TechBites SD-WAN: Integrarea LAN, WAN și Data Center pentru o rețea cu adevărat bazată pe intenție
4 min read
De ce avem nevoie, în primul rând, de aceste integrări între diferitele domenii de rețea: LAN, WAN și Data Center? Nu ar fi mai bine ca întreaga rețea a companiei să funcționeze ca un singur domeniu?
În utilizarea reală, fiecare domeniu de rețea servește un set unic de cerințe. Rețeaua de campus gestionează clienți conectati pe cablu ori Wi-Fi cu cerințe ridicate de mobilitate și mecanisme de identitate variate. WAN găsește cea mai eficientă cale de la utilizator la aplicație din variantele multiple de conectivitate. Domeniul de Data Center oferă lățime de bandă și control pentru trafic est-vest, integrând mașini virtuale ori containere.
Pentru ca o rețea cu adevărat bazată pe intenție sa funcționeze optim, aceste domenii trebuie, însă, să fie interconectate. Să luăm ca exemplu o situație în care cerințele aplicației, nevoile de experiență ale utilizatorului sau politicile de segmentare sunt aplicate unui singur domeniu de rețea – și nu celorlalte. Ce ar însemna asta pentru performanța generală a rețelei și cerințele de securitate? Echipele dedicate pentru fiecare domeniu ar trebui ca mai întâi să agreeze, apoi să customizeze, pentru ca în final să implementeze politici pe echipamentele proprii. Toate manual. Cu ritmul rapid al schimbării, este acest lucru de dorit?
Prin urmare, trebuie să folosim aceleași politici multi-domain, automat și într-un mod cât mai facil, pentru a mapa cu adevărat intenția aplicației către cerințele de rețea. Integrarea automată a politicilor între domenii este cea mai bună modalitate de a păstra unicitatea domeniului și de a oferi în continuare coerență la nivelul întregii rețele.
Pe baza articolelor anterioare, avem o înțelegere asupra SD-WAN. Haideți să trecem rapid în revistă celelalte două domenii dintr-o rețea tipică:
Cisco SD-Access (SDA):
Cisco SD-Access oferă o segmentare automată pentru a separa traficul utilizatorului, echipamentului și aplicației, fără a reproiecta rețeaua. Cisco SD-Access automatizează politica de acces a utilizatorilor, astfel încât organizațiile să se asigure că politicile potrivite sunt stabilite pentru orice utilizator sau echipament, cu orice aplicație din rețea. Acest lucru se realizează cu o singură structură de rețea în LAN și WLAN, care creează o experiență de utilizare consistentă oriunde, fără a compromite securitatea.
Beneficiile Cisco SD-Access includ:
- Managementul provizionării și politicilor de rețea pentru echipamente conectate pe cablu ori Wi-Fi.
- Segmentarea automată a rețelei și politica bazată pe grup realizată utilizând SGT-uri (security group tagging).
- Prezentări contextuale pentru rezolvarea rapidă a problemelor și planificarea capacității.
- Interfețe deschise și programabile pentru integrare cu soluții terțe.
Cisco ACI pentru Data Center:
ACI împărtășește unele caracteristici de bază cu SD-Access (SDA) prin faptul că oferă politici pentru securitatea bazei, QoS, selectarea căilor și înlănțuirea serviciilor printr-un construct numit endpoint grup (EPG). EPG-urile către clienți sunt sinonime cu grupurile SGT utilizate în Cisco SD-Access (SDA), prin urmare clienții au nevoie de interoperabilitate, astfel încât să poată aplica politici comune în data center folosind contextul de la Cisco SD-Access (SDA).
Integrări ale politicilor de segmentare
Segmentarea unei rețele reduce congestia, îmbunătățește securitatea, conformitatea și limitează aria unde pot apărea probleme de rețea. În campus, soluția SD-Access folosește această tehnologie pentru a grupa utilizatorii și dispozitivele în segmentele pe care le creează în funcție de privilegiile de acces. În mod similar, Cisco ACI creează grupuri de aplicații similare în data center.
Integrare Cisco SD-Access – Cisco ACI:
Când sunt integrate, controllerele pentru SD-Access (DNA-C) și ACI (APIC) schimbă informația de segmentare și folosesc aceleași politici de acces. Cu aceste date comune, fiecare dintre domenii poate să mapeze grupuri de utilizatori cu aplicații, să aplice în comun politicile și să blocheze accesul neautorizat la aplicații.
ISE (Identity Service Engine) este punctul comun al integrării. Cisco ISE este o platformă de politici de identitate și control de acces, care permite companiilor să asigure conformitatea, să îmbunătățească securitatea infrastructurii și să își eficientizeze operațiunile de servicii.
Integrarea dintre DNAC cu ISE permite transferul grupurilor SGT și a politicii de aplicare (SGACL) între platformele DNAC și ISE utilizând Cisco pxGrid.
ISE comunică, de asemenea, cu APIC-DC pentru a sincroniza SGT-urile cu EPG-urile.
Integrare Cisco SD-WAN – Cisco SD-Access:
Într-o altă integrare a politicii de segmentare, Cisco SD-WAN se conectează cu SD-Access și distribuie grupuri de utilizatori și dispozitive între campusul unei organizații și sucursale, aducându-le pe toate într-un fabric de acces. Politicile de acces definite de SD-Access se aplică acum în mod consecvent în toate locațiile organizației.
Ambele integrări de politici permit aplicarea unor controale uniforme de acces utilizatorilor, echipamentelor și aplicațiilor, indiferent de locul în care se conectează la rețea sau sunt găzduite și de modul în care se deplasează între site-uri sau între data center și cloud. Integrările ajută la evitarea configurațiilor complexe și a schimbărilor frecvente care ar fi necesare pentru a atinge aceleași obiective.
Integrare Cisco SD-WAN – Cisco ACI:
Odată cu integrarea politicilor între ACI și SD-WAN, SLA-urile aplicațiilor pot fi definite în data center și propagate automat către SD-WAN, care poate apoi să prioritizeze în mod corespunzător traficul pe măsură ce se deplasează către utilizatorii din campus și sucursale. Propagarea SLA poate salva operatorii de rețea de a fi nevoiți să definească acești parametri manual în SD-WAN și să-i actualizeze de fiecare dată când aplicația sau afacerea necesită schimbare.
Securitate între domenii
Securitatea trebuie fie o componentă integrată în rețea. Nu poate rula doar la perimetru. Integrarea dintre securitate și rețea permite aplicațiilor de securitate și rețea să funcționeze împreună pentru a reduce timpul de prevenire, detectare și atenuare a amenințărilor.
Aplicațiile de securitate Cisco sunt omniprezente și încorporate în campus, sucursală, WAN, centru de date, centre de co-locație și cloud. Acestea protejează utilizatorii, indiferent unde ar putea fi, deoarece accesează internetul sau aplicațiile care rulează în centrele lor de date, în cloud hibrid sau de către un furnizor SaaS.
Închei aici această serie de articole, cu speranța că au fost informații utile. Am trecut împreună prin conceptele de bază ale tehnologiei SD-WAN, beneficii, o comparație cu arhitecturi clasice de WAN, respectiv integrarea cu domeniul de LAN și Data Center.
Pentru mai multe detalii despre cum vă poate ajuta SD-WAN, vă invităm să ne contactați la solutiicisco@cisco.com