ArubaOS-Switch: Tunelování dat jako na bezdrátu

Tunelování na drátové síti

Princip tunelování dat do jednoho centrálního místa, tedy centralizace data-plane, byl ještě dávno před všemi možnými, dnes moderními overlay technologiemi nastupujícími v dnešní době hlavně v datových centrech, používán právě u bezdrátových sítí. Není náhodou, že to byla tehdy ještě málá firma Aruba Networks, která byla jedním z průkopníků této architektury bezdrátové sítě a navíc ji v následujících letech posunula dále skrze vícekontrolérovou architekturu Mobility Master oddělující od sebe control plane a data plane, který byl v prvních verzích bezdrátových kontrolérů sjednocený. Aruba toto samozřejmě nabízí jako volbu, která má napomoci škálovatelnosti a snadnější správě v rozsáhlých bezdrátových sítích, není to tedy nutnost.

Po mnoha letech vývoje a spojení s unikátními HPE switching technologiemi jsme se dostali do bodu kdy máme k dispozici technologii, která umožňuje navrhovat stejným způsobem i sítě drátové.Právě díky inovaci v rámci Provision ASIC hardware, který je po dlouhá léta v HPE a dnes HPE Aruba vyvíjen je možné na plné rychlosti média tunelovat uživatelská data z portu switche do centrálního bodu, případně skupiny centrálních bodů. Jedná se o L2 GRE tunely terminující se na Aruba bezdrátovém kontroléru přenášející unicast, ale i broadcast a multicast provoz. Díky této technologii je pak HPE Aruba schopna nabídnout unikátní architekturu, kdy je bezdrátová i drátová síť z hlediska data plane naprosto identická a navíc lze pro veškeré uživatele nabídnout stejnou uživatelskou zkušenost a SLA ať už jsou na drátu či bezdrátu. Navíc tato architektura nabízí celou řadu operativních výhod v oblasti řízení změn na drátové síti.

Řešení je navíc připravené pro různé variace řízení přístupu do sítě. Ať už máte nebo nemáte nasazené 802.1x či jiný způsob AAA řešení tak je možné tunelování nasadit. Existují totiž dvě variace, které v jednom případě umožnují tunelování veškerého datového provozu na zvoleném drátovém portu a v druhém případě můžete dynamicky nechat tunelovat data konkrétního zařízení dle jeho uživatelské role. Tuto roli může samozřejmě zařízení obdržet lokálně na switchi, ale typicky to bude spíše role dynamicky přidělená jako atribut z RADIUS serveru, například Aruba ClearPass. Můžete si tedy zvolit jestli budete tuto funkcionalitu využívat spíše vyjímečně na konkrétních portech kde bude staticky zapnuta a nebo jestli ji budete využívat častěji a přiřazovat ji v rámci zabezpečeného přístupu dynamicky pro konkrétního uživatele, uživatelskou skupinu či zařízení.

K čemu to použít?

Dobrá, můžeme tunelovat data per uživatel či port, ale k čemu to reálně využít v praxi? V první řadě to bude zjednodušení celkového designu sítě a především její správy a údržby konfigurací jednotlivých prvků. Představte si dnes nejběžnější L2 design campus sítě. Dvě až tři vrstvy sítě propojené buď zasmyčkovanými L2 propoji popř. využívající stacking a linkovou agreagaci. V každém případě ale musí administrátor konfigurovat každou VLAN a vše so je s ní spojené ručně a na každém aktivním prvku zvlášť. V nejlepším případě lze využít nějaký nástroj centrální správy a některé zjednodušující protokoly, ale vždy je to manuální a v případě změn v síti opakující se činnost nad mnoha aktivními prvky. Všichni kdo někdy administrovali nějakou rozsáhlejší síť pravděpodobně budou vědět o čem tu píšu – hledání, na kterém switchi, trunku, portu jsem tu VLAN zapomněl přidat a s tím spojený troubleshooting, zdržení a hlavně otrava.

Nasadíme-li místo tohoto klasického designu tunelování per port pro všechny porty v síti dostaneme výrazné zjednodušení designu, které zajistí extrémní zjednodušení nastavení VLAN a jejich pravidelných změn při přidávání nových typů zařízení či oddělení. Nasadíte-li navíc variantu tunelování per uživatel ideálně společně s autentizací a autorizací uživatelů budete moci opravdu přejít k plnému software overlay řešení kdy se nestaráte o konfiguraci VLAN a dalších s tím spojených úkonů ani na trunku ani na přístupovém portu. Uživatel dostane právě takovou VLAN, do které patří na jakémkoliv switchi aniž by jste museli řešit jestli je tam VLAN přivedena. Jak jednoduché a pohodlné – už žádná nekonečně se opakující rutina. Pozor ale, nezaměňme si to s dynamickým přiřazováním VLAN z NAC serveru, tam pořád musíme hlídat jestli je VLAN na switchi přivedena.

Navíc je dobré si uvědomit, že v centrálním prvku kde jsou tunely terminované náleží jeden tunel každému uživateli, tedy je to jako by jsme virtuálně měli každý uživatelský port definovaný a ovládaný v centrálním kontroléru. Na centrálních kontrolérech je zároveň vysoce výkonný aplikační a stavový firewall takže celý tento design v důsledku vede k situaci jako by jste na každém portu každého switche už na přístupové vrstvě měli firewall, který zajistí nejen interní bezpečnostní politiky, ale také aplikační QoS politiky.Tím se celá síť stává mnohem lépe řízenou jak z hlediska bezpečnosti tak z hlediska QoS.

A jak to škáluje?

Pokud vás v tomto bodě napadá jak je to se škálovatelností tak i na to existuje uspokojivá odpověď. Jeden z nejběžnějších kontrolérů prodávaných v našich končinách (Aruba 7205 pro až 256 AP) má k dispozici firewall výkon 12Gbps a ten nejvýkonnější model dokonce až 40Gbps. To samozřejmě nemusí stačit a proto je možné přes clustering kontrolérů dynamicky rozvažovat zátěž klientských tunelů z přístupové vrstvy. Kontrolérů je možné v této verzi do clusteru přidat 12 a to dává teoreticky až 480Gbps firewall výkonu v rámci jednoho clusteru. Clusterů může být ale bez problému více z čehož plyne, že tento design je nasaditelný téměř v jakkoliv datově náročné přístupové síti. Jen tak si schválně překontrolujte jaká je průměrná či aktuální přenosová rychlost na vašem páteřním switchi.

Na závěr lze říct, že díky unikátní technologii tunelování na běžných přístupových switchích je Aruba schopna dodat unikátní síťovou architekturu pro přístupové sítě, která pro její administrátory přináší výrazně jednodušší operativu, rozuměj úsporu času a také unikátní schopnost zajištění QoS a přístupové bezpečnosti. Takže pojďme přemýšlet o nových typech návrhů sítí pružnějších než kdy dříve.

No Comments Yet

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *