Sieć pod kontrolą

W tradycyjnym modelu działania sieci lokalnej każde fizycznie dołączone urządzenie staje się automatycznie częścią sieci komputerowej i uzyskuje dostęp do innych urządzeń osiągalnych z tej sieci. Znaczący postęp przyniosło wprowadzenie kontroli dostępu do sieci za pomocą usług NAC, dzięki którym infrastruktura może uwierzytelnić urządzenie i przydzielić uprawnienia dostępu do sieci po wcześniejszym sprawdzeniu, czy to urządzenie może taki dostęp uzyskać, stan aktualności oprogramowania i inne parametry istotnie związane z bezpieczeństwem. Podstawową funkcjonalność kontroli dostępu do sieci można zrealizować za pomocą wielu różnych przełączników dostępnych w powszechnej sprzedaży, gdyż większość z nich obsługuje standard IEEE 802.1x. Problemy pojawiają się wtedy, gdy banalne scenariusze 802.1x chcemy rozbudować. Nie każde tanie urządzenie sieciowe potrafi takie reguły wcielić w życie jednocześnie i nie w każdej prostej sieci klasy commodity można taki model wprowadzić bez dużej modernizacji. Koszmarne stają się sytuacje, gdy udaje się zrealizować tylko część tak szeroko zakrojonego wdrożenia – i w sieci koegzystuje wiele równoległych modeli korzystania z niej z uwagi na ograniczenia urządzeń sieciowych.

ZALETY

• radykalna poprawa bezpieczeństwa w porównaniu do sieci bez NAC,
• nadal niewysoki koszt, gdyż można użyć popularnych przełączników obsługujących standard IEEE 802.1x,
• wdrożenie centralnego dostępu do firmowej sieci.

WADY

• niekiedy pracochłonna konfiguracja,
• możliwe problemy z wydajnością,
• wdrożenie w istniejącej sieci może wymagać wymiany części urządzeń aktywnych.

Sieć dla krytycznych aplikacji

W miarę wzrostu skali wdrożenia mogą pojawiać się problemy wydajnościowe związane z transmisją danych dla firmowych aplikacji. Coraz więcej łączy, także WAN, realizuje się za pomocą technologii Ethernet, a lokalne łącza coraz częściej łatwo się wysycają ruchem. Jeśli w tak obciążonym środowisku pracują krytyczne dla firmy aplikacje, ruchem sieciowym należy zarządzać, by uniknąć problemów w pracy najważniejszego firmowego oprogramowania. Taka sieć już wykracza poza możliwości typowego sprzętu klasy commodity i powinna być zaprojektowana, zrealizowana oraz utrzymywana przy ścisłej współpracy administratorów aplikacji biznesowych.

Zobacz również:

• Dlaczego warto korzystać z VPN w 2024 roku?

Łukasz Bromirski, RSM Enterprise w firmie Cisco Poland, wyjaśnia: „Z perspektywy klienta nowoczesna sieć klasy enterprise będzie wymagać współpracy między specjalistami sieciowymi oraz utrzymaniem aplikacji. Dotychczas administratorzy aplikacji nie przejawiali chęci ścisłej współpracy z inżynierami sieciowymi. Obecnie, biorąc pod uwagę nasycenie środowiska produkcyjnego, taka współpraca jest niezbędna. Wtedy szczególnie cenna jest sieć definiowana programowo, gdyż umożliwia rozróżnienie aplikacji i dokładne kontrolowanie pracy sieci w połączeniu z pracą firmowego oprogramowania, w tym konkretnych – czasem autorskich – narzędzi używanych w danej firmie”.

ZALETY

• stabilna praca aplikacji biznesowych,
• efektywne wykorzystanie dostępnego pasma,
• bezpieczeństwo i wydajność.

WADY

• wysoki koszt,
• sieć musi być od początku zaprojektowana pod kątem pracy firmowych aplikacji,
• pracochłonna konfiguracja, utrzymanie wymaga współpracy administratorów aplikacji.

SDN – połączenie na żądanie

Przy wdrożeniach sieci definiowanych programowo (SDN) najczęściej mówi się o elastyczności dostarczania usług i o bezpieczeństwie. Wdrożenie SDN umożliwia integrację zarządzanych programowo połączeń sieciowych z aplikacjami. Przykładowa usługa telefonu internetowego VoIP przed zestawieniem połączenia głosowego przekazuje żądanie do kontrolera SDN, który za pomocą zarządzanych urządzeń sieciowych zestawi zarządzany tunel między terminalami VoIP na czas rozmowy. Po zakończeniu rozmowy połączenie zostanie rozłączone i zdekonfigurowane. Na potrzeby połączenia można zagwarantować wymagane pasmo, a samo połączenie zostaje zestawione tylko na czas pracy danej usługi. Chociaż wydaje się to skomplikowane, ma ważną zaletę: połączenia punkt-punkt zestawiane automatycznie tylko na potrzeby danej usługi są o wiele bezpieczniejsze od konfiguracji, w której połączenia są wykreowane wcześniej i transmisja sieciowa jest możliwa cały czas.

Większą rolę i możliwości rozwiązania klasy SDN pokazują tam, gdzie sieć integruje się z aplikacjami na wszystkich poziomach. Coraz częściej spotyka się wymagania, w których elastyczność sieci musi być w porównaniu do tradycyjnego, statycznego modelu wdrożeniowego (jedna zmiana lub dwie zmiany miesięcznie) ogromna – dochodząca do wieluset zmian w ciągu godziny. Takie środowiska nie mogłyby funkcjonować bez specyficznej elastyczności osiągalnej dzięki architekturze rozdzielającej interfejsy programowania urządzeń od ich logicznej abstrakcji.

ZALETY

• bardzo sprawne zarządzanie siecią,
• możliwość zapewnienia bardzo granularnego bezpieczeństwa,
• sprawna obsługa firmowych aplikacji.

WADY

• potencjalnie skomplikowana konfiguracja,
• wysoki koszt,
• wymagana integracja z firmowymi aplikacjami.

Za wysokie progi

W dzisiejszych firmach pracuje coraz więcej krytycznych aplikacji, które wykorzystują dużą część dostępnego pasma. W takich sieciach niezbędne staje się zarządzanie klasami usług (QoS), by zapewnić dostępność firmowych aplikacji niezależnie od pozostałego ruchu. Nie każde urządzenie sieciowe dysponuje takimi możliwościami i sieci określane jako commodity nie spełnią stawianych przed nimi oczekiwań.

Łukasz Bromirski wyjaśnia: „Coraz częściej mamy do czynienia z silnym obciążeniem łaczy i nawet gigabitowe połączenie ethernet, najczęściej obecnie stosowana prędkość dostępowa dla stacji roboczych, staje się wąskim gardłem. Wiążą się z tym problemy w pracy aplikacji, a to wpływa na wydajność obsługi procesów biznesowych w przedsiębiorstwie. W takim przypadku należy się poważnie zastanowić nad wdrożeniem QoS i zarządzanym dostarczaniem aplikacji. Do tego celu niezbędna jest działająca priorytetyzacja ruchu. Niekiedy obserwujemy dużą rozbieżność między tym, co pisze dostawca technologii w swoich dokumentach, a tym, co faktycznie działa. Nawet jeśli QoS funkcjonuje, to nie zawsze da się jednocześnie wprowadzić reguły dotyczące bezpieczeństwa i przepustowości albo liczba tych reguł jest w praktyce ograniczana przez możliwości samego urządzenia. Obecnie minimum stanowi obsługa czterech w pełni sprzętowych kolejek dla ruchu, ale w praktyce obserwujemy konfigurowanie od 8 do 16 kolejek na portach LAN, a na portach WAN nawet dziesiątek i setek tak, by zachować kontrolę nad pracą środowiska aplikacyjnego. Zaawansowane zarządzanie ruchem jest trudno osiągalne, a czasem również zupełnie nieprzewidywalne na sprzęcie klasy commodity, gdyż ma on zbyt małe możliwości w tym zakresie”.