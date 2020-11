V úterý 24. listopadu proběhla konference SD-WAN aneb jak spolehlivě a bezpečně propojovat uživatele s aplikacemi, ať jsou kdekoliv, kterou pořádala společnost Cisco. K dispozici jsou záznamy z online konference. Root.cz byl mediálním partnerem online akce.

Ondrej Macko: trendy v počítačových sítích

Ondrej Macko je novinář, který se dlouhodobě věnuje také novinkám v počítačových sítí. Na vojně se říkalo, že bez spojení není velení. Od té doby se svět komunikace velmi změnil. Teď žijeme v době koronavirové, která vše ještě zintenzivnila. Byli jsme na to připraveni, počítali jsme s tím, že bychom mohli pracovat na dálku. Koronavirus nás ale donutil to udělat doopravdy. Ukázalo se, že je to opravdu možné. Spousta věcí se zefektivnila, zjistili jsme, že se nemusíme v mnoha situacích potkávat, nemusíme za sebou cestovat a můžeme toho opravdu hodně vyřešit online.

Vyžádalo si to změny také ve firmách. Dříve byla potřeba VPN, abychom se dostali do firemní sítě. Později jsme našli odvahu přenést data na úroveň poboček a do různých cloudových služeb. Můžeme pak k datům přistupovat odkudkoliv. Někdo použil velké komerční řešení, někdo to udělal vlastními silami, ale k té změně došlo.

Řada firem zjistila, že je to pro ně výhodné a pravděpodobně u podobného ‚hybridního režimu‘ zůstanou i nadále. Podle mě se všechno nevrátí do úplně původních školení. Pokud to bude u daných povolání možné, budou lidé nadále pracovat částečně vzdáleně a efektivněji. Součástí této změny jsou i softwarově definované sítě. Přechod k nim je zejména vidět u velkých firem, které dokáží nasadit takto pokročila řešení. Je to trochu vizionářské řešení, které je teď potřeba dostat i do malých firem do stovky zaměstnanců.

Čím dál více se také firmy obracejí na specializované dodavatele jednotlivých služeb. Dříve jsme byli zvyklí na to, že žádné služby neexistovaly a museli jsme si udělat všechno sami. Dnes si firmy spočítají, že pokud předají službu specializované firmě, mohou nakonec udělat vše levněji a hlavně rychleji. Jsou tu totiž garance, že daná firma umí problém vyřešit v předem stanoveném čase a kvalitě.

Miroslav Brzek: Architektura moderní pobočkové WAN sítě

Dříve byla pobočková síť uzavřená, služby i klienti byli uzavřeni v této síti a komunikovali uvnitř uzavřeného prostředí. Typický pro to je poměr, kdy 80 % dat nám probíhá uvnitř sítě a jen 20 % jde ven do internetu.

V posledních letech se ale věci kompletně změnily. Přibyla zařízení: mobilní telefony, různé čtečky, specializovaná zařízení a podobně. Stejně tak na straně služeb máme spoustu cloudových poskytovatelů a různých dalších externích služeb. Obrátil se také poměr komunikace: 80 % provozu jde ven, jen 20 % probíhá uvnitř.

S tím se také centralizovaná internetová přípojka stává úzkým hrdlem, je nutné ji posílit, investovat do dalších zařízení, zajistit novou úroveň bezpečnosti a podobně. To zase zvyšuje požadavky na integraci jednotlivých prvků. Infrastruktura WAN sítí na to musí reagovat. Musíme uživatelům zajistit dostatečně kvalitní připojení ke všem službám.

Síť se mění z takzvané DC-centric architektury na takzvanou Cloud-centric infrastrukturu. V ní významnou roli zastává i internetová konektivita, která se stává velice důležitou komoditou. Abychom mohli zajistit dostatečnou kvalitu, potřebujeme ideálně dostat internetovou konektivitu co nejblíže k uživateli – nejlépe na danou pobočku.

V moderní síti potřebujeme zajistit konektivitu poboček k našemu centrálnímu datacentru, aby měl uživatel přístup k interním službám. Dále potřebujeme konektivitu do internetu, aby měli uživatelé přístup také ke cloudovým službám. Musíme zajistit přímou konektivitu dostupnou na pobočce. Kromě toho je třeba zajistit také bezpečnost, aby nikdo tyto části naší sítě nemohl přímo napadnout.

Zásadním nástrojem pro správu takto komplexního řešení je automatizace a orchestrace. Infrastruktura společnosti Cisco staví na několika hlavních komponentách. Pro autentizaci slouží takzvaný vBond server, pro konfiguraci sítě pak slouží komponenta vManage. Mozkem infrastruktury je vSmart Controoler, který slouží k implementaci síťových politik a distribuci routovacích pravidel mezi jednotlivé pobočky. Všechny tyto komponenty jsou implementovány v podobě virtuálních serverů a je možné je provozovat v režimu vysoké dostupnost.

Vlastní směrovače na pobočkách jsou součástí takzvané vrstvy Data Plane. Mohou být ve formě fyzického zařízení, či virtuálního serveru. Využíváme model zero-trust, který zajišťuje, že se do naší sítě připojí jen oprávněné zařízení. To je zajištěno jednak pomocí seznamů známých zařízení a také pomocí autentizace pomocí certifikátů X.509.

Veškerá komunikace mezi SD-WAN směrovači probíhá zabezpečeně pomocí technologie IPSec. Nejprve je potřeba navázat transportní tunel, pro šifrování se používá algoritmus AES-256. Pro každé transportní prostředí se navazuje vlastní tunel.

Potřebnou kvalitu služby musíme zajistit bez ohledu na to, zda používané aplikace běží v cloudových službách nebo ve vlastním datacentru. Jedním z nástrojů je aplikační SLA, které dovoluje zajistit potřebnou kvalitu. Na velmi dlouhých linkách můžeme využít funkcí TCP Optimization, která dovoluje dramaticky snížit latence. Abychom zajistili kvalitu sítě, můžeme využít Packet Duplication a posílat stejné pakety zároveň různými linkami. Tím se můžeme vyhnout dopadu výpadků na jednotlivých linkách.

Bezpečnost je možné zajistit pomocí Direct Internet Access (DIA), který zabezpečí data tekoucí z pobočky přímo do internetu. Umíme zajistit bezpečnost také v integraci s jednotlivými poskytovateli cloudových služeb. Pokud data směřují přímo do některého z datacenter, jsme schopni mu nastavit vlastní politiky.

Výhodou SC-WAN je předvídatelná kvalita služeb díky podrobného řízení routingu podle jednotlivých aplikací, vysoká úroveň bezpečnosti díky segmentaci na různá síťová prostředí a jednoduchost založená na automatizaci a integraci s mnoha službami.

Peter Frolo: Nasazení SD-WAN sítě

Miroslav Brzek pracuje jako systémový inženýr v Alef Nula a implementoval SD-WAN sítě v několika velkých společnostech. Síťová infrastruktura se obnovuje v určitých cyklech a tyto firmy se rozhodly, že je čas aktualizovat. Nové prvky nabízejí výhody, které dávaly těmto zákazníkům smysl. Hlavní výhodou je management, který se hodí firmám, které mají třeba stovky různých zařízení. V SD-WAN je možné automatizovat správu a aktualizace z jednoho centrálního bodu.

Velkou roli hraje také nástup cloudových služeb. Tradiční přístup zahrnuje jeden centrální bod, který umožňuje konfigurovat bezpečnostní politiky. Dnes je potřeba vytvářet síť distribuovaně, kdy provozujeme velké množství zařízení na různých pobočkách. Díky tomu je možné daleko flexibilněji spravovat datové toky a není třeba být závislý na konkrétním poskytovateli. Můžeme drahé řešení jako MPLS nahradit tímto ‚overlay‘ řešením, ve kterém si můžu pravidla nastavovat sám. U velké mezinárodní sítě je cena extrémní a nasazení SD-WAN umožňuje cenu srazit.

Firmy slyší také na konsolidaci různých zařízení do jednoho snadno spravovatelného řešení. Můžeme propojit bezpečnostní řešení, edge routery, centrální routery a podobně. SD-WAN je specifická v tom, že máme sadu controllerů, které nám síť řídí. Mohou být v cloudu nebo v interní síti a všechny obě varianty mají své výhody a nevýhody. Například firmy z bankovního sektoru mají vlastní bezpečnostní pravidla, která jim zakazují mít něco takového v cloudu, takže je možné síť připravit lokálně.

Při nasazení si musíme určit, jak chceme konzumovat cloudové služby a podle toho zajistit propustnost jednotlivých prvků sítí. Musíme si také vybrat z portfolia bezpečnostních prvků. Stejně tak je potřeba se zabývat škálovatelností a segmentovatelností. SD-WAN umí segmentovat jako MPLS, ale umí to dělat nad různými přenosovými cestami.

Většina zákazníků věří odborným firmám, ale obvykle je potřeba demonstrovat, že vybrané řešení je reálné nasadit. Nasadíme testovací prostředí na jedné dvou pobočkách a ukážeme, že vše funguje podle požadavků. Bez tohoto postupu by asi nebylo možné nic takto rozsáhlého nasadit. Museli bychom něco připravit a pak jen doufat, že to bude v praxi fungovat.

Miroslav Brzek: Typické příklady nasazení SD-WAN

V klasické síti se komunikace z poboček směruje do centrálního datacentra, ve kterém máme centrální přípojku k internetu, která nás připojí ke cloudovým službám. Obvykle to znamená, že v jedné lince bojuje provoz určený do internetu s provozem pro lokální datacentrum. Pro uživatele to znamená zvýšenou latenci a zároveň nekonzistentní uživatelský zážitek. Jakmile se nám linka zahltí lokálním provozem, zhoršuje se zároveň dostupnost cloudových služeb.

Proti tomu sítě typu SD-WAN umožňují měřit kvalitativní parametry připojení do internetu pomocí lokální i centralizované přípojky. Dokáže tak dynamicky směrovat provoz tou cestou, která v danou chvíli má lepší parametry. Měří se zpoždění a ztrátovost a systém umí automaticky přejít na jinou přípojku, pokud dojde ke zhoršení výkonu. Celé přesměrování je plně automatizované a je možné takto nastavit různá pravidla pro přístup k různým službám.

Podobným způsobem jsme schopni optimalizovat spojení z pohledu připojení do cloudového prostředí typu IaaS. Toho využíváme, pokud naši uživatelé potřebují přistupovat k našim aplikacím běžícím u některého z poskytovatelů. V tradičním prostředí se vytvářejí IPsec tunely, ale jsme hodně závislí na tom, jaké možnosti nám poskytne daná služba. SD-WAN nám ale umožňuje spustit router přímo vzdáleně na dané infrastruktuře, což nám umožňuje nasadit vlastní řešení, připravit segmentaci a zjednodušit integraci s cloudovým prostředím.

Dalším typickým využitím SD-WAN je zabezpečení vzdálené pobočky. Při tradičním nasazení implementujeme centralizovanou přípojku k internetu nebo zajišťujeme konektivitu přímo na místě. Tam ale musíme připravit další bezpečnostní prvky, které jsou nákladné, musíme zajistit jejich napájení a podobně. Segmentaci pak provádíme pomocí MPLS, ale každá další taková konektivita je poměrně nákladná. V případě SD-WAN můžeme různá pobočková rozhraní připojovat do různých VPN, dokážeme je dodatečně v centralizovaném firewallu zase propojovat a nastavené politiky vědí o použití našich VPN.

SD-WAN umožňuje vytvářet různé topologie pro různé VPN sítě, můžeme tak používat full-mesh, hub-and-spoke nebo třeba point-to-point. Pro tradiční VPN sítě je to velmi náročná úloha na realizaci. Stejně tak SD-WAN umožňují využít hybridní bezpečnostní řešení, kdy je možné jednoduše kombinovat funkcionalitu přímo na místním směrovači s dalšími funkcemi v centrálním bezepčnostním prvku. To zahrnuje firewall, IPS, filtrování URL, ochranu proti malware, SSL proxy a další.

SD-WAN dovoluje výrazně zjednodušit nasazení celého prostředí, což v konečném důsledku vede ke zefektivnění správy. Můžeme tak jednoduše přidávat či odebírat další prvky, celou síť můžeme podrobně monitorovat a nasazovat nové politiky. Součástí řešení vManage je také REST API, které umožňuje integraci s dalšími dohledovými a management nástroji.