będzie wspierał mechanizmy na urządzeniach bezprzewodowych, czyli kontrolerach i punktach dostępowych.

Mówiąc bardziej obrazowo: w sieciach komputerowych, których idea zrodziła się jeszcze w czasach zimnej wojny, każde urządzenie sieciowe podejmuje autonomiczne decyzje, tak aby wyłączenie pojedynczego węzła nie prowadziła o awarii dużego segmentu sieci.

SDN wymieniany jest w kontekście budowy nowoczesnych centrów danych, choć w firmie HP uważa się, że tego typu rozwiązania równie dobrze w sieciach korporacyjnych i kampusowych. To właśnie dlatego HP inwestuje w rozwój technologii, czego przykładem może być wsparcie infrastrukturalne dla OpenFlow występuje obecnie w wielu rodzinach przełączników.

Wsparcie dla OpenFlow zostało zaimplementowane w przełącznikach warstwy dostępowej, czyli w urządzeniach oferujących interfejsy Gigabit Ethernet z obsługą PoE, natomiast w warstwie zarządzania HP rok temu wprowadziła do oferty własny kontroler SDN. Mamy więc tutaj do czynienia z dopracowanym, stabilnym rozwiązaniem, które już dzisiaj może być wdrażane produkcyjne. Całość rozwiązań do zarządzania infrastrukturą uzupełnia konsola IMC, która komunikuje się z kontrolerem SDN i potrafi nim zarządzać na odległość.

Aplikacje SDN

HP uruchomiła sklep, w którym partnerzy mogą zamieszczać i sprzedawać aplikacje, rozszerzające funkcjonalność sieci SDN o dodatkowe elementy. Nie będziemy się tym jednak szerzej zajmować w tym miejscu.

W artykule omówimy natomiast trzy aplikacje SDN rozwijane bezpośrednio przez HP. Network Protector to aplikacja pozwalająca kontrolować zapytania DNS pochodzące od klientów sieci z bazą reputacji prowadzoną przez „tipping point”. Jest to dział firmy HP zajmujący się dostarczaniem rozwiązań dla systemów bezpieczeństwa, IPS/IDS itd. Każde zapytanie DNS, które pojawi się w sieci przedsiębiorstwa, jest przetwarzane przez Network Protector. Aplikacja weryfikuje, czy ruch dotyczący sesji dla domeny, której dotyczyło zapytanie, uważany jest za bezpieczny, czy też należy go zablokować, aby zabezpieczyć urządzenie klienta.

Blokowanie to odbywa się na poziomie przełącznika dostępowego, do którego podłączony jest klient bezprzewodowy. W przyszłości planuje się rozszerzenie funkcjonalności tego mechanizmu, aby blokować niepożądany ruch bezpośrednio na punkcie dostępowym.

Co ważne, funkcja Network Protector działa zarówno w sieci przewodowej oraz bezprzewodowej pozwalając obserwować ruch wychodzący z urządzeń klienckich i blokować go już na poziomie infrastruktury dostępowej. W tym kontekście Network Protector stanowi rozszerzenie funkcji oferowanych przez klasyczne systemy antywirusowe i systemy IPS/IDS.

Network Optimizer dla Lync

Network Optimizer dla Lync to kolejna aplikacja dla systemu SDN, która integruje się z oprogramowaniem zintegrowanej komunikacji firmy Microsoft po to, aby skuteczniej oznaczać ruch głosowy w sieci i zapewnić mu wymagany poziom jakości.

Usługa Lync wykorzystuje dynamiczne porty, aby ustanowić połączenie między urządzeniami biorącymi udział w komunikacji głosowej lub wideo. W sieciach komputerowych implikuje to trudności z przypisywaniem priorytetów QoS dla pakietów generowanych przez aplikację Lync.

Dzięki integracji Network Optimizer z serwerem Lync aplikacja wie pomiędzy jakimi adresami IP oraz na jakich portach ustanowiono połączenie głosowe. Network Optimizer przekazuje tę informację do kontrolera OpenFlow, który konfiguruje odpowiedni priorytet QoS dla danego strumienia danych, wychodzącego z brzegowych przełączników. W ten sposób kontroler może zoptymalizować (przypisać wymagany priorytet) dla ruchu głosowego i wideokonferencji prowadzonych w oprogramowaniu Microsoft Lync.

Dokładna lokalizacja urządzeń

HP prowadzi intensywne prace nad rozwojem aplikacji SDN, która umożliwi poprawę dokładności lokalizacji urządzeń w sieci bezprzewodowej. Obecnie stosowane rozwiązanie pozwalają ustalić położenie klienta z dokładnością do 10-15 metrów. Szacuje się, że dzięki wdrożeniu mechanizmów SDN/OpenFlow dokładność lokalizacji będzie mogła być zwiększona do ok. 2 metrów.

Aplikacja, która mogłaby zrealizować te założenia już istnieje; znajduje się w fazie testowej (proof of concept) i jest intensywnie rozwijana przez HP. Firma złożyła wnioski patentowe, które mają zabezpieczyć innowacje zastosowane w tym oprogramowaniu.

Zakłada się, że aplikacja ta okaże się znakomitym przykładem, jak w praktycznych zastosowanich wykorzystać możliwości jakie niesie ze sobą połączenie rozwiązań SDN z optymalnie działającą, dobrze skonfigurowaną siecią bezprzewodową. W HP dąży się do tego, aby poprzez unifikację sieci LAN i WLAN, poprzez wdrożenie wspólnych narzędzi do zarządzania i monitoringu oraz wspólnych mechanizmów uwierzytelniania, doprowadzić do stanu, w której cała infrastruktura sieciowa będzie ze sobą współgrała, a żaden z jej elementów nie będzie samotną wyspą na bezkresnym oceanie. Kolejnym celem HP jest przekazanie administratorom dobrych narzędzi do zarządzania infrastrukturą sieciową oraz przeniesienie jej na wyższy poziom dzięki integracji z technologiami takimi jak SDN/OpenFlow.

Sieć dla szpitala

Referencyjnym przykładem wykorzystania produktów HP Networking może być infrastruktura sieciowa w Szpitalu nr 4 z Lublina, która w całości została zaprojektowana i zbudowana z produktów HP Networking.

Placówka ta zdecydowała się dostarczać nowoczesne usługi sieciowe w obszarze medycznym oraz obsługi pacjenta. Szybki, stabilny dostęp do internetu zapewnia pacjentom komfort przebywania na oddziale szpitalnym w trakcie rekonwalescencji. Z kolei w kwestiach związanych z obsługą aparatury medycznej sieć bezprzewodowa pomogła uprościć pewne mechanizmy diagnostyczne, czego przykładem może być ograniczenie konieczności noszenia kaset do skanerów. Wszystkie te założenia udało się z powodzeniem zrealizować stosując produkty HP.

Standard 802.11ac daje nowe możliwości w budowie sieci bezprzewodowych, choć niesie ze sobą także pewne zagrożenia. Z całą pewnością nie może tutaj być mowy o złotej pigułce na wszystkie problemy sieci Wi-Fi, z którymi stykaliśmy się dotychczas.

Podsumowanie

Wzrost zapotrzebowania na pasmo i w końcu wyższe zaszumienie kanałów radiowych powodują, że współczesne urządzenia sieciowe muszą mieć zaimplementowane narzędzia, które zoptymalizują działanie sieci bezprzewodowej oraz zautomatyzują prace wykonywane dotychczas przez administratorów. Unifikacja mechanizmów zarządzania pozwala administratorom w pełni spojrzeć na warstwę dostępową do zasobów sieci, zarówno jej część przewodową, jak i bezprzewodową, aby w prosty sposób móc diagnozować problemy oraz wykrywać potencjalne zagrożenia.

Na rynku pojawiają się urządzenia (kontrolery, punkty dostępowe), które zapewniają nieporównywalnie wyższą elastyczność w obszarze przełączania ruchu w sieci niż dotychczas stosowane rozwiązania.

Kwestie bezpieczeństwa w sieciach bezprzewodowych zawsze miały najwyższy priorytet i obecnie, wraz ze wzrostem liczby urządzeń mobilnych, nie tracą na zdarzeniu. Wręcz przeciwnie. Ich znaczenie rośnie, dlatego też administratorzy powinni mieć nie tylko świadomość zagrożeń, ale także dostęp do mechanizmów i narzędzi, które pozwolą zagwarantować bezpieczeństwo sieci komputerowych.

Przyszłość rysuje się ciekawie także za sprawą systemów SDN/OpenFlow. Możliwości, które niesie ze sobą wdrożenie tego modelu zarządzania infrastrukturą sieciową są bardzo interesujące, czego przykładem mogą być omówione wcześniej aplikacje SDN do zabezpieczania sieci (Network Protector), optymalizacji ruchu głosowego i wideo (Network Optimizer) oraz dokładniejszej lokalizacji urządzeń Wi-Fi.